Rechtsprechungsreport

Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis

Der Fall

Das BAG legte dem EuGH insgesamt fünf Fragen zur Vorabentscheidung gem. Art. 267 AEUV betreffend die Auslegung von Art. 9, 6 und 82 DSGVO vor.

Mit der ersten Frage möchte das BAG geklärt haben, ob Art. 9 Abs. 2 lit. h DSGVO dem MDK untersagt, Gesundheitsdaten seiner eigenen Arbeitnehmer, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieser Arbeitnehmer sind, zu verarbeiten. Der Senat geht hierbei davon aus, dass weder die Ausnahme nach Art. 9 Abs. 2 lit. b noch nach lit. h der DSGVO einschlägig seien. Auf die Verarbeitung zum Zwecke der Erfüllung von Rechten und Pflichten aus dem Arbeitsrecht bzw. dem Sozialrecht könne sich der MDK vorliegend nicht berufen, da die Verarbeitung durch den MDK nicht in seiner Eigenschaft als Arbeitgeber des Klägers erfolgt ist. Auch die Ausnahmeregelung nach Art. 9 Abs. 2 lit. h DSGVO ist nach Auffassung des Senats nicht einschlägig. Hiernach kann die Verarbeitung von Gesundheitsdaten für die Beurteilung der Arbeitsfähigkeit von Beschäftigten zulässig sein. Der Senat habe indes Zweifel, ob der MDK sich auf diese Bestimmung berufen könne, wenn er gleichzeitig Arbeitgeber des betroffenen Beschäftigten sei. Ihm wäre dann eine weitergehende Verarbeitung von Gesundheitsdaten erlaubt, als es ihm als Arbeitgeber erlaubt wäre. Der Senat gehe deshalb davon aus, dass ein MDK im Falle seiner eigenen Beschäftigten von der Krankenkasse nicht mit der Erstellung von Gutachten betreffend die Arbeitsfähigkeit beauftragt werden dürfe.

Die zweite Frage betriff die Datensicherheit. Der EuGH soll erklären, ob – falls die Verarbeitung von Gesundheitsdaten vorliegend überhaupt zulässig ist – besondere Anforderungen an die Datenverarbeitung zu stellen wären, insbesondere striktere technische und organisatorische Maßnahmen, die sicherstellen, dass keine bei einem MDK beschäftigte Person Zugang zu den hier in Rede stehenden Gesundheitsdaten von Kollegen oder Kolleginnen habe.

Mit der dritten Vorlagefrage möchte der Senat wissen, ob für den Fall, dass die Ausnahmevorschrift des Art. 9 Abs. 2 DSGVO einschlägig ist, zusätzlich auch noch die allgemeinen Anforderungen an die Rechtmäßigkeit der Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 DSGVO erfüllt sein müssten. Bislang sei, so der Senat, nicht geklärt, ob die Verarbeitung von Gesundheitsdaten bereits dann zulässig ist, wenn einer der Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO erfüllt sei, oder ob zusätzlich noch die in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt sein müssten. Diesbezüglich bezweifele der Senat die Erforderlichkeit der Datenverarbeitung durch den beklagten MDK. Die öffentliche Aufgabe des MDK könne nämlich genauso gut durch das Tätigwerden eines anderen MDK erfüllt werden.

Die vierte und fünfte Vorlagefrage beziehen sich auf eine etwaige dem Kläger zuzusprechende Entschädigung gemäß Art. 82 Abs. 1 DSGVO. Mit der vierten Frage soll geklärt werden, ob Art. 82 Abs. 1 DSGVO neben seiner Ausgleichsfunktion zudem spezial- bzw. generalpräventiven Charakter habe und der Senat dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens zulasten des Verantwortlichen zu berücksichtigen habe. Mit der fünften Vorlagefrage möchte der Senat schließlich wissen, ob bei der Bemessung des zu ersetzenden immateriellen Schadens auch der Grad des Verschuldens des Verantwortlichen zu dessen Gunsten berücksichtigt werden dürfe, etwa dann, wenn kein oder nur ein geringes Verschulden vorliege.

Der Praxistipp

Die Vorlage an den EuGH ist von hoher Praxisrelevanz. Dies betrifft weniger die sehr spezielle Fragestellung, ob der MDK in seiner Doppelfunktion als Behörde mit öffentlichem Auftrag und Arbeitgeber Gesundheitsdaten der eigenen Beschäftigten verarbeiten darf, sondern die Vorlagefragen, die sich auf den Entschädigungsanspruch nach Art. 82 Abs. 1 DSGVO beziehen. Bislang ist ungeklärt, nach welchen Kriterien der zu ersetzende immaterielle Schaden zu bemessen ist. Anders als bei von den Aufsichtsbehörden zu verhängenden Bußgeldern, für deren Bemessung Art. 83 DSGVO Kriterien aufstellt, schweigt sich die DSGVO hierzu aus. In Erwägungsgrund 147 der Verordnung finden sich nur die folgenden, luftigen Ausführungen: „Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“.

Nach nationalem Recht, dem ein „Strafschadensersatz“ fremd ist, müsste dem Anspruchssteller ein Schaden entstanden sein; dies gilt auch für den immateriellen Schaden, für den eine schwerwiegende Verletzung des Persönlichkeitsrechts erforderlich ist. Beinahe suggestiv fragt das BAG, ob bei der Bemessung des Schadens nicht auch spezial- und generalpräventive Aspekte berücksichtigt werden müssen. Sollte der EuGH dies bejahen, könnte betroffenen Arbeitgebern eine „Doppelbestrafung“ in Form von Strafschadensersatz und Bußgeldern.

(BAG, Vorlagebeschluss v. 26.8.2021 – 8 AZR 253/20 (A))

Insight.pmks