Ein Mitarbeiter in der IT des Medizinischen Dienst der Krankenversicherung Nordrhein (MDK) war arbeitsunfähig geworden. Das Gutachten zur Arbeitsunfähigkeit war von derselben MDK ausgearbeitet worden, unter Beizug von Angaben des behandelnden Arztes. Als der Mitarbeiter dies von seinem Arzt erfahren hatte, bat er einen Kollegen der IT-Abteilung, für ihn Fotos des Gutachtens zu machen.
Anschliessend klagte der Mitarbeiter auf Schadenersatz, weil das Gutachten von einem anderen medizinischen Dienst hätte erstellt werden müssen, damit seine Kollegen keinen Zugang zu Gesundheitsdaten hatten, und weil die Sicherheitsmaßnahmen bei der Archivierung des Berichts über sein Gutachten unzureichend gewesen seien.
Das Arbeitsgericht Düsseldorf und die zweite Instanz, das Landesarbeitsgericht Düsseldorf, hatten die Klage abgewiesen. Das Bundesarbeitsgericht legte dem EuGH dann einige Fragen vor (Urteil Rs. C‑667/21).
Anforderungen nach Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsvorsorge, Arbeitsmedizin usw.)
Die erste Frage bezog sich auf den Erlaubnistatbestand von Art. 9 Abs. 2 lit. h DSGVO. Die Verarbeitung von Gesundheitsdaten ist danach zulässig, wenn sie einem Zweck nach lit. h dient (Gesundheitsvorsorge, Arbeitsmedizin usw.), wenn sie auf einer Grundlage des EU- oder des nationalen Rechts beruht und wenn die Garantien nach Art. 9 Abs. 3 eingehalten sind (Verarbeitung von Fachpersonal mit Berufsgeheimnis). Die DSGVO sieht demgegenüber nicht vor, gemäss EuGH, dass Art. 2 lit. h nur dann greift, wenn ein neutraler Dritten und nicht durch der Arbeitgeber die Verarbeitung durchführt:
58 Nach alledem ist unbeschadet der Antworten, die auf die zweite und die dritte Frage gegeben werden, auf die erste Frage zu antworten, dass Art. 9 Abs. 2 Buchst. h DSGVO dahin auszulegen ist, dass die in dieser Bestimmung vorgesehene Ausnahme unter dem Vorbehalt, dass die betreffende Datenverarbeitung die in Buchst. h und in Art. 9 Abs. 3 ausdrücklich vorgeschriebenen Voraussetzungen und Garantien erfüllt, auf Situationen anwendbar ist, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer Arbeitnehmer nicht als Arbeitgeber, sondern als Medizinischer Dienst verarbeitet, um die Arbeitsfähigkeit dieses Arbeitnehmers zu beurteilen.
TOMs zum Ausschluss von Arbeitskollegen
Art. 9 Abs. 2 lit. h verlangt auch nicht, Kollegen der zu begutachtenden Person von der Begutachtung auszuschliessen, sofern ein Mitgliedstaat nicht gestützt auf Art. 9 Abs. 4 entsprechend legiferiert hat. Das vorliegende Bundesarbeitsgericht muss aber prüfen, ob der MDK angemessene Sicherheitsmassnahmen umgesetzt hatte, die eine solche Trennung allenfalls verlangen können.
Verhältnis von Art. 9 Abs. 2 und Art. 6 DSGVO
Interessanter als die vorangehenden Fragen ist das Verhältnis von Art. 9 Abs. 2 zu Art. 6 DSGVO. Auszugehen ist davon, dass Art. 6 Abs. 1 eine abschliessende Liste der Fälle vorsieht, in denen eine Verarbeitung rechtmässig ist. Daraus ergibt sich, dass eine Verarbeitung von Gesundheitsdaten (und anderer Daten einer besonderen Kategorie) nicht nur die Voraussetzungen von Art. 9 Abs. 2, sondern auch jene von Art. 6 einhalten muss:
79 Nach alledem ist auf die dritte Frage zu antworten, dass Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 DSGVO dahin auszulegen sind, dass eine auf die erstgenannte Bestimmung gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art. 6 Abs. 1 genannten Rechtmäßigkeitsvoraussetzungen erfüllt.
Der EuGH hält dies nicht so allgemein fest, aber seine Aussagen lassen sich nur so verstehen, dass bei jeder Verarbeitung besonderer Daten auch Art. 6 DSGVO erfüllt sein muss.
Weitere Punkte
Im Weiteren bestätigt der EuGH die Rechtsprechung i.S. Deutsche Wohnen, wonach der Schadenersatzanspruch nach Art. 83 DSGVO keine Straf‑, sondern nur eine Ausgleichsfunktion hat. Daraus ergibt sich auch, dass die Schwere des Verschuldens bei der Festsetzung des Schadenersatzanspruchs, auch für immateriellen Schaden, nicht zu berücksichtigen ist:
103 Infolgedessen ist auf die fünfte Frage zu antworten, dass Art. 82 DSGVO dahin auszulegen ist, dass zum einen die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, wenn er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und dass Art. 82 zum anderen nicht verlangt, dass der Grad dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird.