Ein Mit­ar­bei­ter in der IT des Medi­zi­ni­schen Dienst der Kran­ken­ver­si­che­rung Nord­rhein (MDK) war arbeits­un­fä­hig gewor­den. Das Gut­ach­ten zur Arbeits­un­fä­hig­keit war von der­sel­ben MDK aus­ge­ar­bei­tet wor­den, unter Bei­zug von Anga­ben des behan­deln­den Arz­tes. Als der Mit­ar­bei­ter dies von sei­nem Arzt erfah­ren hat­te, bat er einen Kol­le­gen der IT-Abtei­lung, für ihn Fotos des Gut­ach­tens zu machen.

Anschlie­ssend klag­te der Mit­ar­bei­ter auf Scha­den­er­satz, weil das Gut­ach­ten von einem ande­ren medi­zi­ni­schen Dienst hät­te erstellt wer­den müs­sen, damit sei­ne Kol­le­gen kei­nen Zugang zu Gesund­heits­da­ten hat­ten, und weil die Sicher­heits­maß­nah­men bei der Archi­vie­rung des Berichts über sein Gut­ach­ten unzu­rei­chend gewe­sen seien.

Das Arbeits­ge­richt Düs­sel­dorf und die zwei­te Instanz, das Lan­des­ar­beits­ge­richt Düs­sel­dorf, hat­ten die Kla­ge abge­wie­sen. Das Bun­des­ar­beits­ge­richt leg­te dem EuGH dann eini­ge Fra­gen vor (Urteil Rs. C‑667/21).

Anfor­de­run­gen nach Art. 9 Abs. 2 lit. h DSGVO (Gesund­heits­vor­sor­ge, Arbeits­me­di­zin usw.)

Die erste Fra­ge bezog sich auf den Erlaub­nis­tat­be­stand von Art. 9 Abs. 2 lit. h DSGVO. Die Ver­ar­bei­tung von Gesund­heits­da­ten ist danach zuläs­sig, wenn sie einem Zweck nach lit. h dient (Gesund­heits­vor­sor­ge, Arbeits­me­di­zin usw.), wenn sie auf einer Grund­la­ge des EU- oder des natio­na­len Rechts beruht und wenn die Garan­tien nach Art. 9 Abs. 3 ein­ge­hal­ten sind (Ver­ar­bei­tung von Fach­per­so­nal mit Berufs­ge­heim­nis). Die DSGVO sieht dem­ge­gen­über nicht vor, gemäss EuGH, dass Art. 2 lit. h nur dann greift, wenn ein neu­tra­ler Drit­ten und nicht durch der Arbeit­ge­ber die Ver­ar­bei­tung durchführt:

58 Nach alle­dem ist unbe­scha­det der Ant­wor­ten, die auf die zwei­te und die drit­te Fra­ge gege­ben wer­den, auf die erste Fra­ge zu ant­wor­ten, dass Art. 9 Abs. 2 Buchst. h DSGVO dahin aus­zu­le­gen ist, dass die in die­ser Bestim­mung vor­ge­se­he­ne Aus­nah­me unter dem Vor­be­halt, dass die betref­fen­de Daten­ver­ar­bei­tung die in Buchst. h und in Art. 9 Abs. 3 aus­drück­lich vor­ge­schrie­be­nen Vor­aus­set­zun­gen und Garan­tien erfüllt, auf Situa­tio­nen anwend­bar ist, in denen eine Stel­le für medi­zi­ni­sche Begut­ach­tung Gesund­heits­da­ten eines ihrer Arbeit­neh­mer nicht als Arbeit­ge­ber, son­dern als Medi­zi­ni­scher Dienst ver­ar­bei­tet, um die Arbeits­fä­hig­keit die­ses Arbeit­neh­mers zu beurteilen.

TOMs zum Aus­schluss von Arbeitskollegen

Art. 9 Abs. 2 lit. h ver­langt auch nicht, Kol­le­gen der zu begut­ach­ten­den Per­son von der Begut­ach­tung aus­zu­schlie­ssen, sofern ein Mit­glied­staat nicht gestützt auf Art. 9 Abs. 4 ent­spre­chend legi­fe­riert hat. Das vor­lie­gen­de Bun­des­ar­beits­ge­richt muss aber prü­fen, ob der MDK ange­mes­se­ne Sicher­heits­mass­nah­men umge­setzt hat­te, die eine sol­che Tren­nung allen­falls ver­lan­gen können.

Ver­hält­nis von Art. 9 Abs. 2 und Art. 6 DSGVO

Inter­es­san­ter als die vor­an­ge­hen­den Fra­gen ist das Ver­hält­nis von Art. 9 Abs. 2 zu Art. 6 DSGVO. Aus­zu­ge­hen ist davon, dass Art. 6 Abs. 1 eine abschlie­ssen­de Liste der Fäl­le vor­sieht, in denen eine Ver­ar­bei­tung recht­mä­ssig ist. Dar­aus ergibt sich, dass eine Ver­ar­bei­tung von Gesund­heits­da­ten (und ande­rer Daten einer beson­de­ren Kate­go­rie) nicht nur die Vor­aus­set­zun­gen von Art. 9 Abs. 2, son­dern auch jene von Art. 6 ein­hal­ten muss:

79 Nach alle­dem ist auf die drit­te Fra­ge zu ant­wor­ten, dass Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 DSGVO dahin aus­zu­le­gen sind, dass eine auf die erst­ge­nann­te Bestim­mung gestütz­te Ver­ar­bei­tung von Gesund­heits­da­ten nur dann recht­mä­ßig ist, wenn sie nicht nur die sich aus die­ser Bestim­mung erge­ben­den Anfor­de­run­gen ein­hält, son­dern auch min­de­stens eine der in Art. 6 Abs. 1 genann­ten Recht­mä­ßig­keits­vor­aus­set­zun­gen erfüllt.

Der EuGH hält dies nicht so all­ge­mein fest, aber sei­ne Aus­sa­gen las­sen sich nur so ver­ste­hen, dass bei jeder Ver­ar­bei­tung beson­de­rer Daten auch Art. 6 DSGVO erfüllt sein muss.

Wei­te­re Punkte

Im Wei­te­ren bestä­tigt der EuGH die Recht­spre­chung i.S. Deut­sche Woh­nen, wonach der Scha­den­er­satz­an­spruch nach Art. 83 DSGVO kei­ne Straf‑, son­dern nur eine Aus­gleichs­funk­ti­on hat. Dar­aus ergibt sich auch, dass die Schwe­re des Ver­schul­dens bei der Fest­set­zung des Scha­den­er­satz­an­spruchs, auch für imma­te­ri­el­len Scha­den, nicht zu berück­sich­ti­gen ist:

103 Infol­ge­des­sen ist auf die fünf­te Fra­ge zu ant­wor­ten, dass Art. 82 DSGVO dahin aus­zu­le­gen ist, dass zum einen die Haf­tung des Ver­ant­wort­li­chen vom Vor­lie­gen eines ihm anzu­la­sten­den Ver­schul­dens abhängt, das ver­mu­tet wird, wenn er nicht nach­weist, dass die Hand­lung, die den Scha­den ver­ur­sacht hat, ihm nicht zure­chen­bar ist, und dass Art. 82 zum ande­ren nicht ver­langt, dass der Grad die­ses Ver­schul­dens bei der Bemes­sung der Höhe des als Ent­schä­di­gung für einen imma­te­ri­el­len Scha­den auf der Grund­la­ge die­ser Bestim­mung gewähr­ten Scha­den­er­sat­zes berück­sich­tigt wird.