BAG zur Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis eines Medizinischen Dienstes

ESV-Redaktion Recht

BAG: Der beklagte Medizinische Dienst durfte auch Gesundheitsdaten eigener Mitarbeiter zur Grundlage seines Gutachtens machen (Foto: Toowongsa / stock.adobe.com)

Ist die Verarbeitung von Gesundheitsdaten durch einen Medizinischen Dienst (MD) der von gesetzlichen Krankenkassen mit Gutachten zur Arbeitsunfähigkeit von Versicherten beauftragt wird, auch dann noch zulässig, wenn der Versicherte ein Arbeitnehmer des MD ist? Mit dieser Frage hat sich das BAG kürzlich befasst.

In dem Streitfall führte der Medizinische Dienst Nordrhein – der spätere Beklagte – im Auftrag der gesetzlichen Krankenkassen medizinische Begutachtungen durch. Damit sollten Zweifel an der Arbeitsunfähigkeit von gesetzlich versicherten Arbeitnehmern ausgeräumt werden. In dem Streitfall geschah dies auch für einen Auftrag, der einen Mitarbeiter des Beklagten betraf.

In solchen Fällen durfte jedoch nur eine begrenzte Zahl von Mitarbeitern in Düsseldorf und Duisburg, die der besonderen Organisationseinheit „Spezialfall“ angehörten, die betreffenden Daten verarbeiten. Zugriff auf die Daten erhielten diese Mitarbeiter über personalisierte Softwarezertifikate und nur innerhalb vergebener Rechte, die sich an den zu erledigenden Aufgaben orientieren.

Grundlage hierfür war eine Dienstvereinbarung zwischen dem Beklagten und dem Personalrat in Verbindung mit einer Dienstanweisung, die der Beklagte erlassen hatte. Die Dienstanweisung legte unter anderem fest, dass bestimmte Mitarbeiter in Düsseldorf, die in einem „Zugriffskonzept“ namentlich benannt wurden – wie etwa Assistenzkräfte und Gutachter – auch für den Standort in Duisburg zuständig waren.

Nach der Dienstvereinbarung waren außerdem neun Mitarbeiter der in Düsseldorf eingerichteten IT-Abteilung des Beklagten im Rahmen ihrer Aufgaben zugriffsberechtigt.

Der Kläger arbeitete zuletzt als Systemadministrator und Mitarbeiter „Helpdesk“ in der IT-Abteilung des Beklagten. Seit November 2017 war er ununterbrochen arbeitsunfähig erkrankt. Ab Mai 2018 bezog er Krankengeld von seiner gesetzlichen Krankenkasse.

Letztere beauftragte den Beklagten im Juni 2018 mit der Erstellung eines Gutachtens, um Zweifel an seiner Arbeitsunfähigkeit auszuräumen. Eine Ärztin, die bei dem Beklagten beschäftigt war und die der Organisationseinheit „Spezialfall“ in Duisburg angehörte, erstellte dann ein Gutachten, das die Diagnose der Krankheit des Klägers enthielt. Vor Erstellung des Gutachtens holte die Ärztin bei dem behandelnden Arzt telefonisch Auskünfte über den Gesundheitszustand des Klägers ein.

Als der Kläger von seinen Arzt hiervon erfuhr, machte eine Kollegin aus der IT-Abteilung auf seine Bitte hin Fotos von dem Gutachten und übermittelte diese an den Kläger.

Daraufhin verklagte er seinen Arbeitgeber und verlangte von diesem einen immateriellen Schadenersatz. Grundlage hierfür ist ihm zufolge Art. 82 Absatz 1 DSGVO. Nach seiner Auffassung hätte das Gutachten durch einen anderen Medizinischen Dienst erstellt werden müssen. Zumindest hatte die Gutachterin keine telefonischen Auskünfte von seinem Arzt einholen dürfen. Diese in seinen Augen unrechtmäßige Verarbeitung von Gesundheitsdaten habe bei ihm bestimmte Sorgen und Befürchtungen ausgelöst. In der Berufungsinstanz verlangte er dann auch materiellen Schadenersatz für einen bei ihm entstandenen oder künftig entstehenden Erwerbsschaden. Seine Begründung hierzu: Die Kenntnis von dem Telefonat zwischen der Gutachterin und seinem behandelnden Arzt habe auch seine Arbeitsunfähigkeit verlängert.

Da der Kläger in den Vorinstanzen keinen Erfolg hatte, zog er mit einer Revision vor das BAG.

Der kostenlose Newsletter Recht – Hier können Sie sich anmelden!

Redaktionelle Meldungen zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps.

BAG: Verarbeitung von Gesundheitsdaten eigener Mitarbeiter zulässig

Auch vor dem Achten Senat des BAG blieb der Kläger erfolglos. Demnach sind die Voraussetzungen für einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO nicht gegeben. Nach weiterer Auffassung des Senats war die streitgegenständliche Verarbeitung insbesondere unionsrechtlich zulässig. Der Hintergrund: Innerhalb dieses Verfahrens rief das BAG wegen EU-rechtlicher Bedenken auch den EuGH an. Nach Auffassung des Gerichts in Luxemburg war die Verarbeitung der Gesundheitsdaten des Klägers durch den Beklagten aber unionsrechtlich zulässig. Sie genügte den EuGH-Vorgaben aus der Vorabentscheidung des EuGH vom 21.12.2023 (C-667/21). Insbesondere enthält das Unionsrecht keine Bestimmung, nach der ein anderer Medizinischer Dienst das Gutachten erstellen musste. Die weiteren wesentlichen Erwägungen des Senats:

Verarbeitung erforderlich: Die Verarbeitung war für die Erstellung der gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers im Sinne von Art. 9 Absatz 2 Buchstabe h DSGVO erforderlich. Gleiches gilt für das Telefonat zwischen der Gutachterin des Beklagten und dem Arzt des Klägers.

Garantien des Art. 9 Abs. 3 DSGVO erfüllt: Ebenso genügte die Datenverarbeitung den Garantien von Art. 9 Absatz 3 DSGVO, denn sämtliche Mitarbeiter des Beklagten, die Zugang zu Gesundheitsdaten des Klägers hatten, unterlagen einer beruflichen Verschwiegenheitspflicht und dem Sozialgeheimnis. Diese Pflichten müssen die Mitarbeiter des Beklagten auch untereinander zu beachten. Zudem kennt das deutsche Recht keine Normen, die nach Art. 9 Abs. 4 DSGVO unzulässig oder zu beschränken wären. Auch einen Verstoß gegen Art. 6 DSGVO sah der Senat nicht.

Einziger rechtswidriger Zugriff ging vom Kläger selbst aus: Darüber hinaus wurden die organisatorischen und technischen Maßnahmen des Beklagten in Bezug auf seine gesetzlichen Aufgaben als Medizinischer Dienst zum Schutz der Gesundheitsdaten eigener Mitarbeiter den Grundsätzen der Integrität und Vertraulichkeit – die das EU-Recht vorgibt – gerecht. Dies gilt umso mehr, weil es der Kläger selbst war, der den einzigen nachgewiesenen unberechtigten Zugriff auf Gesundheitsdaten eines Beschäftigten veranlasst hat, so der Senat abschließend.

Quelle: PM des BAG vom 20.06.2024 zum Urteil vom selben Tag – 8 AZR 253/20

PinG Privacy in Germany

Herausgeber: Prof. Niko Härting, Dr. Stefan Brink

Datenschutz in allen Farben: ünstliche Intelligenz und digitale Technologien fordern den Datenschutz völlig neu heraus. Doch halten auch klassische Spannungsfelder zwischen Datenschutz und Datennutzung, Sicherheit und Privatsphäre, europäischen Standards und einer immer stärker vernetzten Welt das Rechtgebiet immer neu in Bewegung. PinG nimmt das facettenreiche Geschehen für Sie in den Blick.

PinG erweitert Horizonte und bietet Rechts- und Datenschutzprofis aus aller Welt ein meinungsstarkes Forum über ein breites, fachübergreifendes Themenspektrum.

PinG teilt neue Ideen juristischer Vordenker und digitaler Entrepreneure, lesen Sie aktuelle Perspektiven aus Rechtspolitik und der betrieblichen Praxis, aus Aufsichts- und Verbrauchersicht.

PinG ist erstklassig beraten durch einen hochkarätig besetzten Fachbeirat und die enge Zusammenarbeit mit der Stiftung Datenschutz.

Wir laden Sie herzlich ein, die PinG gratis kennen zu lernen – und dabei auch im umfangreichen Online-Archiv mit allen Ausgaben seit 2013 zu stöbern.

PinG bleibt im Gespräch: Hören Sie auch in den PinG-Podcast „Follow the Rechtsstaat“ mit Prof. Niko Härting und Dr. Stefan Brink rein, die Fragen zum Datenschutz, zu Grund- und Bürgerrechten in einer bewegten Zeit gemeinsam mit ihren namhaften Gästen ausleuchten.

Bitte beachten Sie: eJournals werden für Sie persönlich lizenziert. Sprechen Sie uns zu Mehrfachlizenzen für eJournals gerne an – Telefon (030) 25 00 85-295/ -296 oder KeyAccountDigital@ESVmedien.de.

Verlagsprogramm

Weitere Nachrichten aus dem Bereich Recht

(ESV/bp)