Gesundheitsdaten – und ihre Verarbeitung durch Arbeitgeber

Die Verarbeitung von Gesundheitsdaten durch einen Medizinischen Dienst, der von einer gesetzlichen Krankenkasse mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten beauftragt worden ist, kann nach Art. 9 Abs. 2 Buchst. h DSGVO auch dann zulässig sein, wenn es sich bei dem Versicherten um einen eigenen Arbeitnehmer des Medizinischen Dienstes handelt.  Ein Arbeitgeber, der als Medizinischer Dienst Gesundheitsdaten eines eigenen Arbeitnehmers verarbeitet, ist weder nach den Bestimmungen der Datenschutz-Grundverordnung noch aufgrund nationaler Rechtsvorschriften ausnahmslos verpflichtet zu gewährleisten, dass kein anderer Beschäftigter Zugang zu diesen Daten hat.

Gesundheitsdaten – und ihre Verarbeitung durch Arbeitgeber

In dem hier vom Bundesarbeitsgericht entschiedenen Fall ging es um eine Klage gegen den Medizinische Dienst Nordrhein (vormals Medizinischer Dienst der Krankenversicherung – MDK), der als Körperschaft des öffentlichen Rechts  im Auftrag der gesetzlichen Krankenkassen gutachtliche Stellungnahmen nach dem Recht der sozialen Krankenversicherung durchführt. Im Jahr 2018 beschäftigte er – verteilt über acht Standorte im Gebiet Nordrhein – mehr als 1.000 Mitarbeiter. Der seit 1991 in einem Arbeitsverhältnis zum Medizinischen Dienst Nordrhein stehende Arbeitnehmer war zuletzt als Systemadministrator und Mitarbeiter „Helpdesk“ in der IT-Abteilung des Medizinischen Dienstes Nordrhein tätig. Seit November 2017 war er ununterbrochen arbeitsunfähig krank. Ab Mai 2018 bezog er von seiner gesetzlichen Krankenkasse Krankengeld. Im Jahr 2018 erstellte der Medizinischer Dienst Nordrhein im Rahmen seiner Aufgaben als MDK mehrere hunderttausend medizinische Gutachten/gutachtliche Stellungnahmen für Träger der Sozialversicherung. Die Datenverarbeitung erfolgte mittels einer spezifischen Software, dem „Informationssystem der Medizinischen Dienste der Krankenversicherung“ (kurz ISmed), zuletzt dem System ISmed 3. Über den Einsatz von lSmed 3 schlossen der Medizinischer Dienst Nordrhein, bei dem durchgängig ein Datenschutzbeauftragter bestellt war, und der Personalrat im April 2015 eine Dienstvereinbarung (im Folgenden DV). Für den Fall, dass ein Gutachtenauftrag einen bei ihm beschäftigten Mitarbeiter betraf, erließ der Medizinischer Dienst Nordrhein eine „Dienstanweisung zum Schutz der Sozialdaten der Beschäftigten des MDK Nordrhein und ihrer Angehörigen“ (im Folgenden DA). Insgesamt erhielten im Rahmen der nach der DA gebildeten Organisationseinheit „Spezialfall“ 36 Mitarbeiterinnen und Mitarbeiter des Medizinischen Dienstes Nordrhein technisch Zugriff auf den sog. geschützten Bereich. Es handelte sich dabei um ärztliche Mitarbeiter, Assistenzkräfte und Mitarbeiter der IT-Abteilung. Die Zugriffsberechtigung für die Bearbeitung der Spezialfälle war aufgeteilt in den „Teilbereich Ambulante Versorgung“ mit den Beratungs- und Begutachtungszentren (BBZ) A und B, denen jeweils Ärzte und Assistenzkräfte zugeordnet waren, den „Teilbereich Stationäre Versorgung“ mit den BBZ A und B, denen jeweils Ärzte, Kodierfachkräfte und Assistenzkräfte zugeordnet waren, den „Teilbereich MFB Behandlungsfehler“ mit dem BBZ C und den „Teilbereich IT Abteilung“, der in A angesiedelt war und dem im Jahr 2018 neun Personen, darunter der hier klagende Arbeitnehmer, zugeordnet waren. Sämtliche Mitarbeiter des sog. geschützten Bereichs waren auf das Sozialgeheimnis im Sinne von § 35 SGB I verpflichtet und wurden auf die strafrechtlichen und arbeitsrechtlichen Rechtsfolgen einer Verletzung hingewiesen. In regelmäßigen Schulungen wurden sie im Hinblick auf die Bedeutung des § 35 SGB I und die Einhaltung des Sozialdatenschutzes unterwiesen. Die Speicherung der unter Einsatz von ISmed 3 verarbeiteten Daten erfolgte im Rechenzentrum eines in M ansässigen Providers. Auftragsdaten mit den Stammdaten der Versicherten und die Begutachtungsdaten wurden getrennt voneinander – in zwei Datenbanken – gespeichert. Eine Zusammenführung war nur über einen in der Oracle Verschlüsselungsbibliothek hinterlegten Schlüssel und auch nur im Fall eines hergestellten Aufgabenbezugs durch einen zugriffsberechtigten Nutzer möglich. Die Zugriffsberechtigung wurde vom System technisch geprüft. Jedenfalls den der Organisationseinheit „Spezialfall“ angehörenden Mitarbeitern der IT-Abteilung war – unter Nutzung der vorhandenen Verschlüsselungstechnologie – auch nach der Archivierung technisch ein Zugriff auf Gutachten möglich, die eigene Mitarbeiter des Medizinischen Dienstes Nordrhein oder deren Angehörige betrafen. Im Juni 2018 beauftragte die gesetzliche Krankenkasse, bei der der Arbeitnehmer versichert war, den Medizinischen Dienst Nordrhein mit einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Arbeitnehmers. Der Auftrag ging auf dem Postweg – ohne dass ein Umschlag „Spezialfall“ Verwendung fand – im BBZ B ein und wurde dort unmittelbar händisch dem sog. geschützten Bereich zugeordnet. Eine im BBZ B tätige Ärztin, die der Organisationseinheit „Spezialfall“ angehörte, erstellte am 22.06.2018 ein – anschließend elektronisch im „geschützten Bereich“ gespeichertes – Gutachten, das unter anderem die Diagnose einer psychischen Erkrankung des Arbeitnehmers auswies und als Ergebnis den Befund: „aus medizinischer Sicht auf Zeit AU“ enthielt. Vor der Anfertigung des Gutachtens holte die Ärztin beim behandelnden Arzt des Arbeitnehmers telefonisch Auskünfte über den Gesundheitszustand des Arbeitnehmers ein. Nachdem der Arbeitnehmer durch seinen Arzt über das Gespräch unterrichtet worden war, nahm er am 1.08.2018 telefonisch Kontakt zu einer Kollegin aus der IT-Abteilung auf, die auf seine Bitten im digitalen Archiv nach dem Gutachten recherchierte, hiervon mit ihrem Mobiltelefon Fotos machte und anschließend die Fotos dem Arbeitnehmer über einen Messenger-Dienst übermittelte.

Nach erfolgloser außergerichtlicher Geltendmachung einer Entschädigung iHv.20.000, 00 Euro hat der Arbeitnehmer mit seiner Klage seinen Leistungsanspruch auf immateriellen Schadenersatz weiterverfolgt und daneben – zweitinstanzlich – im Wege der Zahlungs- und Feststellungsklage materiellen Schadenersatz, jeweils gestützt auf Art. 82 Abs. 1 DSGVO und aus § 823 Abs. 1 BGB iVm. Art. 2 Abs. 1, Art. 1 Abs. 1 GG, begehrt. Im Verlauf des Rechtsstreits kündigte der Medizinischer Dienst Nordrhein das Arbeitsverhältnis mit dem Arbeitnehmer fristlos und hilfsweise fristgerecht. Dagegen erhob der Arbeitnehmer in einem gesonderten Verfahren Kündigungsschutzklage. Zudem hörte der Medizinischer Dienst Nordrhein den Personalrat zu einer beabsichtigten fristlosen, hilfsweise ordentlichen Kündigung des Arbeitsverhältnisses mit der Kollegin des Arbeitnehmers an.

Das Arbeitsgericht hat die Klage hinsichtlich des Entschädigungsantrags abgewiesen. Das Landesarbeitsgericht Düsseldorf hat die Berufung des Arbeitnehmers – auch hinsichtlich des Schadensersatzes wegen Verdienstausfall und Verletzung seines Persönlichkeitsrechts, zurückgewiesen1. Auf die Revision des Arbeitnehmers hat das Bundesarbeitsgericht das Revisionsverfahren zunächst ausgesetzt und den Gerichtshof der Europäischen Union gemäß Art. 267 AEUV um Vorabentscheidung über Rechtsfragen zur Auslegung von Art. 9 Abs. 1, Art. 9 Abs. 2, Art. 9 Abs. 3, Art. 6 Abs. 1 und Art. 82 Abs. 1 DSGVO ersucht2. Über das Vorabentscheidungsverfahren hat der Gerichtshof der Europäischen Union zwischenzeitlich mit Urteil vom 21.12.20233 entschieden. In Umsetzung dieser Vorabentscheidung des Unionsgerichtshofs hat nun das Bundesarbeitsgericht die Revision dies Arbeitnehmers zurückgewiesen; das Landesarbeitsgericht habe die Berufung des Arbeitnehmers zu Recht zurückgewiesen:

Der Antrag ist zulässig, insbesondere hinreichend bestimmt im Sinne von § 253 Abs. 2 Nr. 2 ZPO.

Der Arbeitnehmer stützt seinen Anspruch auf immateriellen Schadenersatz zwar auf mehrere behauptete Verstöße des Medizinischen Dienstes Nordrhein gegen Bestimmungen der Datenschutz-Grundverordnung und damit verbundene, vermeintlich unrechtmäßige Eingriffe in sein allgemeines Persönlichkeitsrecht. Damit leitet er sein Begehren aber nicht aus einer Mehrheit von Streitgegenständen ab; es kann daher offenbleiben, ob andernfalls eine unzulässige alternative Klagehäufung vorläge.

Der Gegenstand des Verfahrens bestimmt sich nach dem für das arbeitsgerichtliche Urteilsverfahren geltenden zweigliedrigen Streitgegenstandsbegriff durch den gestellten Antrag (Klageantrag) und den ihm zugrunde liegenden Lebenssachverhalt (Klagegrund). Der Streitgegenstand erfasst alle Tatsachen, die bei einer natürlichen; vom Standpunkt der Parteien ausgehenden, den Sachverhalt seinem Wesen nach erfassenden Betrachtungsweise zu dem zur Entscheidung gestellten Tatsachenkomplex gehören, den der Arbeitnehmer zur Stützung seines Rechtsschutzbegehrens dem Gericht unterbreitet hat4.

Der Arbeitnehmer sieht die Verarbeitung seiner Gesundheitsdaten durch den Medizinischen Dienst Nordrhein vornehmlich deshalb als unzulässig an, weil dieser sein Arbeitgeber ist und weil bei der Verarbeitung unter anderem Kollegen, die – wie er – dem „geschützten Bereich“ angehörten, Zugriff auf seine besonders sensiblen Daten hatten. Darüber hinaus wendet er sich gegen die Art und Weise der Datenerhebung durch die ärztliche Gutachterin, die nach seiner Auffassung jedenfalls nicht ohne seine Einwilligung telefonisch Auskünfte bei seinem behandelnden Arzt habe einholen dürfen. Ausdrücklich nicht als „haftungsbegründenden“ Datenschutzverstoß will der Arbeitnehmer zwar den von seiner Kollegin am 1.08.2018 vorgenommenen Zugriff auf das im Archiv gespeicherte Gutachten anführen, wie er im letzten Termin der mündlichen Verhandlung vor dem Landesarbeitsgericht klargestellt hat. Er will diesen Zugriff aber ersichtlich als Beleg für unzureichende Schutzmaßnahmen des Medizinischen Dienstes Nordrhein bei der Speicherung seiner Gesundheitsdaten verstanden wissen, auf die er sein Entschädigungsverlangen ebenfalls stützt.

Danach ist zwar nicht zu übersehen, dass dem Anspruch auf Geldentschädigung vermeintliche Datenschutzverstöße bei unterschiedlichen Verarbeitungsschritten-/tätigkeiten zugrunde liegen. Im Mittelpunkt des Begehrens stehen aber jeweils die Offenlegung und/oder Kenntnisnahme(möglichkeit) von Gesundheitsdaten des Arbeitnehmers gegenüber bzw. durch eigene Beschäftigte des Medizinischen Dienstes Nordrhein, insbesondere solche Mitarbeiter, die seine „Kollegen“ sind, und der Umgang mit den Daten im Rahmen der von der gesetzlichen Krankenkasse beauftragten medizinischen Stellungnahme. Zudem handelt es sich bei den beanstandeten Verarbeitungstätigkeiten um eine Vorgangsreihe, dh. eine Aneinanderreihung von Verarbeitungsvorgängen (wie etwa das aufeinanderfolgende Erheben, Erfassen, Verwenden und Speichern) im Zusammenhang mit personenbezogenen Daten, die nach Art. 4 Nr. 2 DSGVO ihrerseits eine Verarbeitung im Sinne der Datenschutz-Grundverordnung darstellt und die bei natürlicher Betrachtung einen einheitlichen Lebenssachverhalt und damit einen einheitlichen Klagegrund im prozessualen Sinne bildet. Der maßgebliche einheitliche Streitgegenstand ist damit durch sämtliche Datenschutzverstöße gekennzeichnet, die nach dem Vorbringen des Arbeitnehmers im Zusammenhang mit der Erstellung des Gutachtens über seine Arbeitsunfähigkeit stehen und die in den Zeitraum beginnend mit dem Auftrag der Krankenkasse vom 06.06.2018 bis zu dem am 1.08.2018 erfolgten Zugriff auf das archivierte Gutachten fallen.

Der Arbeitnehmer hat den Entschädigungsantrag auch zulässigerweise unbeziffert gestellt und lediglich einen Mindestbetrag der beanspruchten (Gesamt-)Entschädigung angegeben. Denn die Höhe einer dem Arbeitnehmer – unterstellt, zuzubilligenden Geldentschädigung hängt von einer gerichtlichen Schätzung nach § 287 Abs. 2 ZPO ab5. Der Arbeitnehmer hat überdies ausreichend Tatsachen benannt, die das Gericht für die Schätzung heranziehen soll6, nämlich unter anderem die Unsicherheit über eine mögliche Bekanntheit seiner Gesundheitsdaten im Kollegenkreis, die daraus resultierende Belastung des beruflichen „Miteinanders“ bis hin zur Befürchtung eines Austauschs über seinen Gesundheitszustand „hinter seinem Rücken“ und die damit verbundene Sorge vor einer „Bloßstellung“.

Der Antrag hat in der Sache keinen Erfolg. Die Voraussetzungen der in Betracht kommenden Anspruchsgrundlagen sind nicht erfüllt.

Der Medizinischer Dienst Nordrhein ist, worüber zwischen den Parteien kein Streit besteht, weiterhin passiv legitimiert. Vormalige Rechtsbeziehungen zum Medizinischen Dienst der Krankenversicherung Nordrhein sind auf den beklagten Medizinischen Dienst Nordrhein übergegangen. Die (Neu-)Errichtung der Medizinischen Dienste als Körperschaften des öffentlichen Rechts (§ 278 Abs. 1 Satz 1 SGB V idF des Art. 1 Nr. 25 des Gesetzes für bessere und unabhängigere Prüfungen vom 14.12.2019 – MDK-Reformgesetz, BGBl. I S. 2789) hat für den Medizinischen Dienst Nordrhein, da er bereits zuvor als Körperschaft des öffentlichen Rechts organisiert war (vgl. Art. 73 Abs. 4 des Gesetzes zur Strukturreform im Gesundheitswesen vom 20.12.1988, Gesundheits-Reformgesetz – GRG, BGBl. I S. 2477) lediglich deklaratorische Bedeutung7.

Der Arbeitnehmer hat gegen den Medizinischen Dienst Nordrhein keinen Anspruch auf die begehrte Geldentschädigung aus Art. 82 Abs. 1 DSGVO.

Der Anwendungsbereich der Datenschutz-Grundverordnung und damit von Art. 82 DSGVO ist zwar eröffnet.

Die Verordnung gilt nach Art. 99 Abs. 2 DSGVO ab dem 25.05.2018. Sämtliche Einzelvorgänge, die mit dem Auftrag der Krankenkasse für eine gutachtliche Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Arbeitnehmers verbunden sind, fanden nach dem 6.06.2018 und damit im Geltungszeitraum der Datenschutz-Grundverordnung statt.

Der Anwendung der Datenschutz-Grundverordnung steht nicht entgegen, dass der Medizinischer Dienst Nordrhein die im Streit stehende Datenverarbeitung nicht in seiner Eigenschaft als Arbeitgeber, sondern in seiner Funktion als Medizinischer Dienst vorgenommen hat.

Nach § 35 Abs. 2 Satz 1 SGB I (idF des Art.19 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17.07.2017 – BVGÄndG8), der ebenfalls seit dem 25.05.2018 gilt, regeln die Vorschriften des Zweiten Kapitels des Sozialgesetzbuches X und der übrigen Bücher des Sozialgesetzbuches die Verarbeitung von Sozialdaten abschließend, soweit nicht die Datenschutz-Grundverordnung unmittelbar gilt. Nach § 35 Abs. 2 Satz 2 SGB I finden für die Verarbeitungen von Sozialdaten im Rahmen von nicht in den Anwendungsbereich der Datenschutz-Grundverordnung fallenden Tätigkeiten die Datenschutz-Grundverordnung und dieses Gesetz entsprechende Anwendung, soweit nicht in diesem oder einem anderen Gesetz Abweichendes geregelt ist. Diese konstitutiv wirkende Regelung stellt für die Verarbeitung von Sozialdaten ein datenschutzrechtliches Vollregime unabhängig von der Reichweite der Datenschutz-Grundverordnung sicher9.

Die Erstellung einer gutachtlichen Stellungnahme über das Vorliegen einer Arbeitsunfähigkeit des Arbeitnehmers durch den Medizinischen Dienst Nordrhein betrifft Sozialdaten im Sinne von § 35 Abs. 1 SGB I. Dies sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO, die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch verarbeitet werden (§ 67 Abs. 2 Satz 1 SGB X idF des Art. 24 Nr. 2 BVGÄndG). Zu den in § 35 Abs. 1 SGB I genannten Stellen gehören nach § 35 Abs. 1 Satz 4 SGB I auch die Arbeitsgemeinschaften der Leistungsträger. Dazu zählte die nach § 278 Abs. 1 Satz 1 SGB V (idF des Art. 1 GRG) in jedem (Bundes-)Land von den Krankenkassen getragene Arbeitsgemeinschaft „Medizinischer Dienst der Krankenversicherung“. Soweit der Medizinischer Dienst Nordrhein nunmehr als Medizinischer Dienst fortbesteht, gilt nach § 276 Abs. 2 Satz 5 SGB V (idF des Art. 1 Nr. 24 MDK-Reformgesetz) in seinem Geschäftsbereich § 35 SGB I „entsprechend“.

Nach den übrigen Regelungen ist der sachliche und persönliche Anwendungsbereich der DSGVO eröffnet. Der Medizinischer Dienst Nordrhein hat, wie bereits im Beschluss des Bundesarbeitsgerichts vom 26.08.202110 ausgeführt, im Rahmen der von der Krankenkasse des Arbeitnehmers am 6.06.2018 beauftragten medizinischen gutachtlichen Stellungnahme personenbezogene Daten des betroffenen Arbeitnehmers (Art. 4 Nr. 1 DSGVO), bei denen es sich überwiegend um Gesundheitsdaten (Art. 4 Nr. 15 DSGVO) handelt, im Sinne von Art. 2 Abs. 1, Art. 4 Nr. 2 DSGVO „verarbeitet“. Der Begriff der Verarbeitung, der weit auszulegen ist11, umfasst auch das telefonische Abfragen von Informationen über den Gesundheitszustand des Arbeitnehmers zur weiteren Dokumentation und Auswertung in einer gutachtlichen Stellungnahme, die – wie hier, zur Speicherung in einem Dateisystem des Medizinischen Dienstes Nordrhein vorgesehen ist12. Der Medizinischer Dienst Nordrhein ist zudem, jedenfalls soweit er personenbezogene Daten des Arbeitnehmers zur Durchführung der medizinischen Begutachtung von dessen Arbeitsunfähigkeit verarbeitet hat, Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO.

Die Voraussetzungen eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO liegen aber nicht vor.

Nach der Rechtsprechung des Gerichtshofs der Europäischen Union (im Folgenden Gerichtshof) hängt dieser Anspruch von drei Voraussetzungen ab. Es muss ein Verstoß gegen die Datenschutz-Grundverordnung, ein materieller oder immaterieller Schaden sowie ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden vorliegen, und diese drei Voraussetzungen müssen kumulativ erfüllt sein13. Hinsichtlich der Darlegungs- und Beweislast hat der Gerichtshof klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, das Vorliegen aller drei Voraussetzungen des Anspruchs nachweisen muss14.

Danach kann der Arbeitnehmer aus Art. 82 Abs. 1 DSGVO keinen immateriellen Schadenersatz beanspruchen. Es liegt – unter sämtlichen vom Arbeitnehmer gerügten Gesichtspunkten – bereits kein Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung vor. Die Verarbeitung der Gesundheitsdaten des Arbeitnehmers im Zusammenhang mit der Erstellung der gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Arbeitnehmers verstößt nicht gegen das Verarbeitungsverbot nach Art. 9 Abs. 1 DSGVO. Sie erfüllt die besonderen, sich aus Art. 9 Abs. 2 Buchst. h iVm. Art. 9 Abs. 3 DSGVO ergebenden Rechtmäßigkeitsvoraussetzungen. Die Verarbeitung genügte auch den allgemeinen, sich aus Art. 6 Abs. 1 DSGVO ergebenden Rechtmäßigkeitsanforderungen. Der Medizinischer Dienst Nordrhein hat schließlich ausreichende Vorkehrungen zum Datenschutz getroffen. Insbesondere genügen die vom Medizinischen Dienst Nordrhein insoweit getroffenen Maßnahmen den in Art. 5 Abs. 1 Buchst. a DSGVO genannten und in Art. 32 Abs. 1 Buchst. a und b DSGVO konkretisierten Grundsätzen der Integrität und der Vertraulichkeit.

Die Datenverarbeitung ist entgegen der Auffassung des Arbeitnehmers nicht deshalb unrechtmäßig, weil es dem Medizinischen Dienst Nordrhein angesichts seiner gleichzeitigen Stellung als Arbeitgeber und als Medizinischer Dienst nach Art. 9 DSGVO verwehrt wäre, Gesundheitsdaten des Arbeitnehmers zu verarbeiten.

Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten wie unter anderem Gesundheitsdaten zwar untersagt. Dieses Verbot gilt nach Art. 9 Abs. 2 Buchst. h DSGVO aber nicht in Fällen, in denen die Verarbeitung für die Beurteilung der Arbeitsfähigkeit eines Beschäftigten auf der Grundlage des Rechts eines Mitgliedstaats und vorbehaltlich der in Art. 9 Abs. 3 DSGVO genannten Bedingungen und Garantien erforderlich ist.

Der Medizinischer Dienst Nordrhein kann sich auf die Ausnahmeregelung des Art. 9 Abs. 2 Buchst. h DSGVO berufen, obwohl er im Zeitpunkt der Verarbeitung der Gesundheitsdaten Arbeitgeber des Arbeitnehmers war. Nach der Rechtsprechung des Gerichtshofs15 ist Art. 9 Abs. 2 Buchst. h DSGVO unter dem Vorbehalt, dass die Datenverarbeitung die in der Bestimmung und in Art. 9 Abs. 3 DSGVO ausdrücklich vorgeschriebenen Voraussetzungen und Garantien erfüllt, auch auf Situationen anwendbar, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer Arbeitnehmer nicht als Arbeitgeber, sondern als Medizinischer Dienst verarbeitet, um die Arbeitsfähigkeit dieses Arbeitnehmers zu beurteilen. Der Gerichtshof hat dieses Verständnis aus Wortlaut und Regelungszusammenhang der in Art. 9 Abs. 2 Buchst. h DSGVO enthaltenen, streng reglementierten Ausnahme abgeleitet und erkannt, dass diese Auslegung mit den Zielen der Datenschutz-Grundverordnung und denen ihres Art. 9 in Einklang steht16. Danach steht außer Zweifel, dass sich der Anwendungsbereich der Ausnahmebestimmung einschließlich des Art. 9 Abs. 3 DSGVO nicht auf Fälle beschränkt, in denen ein „neutraler Dritter“, dh. eine Stelle, die nicht der Arbeitgeber des Beschäftigten ist, Gesundheitsdaten verarbeitet, um die Arbeitsfähigkeit des Arbeitnehmers zu prüfen. Andernfalls würde Art. 9 Abs. 2 Buchst. h DSGVO eine Anforderung hinzugefügt, die in der Bestimmung nicht enthalten ist und die je nach Ausgestaltung des jeweiligen Gesundheitssystems ggf. nicht in allen Mitgliedstaaten erfüllt werden kann17.

Die Datenverarbeitung durch den Medizinischen Dienst Nordrhein ist auch – vorbehaltlich der Erforderlichkeit der vom Arbeitnehmer beanstandeten konkreten Verarbeitungstätigkeiten – insoweit von Art. 9 Abs. 2 DSGVO gedeckt, als die besonderen Rechtmäßigkeitsvoraussetzungen von Art. 9 Abs. 2 Buchst. h iVm. Art. 9 Abs. 3 DSGVO18 vorliegen.

Der Medizinischer Dienst Nordrhein verarbeitete die Gesundheitsdaten des Arbeitnehmers zu einem in Art. 9 Abs. 2 Buchst. h DSGVO genannten Zweck, nämlich der Beurteilung der Arbeitsunfähigkeit des Arbeitnehmers. Soweit Art. 9 Abs. 2 Buchst. h DSGVO von „Arbeitsfähigkeit“ spricht, ist dieser Begriff, zumal der Gerichtshof in der Vorabentscheidung diesbezüglich keine Bedenken geäußert hat, ersichtlich auch im negativen Sinne zu verstehen.

Die Verarbeitung der Daten erfolgte auf der Grundlage einer dem Medizinischen Dienst Nordrhein im deutschen Recht eingeräumten Befugnis.

Nach § 275 Abs. 1 Satz 1 Nr. 3 Buchst. b SGB V sind die Krankenkassen in den gesetzlich bestimmten Fällen oder wenn es nach Art, Schwere, Dauer oder Häufigkeit der Erkrankung oder nach dem Krankheitsverlauf erforderlich ist, verpflichtet, bei Arbeitsunfähigkeit zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eine gutachtliche Stellungnahme des Medizinischen Dienstes der Krankenversicherung (Medizinischer Dienst) (jetzt – unter Streichung der Worte „der Krankenversicherung (Medizinischer Dienst)“ durch Art. 1 Nr. 21 des MDK-Reformgesetzes – nur noch „Medizinischer Dienst“; im Folgenden einheitlich: § 275 Abs. 1 Satz 1 Nr. 3 Buchst. b SGB V)) einzuholen. Um eine solche Stellungnahme, die unerlässlich mit der Verarbeitung von Gesundheitsdaten einhergeht, hat die gesetzliche Krankenkasse des Arbeitnehmers den Medizinischen Dienst Nordrhein am 6.06.2018 gebeten.

Nach § 276 Abs. 2 Satz 1 SGB V (idF des Art. 1 Nr. 16g des Gesetzes zur Stärkung der Heil- und Hilfsmittelversorgung vom 04.04.2017, Heil- und Hilfsmittelversorgungsgesetz – HHVG19) darf der Medizinische Dienst Sozialdaten erheben und speichern sowie einem anderen Medizinischen Dienst übermitteln, soweit dies für die Prüfungen, Beratungen und gutachtlichen Stellungnahmen nach § 275 SGB V erforderlich ist. Der im deutschen Recht in § 67 Abs. 2 SGB X definierte Begriff der Sozialdaten schließt Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO ein20.

Soweit nach Art. 9 Abs. 2 Buchst. h DSGVO, wie Erwägungsgrund 53 Satz 1 klarstellt, die Verarbeitung zudem „im Interesse einzelner natürlicher Personen und der Gesellschaft insgesamt“, insbesondere im Zusammenhang mit der Verwaltung der Dienste und Systeme des Gesundheits- und Sozialbereichs erforderlich sein muss21, liegt diese Voraussetzung ebenfalls vor. Zur Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich gehören in Deutschland im Bereich der gesetzlichen Krankenversicherung unter anderem die gesetzlichen Krankenkassen und der Medizinische Dienst22. Welche Zwecke im Interesse einzelner natürlicher Personen liegen, lässt sich nicht abschließend definieren. Hierunter fallen jedenfalls die Vornahme und die Abwicklung von gesundheitsbezogenen Sozialleistungen durch öffentlich-rechtliche Leistungsträger wie die gesetzlichen Krankenkassen23. Soweit diese zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten eine Stellungnahme des Medizinischen Dienstes einzuholen haben, ist dieses Verfahren Bestandteil der Abwicklung von Leistungen der gesetzlichen Krankenversicherung. Die Begutachtung durch den Medizinischen Dienst ist geeignet, Unsicherheiten unter anderem über die Berechtigung des Bezugs von Krankengeld auszuräumen. Es liegt im Interesse der Versicherten, dass diese Begutachtung durch den Medizinischen Dienst als einer von der leistungsgewährenden Krankenkasse unabhängigen Stelle durchgeführt wird. Die Begutachtung zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit durch einen Medizinischen Dienst unter Nutzung von dessen Fachkunde liegt zudem im gesamtgesellschaftlichen Interesse, da sie die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen der gesetzlichen Krankenkassen sicherstellt. Dies wiederum dient der finanziellen Stabilität der gesetzlichen Krankenversicherung insgesamt24.

Die durch Art. 9 Abs. 3 DSGVO geforderten Garantien sind erfüllt.

Nach dieser Bestimmung darf eine Verarbeitung von Gesundheitsdaten eines Arbeitnehmers zur Prüfung seiner Arbeitsfähigkeit nur dann erfolgen, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.

Diesen Anforderungen wurde die Verarbeitung der Gesundheitsdaten des Arbeitnehmers gerecht. Die beim Medizinischen Dienst Nordrhein mit der Erstellung einer medizinischen Stellungnahme befassten Ärzte unterliegen, auch soweit sie beim Medizinischen Dienst Nordrhein unmittelbar angestellt sind, nach § 203 Abs. 1 Nr. 1 StGB und § 9 der Berufsordnung für die nordrheinischen Ärztinnen und Ärzte vom 14.11.1998 (idF vom 21.11.2015)25 einer (strafbewehrten) Berufsgeheimnispflicht. Das übrige Verwaltungs- und IT-Personal, insbesondere das Personal der für die Bearbeitung medizinischer Stellungnahmen eines eigenen Beschäftigten des Medizinischen Dienstes Nordrhein allein zuständigen Organisationseinheit „Spezialfall“, muss aufgrund arbeits-/dienstrechtlicher Pflichten das Sozialgeheimnis wahren, dem der Medizinischer Dienst Nordrhein als Medizinischer Dienst – wie oben gezeigt – unterliegt und das als Berufsgeheimnis im Sinne des Art. 9 Abs. 3 DSGVO zu werten ist26. Das Sozialgeheimnis zielt darauf ab, Geheimnisse in vergleichbarem Maße institutionell zu schützen wie personale Berufsgeheimnisse27. Zudem unterliegen die nichtärztlichen Mitarbeiter des Medizinischen Dienstes Nordrhein, soweit ihre berufliche Tätigkeit es mit sich bringt, dass ihnen Gesundheitsdaten Betroffener bekannt werden, als mitwirkende Personen jedenfalls einer nach § 203 Abs. 4 StGB strafbewehrten Geheimhaltungspflicht.

Weitergehende Anforderungen stellt Art. 9 Abs. 3 DSGVO nicht. Insbesondere ergibt sich hieraus keine Verpflichtung des Medizinischen Dienstes Nordrhein zu gewährleisten, dass kein Kollege eines von einer Begutachtung betroffenen Beschäftigten Zugang zu dessen Gesundheitsdaten hat. Auch diese Bestimmung kann, wie der Gerichtshof auf das Vorabentscheidungsersuchen des Bundesarbeitsgerichts erkannt hat, nicht um ungeschriebene Tatbestandsmerkmale ergänzt werden, da der Unionsgesetzgeber mit ihr die spezifischen Schutzmaßnahmen, die er für Verarbeitungen im Sinne von Art. 9 Abs. 2 Buchst. h DSGVO den Verantwortlichen auferlegen wollte, definiert hat, und weil die Auslegung dieser Bestimmung nicht von Erwägungen bestimmt werden darf, die aus dem Gesundheitssystem eines einzigen Mitgliedstaats hergeleitet werden oder die sich aus Besonderheiten einer bestimmten Fallkonstellation ergeben28.

Zwar sind die Mitgliedstaaten nach Art. 9 Abs. 4 DSGVO befugt, zusätzliche Bedingungen, einschließlich Beschränkungen, einzuführen oder aufrechtzuerhalten, soweit die Verarbeitung von Gesundheitsdaten betroffen ist. Dies umfasst die Befugnis der Mitgliedstaaten, den Verantwortlichen in den Fällen des Art. 9 Abs. 2 Buchst. h DSGVO zu verpflichten, Kollegen der betroffenen Person vom Zugang zu Daten über ihren Gesundheitszustand auszuschließen29, sofern diese Einschränkung nicht der praktischen Wirksamkeit der Erlaubnis für die Datenverarbeitung schadet, die in Art. 9 Abs. 2 Buchst. h DSGVO ausdrücklich vorgesehen ist und deren Rahmen in Art. 9 Abs. 3 DSGVO abgesteckt wird30. Von dieser Möglichkeit der Einführung einer solchen Beschränkung hat der deutsche Gesetzgeber jedoch keinen Gebrauch gemacht.

Eine Regelung im deutschen Recht, die dem Medizinischen Dienst hinsichtlich der Durchführung einer Begutachtung nach § 275 Abs. 1 Satz 1 Nr. 3 Buchst. b SGB V abstrakt-generell eine Beschränkung dahin gehend auferlegt, dass überhaupt kein anderer Mitarbeiter, der mit dem Betroffenen – und sei es nur gelegentlich – als „Kollege“ zusammenarbeitet, Zugriff auf dessen Gesundheitsdaten haben darf, liegt nicht vor. Eine derartige Vorgabe ist weder § 276 Abs. 2 SGB V (idF des Art. 1 Nr. 16g HHVG), der die Verarbeitung von Sozialdaten unter anderem in den Fällen des § 275 SGB V regelt, noch den für die Verarbeitung von Sozialdaten allgemein geltenden Bestimmungen im Zweiten Kapitel des SGB X (§§ 67 bis 85a) zu entnehmen.

Gegen die Annahme einer solchen Beschränkung spricht im Übrigen die Regelung in § 35 Abs. 1 Satz 3 SGB I (jetzt iVm. § 276 Abs. 2 Satz 5 SGB V), wonach Personen, die Personalentscheidungen treffen oder daran mitwirken, Sozialdaten der Beschäftigten weder zugänglich sein dürfen noch an diesen Personenkreis von Zugriffsberechtigten weitergegeben werden dürfen. Die Vorschrift ist erkennbar von der Vorstellung geleitet, dass es bei Leistungsträgern wie etwa den gesetzlichen Krankenkassen oder einem Medizinischen Dienst zu Situationen kommen kann, in denen Sozialdaten eines eigenen Arbeitnehmers verarbeitet werden.

Eine, zumindest teilweise – Beschränkung der Verarbeitungsbefugnisse des Medizinischen Dienstes Nordrhein folgt auch nicht aus den im Streitzeitraum geltenden Regelungen über die Beauftragung von Gutachtern. Nach § 279 Abs. 5 Halbs. 1 SGB V (idF des Art. 1 GRG; jetzt § 278 Abs. 2 Satz 1 SGB V idF des Art. 1 Nr. 25 MDK-Reformgesetz) werden die Fachaufgaben des Medizinischen Dienstes – dh. die Aufgaben nach § 275 SGB V31 – von Ärzten und Angehörigen anderer Heilberufe wahrgenommen. Zwar hatte der Medizinische Dienst nach der bis zum 31.12.2019 übergangsweise fortgeltenden Regelung in § 279 Abs. 5 Halbs. 2 SGB V (idF des Art. 1 GRG), die im Zuge der Änderungen des SGB V durch das MDK-Reformgesetz ersatzlos gestrichen wurde32, vorrangig Gutachter zu beauftragen, womit die Beauftragung externer – nicht beim Medizinischen Dienst beschäftigter – Gutachter angesprochen war33. Diese Vorgabe stand jedoch nach der Begründung des Regierungsentwurfs zum Gesundheits-Reformgesetz34 im Zusammenhang mit dem auf übernommene Beamte und Beamtenanwärter der Landesversicherungsanstalten begrenzten Recht des Medizinischen Dienstes, Beamte zu beschäftigen, und sollte vor dem Hintergrund zur Verfügung stehender begrenzter Begutachtungs-/Beratungskapazitäten eine möglichst qualifizierte Durchführung der Aufgaben nach § 275 SGB V gewährleisten. Nach der Begründung des Gesetzentwurfs zum MDK-Reformgesetz35 wurde die Regelung zur vorrangigen Beauftragung von Gutachtern aus dem SGB V gestrichen, da Art und Umfang der neben dem Einsatz eigener Beschäftigter zur Erledigung von Auftragsspitzen oder zur Bearbeitung seltener und spezieller Gutachtensaufträge möglichen Beauftragung externer Gutachter „künftig durch eine Richtlinie … gemäß § 283 Absatz 2 Satz 1 Nummer 5“, dh. eine Richtlinie des Medizinischen Dienstes Bund, „ausgestaltet wird“. Dies zeigt, dass die vormalige Regelung in § 279 Abs. 5 Halbs. 2 SGB V vornehmlich Zwecken der Qualitätssicherung diente und jedenfalls nicht das Ziel verfolgte, Befugnisse des Medizinischen Dienstes bei der Verarbeitung von Gesundheitsdaten einzuschränken.

Spezifische Beschränkungen der Verarbeitung von Gesundheitsdaten eines eigenen Mitarbeiters ergeben sich für den Medizinischen Dienst schließlich nicht aus der am 15.05.2017 vom Spitzenverband Bund der Krankenkassen als Richtlinie erlassenen Begutachtungsanleitung Arbeitsunfähigkeit (BGA-AU 2017) (in der bis zum 31.12.2021 geltenden Fassung vom 15.05.2017, vgl. § 411 Abs. 2 Satz 1 SGB V). Es kommt deshalb für die vorliegende Beurteilung nicht darauf an, ob Richtlinien im Sinne von § 282 Abs. 2 Satz 3 bzw. § 283 Abs. 2 SGB V als Rechtsvorschriften im Sinne von Art. 9 Abs. 4 DSGVO anzusehen sind36.

Nach alledem kann der im Schrifttum vereinzelt vertretenen Auffassung37, das deutsche Rechtssystem habe die Aufgaben bzw. Pflichten des Medizinischen Dienstes im Fall der Betroffenheit eigener Mitarbeiter bereits im Grundsatz „anders zugewiesen“, nicht gefolgt werden. Der deutsche Gesetzgeber hat, indem er den Medizinischen Dienst nicht allgemein verpflichtet hat, im Fall der Betroffenheit eigener Arbeitnehmer einen anderen Dienst zu beauftragen, diesem – ersichtlich bewusst und in Kenntnis dessen, dass die Verarbeitung von Daten zur Erstellung einer gutachtlichen Stellungnahme iSd. § 275 Abs. 1 Satz 1 Nr. 3 Buchst. b SGB V regelmäßig Gesundheitsdaten eines Betroffenen umfasst – eine dahin gehende Beschränkung nicht auferlegt. Die Annahme einer datenschutzrechtlichen „Unzuständigkeit“ des konkret beauftragten Dienstes allein unter dem Gesichtspunkt, dass eine medizinische Begutachtung die Arbeitsunfähigkeit eines eigenen Mitarbeiters betrifft, liefe dieser gesetzgeberischen Grundentscheidung zuwider.

Eine auf Art. 9 Abs. 2 Buchst. h DSGVO gestützte Verarbeitung von Gesundheitsdaten ist zwar nicht schon dann rechtmäßig, wenn sie den spezifischen Anforderungen, die diese Bestimmung stellt, gerecht wird. Vielmehr muss die auf die vorgenannte Bestimmung gestützte Verarbeitung zugleich unter anderem den sich aus Art. 6 Abs. 1 DSGVO ergebenden Rechtmäßigkeitsvoraussetzungen genügen38. Diese liegen aber vor.

Nach Art. 6 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderlich ist (Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO). Die Rechtsgrundlage für eine solche Verarbeitung kann sich aus dem Recht der Mitgliedstaaten ergeben (Art. 6 Abs. 3 Satz 1 Buchst. b DSGVO). Dies setzt voraus, dass der Zweck der Verarbeitung in dieser Rechtsgrundlage festgelegt ist (Art. 6 Abs. 3 Satz 2 DSGVO), die rechtlichen Regelungen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen (Art. 6 Abs. 3 Satz 4 DSGVO).

Der Medizinischer Dienst Nordrhein kam, wie bereits gezeigt, mit der Erstellung der medizinischen Stellungnahme zur Beseitigung von Zweifeln über die Arbeitsunfähigkeit des Arbeitnehmers einer ihm nach § 275 Abs. 1 Satz 1 Nr. 3 Buchst. b SGB V zugewiesenen Aufgabe nach. Fordert die Krankenkasse eine solche Stellungnahme an, ist deren Ausführung für den Medizinischen Dienst verpflichtend und die Verarbeitung erforderlich.

Der deutsche Gesetzgeber hat in § 276 Abs. 2 SGB V eine bereichsspezifische Rechtsgrundlage für die Datenverarbeitung beim Medizinischen Dienst geschaffen. Nach § 276 Abs. 2 Satz 1 SGB V darf, wie bereits ausgeführt, der Medizinische Dienst Sozialdaten, dh. sowohl personenbezogene Daten im Sinne von Art. 6 Abs. 1 DSGVO als auch Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO, erheben und speichern sowie einem anderen Medizinischen Dienst übermitteln, soweit dies unter anderem für Stellungnahmen nach § 275 SGB V erforderlich ist. Nach Satz 3 der Bestimmung dürfen die rechtmäßig erhobenen und gespeicherten Sozialdaten nur für die in § 275 SGB V genannten Zwecke verarbeitet oder genutzt werden, für andere Zwecke, soweit dies durch Rechtsvorschriften des Sozialgesetzbuchs angeordnet oder erlaubt ist.

Die Rechtsgrundlage entspricht insoweit den Vorgaben in Art. 6 Abs. 1 Unterabs. 1 Buchst. c iVm. Art. 6 Abs. 3 Satz 1 Buchst. b DSGVO. Sie regelt die Datenverarbeitung beim Medizinischen Dienst im Rahmen seiner Aufgaben39. Nach Erwägungsgrund 45 verlangt die Datenschutz-Grundverordnung nicht für jede einzelne Verarbeitung ein spezifisches Gesetz. So kann ein Gesetz als Grundlage für mehrere Verarbeitungsvorgänge ausreichend sein, wenn die Verarbeitung – wie hier – aufgrund einer dem Verantwortlichen obliegenden rechtlichen Verpflichtung erfolgt40.

§ 276 Abs. 2 Satz 1 und Satz 3 SGB V genügen auch den Anforderungen des Art. 6 Abs. 3 Satz 2 DSGVO. Sie legen unter anderem mit den gutachtlichen Stellungnahmen nach § 275 SGB V den Zweck der Verarbeitung fest. Der angeführte Zweck ist im Sinne von Art. 6 Abs. 3 Satz 4 DSGVO legitim, wie das Regelbeispiel in Art. 9 Abs. 2 Buchst. h DSGVO „für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich“ sowie Erwägungsgrund 52 Satz 2 zur DSGVO belegen.

Die nach § 276 Abs. 2 Satz 2 und Satz 3 SGB V die Datenverarbeitung legitimierenden Rechtsgrundlagen stehen zudem in einem angemessenen Verhältnis zu dem verfolgten Zweck.

6 Abs. 3 Satz 4 DSGVO trägt dem in Art. 52 Abs. 1 Satz 2 GRC verankerten Verhältnismäßigkeitsprinzip Rechnung41. Dieser Grundsatz verlangt, dass die Handlungen der Unionsorgane geeignet sind, die mit der fraglichen Regelung zulässigerweise verfolgten Ziele zu erreichen, und nicht die Grenzen dessen überschreiten, was zur Erreichung dieser Ziele geeignet und erforderlich ist42.

Geboten ist in diesem Zusammenhang eine ausgewogene Gewichtung legitimer Verarbeitungsziele auf der einen Seite und der den natürlichen Personen durch Art. 7 und Art. 8 GRC zuerkannten Rechte auf Achtung ihres Privatlebens und auf Schutz ihrer personenbezogenen Daten auf der anderen Seite. Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten müssen sich in dem Sinne auf das absolut Notwendige beschränken, dass diese Zielsetzung vernünftigerweise nicht ebenso wirksam mit anderen Mitteln erreicht werden kann, die dieses Recht weniger beeinträchtigen. Der Eingriff darf zudem nicht außer Verhältnis zu der Zielsetzung stehen, was insbesondere eine Gewichtung der Bedeutung dieser Zielsetzung und der Schwere dieses Eingriffs impliziert43.

Daran gemessen ist die Verhältnismäßigkeit gewahrt.

Die strikte Zweckbindung der Verarbeitungen durch § 276 Abs. 2 Satz 1 und Satz 2 SGB V begrenzt sämtliche Verarbeitungen beim Medizinischen Dienst Nordrhein auf ein zur Aufgabenerfüllung unerlässliches Maß und trägt insoweit dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) Rechnung.

Es ist nicht ersichtlich, dass es andere, gleich geeignete, weniger belastende Möglichkeiten gibt, um die Verarbeitungsziele zu erreichen. Die Durchführung der dem Medizinischen Dienst zugewiesenen Aufgabe zur Erstellung einer medizinischen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten ist ohne die Erfassung und Erhebung von personenbezogenen (Gesundheits-)Daten schlicht nicht möglich. Die Erlaubnis zur Datenspeicherung dient im Gesundheitsbereich zwingenden Dokumentationserfordernissen und trägt zudem den Erfordernissen moderner Gesundheitsverwaltung Rechnung. Der mit den Verarbeitungen verbundene Eingriff in das Recht der Versicherten auf Schutz ihrer personenbezogenen Daten wiegt zwar schwer. Das gilt umso mehr als besonders sensible Daten im Sinne des Art. 9 Abs. 1 DSGVO betroffen sind. Dagegen steht aber das öffentliche Interesse an der Sicherung der Qualität und Wirtschaftlichkeit der Leistungen der gesetzlichen Krankenversicherung, das nach der in Art. 9 Abs. 2 Buchst. h DSGVO vorgenommenen Abwägung des Unionsgesetzgebers unter den in der Bestimmung genannten Voraussetzungen auch einen solchen, schweren Eingriff zu legitimieren vermag44.

Die Rechtsgrundlage ist auch insoweit im Sinne von Art. 6 Abs. 3 Satz 4 DSGVO angemessen, als sie die Verarbeitung von Gesundheitsdaten nicht allgemein für den Fall ausschließt, dass der Medizinische Dienst zugleich Arbeitgeber des Betroffenen ist. Zwar besteht in solchen Konstellationen ein erheblich gesteigertes Interesse an der Wahrung der Vertraulichkeit seiner Daten, das sich sowohl auf den Arbeitgeber als auch das berufliche Umfeld des Betroffenen bezieht. Diesem als besonders hoch einzuschätzenden Geheimhaltungsinteresse trägt das nationale Recht aber dadurch Rechnung, dass es den an das Sozialgeheimnis gebundenen Stellen die in § 35 Abs. 1 Satz 3 SGB I enthaltenen Zugriffsbeschränkungen in Bezug auf Personen mit Personalentscheidungsbefugnis einschließlich Mitwirkender auferlegt. Eine entsprechende gesetzliche Regelung in Bezug auf sämtliche Mitarbeiter eines Dienstes war demgegenüber unter dem Gesichtspunkt der Verhältnismäßigkeit nicht geboten. Insoweit ist es grundsätzlich ausreichend, wenn dem Bedürfnis nach Wahrung der Integrität und Vertraulichkeit eines Betroffenen durch technische und organisatorische Maßnahmen innerhalb des Dienstes Rechnung getragen wird. Zwar bestünde angesichts der in Deutschland vorhandenen mehreren Medizinischen Dienste die Möglichkeit, die Aufgaben nach § 275 SGB V für den Fall der Betroffenheit eines eigenen Beschäftigten von vornherein einem anderen Dienst zuzuweisen. Dies brächte aber in der Abwicklung der Leistungen der gesetzlichen Krankenversicherung Nachteile mit sich, die die Verarbeitung durch einen anderen Dienst nicht als gleichermaßen effektiv und wirtschaftlich erscheinen lassen. Zum einen begünstigt die Zuständigkeit eines Medizinischen Dienstes für sämtliche Begutachtungen, die in seinem Geschäftsbereich anfallen, die – im Interesse der Gesamtheit der Versicherten liegende – einheitliche Anwendung der bei der Begutachtung anzulegenden Maßstäbe, wie sie sich insbesondere aus der BGA-AU 2017 ergeben. Zum anderen zielt die Einrichtung mehrerer Medizinischer Dienste in Deutschland gerade darauf, eine nach Möglichkeit arbeits- und wohnortnahe Begutachtung sicherzustellen, da diese dem Fachpersonal einen leichteren Zugang zu den Leistungserbringern, darunter die behandelnden niedergelassenen Ärzte, eröffnet. Sind Leistungserbringer den Gutachtern aufgrund eines regelmäßigen Kontakts bekannt, kann dies das Vertrauen in die Zuverlässigkeit von deren Beurteilungen zur Feststellung der Arbeitsunfähigkeit beeinflussen, was wiederum die Einschätzung eines Gutachters erleichtern kann, ob die medizinische Stellungnahme zur Arbeitsunfähigkeit eines Betroffenen auf der Grundlage vorhandener Befunde erfolgen kann, oder ob ggf. eine zusätzliche ärztliche Untersuchung des Gesundheitszustands veranlasst ist. Dies sichert wiederum nicht nur die Qualität, sondern auch die Wirtschaftlichkeit der Aufgabenerledigung durch die Medizinischen Dienste, die von den Kranken- und Pflegekassen finanziert werden.

Diesem Befund stehen die Ausführungen des Gerichtshofs in der Vorabentscheidung zu den in Art. 5 Abs. 1 Buchst. f DSGVO genannten und in Art. 32 Abs. 1 Buchst. a und b DSGVO konkretisierten Grundsätzen der Integrität und Vertraulichkeit nicht entgegen. Zwar hat der Gerichtshof erkannt, aufgrund dieser Grundsätze könne einem Verantwortlichen, der als Medizinischer Dienst Gesundheitsdaten eines Beschäftigten verarbeitet, die Pflicht obliegen sicherzustellen, dass kein Kollege des Betroffenen Zugriff auf diese Daten hat45. Diese Vorgaben verlangen aber keine abstrakt-generelle Regelung durch den Gesetzgeber. Sie richten sich an den Verantwortlichen und sind deshalb bei der Beurteilung zu berücksichtigen, ob konkret getroffene Schutzvorkehrungen den sich aus den Grundsätzen der Integrität und Vertraulichkeit ergebenden Pflichten genügen.

Die beim Medizinischen Dienst Nordrhein im Zusammenhang mit der medizinischen Stellungnahme vom 22.06.2018 durchgeführten einzelnen Verarbeitungstätigkeiten entsprechen den Vorgaben in § 276 Abs. 2 Satz 1 und Satz 3 SGB V. Sie waren damit zugleich in ihrer konkreten Durchführung im Sinne von Art. 9 Abs. 2 Buchst. h DSGVO zur Beurteilung der Arbeits(un)fähigkeit des Arbeitnehmers und im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO zur Erfüllung einer den Medizinischen Dienst Nordrhein dahin gehend treffenden rechtlichen Verpflichtung erforderlich. Insbesondere ist kein Verstoß gegen die Datenschutz-Grundverordnung aufgrund des Verhaltens der befassten Ärztin zu erkennen.

Auf der Grundlage der vom Landesarbeitsgericht getroffenen Feststellungen ergeben sich keine Anhaltspunkte dafür, dass der Medizinischer Dienst Nordrhein Gesundheitsdaten des Arbeitnehmers zu anderen Zwecken als zum Zweck der Erstellung einer medizinischen Stellungnahme über die Arbeitsunfähigkeit des Arbeitnehmers verarbeitet hat, oder dass die Verarbeitung im Hinblick auf das konkret befasste Personal nicht den Garantien im Sinne von Art. 9 Abs. 2 Buchst. h iVm. Art. 9 Abs. 3 DSGVO entsprach.

Die Datenverarbeitung war auch insoweit rechtmäßig als die Gutachterin telefonische Auskünfte über den Gesundheitszustand des Arbeitnehmers bei dessen behandelndem Arzt eingeholt hat.

Nach § 276 Abs. 2 Satz 2 SGB V sind die Leistungserbringer, wozu unter anderem die niedergelassenen (Vertrags-)Ärzte zählen, auf Anforderung des Medizinischen Dienstes und soweit diese Anforderung unter Nennung des Begutachtungszwecks erfolgt, verpflichtet, versichertenbezogene Daten unmittelbar an den Medizinischen Dienst zu übermitteln. Dies impliziert die Befugnis der Gutachter eines Medizinischen Dienstes, Daten unmittelbar beim behandelnden Arzt zu erheben. Eine Vorgabe, wonach Datenabfrage und -übermittlung ausschließlich schriftlich erfolgen dürften, ist dem Gesetz für die Fallbearbeitung durch den Medizinischen Dienst nicht zu entnehmen46. Eine telefonische Anfrage ist, da sie der zügigen Erledigung der Stellungnahme dient, auch grundsätzlich erforderlich. Da die Datenübermittlung durch einen Leistungserbringer an den Medizinischen Dienst keiner Einwilligung des Versicherten bedarf47, war eine solche auch für die hier erfolgte telefonische Auskunft nicht erforderlich.

Entsprechend sahen die im Zeitpunkt des Telefonats geltenden BGA-AU 2017 eine telefonische Datenerhebung ausdrücklich vor. Dort heißt es zu Nr. 3.01.7 („Ergänzende Instrumente der SFB“ Informationsbeschaffung)) unter dem Punkt „Telefonisches MDK-Vertragsarztgespräch“: „Ein Telefonat zwischen MDK/Vertragsarzt u. a. zur Klärung der funktionellen Schädigungen, Beeinträchtigungen von Aktivitäten bzw. der Teilhabe am Arbeitsleben oder auch der individuellen Prognose des weiteren Verlaufes ist sinnvoll. … Der Vertragsarzt ist jedoch nicht verpflichtet, am Telefon Auskunft zu geben.“ Danach stellen die einschlägigen Begutachtungsrichtlinien die Entscheidung, ob Informationen beim Vertragsarzt telefonisch eingeholt werden, in das pflichtgemäße Ermessen des Gutachters. Dies entspricht dem erkennbaren und sowohl im (öffentlichen) Interesse der Leistungsträger als auch im Interesse des Versicherten liegenden Zweck der Richtlinienbestimmung, das Vorliegen von Arbeitsunfähigkeit in geeigneten Fällen möglichst zügig zu klären. Durch die Berechtigung des Vertragsarztes, die Auskunft am Telefon abzulehnen, werden die Belange des Betroffenen angemessen gewahrt.

Soweit der Arbeitnehmer im Zusammenhang mit seiner Rüge, die Ärztin habe die Auskünfte schriftlich einholen müssen, auf ein anzuwendendes Umschlagverfahren verweist, galt – jedenfalls im Streitzeitraum – dieses Verfahren zwingend nur für Datenerhebungen durch die Krankenkassen bei den Leistungserbringern, wie wiederum aus den Vorgaben der BGA-AU 2017 (Nr. 3.01.4 unter Punkt „Einleitung der sozialmedizinischen Fallberatung [SFB] durch die Krankenkasse“) hervorgeht.

Nach den Dokumentationen in dem Gutachten vom 22.06.2018 hatte das „Behandlertelefonat“ vom 21.06.2018 die Frage zum Gegenstand, wann mit einer Rückkehr des Arbeitnehmers an seinen Arbeitsplatz gerechnet werden kann. Die Datenabfrage diente damit jedenfalls der Klärung der voraussichtlichen Dauer der Arbeitsunfähigkeit und erfolgte damit zu dem Zweck der Erstellung der medizinischen Stellungnahme. Irgendeinen Anhaltspunkt dafür, dass in dem Telefonat Daten erfragt wurden, die außerhalb des Zwecks der Erstellung der gutachtlichen Stellungnahme lagen, hat der Arbeitnehmer nicht aufgezeigt. Er hat lediglich – gänzlich unsubstantiierte – Befürchtungen hinsichtlich einer überschießenden Informationsbeschaffung geäußert. Damit ist er, soweit er seinen Schadenersatzanspruch auf das Telefonat stützt, der ihn treffenden Last zur Darlegung eines Verstoßes gegen die Datenschutz-Grundverordnung nicht nachgekommen. Der Arbeitnehmer hat nicht behauptet, dass er über den Inhalt des Telefonats – etwa durch Nachfrage bei seinem behandelnden Arzt – keine näheren Informationen hätte erlangen können.

Es kann dahinstehen, ob ein Verstoß gegen die Datenschutz-Grundverordnung vorliegt, soweit die Krankenkasse den ursprünglichen Gutachtenauftrag an den Medizinischen Dienst Nordrhein außerhalb eines eigentlich vorgesehenen Umschlagverfahrens übermittelt hat. Insoweit ist der Medizinischer Dienst Nordrhein jedenfalls nicht Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.

Die Datenverarbeitung beim Medizinischen Dienst Nordrhein genügt auch unter dem Gesichtspunkt erforderlicher Schutzvorkehrungen den Anforderungen, die an eine rechtmäßige und nach Treu und Glauben erfolgende Verarbeitung zu stellen sind.

Maßgeblich sind insoweit die in § 276 Abs. 2 Sätze 6 bis 9 SGB V getroffenen Regelungen. Da es sich um besondere Vorkehrungen zum Datenschutz beim Medizinischen Dienst handelt48.

Nach § 276 Abs. 2 SGB V hat der Medizinische Dienst Sozialdaten zur Identifikation des Versicherten getrennt von den medizinischen Sozialdaten des Versicherten zu speichern (Satz 6). Durch technische und organisatorische Maßnahmen ist sicherzustellen, dass die Sozialdaten nur den Personen zugänglich sind, die sie für ihre Aufgaben benötigen (Satz 7). Der Schlüssel für die Zusammenführung der Daten ist vom Beauftragten für den Datenschutz des Medizinischen Dienstes aufzubewahren und darf anderen Personen nicht zugänglich gemacht werden (Satz 8). Darüber hinaus ist jede Zusammenführung zu protokollieren (Satz 9).

Nach § 22 Abs. 2 Satz 1 BDSG (idF des Art. 1 des Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU vom 30.06.2017 – DSAnpUG-EU49), sind in den Fällen des Abs. 1, dh. in den Fällen der Verarbeitung besonderer Kategorien personenbezogener Daten wie der hier verarbeiteten Gesundheitsdaten, angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen gehören dazu die in § 22 Abs. 2 Satz 2 BDSG am Ende katalogartig aufgeführten Maßnahmen. Dazu zählen unter anderem technisch organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Datenschutz-Grundverordnung erfolgt (Nr. 1), Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind (Nr. 2), Sensibilisierung der an Verarbeitungsvorgängen Beteiligten (Nr. 3), Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern (Nr. 5), Pseudonymisierung personenbezogener Daten (Nr. 6) und Verschlüsselung personenbezogener Daten (Nr. 7).

§ 22 Abs. 2 BDSG benennt die möglichen Maßnahmen nur beispielhaft. Deshalb muss es sich bei den vom Medizinischen Dienst zu treffenden Schutzvorkehrungen nicht um die ausdrücklich benannten Maßnahmen handeln. Soweit der Verantwortliche anderweitige Schutzvorkehrungen trifft, müssen sie aber das Vertraulichkeitsinteresse der Betroffenen strikt achten und bei wertender Betrachtung den in § 22 Abs. 2 BDSG aufgelisteten Kriterien entsprechen50. Darüber hinaus sind die in § 276 Abs. 2 SGB V aufgeführten besonderen Schutzvorkehrungen, wie sich aus der Formulierung „hat“ ergibt, zwingend.

Die vorbezeichneten Bestimmungen des nationalen Rechts sind anwendbar. Sie enthalten spezifische Regelungen im Sinne von Art. 6 Abs. 2 und Abs. 3 Satz 3 DSGVO, und – soweit Gesundheitsdaten betroffen sind – auch im Sinne von Art. 9 Abs. 4 DSGVO, und achten das unionsrechtliche Normwiederholungsverbot51. Das gilt auch für die einbezogenen Vorgaben in § 22 Abs. 2 BDSG. Auch diese beschränken sich nicht auf eine bloße Wiedergabe von Verpflichtungen, die nach der Datenschutz-Grundverordnung ohnehin gelten. Insbesondere gehen die in § 22 Abs. 2 Satz 2 BDSG beispielhaft angegebenen Maßnahmen über die allgemeinen, in Art. 5 DSGVO verankerten Grundsätze für die Verarbeitung personenbezogener Daten hinaus52.

Bei den Begriffen der „technischen und organisatorischen Maßnahmen“ und der „angemessenen und spezifischen Maßnahmen“ im Sinne von § 276 Abs. 2 Satz 7 SGB V bzw. § 22 Abs. 2 BDSG handelt es sich um einen unbestimmten Rechtsbegriff. Ob die im Einzelfall getroffenen Vorkehrungen datenschutzrechtlich ausreichend sind, unterliegt deshalb der – revisionsrechtlich nur eingeschränkt überprüfbaren – Würdigung der Tatsachengerichte53.

Im Ergebnis kommt es hierauf nicht an. Die Würdigung des Landesarbeitsgerichts, die vom Medizinischen Dienst Nordrhein getroffenen Maßnahmen seien ausreichend, hält selbst einer uneingeschränkten revisionsrechtlichen Überprüfung stand. Das gilt auch unter Berücksichtigung dessen, dass den Verantwortlichen hinsichtlich der Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze der Integrität und Vertraulichkeit gemäß dem in Art. 5 Abs. 2 DSGVO verankerten Grundsatz der „Rechenschaftspflicht“ grundsätzlich die Beweislast trifft54. Auf der Grundlage der vom Landesarbeitsgericht getroffenen Feststellungen ist dieser Nachweis geführt.

Das deutsche Recht stellt, soweit es den Verantwortlichen zu angemessenen Schutzvorkehrungen verpflichtet, keine geringeren Anforderungen als das Unionsrecht. Insbesondere gelten für die Maßstäbe, anhand derer sich die Erfüllung der diesbezüglichen Pflichten beurteilt, keine vom Unionsrecht abweichenden Maßstäbe. Bei der Prüfung ist deshalb grundsätzlich von den in der Rechtsprechung des Gerichtshofs zu Art. 5 Abs. 1 DSGVO entwickelten Grundsätzen55 auszugehen.

Die hier einschlägigen nationalen Bestimmungen verlangen – ebenso wie Art. 5 Abs. 1 iVm. Art. 32 Abs. 1 DSGVO – dass der Verantwortliche, je nach Sachverhalt, geeignete technische und organisatorische Maßnahmen trifft, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei sind unter Berücksichtigung der im nationalen Recht unter anderem in § 276 Abs. 2 SGB V und § 35 Abs. 1 SGB I zwingend gestellten Anforderungen die in § 67a Abs. 1 und § 67b SGB X iVm. § 22 Abs. 2 BDSG nicht abschließend aufgezählten Kriterien zu berücksichtigen.

Auf dieser Grundlage ist die Geeignetheit der technischen und organisatorischen Maßnahmen in zwei Schritten zu beurteilen. Zum einen sind die von der betreffenden Verarbeitung ausgehenden Risiken einer Verletzung des Schutzes personenbezogener Daten und ihre möglichen Folgen für die Rechte und Freiheiten natürlicher Personen zu ermitteln. Diese Beurteilung muss konkret unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere der ermittelten Risiken erfolgen. Zum anderen ist zu prüfen, ob die vom Verantwortlichen getroffenen Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke dieser Verarbeitung diesen Risiken angemessen sind, wobei zu berücksichtigen ist, dass der Verantwortliche bei der Festlegung der Maßnahmen über einen gewissen Entscheidungsspielraum verfügt56.

Im Rahmen dieser Prüfung ist zunächst festzustellen, dass Beschäftigte des Medizinischen Dienstes Nordrhein, die von einer Stellungnahme wie hier betroffen sind, berechtigterweise erwarten dürfen, dass ihre Gesundheitsdaten gegenüber dem Arbeitgeber und im Kollegenkreis geheim bleiben. Werden solche Daten offengelegt, besteht das Risiko, Nachteile bei Personalentscheidungen oder eine Stigmatisierung im Kreis der Mitarbeiter zu erfahren. Dieses Risiko wird allerdings durch gesetzliche Regelungen bereits dadurch begrenzt, dass nach § 35 Abs. 1 SGB I Personalverantwortliche und an Personalentscheidungen Mitwirkende keinen Zugriff auf solche Daten haben dürfen. Zum anderen wird es durch die in § 276 Abs. 2 Satz 6 bis Satz 9 SGB V enthaltenen Vorgaben begrenzt. Diesen Vorgaben ist der Medizinischer Dienst Nordrhein mit der erlassenen Dienstanweisung und der mit dem Personalrat getroffenen Dienstvereinbarung nachgekommen, wobei die dortigen Weisungen bzw. Regelungen jeweils darauf beruhen, dass die Verarbeitung der Gesundheitsdaten Betroffener beim Medizinischen Dienst Nordrhein unter Einsatz von ISmed erfolgt. Nach der Dienstvereinbarung erfolgte der Zugriff auf die Software ISmed 3 durch den Einsatz eines Softzertifikats. Die Zugriffsrechte wurden in ISmed 3 über die Vergabe von Rechten und Rollen festgelegt, die sicherstellten, dass nur solche Mitarbeiter Zugriff auf Sozialdaten eines Betroffenen haben, die nach vorab getroffenen Festlegungen intern für die Bearbeitung des Auftrags zuständig sind. Systemisch wurde bei jedem Vorgang vorab die Zugriffsberechtigung technisch geprüft. Für die Erledigung von Aufgaben nach § 275 Abs. 1 SGB V, die unter anderem eigene Beschäftigte des Medizinischen Dienstes Nordrhein betreffen, wurde innerhalb von ISmed 3 eine (virtuelle) Organisationseinheit „Spezialfall“ gebildet, zu der aufgrund technischer Beschränkungen nur die der Einheit zugehörigen – insgesamt 36 der mehr als 1.000 – Mitarbeiter des Medizinischen Dienstes Nordrhein Zugriff hatten. Zudem führte innerhalb dieser Einheit ein entwickeltes Rollenkonzept dazu, dass die betreffenden Gutachtenaufträge nicht durch Mitarbeiter bearbeitet wurden, die mit dem Betroffenen in einer Dienststelle zusammenarbeiten, was ebenfalls technisch abgesichert wurde. Nach Abschluss des Begutachtungsauftrags wurden der Auftrag sowie die gutachtliche Stellungnahme einschließlich der verbleibenden elektronischen medizinischen Unterlagen im elektronischen Archiv von ISmed 3 hinterlegt. Dort wurden die Auftragsdaten zusammen mit den Stammdaten und getrennt von den Begutachtungsdaten in zwei Datenbanken gespeichert. Eine Zusammenführung war nur noch über einen in einer Oracle Verschlüsselungsbibliothek hinterlegten Schlüssel möglich. Jedenfalls den neun Beschäftigten des Teilbereichs „IT Abteilung“ der Organisationseinheit „Spezialfall“ war nach Archivierung technisch der Zugriff auf sämtliche innerhalb dieser Einheit erstellten Gutachten weiterhin möglich. Dass der Medizinischer Dienst Nordrhein die Vorgaben hinsichtlich des Datenschutzbeauftragten beachtet hat, steht zwischen den Parteien nicht im Streit. Zudem hat der Medizinischer Dienst Nordrhein sämtliche Mitarbeiter im Rahmen der Dienstanweisung auf das Sozialgeheimnis nach § 35 SGB I hingewiesen und diese Belehrung in regelmäßigen Abständen erneuert.

Die Würdigung des Landesarbeitsgerichts, hiervon ausgehend seien die Schutzvorkehrungen des Medizinischen Dienstes Nordrhein für ausreichend zu erachten, ist zutreffend.

Die Vorkehrungen waren – jedenfalls unter Beachtung der bestehenden Garantien im Sinne von Art. 9 Abs. 3 DSGVO, dh. der bestehenden (strafbewehrten) Berufsgeheimnisse und die aus der Verpflichtung des Medizinischen Dienstes Nordrhein auf das Sozialgeheimnis abgeleitete (ebenfalls strafbewehrte) Geheimhaltungspflicht – geeignet, die Möglichkeit einer Verwirklichung der mit der Verarbeitung von Gesundheitsdaten Beschäftigter verbundenen Risiken grundsätzlich auszuschließen. Der Medizinischer Dienst Nordrhein hat durch organisatorische Regelungen und mit Blick darauf, dass es sich bei der Organisationseinheit „Spezialfall“ um eine rein virtuelle Struktur handelt, sichergestellt, dass die stets notwendigen Verarbeitungen im Zusammenhang mit einer medizinischen Stellungnahme nur von Personen durchgeführt werden, die nicht am gleichen Arbeitsort wie ein betroffener Beschäftigter, sondern an einem anderen, auch räumlich entfernten Standort tätig sind. Von solchen Personen ging kein wesentliches Risiko einer Beeinträchtigung der Integrität des Arbeitnehmers, insbesondere nicht das Risiko aus, aufgrund einer persönlichen Bekanntheit Nachteile zu erfahren. Soweit sich ein solches Risiko bei einer körperlichen Untersuchung eher hätte verwirklichen können, ist der Medizinischer Dienst Nordrhein dem durch die Weisung begegnet, medizinische Stellungnahmen, die eine solche Begutachtung erfordern, der Knappschaft zu übertragen. Zwar ist dem Arbeitnehmer zuzugeben, dass all diese Maßnahmen die Möglichkeit der Kenntniserlangung durch einen unmittelbaren Kollegen der IT-Abteilung im Rahmen seiner beruflichen Aufgaben nicht vollständig ausgeschlossen haben. Insoweit ist aber zu bedenken, dass IT-Mitarbeiter zwar technisch Zugriff auf Gutachten haben, ihre Aufgaben es aber nach dem unwidersprochenen Vorbringen des Medizinischen Dienstes Nordrhein typischerweise nicht mit sich bringen, den Inhalt von Gutachten zur Kenntnis zu nehmen. Tun sie es dennoch, geschieht dies unbefugt und kann erhebliche arbeitsrechtliche Konsequenzen nach sich ziehen.

Der Umstand, dass es, zumal auf seine eigene Veranlassung und unter Verstoß gegen die Dienstanweisung des Medizinischen Dienstes Nordrhein – im Fall des Arbeitnehmers zu einem Zugriff auf das archivierte Gutachten durch eine unmittelbare Kollegin des Arbeitnehmers gekommen ist, reicht für die Annahme unzureichender Schutzvorkehrungen nicht aus. Insoweit ist nämlich zu berücksichtigen, dass der Unionsgesetzgeber, wie durch den Erwägungsgrund 83 der Datenschutz-Grundverordnung bestätigt, im Rahmen geforderter Maßnahmen das Ziel verfolgt, die Risiken einer Verletzung des Schutzes personenbezogener Daten „einzudämmen“, ohne zu behaupten, dass sie beseitigt werden könnten57. Diese Absicht des Unionsgesetzgebers ist gleichermaßen relevant, soweit es um die Frage geht, ob der Medizinischer Dienst Nordrhein seinen im nationalen Recht verankerten Pflichten zur Wahrung der Grundsätze der Integrität und Vertraulichkeit nachgekommen ist.

Diese Frage ist unter Berücksichtigung aller Umstände des vorliegenden Falls zu bejahen. Der Medizinischer Dienst Nordrhein hat grundsätzlich für den normalen Verwaltungsablauf geeignete Schutzvorkehrungen getroffen. Zwar muss ein Verantwortlicher immer von einem gewissen Risiko ausgehen, dass Mitarbeiter Anweisungen oder sonstige allgemeine Vorgaben nicht beachten. Der Entscheidungsspielraum des Medizinischen Dienstes Nordrhein, dem Risiko mit den getroffenen Maßnahmen zu begegnen, wäre aber allenfalls überschritten, wenn unbefugte Zugriffe häufiger aufgetreten wären. So liegt es nach den – wiederum unbestrittenen – Darlegungen des Medizinischen Dienstes Nordrhein hier aber nicht. Jedenfalls unter dieser Prämisse war es insbesondere nicht geboten, für medizinische Stellungnahmen, die eigene Beschäftigte betreffen, ausnahmslos einen anderen Dienst einzuschalten, etwa wie bei einer gebotenen körperlichen Untersuchung die Knappschaft. Dabei kann auch nicht unberücksichtigt bleiben, dass ein solcher, regelhafter Prozess, schon wegen eines zusätzlich erforderlichen Datenaustauschs, wiederum eigene Risiken mit sich brächte. Zum anderen änderte eine solche regelhafte „externe“ Beauftragung nichts an dem Umstand, dass der Medizinischer Dienst Nordrhein im Verhältnis zur beauftragenden Krankenkasse zur Erstellung einer gutachtlichen Stellungnahme verpflichtet ist. Auch unter der Prämisse einer vollständigen „externen“ Vergabe der gutachtlichen Stellungnahme bliebe es dabei, dass das Ergebnis dieser Begutachtung durch den Medizinischen Dienst Nordrhein zur Übermittlung an die beauftragende Krankenkasse weiterverarbeitet und zu diesem Zweck eine Speicherung in dem vorgehaltenen System ISmed 3 als erforderlich angesehen werden müsste. Schließlich kommt hinzu, dass die Einschaltung eines anderen Dienstes, wie bereits im Rahmen der oben angestellten Verhältnismäßigkeitsprüfung erörtert, nicht gleichsam effektiv und wirtschaftlich wäre.

Da nach alledem ein Verstoß gegen die Datenschutz-Grundverordnung nicht zu erkennen ist, kann offenbleiben, ob das Vorbringen des Arbeitnehmers zu den weiteren Voraussetzungen eines Anspruchs auf Schadenersatz nach Art. 82 Abs. 1 DSGVO schlüssig ist, insbesondere ob nach den Anforderungen dieser Bestimmung ein Schaden hinreichend dargetan ist.

Die Voraussetzungen eines Schadenersatzanspruchs aufgrund anderer in Betracht kommender Anspruchsgrundlagen liegen ebenfalls nicht vor. Insbesondere rechtfertigt sich der mit dem Entschädigungsantrag verfolgte Anspruch auf immateriellen Schadenersatz nicht aus § 823 Abs. 1 BGB iVm. Art. 2 Abs. 1, Art. 1 Abs. 1 GG. Ist – wie hier – eine Datenverarbeitung nach den Regelungen der Datenschutz-Grundverordnung und den nationalen Vorgaben zulässig, ist das Recht des von der Datenverarbeitung betroffenen Arbeitnehmers auf informationelle Selbstbestimmung gewahrt58.

Die Klage hat auch im Übrigen keinen Erfolg. Die Klageanträge auf Schadensersatz wegen Verdienstausfall und wegen Verletzung seines Persönlichkeitsrechts, mit denen der Arbeitnehmer Ansprüche auf materiellen Schadenersatz verfolgt bzw. dahin gehende Feststellung begehrt, sind unbegründet. 

Der Klageantrag auf Schadensersatz wegen Verdienstausfall ist als bezifferter Leistungsantrag ohne Weiteres zulässig. Der Klageantrag auf Schadensersatz wegen Verletzung seines Persönlichkeitsrechts begegnet zwar hinsichtlich eines bestehenden Feststellungsinteresses Zulässigkeitsbedenken. Er ist aber jedenfalls unbegründet.

Der Klageantrag auf Schadensersatz wegen Verletzung seines Persönlichkeitsrechts ist ausreichend bestimmt, bedarf insoweit aber der Auslegung.

Der Antrag ist „für den Zeitraum ab November 2019“ auf die Feststellung einer Verpflichtung des Medizinischen Dienstes Nordrhein gerichtet, dem Arbeitnehmer den materiellen Schaden zu ersetzen, der ihm „aus der mit der Klage geltend gemachten Verletzung seines Persönlichkeitsrechts entstanden ist und/oder noch entstehen wird“. Wörtlich genommen wäre der Antrag unzulässig, weil er dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 ZPO nicht genügt. Bei einem Feststellungsantrag muss das Rechtsverhältnis, das festgestellt werden soll, im Antrag so genau bezeichnet werden, dass über den Umfang der Rechtskraft keine Zweifel bestehen59.

Für das Verständnis eines Klageantrags ist jedoch nicht an dem buchstäblichen Wortlaut der Antragsfassung zu haften. Vielmehr hat das Gericht den erklärten Willen zu erforschen, wie er aus der Klagebegründung, dem Prozessziel und der Interessenlage hervorgeht. Für die Auslegung sind die für Willenserklärungen geltenden Auslegungsregeln (§§ 133, 157 BGB) heranzuziehen. Auch das Revisionsgericht ist zur Auslegung von Klageanträgen befugt60.

Nach seinem Sinn ist der Antrag auf die Feststellung einer Verpflichtung des Medizinischen Dienstes Nordrhein gerichtet, dem Arbeitnehmer den Erwerbsschaden zu ersetzen, der ihm in der Zeit seit dem 1.11.2019 aus dem vermeintlich unberechtigten Telefonat zwischen der Gutachterin des Medizinischen Dienstes Nordrhein und seinem behandelnden Arzt im Zusammenhang mit der Erstellung eines sozialmedizinischen Gutachtens vom 22.06.2018 bereits entstanden ist und künftig entsteht. Dies berücksichtigt zum einen, dass der Arbeitnehmer seinen Anspruch auf materiellen Schadenersatz zuletzt zweitinstanzlich ausschließlich auf das vorbezeichnete Telefonat gestützt hat. Zum anderen macht der Arbeitnehmer wegen dieser Pflichtverletzung mit seinem Klageantrag auf Schadensersatz wegen Verdienstausfall ausschließlich einen – insoweit bezifferten – Erwerbsschaden für den Zeitraum vor dem 1.11.2019 geltend. Es liegt auf der Hand, dass sich der Feststellungsantrag auf eine Verpflichtung zum Ersatz eines entsprechenden Schadens für den nachfolgenden Zeitraum beziehen soll.

In dieser Auslegung wird der Antrag den Anforderungen des § 253 Abs. 2 Nr. 2 ZPO gerecht.

Ob der Arbeitnehmer ein rechtliches Interesse an der begehrten Feststellung hat (§ 256 Abs. 1 ZPO), kann dahinstehen.

Allerdings ist das bisherige Vorbringen zu den Voraussetzungen des § 256 Abs. 1 ZPO unzureichend61. Der Arbeitnehmer hat zwar in der mündlichen Verhandlung vor dem Landesarbeitsgericht behauptet, über den 31.10.2019 hinaus weiterhin arbeitsunfähig gewesen zu sein. Zu den Ursachen dieser weiteren Erkrankung hat er indes keinen Vortrag geleistet und damit schon die bloße Möglichkeit eines weiteren Schadenseintritts aufgrund des Mitte 2018 geführten Telefonats nicht hinreichend aufgezeigt. Schon deshalb steht das Feststellungsinteresse infrage.

Im Ergebnis kommt es hierauf für die Zulässigkeit der Klage nicht an. Denn das Feststellungsinteresse ist echte Prozessvoraussetzung nur für das stattgebende Urteil62.

Die Schadensersatzanträge wegen Verdienstausfall und wegen Verletzung seines Persönlichkeitsrechts und sind (jedenfalls) unbegründet. Der Arbeitnehmer begehrt insoweit materiellen Schadenersatz aus Art. 82 Abs. 1 DSGVO und aus § 823 Abs. 1 BGB iVm. Art. 2 Abs. 1, Art. 1 Abs. 1 GG. Zur Begründung hat er sich auf eine Unzulässigkeit der Verarbeitung seiner Daten aufgrund der behaupteten Tatsache berufen, dass die Gutachterin des Medizinischen Dienstes Nordrhein nicht berechtigt gewesen wäre, telefonisch Auskünfte bei seinem behandelnden Arzt einzuholen. In dem Verhalten der Ärztin liegt aber, wie bereits zum Entschädigungsantrag ausgeführt, keine unzulässige Verarbeitung der Gesundheitsdaten des Arbeitnehmers und damit auch kein unzulässiger Eingriff in sein allgemeines Persönlichkeitsrecht. Damit fehlt es auch für einen Anspruch auf materiellen Schadenersatz insgesamt an einem haftungsbegründenden Tatbestand.

Bundesarbeitsgericht, Urteil vom 20. Juni 2024 – 8 AZR 253/20

  1. LAG Düsseldorf 11.03.2020 – 12 Sa 186/19[]
  2. BAG 26.08.2021 – 8 AZR 253/20 (A), BAGE 175, 319[]
  3. EuGH 21.12.2013 – C-667/21 – [Krankenversicherung Nordrhein][]
  4. vgl. BAG 13.12.2023 – 5 AZR 259/22, Rn. 22 mwN[]
  5. zur Zulässigkeit eines unbezifferten Leistungsantrags in einem solchen Fall vgl.: BAG 22.04.2004 – 8 AZR 620/02, zu II 2 der Gründe; BGH 21.01.2021 – I ZR 207/19, Rn. 78 mwN[]
  6. zu diesem Erfordernis vgl. BAG 15.02.2005 – 9 AZR 635/03, zu A der Gründe mwN, BAGE 113, 361[]
  7. dazu und zu den maßgeblichen Übergangsregelungen im SGB V vgl. BSG 19.10.2023 – B 1 KR 22/22 R, Rn.19 mwN[]
  8. BGBl. I S. 2541[]
  9. vgl. BT-Drs. 18/12611 S. 97; BSG 18.12.2018 – B 1 KR 31/17 R, Rn. 14, BSGE 127, 181; Bieresborn NZS 2017, 887, 891[]
  10. BAG 26.08.2021 – 8 AZR 253/20 (A), Rn. 15, BAGE 175, 319[]
  11. EuGH 5.10.2023 – C-659/22 – [Ministerstvo zdravotnictvi (Application mobile Covid-19)] Rn. 27 mwN[]
  12. zur mündlichen Übermittlung von in einem Dateisystem gespeicherten Daten vgl. EuGH 7.03.2024 – C-740/22 – [Endemol Shine Finland] Rn. 32 ff.[]
  13. vgl. EuGH 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 58; 21.12.2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 82 mwN[]
  14. vgl. EuGH 11.04.2024 – C-741/21 – 35; 25.01.2024 – C-687/21 – [MediaMarktSaturn] Rn. 60 f.[]
  15. EuGH 21.12.2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 58[]
  16. vgl. EuGH 21.12.2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 41 bis 57[]
  17. vgl. EuGH 21.12.2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 51, 52[]
  18. vgl. dazu EuGH 21.12.2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 44[]
  19. BGBl. I S. 778[]
  20. vgl. BeckOK SozR/Westphal Stand 1.06.2024 SGB X § 67 Rn. 6; Wiesner/Wapler/Walther 6. Aufl. SGB X § 67 Rn. 3[]
  21. vgl. EuGH 21.12.2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 56[]
  22. Kühling/Buchner/Weichert 4. Aufl. DS-GVO Art. 9 Rn. 107[]
  23. vgl. Ehmann/Selmayr/Schiff 3. Aufl. DS-GVO Art. 9 Rn. 61[]
  24. vgl. BVerfG 13.09.2005 – 2 BvF 2/03, Rn. 239, BVerfGE 114, 196[]
  25. MBl. NRW Nr. 7 vom 16.03.2016 S. 148[]
  26. vgl. BeckOK SozR/Gutzler Stand März 2024 SGB I § 35 Rn. 11; Kühling/Buchner/Weichert 4. Aufl. DS-GVO Art. 9 Rn. 142[]
  27. vgl. Kühling/Buchner/Weichert aaO[]
  28. vgl. EuGH 21.12.2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 62 f., 70[]
  29. EuGH 21.12.2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 65, 70[]
  30. EuGH 21.12.2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 67[]
  31. vgl. Wagner in Krauskopf Soziale Krankenversicherung, Pflegeversicherung Stand Juni 2018 § 279 SGB V Rn. 16[]
  32. vgl. BR-Drs. 359/19 S. 76[]
  33. vgl. Becker/Kingreen/Sichert 6. Aufl. SGB V § 279 Rn. 7[]
  34. vgl. BT-Drs. 11/2237 S. 233; insoweit zu § 287 Abs. 5 der Entwurfsfassung[]
  35. BR-Drs. 359/19 S. 76[]
  36. zur Problematik vgl. Gola/Heckmann/Schulz 3. Aufl. DS-GVO Art. 9 Rn. 49[]
  37. vgl. Halder/Maluszczak jurisPR-ITR 3/2024 Anm. 4 unter C[]
  38. EuGH 21.12.2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 78 f.[]
  39. zu diesem Erfordernis vgl. EuGH 30.03.2023 – C-34/21 – [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 87 mwN[]
  40. BAG 9.05.2023 – 1 ABR 14/22, Rn. 66[]
  41. vgl. Paal/Pauly/Frenzel 3. Aufl. DS-GVO Art. 6 Rn. 45; vgl. auch Erwägungsgrund 4 Satz 2 zur DSGVO[]
  42. vgl. EuGH 8.04.2014 – C-293/12, – C-594/12 – [Digital Rights Ireland] Rn. 46 mwN; BSG 20.01.2021 – B 1 KR 7/20 R, Rn. 48, BSGE 131, 169[]
  43. vgl. EuGH 8.12.2022 – C-694/20 – [Orde van Vlaamse Balies unter anderem] Rn. 41, 42; 8.04.2014 – C-293/12, – C-594/12 – [Digital Rights Ireland] Rn. 52; BSG 20.01.2021 – B 1 KR 7/20 R, Rn. 49, BSGE 131, 169; jeweils mwN[]
  44. zur finanziellen Stabilität der gesetzlichen Krankenversicherung als „überragend wichtiges Gemeinschaftsgut“ vgl. auch BVerfG 13.09.2005 – 2 BvF 2/03, zu C III 1 c der Gründe, BVerfGE 114, 196; zur Relevanz dieses Gemeinwohlbelangs im Zusammenhang mit Maßnahmen zur Verhinderung eines Leistungsmissbrauchs vgl. BSG 20.01.2021 – B 1 KR 7/20 R, Rn. 44, 52, BSGE 131, 169[]
  45. vgl. EuGH 21.12.2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 59 ff.[]
  46. vgl. Krauskopf/Knittel Stand Februar 2024 SGB V § 276 Rn. 10; Spickhoff/Nebendahl 4. Aufl. SGB V § 276 Rn. 6[]
  47. vgl. BT-Drs.19/8351 S. 212; Becker/Kingreen/Seifert 8. Aufl. SGB V § 276 Rn. 4[]
  48. vgl. Becker/Kingreen/Seifert 8. Aufl. SGB V § 276 Rn. 12), finden ergänzend die allgemeinen Bestimmungen in § 67a (Erhebung von Sozialdaten) und § 67b SGB X (Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung) (jeweils idF des Art. 24 BVGÄndG) Anwendung, wobei diese ausdrücklich auch die Verarbeitung der in Art. 9 Abs. 1 DSGVO genannten Daten, also unter anderem Gesundheitsdaten erfassen (§ 67a Abs. 1 Satz 2 und § 67b Abs. 1 Satz 2 SGB X). Soweit § 22 Abs. 2 BDSG nach § 67a Abs. 1 Satz 3 und § 67b Abs. 1 Satz 4 SGB X „entsprechend“ gilt, gelten die dortigen Vorgaben auch für Verarbeitungen beim Medizinischen Dienst. Im Übrigen gehen allerdings die Datenschutzregelungen des Sozialgesetzbuches den Regelungen des Bundesdatenschutzgesetzes vor ((vgl.
    Sydow/Marsch DS-GVO/BDSG/Kampert 3. Aufl. DS GVO Art. 9 Rn. 75[]
  49. BGBl. I S.2097[]
  50. BAG 9.05.2023 – 1 ABR 14/22, Rn. 76 mwN[]
  51. dazu EuGH 30.03.2023 – C-34/21 – [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 67, zur Öffnungsklausel des Art. 88 DSGVO; BAG 9.05.2023
    – 1 ABR 14/22, Rn. 50, zu § 26 Abs. 3 BDSG[]
  52. vgl. BAG 9.05.2023 – 1 ABR 14/22, Rn. 71[]
  53. BAG 9.05.2023 – 1 ABR 14/22, Rn. 72 mwN[]
  54. vgl. EuGH 4.05.2023 – C-60/22, Rn. 53 mwN[]
  55. dazu EuGH 21.12.2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 68; 14.12.2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 41 ff.[]
  56. vgl. EuGH 14.12.2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 41 ff.[]
  57. vgl. EuGH 14.12.2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 38 f.[]
  58. vgl. BAG 9.04.2019 – 1 ABR 51/17, Rn. 51 mwN, BAGE 166, 269[]
  59. vgl. BAG 7.04.2004 – 7 ABR 35/03, zu B II 3 c der Gründe, BAGE 110, 146[]
  60. vgl. BAG 16.03.2010 – 3 AZR 744/08, Rn.19; 23.01.2007 – 9 AZR 557/06, Rn.20 mwN[]
  61. vgl. zum Feststellungsinteresse bei einer Klage auf Feststellung der Schadenersatzpflicht BGH 5.10.2021 – VI ZR 136/20, Rn. 16 ff. mwN[]
  62. BAG 18.10.2023 – 5 AZR 22/23, Rn. 13 mwN[]

Bildnachweis:

Das dürfte Sie auch interessieren: