Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis

​​​​​​​​​​​​​veröffentlicht am 31. Juli 2024 ​/ Autorinnen: Pauline Rauch und ​Regina Stumpf

Das BAG hat in einer Entscheidung vom 20.06.2024 entschieden, dass der Medizinische Dienst bei der Begutachtung eines eigenen Mitarbeiters wegen dessen Arbeitsunfähigkeit Gesundheitsdaten verarbeiten darf, soweit dies für die Beurteilung erforderlich ist. Auch muss nicht zwingend gewährleistet werden, dass kein anderer Beschäftigter Zugang zu den Daten aus dem Gutachten hat, da diese der beruflichen Verschwiegenheitspflicht bzw. jedenfalls dem Sozialgeheimnis unterliegen.

Grundlage der Entscheidung des BAG (Beschluss vom 20.06.2024 – 8 AZR 253/20) war die Klage eines Arbeitnehmers des Medizinischen Dienstes (im Folgenden: MD), der diesen auf Schadensersatz verklagte. Aufgrund ununterbrochener Arbeitsunfähigkeit und dem Bezug von Krankengeld hatte die Krankenkasse des Klägers nach § 275 Abs. 1 Satz 1 Nr. 3b SGB V die Erstellung einer gutachterlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit beim MD beauftragt. Auch für die eigenen Arbeitnehmer erstellt der MD Stellungnahmen, welche dann als „Spezialfall” besonderen Regelungen unterworfen sind.

Diese besagen, dass Sozialdaten eines Beschäftigten nicht an dessen Dienstort erhoben und gespeichert werden sollen. Zudem dürfen Sozialdaten des Beschäftigten, die anfallen, wenn der MD von der jeweils zuständigen Krankenkasse mit einer Begutachtung beauftragt wird, nicht mit „‚Mitarbeiterdaten‘ verwechselt werden“, die im Rahmen eines Arbeits- oder Dienstverhältnisses entstehen oder verarbeitet werden. Zugriffsberechtigt für den „Spezialfall“ sollen nur bestimmte Beschäftigte der jeweiligen „Teilbereiche“ des MD sein.

In dem Fall, welchen das BAG nun entschieden hat, erstellte eine bei dem beklagten MD angestellte Ärztin, die diesem „Teilbereich” angehörte, eine gutachterliche Stellungnahme, die unter anderen die Diagnose einer schweren depressiven Episode ohne psychotische Symptome enthielt. Zur Erstellung des Gutachtens hatte die Ärztin mit dem behandelnden Arzt des Klägers telefoniert und von diesem Auskünfte eingeholt. Das Gutachten wurde bei dem beklagten MD elektronisch archiviert.

Der Kläger erfuhr durch seinen behandelnden Arzt von dem Telefonat und beschaffte sich Fotos der Stellungnahme über eine Kollegin der IT-Abteilung, in dem diese im Archiv nach dem Gutachten suchte, es anschließend mit ihrem Mobiltelefon fotografierte und die Fotos schließlich über einen Messenger-Dienst an den Kläger weiterleitete.

Er erhob daraufhin Klage und forderte nach Art. 82 Abs. 1 DSGVO bzw. nach Vorschriften des nationalen Rechts (z.B. § 823 Abs. 1 BGB sowie § 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1, Art. 1 Abs. 1 GG) materiellen und immateriellen Schadensersatz. Er begründete die Klage damit, dass die Erstellung einer solchen Stellungnahme regelmäßig mit der Verarbeitung von Gesundheitsdaten – einschließlich der konkreten Diagnose – verbunden sei, die im Arbeitsverhältnis nicht verarbeitet werden dürften. Der beklagte MD habe das Gutachten daher nicht annehmen und bearbeiten und darüber hinaus nicht speichern dürfen. Er sah in dem Vorgehen eine Verletzung seines Persönlichkeitsrechts und Verstöße gegen datenschutzrechtliche Grundsätze. Den materiellen Schadensersatz begründete er damit, dass die Kenntnis über das Telefonat zwischen der Gutachterin und seinem behandelnden Arzt seine Arbeitsunfähigkeit verlängert habe.

Der Beklagte war der Ansicht, dass das Vorgehen im Einklang mit datenschutzrechtlichen Vorgaben und mit dem zulässigen Vorgehen bei einem „Spezialfall” erfolgte.

Der Senat entschied auf Grundlage der Vorabentscheidung des Europäischen Gerichtshofs (EuGH, Urteil vom 21.12.2023 – C-667/21, ZD 2024, 146).

 
Er stellte fest, dass die Grundvoraussetzungen eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO, die – kumulativ – in einem Verstoß gegen die DSGVO, einem materiellen und/oder immateriellen Schaden und einem Kausalzusammenhang zwischen dem Schaden und dem Verstoß bestehen, nicht vorliegen. Die Verarbeitung der Gesundheitsdaten des Klägers durch den Beklagten sei unionsrechtlich zulässig, ein Verstoß gegen die DSGVO sei nicht gegeben.
 
Die Verarbeitung der Daten, inklusive das zwischen der Gutachterin und dem behandelnden Arzt geführte Gespräch, sei zur Erstellung der von der gesetzlichen Krankenkasse beauftragten gutachtlichen Stellungnahme i.S.v. Art. 9 Abs. 2 Buchst. h DSGVO erforderlich gewesen. Die Datenverarbeitung genüge zudem den Garantien des Art. 9 Abs. 3 DSGVO, die die Verarbeitung durch Fachpersonal oder unter Verantwortung dieses Personals fordern. Hier waren sämtliche Mitarbeiter des Beklagten, die Zugang zu Gesundheitsdaten des Klägers hatten, einer beruflichen Verschwiegenheitspflicht bzw. jedenfalls dem Sozialgeheimnis, das die Mitarbeiter des Beklagten auch untereinander zu beachten haben, unterstellt. Es seien auch keinerlei Regelungen vorhanden, die die Zuständigkeit eines anderen Medizinischen Dienstes erfordere oder den Zugang für andere Arbeitnehmer beschränke oder sogar verbiete.
 
Daneben erfülle die Datenverarbeitung auch die allgemeinen Voraussetzungen für eine rechtmäßige Verarbeitung des neben Art. 9 DSGVO anwendbaren Art. 6 DSGVO. Die vom Beklagten getroffenen organisatorischen und technischen Maßnahmen seien mit den im Unionsrecht verankerten Grundsätzen der Integrität und Vertraulichkeit vereinbar. Es sei insbesondere zu beachten, dass der einzige nachgewiesene Fall eines unberechtigten Zugriffs auf Gesundheitsdaten eines Beschäftigten, die der Beklagte als Medizinischer Dienst verarbeitet hat, von dem Betroffenen selbst – und zwar dem Kläger – veranlasst wurde, in dem er die Kollegin der IT-Abteilung nach Fotos des Gutachtens bat.
 
Die Entscheidung des BAG verschafft dem medizinischen Dienst und seinen Mitarbeitenden Klarheit über die Begutachtung in eigenen Reihen und das notwendige Ausmaß der Datenverarbeitung. Auch der sensible Umgang mit Gesundheitsdaten gewinnt aufgrund der Betonung der Einhaltung des Art. 9 Abs. 3 DSGVO eine weitere schärfere Kontur, die auch Gesundheitseinrichtungen, die typischerweise mit Gesundheitsdaten umgehen müssen, im Fall der Verarbeitung von Gesundheitsdaten eigener Mitarbeiter zugutekommt.​