Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis

Das Bundesarbeitsgericht hat den Gerichtshof der Europäischen Union um die Vorabentscheidung mehrerer Fragen im Zusammenhang mit der Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis ersucht:

Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis
  1. Ist Art. 9 Abs. 2 Buchstabe h der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) dahin auszulegen, dass es einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten?
  2. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 Buchstabe h DSGVO eine Ausnahme von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Sind in einem Fall wie hier über die in Art. 9 Abs. 3 DSGVO bestimmten Maßgaben hinaus weitere, gegebenenfalls welche Datenschutzvorgaben zu beachten?
  3. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 Buchstabe h DSGVO eine Ausnahme von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Hängt in einem Fall wie hier die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon ab, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist?
  4. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?
  5. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 9 Abs. 1, Art. 9 Abs. 2 Buchstaben b und h, Art. 9 Abs. 3, Art. 6 Abs. 1 sowie von Art. 82 Abs. 1 DSGVO.

Das Vorabentscheidungsersuchen ergeht im Rahmen eines Rechtsstreits zwischen dem Arbeitnehmer und seinem Arbeitgeber, einem Medizinischen Dienst einer Krankenversicherung (MDK). Die Parteien streiten darüber, ob der Arbeitgeber verpflichtet ist, dem Arbeitnehmer materiellen und immateriellen Schadenersatz wegen Verletzung datenschutzrechtlicher Bestimmungen im Arbeitsverhältnis zu zahlen.

Soweit hier die Auslegung von Art. 82 Abs. 1 DSGVO betroffen ist, liegt dem Unionsgerichtshof zu dieser Bestimmung bereits ein Vorabentscheidungsersuchen des Obersten Gerichtshofs (Österreich)1 vor; die vom Bundesarbeitsgericht insoweit gestellten Vorlagefragen stehen mit den vom Obersten Gerichtshof (Österreich) gestellten Fragen im Zusammenhang.

Das Bundesarbeitsgericht geht davon aus, dass im Ausgangsverfahren im Rahmen der vom Arbeitgeber in seiner Eigenschaft als Medizinischer Dienst nach § 275 SGB V erstellten gutachtlichen Stellungnahme „personenbezogene Daten“ (Art. 4 Nr. 1 DSGVO) des Arbeitnehmers „verarbeitet“ (Art. 4 Nr. 2 DSGVO) worden sind und dass es sich bei diesen Daten um „Gesundheitsdaten“ (35. Erwägungsgrund der DSGVO, Art. 4 Nr. 15 DSGVO) handelt. Die hier in Rede stehende Verarbeitung fällt auch in den sachlichen Anwendungsbereich der DSGVO, wie er in ihrem Art. 2 Abs. 1 definiert ist. Die für die Erstellung einer gutachtlichen Stellungnahme nach § 275 SGB V regelmäßig erforderliche Verarbeitung besteht im Erheben, Ordnen, Speichern und Abfragen der Daten im Sinne der Begriffsbestimmung der DSGVO.

Weiter geht das Bundesarbeitsgericht davon aus, dass der beklagte MDK „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO ist, denn er hat, indem er über die Frage entschieden hat, ob er den Gutachtenauftrag betreffend den Arbeitnehmer selbst ausführt und wie er die Gesundheitsdaten des Arbeitnehmers verarbeitet, selbst über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten2 entschieden. Die dafür bestehende Dienstanweisung MDK stammt von ihm; die „Dienstvereinbarung zum Einsatz von ISmed 3“ hat der Arbeitgeber mit dem Personalrat abgeschlossen.

Das Bundesarbeitsgericht weist zudem darauf hin, dass sich im vorliegenden Fall die Frage, ob die insoweit einschlägigen Bestimmungen der DSGVO auf einer ausreichenden Ermächtigungsgrundlage beruhen, nicht stellt3. Der vorliegende Fall betrifft den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch eine Körperschaft des öffentlichen Rechts, die unter der Aufsicht der für die Sozialversicherung zuständigen obersten Verwaltungsbehörde des Landes Nordrhein-Westfalen steht.

Soweit das Bundesarbeitsgericht den folgenden Ausführungen eine bestimmte Auslegung der Bestimmungen der DSGVO zugrunde legt, wird der Gerichtshof, sofern diese Auslegung unzutreffend sein sollte, über die Beantwortung der Vorlagefragen hinaus um einen entsprechenden Hinweis gebeten.

Zur ersten Frage

Mit seiner ersten Vorlagefrage möchte das Bundesarbeitsgericht wissen, ob Art. 9 Abs. 2 Buchstabe h DSGVO dahin auszulegen ist, dass es einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten.

Da es sich bei den von dem beklagten MDK verarbeiteten Daten um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO handelt, geht das Bundesarbeitsgericht davon aus, dass zunächst zu prüfen ist, ob die mit der Gutachtenerstellung und -speicherung vorgenommene Datenverarbeitung bereits nach Art. 9 Abs. 1 DSGVO untersagt ist. Dies wäre der Fall, wenn keiner der in Art. 9 Abs. 2 DSGVO aufgeführten Ausnahmetatbestände vorliegen würde. Dabei können hier nach den Umständen des Ausgangsfalls allein Art. 9 Abs. 2 Buchstabe b und Buchstabe h DSGVO als Ausnahmen von dem grundsätzlichen Verarbeitungsverbot in Art. 9 Abs. 1 DSGVO in Betracht gezogen werden.

Nach Auffassung des Bundesarbeitsgerichts kann sich der beklagte MDK – in seiner Eigenschaft als Arbeitgeber des Arbeitnehmers – nicht auf den Ausnahmetatbestand des Art. 9 Abs. 2 Buchstabe b DSGVO berufen. Nach dieser Bestimmung muss die Verarbeitung erforderlich sein, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist. Im Ausgangsverfahren war die Verarbeitung der Gesundheitsdaten des Arbeitnehmers, die im Zusammenhang mit der Erstellung der gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Arbeitnehmers anfielen, für den beklagten MDK in seiner Eigenschaft als Arbeitgeber nicht erforderlich, um seine oben genannten Rechte ausüben und seinen diesbezüglichen Pflichten nachkommen zu können. Dabei geht das Bundesarbeitsgericht davon aus, dass es sich in den Fällen, in denen „Verantwortlicher“ ein Arbeitgeber und „betroffene Person“ ein Arbeitnehmer sind, bei den Rechten und Pflichten aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes um solche handeln muss, die dem Verantwortlichen und der betroffenen Person in ihrer Eigenschaft als Arbeitsvertragsparteien zustehen bzw. diese treffen. Die Rechte und Pflichten im Sinne von Art. 9 Abs. 2 Buchstabe b DSGVO müssen demnach – nach Auffassung des Bundesarbeitsgerichts – unmittelbar aus dem diesen Arbeitgeber und diesen Arbeitnehmer verbindenden Arbeitsverhältnis resultieren. Danach war die Verarbeitung der Gesundheitsdaten des Arbeitnehmers durch den Arbeitgeber unter keinem der in Art. 9 Abs. 2 Buchstabe b DSGVO genannten Gesichtspunkte erforderlich. Zum einen hatte der beklagte MDK selbst keine Zweifel an der ärztlich bescheinigten Arbeitsunfähigkeit des Arbeitnehmers, für ihn stellte sich nicht die Frage, ob er dem Arbeitnehmer zur Fortzahlung des Entgelts im Krankheitsfall verpflichtet war. Vielmehr ist der beklagte MDK nach Ablauf des Entgeltfortzahlungszeitraums auf Veranlassung der Krankenkasse des Arbeitnehmers, die an diesen Krankengeld leistete, tätig geworden, weil diese Zweifel an der Arbeitsunfähigkeit des Arbeitnehmers hatte. Zum anderen ist es nach nationalem Recht aus Gründen des Datenschutzes ausgeschlossen, dass ein Arbeitgeber im Fall einer ärztlich attestierten Arbeitsunfähigkeit des Arbeitnehmers mehr erfährt als den Umstand, dass eine Arbeitsunfähigkeit vorliegt und wie lange diese voraussichtlich andauern wird. Weitere Gesundheitsdaten – insbesondere die Krankheitsdiagnose(n) – darf der Arbeitgeber nicht erfahren. Dies gilt unabhängig davon, ob ein Medizinischer Dienst von der Krankenkasse mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Arbeitnehmers beauftragt wurde oder ob der Arbeitgeber selbst Zweifel an der Arbeitsunfähigkeit seines Arbeitnehmers hat und deshalb nach § 275 Abs. 1a Satz 3 SGB V von der Krankenkasse verlangt, dass diese eine gutachtliche Stellungnahme des Medizinischen Dienstes einholt. Zwar kann die Krankenkasse nach § 277 Abs. 2 SGB V im Einzelfall verpflichtet sein, dem Arbeitgeber und dem Versicherten das Ergebnis des Gutachtens des Medizinischen Dienstes über die Arbeitsunfähigkeit mitzuteilen; jedoch darf die Mitteilung keine Angaben über die Krankheit des Versicherten enthalten.

Das Bundesarbeitsgericht kann allerdings nicht beurteilen, ob sich der beklagte MDK für die Verarbeitung der Gesundheitsdaten des Arbeitnehmers im Zusammenhang mit der Erstellung der gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Arbeitnehmers auf den Ausnahmetatbestand des Art. 9 Abs. 2 Buchstabe h DSGVO berufen kann. Nach dieser Bestimmung muss die Verarbeitung unter anderem für die Beurteilung der Arbeitsfähigkeit des Beschäftigten auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats und vorbehaltlich der in Absatz 3 genannten Bedingungen erforderlich sein. Wie unter Rn. 9 ausgeführt, hat der Arbeitgeber nach § 275 Abs. 1 Satz 1 Nr. 3 Buchstabe b SGB V auf Veranlassung der Krankenkasse des Arbeitnehmers, die an diesen Krankengeld leistete und Zweifel an dessen Arbeitsunfähigkeit hatte, eine gutachtliche Stellungnahme zur Beseitigung dieser Zweifel erstellt. Damit könnte die Verarbeitung der Gesundheitsdaten des Arbeitnehmers im Zusammenhang mit der Erstellung einer solchen gutachtlichen Stellungnahme gegebenenfalls für die Beurteilung der Arbeitsfähigkeit des Arbeitnehmers im Sinne von Art. 9 Abs. 2 Buchstabe h DSGVO erforderlich gewesen sein. Allerdings hat das Bundesarbeitsgericht erhebliche Bedenken, ob der Arbeitgeber sich in einer Situation wie hier überhaupt auf diese Bestimmung berufen kann. Eine Anwendbarkeit von Art. 9 Abs. 2 Buchstabe h DSGVO im Ausgangsfall würde nämlich dazu führen, dass dem Arbeitgeber, der sich – nach Auffassung des Bundesarbeitsgerichts – in seiner Eigenschaft als Arbeitgeber des Arbeitnehmers für eine Verarbeitung der im Rahmen der gutachtlichen Stellungnahme anfallenden Gesundheitsdaten des Arbeitnehmers nicht auf Art. 9 Abs. 2 Buchstabe b DSGVO berufen kann, entgegen dieser Bestimmung wegen seiner Doppelfunktion als Arbeitgeber und als Medizinischer Dienst der Krankenkasse des Arbeitnehmers eine weitergehende Datenverarbeitung erlaubt wäre. Im Übrigen spricht nach Auffassung des Bundesarbeitsgerichts alles dafür, dass die in Art. 9 Abs. 2 Buchstabe h DSGVO geregelte Verarbeitung von Gesundheitsdaten eines Betroffenen durch eine neutrale Stelle und nicht durch den Arbeitgeber erfolgt. Das Bundesarbeitsgericht geht deshalb davon aus, dass ein Medizinischer Dienst im Fall seiner eigenen Beschäftigten von der Krankenkasse nicht mit der Erstellung einer gutachtlichen Stellungahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit dieser Beschäftigten beauftragt werden darf und dass er einen solchen Auftrag auch nicht annehmen darf. Vor diesem Hintergrund nimmt das Bundesarbeitsgericht an, dass Art. 9 Abs. 2 Buchstabe h DSGVO dahin auszulegen sein könnte, dass es unter Umständen wie denen des Ausgangsfalls einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten.

Insoweit ist im Übrigen anzumerken, dass im Ausgangsfall keine gravierend negativen praktischen Auswirkungen zu erwarten sind, wenn der Arbeitgeber – soweit seine eigenen Beschäftigten betroffen sind – nicht selbst die Aufgaben eines Medizinischen Dienstes wahrnehmen darf. Wie bereits für körperliche Untersuchungen vom beklagten MDK praktiziert, kann der gesamte Begutachtungsauftrag der Krankenkasse unproblematisch einem anderen Medizinischen Dienst bzw. dem Sozialmedizinischen Dienst der Knappschaft überlassen werden. Vorzugsweise sollte dies durch einen elektronischen Abgleich von Gutachtenaufträgen mit dem Verzeichnis der Beschäftigten sichergestellt werden. Nach Auffassung des Bundesarbeitsgerichts muss es nämlich bereits ausgeschlossen sein, dass eine bei dem Arbeitgeber beschäftigte Person – ein Kollege bzw. eine Kollegin des Arbeitnehmers – mit der Gutachtenanfrage und -ausführung einschließlich der damit verbundenen Datenverarbeitung befasst ist, und sei es auch nur in einer Eingangs- bzw. Auffangzuständigkeit. Angesichts der bei dem beklagten MDK teilweise praktizierten standortübergreifenden Aufgabenwahrnehmung, insbesondere im Bereich der IT, geht das Bundesarbeitsgericht zudem davon aus, dass der Umstand, dass der beklagte MDK verschiedene Standorte unterhält und eine „Organisationseinheit Spezialfall“ eingerichtet hat, nicht zu einer anderen Beurteilung führt.

Zur zweiten Frage

Die zweite Vorlagefrage stellt sich nur dann, wenn der Gerichtshof die erste Frage verneint. Wenn Art. 9 Abs. 2 Buchstabe h DSGVO unter Umständen wie denen des Ausgangsfalls einem Medizinischen Dienst einer Krankenkasse nicht untersagen würde, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten, müsste nämlich geklärt werden, welche Anforderungen bei der Datenverarbeitung an den Datenschutz zu stellen sind.

Insoweit geht das Bundesarbeitsgericht davon aus, dass es nicht ausreichen würde, nur die in Art. 9 Abs. 3 DSGVO bestimmten Maßgaben zu beachten. Es würde demnach nicht genügen, wenn die Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt. Aus Sicht des Bundesarbeitsgerichts würde es zudem nicht ausreichen, wenn – wie im deutschen Recht durch § 35 Abs. 1 Satz 3 SGB I geregelt – Beschäftigte eines Medizinischen Dienstes der Krankenversicherung, die Personalentscheidungen treffen oder daran mitwirken können, keinen Zugang zu den Daten des Beschäftigten haben dürfen, dessen Arbeitsunfähigkeit begutachtet wird. Vielmehr wäre aus Sicht des Bundesarbeitsgerichts sicherzustellen, dass von der für ein solches Gutachten erforderlichen Datenverarbeitung alle Beschäftigten ausgeschlossen sind, mit denen ein beruflicher Kontakt besteht bzw. bestehen kann. Bei einem Arbeitgeber mit mehreren Standorten – wie hier – wäre es bei einer strikten Standorttrennung – die hier nach den Umständen des Falls nicht gegeben ist – denkbar, dass mindestens zwei voneinander unabhängige „Organisationseinheiten Spezialfall“ eingerichtet sind, von denen jeweils diejenige Einheit zum Einsatz kommt, welcher der Beschäftigte, dessen Arbeitsunfähigkeit begutachtet wird, nicht angehört. Das würde in einem Fall wie hier voraussetzen, dass es auch getrennte IT-Abteilungen gäbe, was im Ausgangsfall nicht zutrifft. Eine Situation wie hier, in der Kollegen und Kolleginnen der IT-Abteilung, in der auch der Arbeitnehmer tätig ist, letztlich – berechtigt oder unberechtigt – Zugriff auf seine Gesundheitsdaten nehmen können, und es zudem nicht ausgeschlossen ist, dass der Arbeitnehmer als Beschäftigter in einer standortübergreifenden IT-Abteilung zu einem späteren Zeitpunkt mit der seine Arbeits(un)fähigkeit begutachtenden Ärztin kollegial zusammenarbeiten muss, ist aus Sicht des Bundesarbeitsgerichts aus Gründen des Datenschutzes nicht hinnehmbar. Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen (35. Erwägungsgrund der DSGVO), verdienen nach der DSGVO einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können (51. Erwägungsgrund der DSGVO) und das Erreichen des Zwecks der Verarbeitung unter besonderen Anforderungen der Erforderlichkeit steht (53. Erwägungsgrund der DSGVO). Eine Verletzung des Schutzes personenbezogener Gesundheitsdaten kann in einer Situation wie der vorliegenden unter anderem einen materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa den Verlust der Kontrolle über die eigenen personenbezogenen Daten, Diskriminierung und Rufschädigung (75. Erwägungsgrund der DSGVO).

Aus Sicht des Bundesarbeitsgerichts können in einer kollegialen Situation wie hier insbesondere Sicherungsmaßnahmen nicht ausreichen, die die in die Datenverarbeitung einbezogenen Kollegen und Kolleginnen lediglich zum Schweigen verpflichten. Deshalb reichen weder die ärztliche Schweigepflicht noch das sogenannte Sozialgeheimnis (§ 35 SGB I) aus, das vor unbefugter Datenverarbeitung durch die Leistungsträger schützt und die Verpflichtung umfasst, auch innerhalb des Leistungsträgers sicherzustellen, dass die Sozialdaten nur Befugten zugänglich sind oder nur an diese weitergegeben werden. Sicherungsmaßnahmen wie diese sind allein darauf gerichtet, die Weitergabe von Daten zu verhindern. Sie können jedoch nicht dem Risiko begegnen, dass das betroffene kollegiale Verhältnis durch die Kenntnisnahme von sensiblen, nicht freiwillig preisgegebenen Gesundheitsdaten negativ beeinflusst wird. Risiken sind unter anderem, dass – je nach Art der Krankheit – der Ruf geschädigt wird, das Ansehen bzw. die Reputation leidet und/oder dass die begutachtete Person für sie peinlichen Situationen ausgesetzt ist bzw. dies so empfindet. Insbesondere im Ausgangsfall ist nicht nur zu bedenken, dass Depressionen in der Gesellschaft und Arbeitswelt nicht selten als „heikles Thema“ bzw. „Tabuthema“ angesehen werden und damit auch Annahmen anderer über die Leistungsfähigkeit verbunden sein können. Darüber hinaus ist allein schon der Umstand einer gutachtlichen Überprüfung wegen Zweifeln an einer Arbeitsunfähigkeit eine sensible Information, da damit auch die Möglichkeit der Vortäuschung einer Arbeitsunfähigkeit assoziiert werden kann.

Aus Sicht des Bundesarbeitsgerichts ist es deshalb erforderlich, durch technische und organisatorische Maßnahmen sicherzustellen, dass keine bei einem Medizinischen Dienst beschäftigte Person – auch nicht Beschäftigte mit Eingangs- bzw. Auffangzuständigkeit beispielsweise in einer Poststelle – Zugang zu den hier in Rede stehenden Gesundheitsdaten von Kollegen oder Kolleginnen haben. Dazu gehört es auch, dass der bloße Umstand einer anstehenden Überprüfung einer Arbeitsunfähigkeit keiner bei dem jeweiligen Medizinischen Dienst beschäftigten Person bekannt werden darf. Der beklagte MDK wäre deshalb aus Sicht des Bundesarbeitsgerichts verpflichtet gewesen sicherzustellen, dass Aufträge der Krankenkasse, die eigene Beschäftigte betreffen, von vornherein – etwa durch einen automatisierten softwarebasierten Abgleich von eingehenden Aufträgen mit dem Beschäftigtenverzeichnis – nicht angenommen werden. Darüber hinaus ist das Bundesarbeitsgericht im Übrigen der Auffassung, dass die Systeme der Datenverarbeitung für sensible Gesundheitsdaten durch höchste Standards vor Angriffen jeglicher Art von innen und außen zu schützen sind, um eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten (vgl. etwa Art. 5 Abs. 1 Buchstabe f DSGVO).

Zur dritten Frage

Auch die dritte Vorlagefrage stellt sich nur dann, wenn der Gerichtshof die erste Frage verneint. Wenn Art. 9 Abs. 2 Buchstabe h DSGVO unter Umständen wie denen des Ausgangsfalls einem Medizinischen Dienst einer Krankenkasse nicht untersagen würde, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten, dann müsste auch geklärt werden, ob die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon abhängt, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist.

Das Bundesarbeitsgericht geht für den Fall, dass keine Ausnahme nach Art. 9 Abs. 2 DSGVO von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten des Arbeitnehmers besteht, davon aus, dass die Datenverarbeitung untersagt ist und auch nicht nach Art. 6 Abs. 1 DSGVO „erlaubt“ werden kann. Nicht geklärt ist allerdings bislang, ob in dem Fall, dass einer der Tatbestände des Art. 9 Abs. 2 DSGVO erfüllt ist, die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon abhängt, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist. Für diesen Fall weist das Bundesarbeitsgericht auf Folgendes hin:

Im Ausgangsfall liegt weder eine Einwilligung des Arbeitnehmers als betroffener Person zu der Verarbeitung seiner Gesundheitsdaten vor (Art. 6 Abs. 1 Buchstabe a DSGVO), noch ist die Verarbeitung der in Rede stehenden Gesundheitsdaten des Arbeitnehmers für die Erfüllung des Arbeitsvertrags der Parteien des Ausgangsrechtsstreits erforderlich (Art. 6 Abs. 1 Buchstabe b DSGVO). Von den weiteren in Art. 6 Abs. 1 DSGVO abschließend aufgeführten Voraussetzungen kommen zwei, nämlich die in Art. 6 Abs. 1 Buchstaben d und f DSGVO aufgeführten, von vornherein nicht in Betracht.

Die übrigen zwei in Art. 6 Abs. 1 DSGVO aufgeführten Tatbestände könnten zwar womöglich grundsätzlich anwendbar sein. Danach muss die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich sein, der der Verantwortliche unterliegt (Art. 6 Abs. 1 Buchstabe c DSGVO) oder sie muss für die Wahrnehmung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt und die dem Verantwortlichen übertragen worden ist (Art. 6 Abs. 1 Buchstabe e DSGVO). Allerdings spricht aus Sicht des Bundesarbeitsgerichts viel dafür, dass es in beiden Fällen an der Erforderlichkeit der Datenverarbeitung durch den Arbeitgeber fehlt. Das Ziel, mittels einer gutachtlichen Stellungnahme Zweifel an der Arbeitsunfähigkeit eines Beschäftigten auszuräumen, kann nämlich ebenso gut durch das Tätigwerden eines anderen Medizinischen Dienstes oder des Sozialmedizinischen Dienstes der Knappschaft erreicht werden. Deren Befassung mit der hier streitgegenständlichen Datenverarbeitung hätte den Vorteil, dass nicht der eigene Arbeitgeber unter Einbeziehung von Kollegen und Kolleginnen sensible Gesundheitsdaten verarbeitet, zu denen der jeweilige Medizinische Dienst in seiner Eigenschaft als Arbeitgeber keinen Zugang hat. Da somit das angestrebte Ziel auch auf einem anderen Weg erreicht werden kann, der den Schutz der sensiblen Gesundheitsdaten besser gewährleistet, ginge die bei dem beklagten MDK erfolgte Verarbeitung der Gesundheitsdaten des Arbeitnehmers über das hinaus, was erforderlich ist. Zudem könnte der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO) berührt sein.

Vorbemerkungen zur vierten und zur fünften Frage

Sofern sich auf der Grundlage der Antworten des Gerichtshofs auf die ersten drei Fragen ergeben sollte, dass im Ausgangsfall ein Verstoß, gegebenenfalls sogar mehrere Verstöße gegen die DSGVO im Sinne von Art. 82 Abs. 1 DSGVO festzustellen ist/sind – wobei fraglich sein könnte, nach welchen Kriterien solche gegebenenfalls im Sinne der DSGVO abzugrenzen wären, wäre davon auszugehen, dass der Arbeitnehmer dem Grunde nach einen Anspruch gegen den Arbeitgeber auf Schadenersatz nach Art. 82 Abs. 1 DSGVO hätte.

Insoweit geht das Bundesarbeitsgericht in Kenntnis des Vorabentscheidungsersuchens des Obersten Gerichtshofs (Österreich)1 davon aus, dass Art. 82 Abs. 1 DSGVO ein Recht auf Schadenersatz nur für Personen vorsieht, die selbst wegen der Verletzung einer oder mehrerer Bestimmungen der DSGVO bei der Verarbeitung „ihrer“ personenbezogenen Daten (vgl. 2. Erwägungsgrund der DSGVO) in ihren (subjektiven) Rechten verletzt worden sind, die also selbst Opfer eines Verstoßes bzw. mehrerer Verstöße gegen die DSGVO geworden sind. Ferner geht das Bundesarbeitsgericht davon aus, dass der Rechtsanspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO über eine solche Verletzung der DSGVO hinaus nicht zusätzlich erfordert, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Sie muss also aus Sicht des Bundesarbeitsgerichts keine „Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht“4 darlegen. Nach Auffassung des Bundesarbeitsgerichts führt demnach bereits die Verletzung der DSGVO selbst zu einem auszugleichenden immateriellen Schaden.

Unabhängig davon hängt die Entscheidung des vorliegenden Rechtsstreits nach Auffassung des Bundesarbeitsgerichts nicht davon ab, wie der Gerichtshof die dritte Vorlagefrage des Vorabentscheidungsersuchens des Obersten Gerichtshofs (Österreich)1 beantwortet. Selbst wenn der Gerichtshof zu dem Ergebnis käme, dass ein Anspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO voraussetzt, dass „eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht“, wenn also eine Verletzung des Anspruchstellers von einigem Gewicht gegeben sein bzw. eine Verletzung eine gewisse Erheblichkeitsschwelle überschritten haben müsste, stünde dies einem Schadenersatzanspruch des Arbeitnehmers nicht entgegen. Insoweit geht das Bundesarbeitsgericht nämlich davon aus, dass im vorliegenden Fall die Grenze einer erheblichen Rechtsverletzung (weit) überschritten ist.

Zur vierten Frage

Mit seiner vierten Vorlagefrage möchte das Bundesarbeitsgericht wissen, ob Art. 82 Abs. 1 DSGVO neben seiner Ausgleichsfunktion zudem spezial- bzw. general-präventiven Charakter hat und ob das Bundesarbeitsgericht dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen (bzw. Auftragsverarbeiters) zu berücksichtigen hat.

Nach dem 146. Erwägungsgrund der DSGVO sollen die betroffenen Personen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Dabei geht das Bundesarbeitsgericht davon aus, dass bei der Bemessung des immateriellen Schadenersatzes durch das Gericht alle Umstände des Einzelfalls zu berücksichtigen sind – hier gegebenenfalls auch die spätere Kündigung des Arbeitsverhältnisses des Arbeitnehmers – und dass ein tatsächlicher und wirksamer rechtlicher Schutz der aus der DSGVO hergeleiteten Rechte gewährleistet werden soll. Deshalb könnte es darauf ankommen, dass – wie in anderen Bereichen des Unionsrechts – die Höhe eines immateriellen Schadenersatzes der Schwere des mit ihm geahndeten Verstoßes gegen die DSGVO entspricht, wobei vermutlich eine wirklich abschreckende Wirkung – gegebenenfalls mit spezial- bzw. generalpräventivem Charakter, zu gewährleisten, zugleich aber der allgemeine Grundsatz der Verhältnismäßigkeit zu wahren wäre5.

Neben dem damit unter anderem angesprochenen Grundsatz der Effektivität könnte bei der Höhe eines immateriellen Schadenersatzes zudem der Grundsatz der Äquivalenz zu berücksichtigen sein. Dabei geht das Bundesarbeitsgericht zwar davon aus, dass Art. 82 DSGVO keine Verweisung auf das Recht der Mitgliedstaaten der Europäischen Union enthält und in der gesamten Union eine autonome und einheitliche Auslegung erfahren muss. Gleichwohl könnten angesichts womöglich in der Praxis unterschiedlich hoher Entschädigungsbeträge in den Mitgliedstaaten in vergleichbaren Fällen bei der Höhe eines immateriellen Schadenersatzes Gesichtspunkte der Äquivalenz zu berücksichtigen sein6.

Zur fünften Frage

Mit seiner fünften Vorlagefrage möchte das Bundesarbeitsgericht wissen, ob es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen (bzw. Auftragsverarbeiters) ankommt. In diesem Zusammenhang ist insbesondere fraglich, ob ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen (bzw. Auftragsverarbeiters) zu dessen Gunsten berücksichtigt werden darf.

Diese Frage stellt sich für das Bundesarbeitsgericht insbesondere vor dem Hintergrund des deutschen Zivilrechts, in dem es neben verschuldensunabhängigen Haftungstatbeständen auch verschuldensabhängige gibt, wobei das Verschulden im nationalen allgemeinen Schuldrecht mit „Vertretenmüssen“ bezeichnet wird. Insoweit ist in § 276 Abs. 1 Satz 1 BGB geregelt, dass der Schuldner in der Regel Vorsatz und Fahrlässigkeit zu vertreten hat, wenn nicht eine strengere oder mildere Haftung bestimmt ist. Würde für Art. 82 Abs. 1 DSGVO ähnliches gelten, müsste für eine Haftung zu dem bloßen Verstoß gegen die DSGVO etwas Weiteres hinzutreten, nämlich die subjektive Vorwerfbarkeit wegen Vorsatz oder Fahrlässigkeit. Das Bundesarbeitsgericht nimmt allerdings an, dass die Haftung des Verantwortlichen (bzw. Auftragsverarbeiters) nach Art. 82 Abs. 1 DSGVO verschuldensunabhängig ist, also diese Bestimmung die Haftung des Urhebers eines Verstoßes keineswegs vom Vorliegen oder dem Nachweis eines Verschuldens abhängig macht7. Wie unter Rn. 33 ausgeführt, geht das Bundesarbeitsgericht davon aus, dass bereits die Verletzung der DSGVO als solche für einen Anspruch nach Art. 82 Abs. 1 DSGVO ausreicht.

Schließlich ist das Bundesarbeitsgericht der Auffassung, dass sich insoweit aus Art. 82 Abs. 3 DSGVO nichts Abweichendes ergibt. Die darin enthaltene Bestimmung, wonach bei Nachweis der Nichtverantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist, eine Befreiung von der Haftung eintritt, betrifft nach Auffassung des Bundesarbeitsgerichts nicht das Verschulden im Sinne eines „Vertretenmüssens“. Art. 82 Abs. 3 DSGVO betrifft vielmehr lediglich die Frage nach einer „Beteiligung“ (im Sinne von: „beteiligt“ oder „nicht beteiligt“) – etwa in von außen schwer durchschaubaren Datenverarbeitungszusammenhängen mit mehreren potentiellen Beteiligten – bzw. die Frage nach der Urheberschaft im Sinne der Kausalität. Letzteres kann beispielsweise anzunehmen sein, wenn der haftungsbegründende Umstand auf einem unzulässigen Zugriff eines Dritten beruht, der trotz aller gebotenen Sicherheitsmaßnahmen Erfolg hatte8.

Bundesarbeitsgericht, Urteil vom 26. August 2021 – 8 AZR 253/20 (A)

  1. öOGH – C-300/21[][][]
  2. im Sinne der weiten Bestimmung des Begriffs des Verantwortlichen nach EuGH 13.05.2014 – C-131/12, EU:C:2014:317 – [Google Spain und Google] Rn. 34 zu der Vorgängerbestimmung in Art. 2 Buchstabe d der Richtlinie 95/46/EG[]
  3. vgl. anders in den Fällen der Vorabentscheidungsersuchen des BAG vom 30.07.2020 – 2 AZR 225/20 (A), – C-534/20; und vom 27.04.2021 – 9 AZR 383/19 (A), – C-453/21[]
  4. vgl. dazu jedoch die dritte Vorlagefrage des Vorabentscheidungsersuchens des öOGH – C-300/21[]
  5. vgl. zu anderen Bereichen des Unionsrechts etwa: EuGH 15.04.2021 – C-30/19, EU:C:2021:269 – [Braathens Regional Aviation] Rn. 38; 25.04.2013 – C-81/12, EU:C:2013:275 – [Asociatia ACCEPT] Rn. 63[]
  6. vgl. insoweit auch zur Befugnis der Mitgliedstaaten, entsprechende Kriterien zur Staatshaftung für Schäden, die Einzelnen durch Verstöße gegen das Unionsrecht verursacht werden, zu bestimmen: ua. EuGH 19.11.1991 – C-6/90 und – C-9/90, EU:C:1991:428 – [Francovich ua.] Rn. 42 f.; 5.03.1996 – C-46/93 und – C-48/93, EU:C:1996:79 – [Brasserie du pêcheur und Factortame] Rn. 67[]
  7. vgl. zu anderen Bereichen des Unionsrechts etwa: EuGH 22.04.1997 – C-180/95, EU:C:1997:208 – [Draehmpaehl] Rn. 17; 8.11.1990 – C-177/88, EU:C:1990:383 – [Dekker] Rn. 22[]
  8. Däubler in Däubler/Wedde/Weichert/Sommer EU-DSGVO und BDSG 2. Aufl. DSGVO Art. 82 Rn. 24 mwN[]

Bildnachweis: