Dürfen Arbeitgeber auf sensible Gesundheitsdaten ihrer Mitarbeiter zugreifen, ohne leichtfertig Datenschutzverstöße oder Verletzungen des Persönlichkeitsrechts zu provozieren? Das Bundesarbeitsgericht (BAG) hat sich mit dieser Frage befasst und sie nach Anrufung des Europäischen Gerichtshofs (EuGH) mit Urteil vom 20.06.2024 (Az.: 8 AZR 253/20) in einem Spezialfall bejaht.
Der Fall
Der Kläger war über einen längeren Zeitraum arbeitsunfähig erkrankt, weshalb die gesetzliche Krankenkasse den Medizinischen Dienst (Beklagten) beauftragte, ein Gutachten über seine Arbeitsunfähigkeit zu erstellen.
Plot-Twist: Der Beklagte war gleichzeitig auch Arbeitgeber des Klägers.
Der Beklagte nahm den Auftrag an und ließ den Kläger durch eine interne Ärztin untersuchen und ein Gutachten erstellen. Die Begutachtung umfasste auch eine Rücksprache mit dem behandelnden Arzt des Klägers. Nachdem das Gutachten erstellt wurde, forderte der Kläger eine Kollegin aus der IT-Abteilung auf, das Gutachten intern abzurufen und an ihn weiterzuleiten. Dadurch hatten die Kollegin und möglicherweise andere Mitarbeitende Zugang zu den Gesundheitsdaten des Klägers.
Der Kläger verklagte daraufhin seinen Arbeitgeber auf Schadenersatz nach Art. 82 Abs. 1 DSGVO wegen einer vermeintlich unzulässigen Verarbeitung seiner Gesundheitsdaten und warf ihm zudem eine Verletzung seines Persönlichkeitsrechts vor.
Zu Recht? Es sei daran erinnert, dass gemäß Art. 9 Abs. 1 DSGVO die Verarbeitung von Gesundheitsdaten untersagt ist, wenn kein Ausnahmefall nach Art. 9 Abs. 2 DSGVO vorliegt.
Die Entscheidung
Die Vorinstanzen wiesen die Klage ab. Nachdem Revision eingelegt wurde, sah es zunächst danach aus, als würde sich das BAG doch auf die Seite des Klägers schlagen. Allerdings stellte das Gericht dem EuGH im Rahmen eines Vorabentscheidungsersuchens Fragen zur Auslegung und Anwendung der DSGVO.
Nach der Entscheidung des EuGHs (Az.: C-667/21) wies das BAG die Revision des Klägers dann doch zurück. Obwohl die Entscheidungsgründe noch ausstehen, macht die veröffentlichte Pressemitteilung bereits deutlich, dass sich das Gericht mit den Begründungen des EuGH darauf stützt, dass kein Verstoß gegen die DSGVO vorliegt und die Verarbeitung der Gesundheitsdaten des Klägers durch den Beklagten unionsrechtlich zulässig gewesen ist.
Die Verarbeitung falle nämlich unter den Ausnahmetatbestand des Art. 9 Abs. 2 Buchst. h DSGVO, da sie erforderlich gewesen sei, um die von der gesetzlichen Krankenkasse angeforderte gutachtliche Stellungnahme zu erbringen, die wiederum auf nationalem Recht basiert. Gleiches gelte für das Telefonat zwischen der Gutachterin und dem behandelnden Arzt des Klägers.
Die weiteren Zulässigkeitsanforderungen des Art. 6 und Art. 9 Abs. 3 DSGVO seien ebenfalls erfüllt, da sämtliche Mitarbeitenden, die Zugang zu den Daten hatten, einer beruflichen Verschwiegenheitspflicht unterliegen, welche auch im Innenverhältnis Anwendung findet. Der einzig bekannte unberechtigte Zugriff auf die Gesundheitsdaten sei durch die Mitarbeitende erfolgt, die auf Wunsch des Klägers tätig wurde. Diese singuläre Ausnahme lasse damit aber eher den Schluss zu, dass die Daten grundsätzlich gesetzeskonform von Personen mit Geheimhaltungspflichten verarbeitet werden.
Dass ein anderer Medizinischer Dienst mit der Begutachtung hätte beauftragt werden müssen oder dass die Arbeitnehmer des Beklagten keinen Zugang zu den Gesundheitsdaten hätten erhalten dürfen, lasse sich aus dem Unionsrecht nicht ableiten. Eine diesbezüglich in Art. 9 Abs. 4 DSGVO normierte Beschränkungsmöglichkeit nach nationalem Recht sei bisher im deutschen Recht nicht umgesetzt worden.
Die Schadenersatzforderung gemäß Art. 82 Abs. 1 DSGVO erwies sich daher als erfolglos.
Das Fazit
Obwohl solche spezifischen Fallkonstellationen eher selten sein dürften, bestehen damit dennoch Ausnahmesituationen, in denen Arbeitgeber personenbezogene Daten verarbeiten dürfen. Solange keine ergänzenden nationalen Einschränkungen gemäß Art. 9 Abs. 4 DSGVO bestehen, sind Arbeitgeber dann aber zumindest nach Art. 9 Abs. 3 DSGVO verpflichtet, umfassende Schutzvorkehrungen für den internen Umgang mit diesen Daten zu treffen und den Verarbeitenden strikte Geheimhaltungspflichten aufzuerlegen.