Im Lichte unseres letzten Beitrags „Der gläserne Mensch und seine sensiblen Daten“ , in dem wir die strikte Regulierung personenbezogener Daten besonderer Kategorien beleuchtet haben, rückt nun ein aktuelles Urteil (C-667/21) des EuGH in den Vordergrund. Dieses Urteil ist besonders relevant, da es sich eingehend mit der Verarbeitung von Gesundheitsdaten durch einen Arbeitgeber in einem Spezialfall auseinandersetzt.
Hintergrund des EuGH-Urteils
Ein IT-Mitarbeiter des Medizinischen Dienstes der Krankenkassen (MDK) Nordrhein, der krankgeschrieben wurde und nach Ende der Lohnfortzahlung Krankengeld bezog, steht im Zentrum des Falles. Die Krankenkasse ließ ein Gutachten erstellen, ob der Mitarbeiter wohl zu Recht Krankengeld bezieht. Das Kuriose daran: Der Arbeitgeber genau dieser (kranken) Person, also der MDK, erstellt solche Gutachten. Und wurde nun beauftragt, über den eigenen Mitarbeiter ein Gutachten zu erstellen! Dazu wurden natürlich medizinische Informationen vom Arzt des Mitarbeiters benötigt, angefordert und verarbeitet. Der Mitarbeiter klagte später gegen seinen Arbeitgeber auf 20.000 Euro Schadensersatz gemäß Art 82 DSGVO, da er seine Gesundheitsdaten als unzureichend gesichert ansah und die Meinung vertrat, das Gutachten hätte extern erstellt werden müssen, um seine Daten vor Kollegen zu schützen. Der Fall eskalierte bis vor das Bundesarbeitsgericht (BAG), welches dem EuGH verschiedene Fragen zur Klärung vorlegte.
Rechtliche Klippen: Die Zulässigkeit der Datenverarbeitung im Detail
Eine zentrale Frage war, ob die Verarbeitung von Gesundheitsdaten zur Beurteilung der Arbeitsfähigkeit eines Mitarbeiters laut Artikel 9 Absatz 2 der DSGVO zulässig ist. Das BAG hatte Bedenken, dass diese Doppelfunktion eine Umgehung des Verarbeitungsverbots von sensiblen Daten darstellen könnte. Der EuGH entschied, dass die Verarbeitung zulässig sein kann, sofern alle datenschutzrechtlichen Garantien (Need to Know-Prinzip, Datenminimierung, Datenlöschung, Informationssicherheit) eingehalten werden. Trotz der Doppelfunktion des MDK als Arbeitgeber und medizinischer Dienstleister bestätigte der Gerichtshof, dass die Verarbeitung möglich sei.
Vertraulichkeit garantiert? Die Grenzen des Zugriffs auf Gesundheitsdaten
Der Gerichtshof betonte die Notwendigkeit spezifischer Schutzmaßnahmen. Es ist nicht erforderlich, dass der Arbeitgeber den Zugang zu den Gesundheitsdaten durch Kollegen vollständig unterbindet, doch muss die Vertraulichkeit und Integrität der Daten gewährleistet sein.
Schadensersatz und seine Voraussetzungen
Der EuGH führte weiter aus, dass ein Schadensersatzanspruch nach Art. 82 einen tatsächlichen Schaden und einen direkten Zusammenhang zum Datenschutzverstoß erfordert. Zudem spielt das Verschulden eine entscheidende Rolle bei der Haftung und beeinflusst die Höhe des zu leistenden Schadensersatzes. Ein echter (beweisbarer) Schaden ist im Zusammenhang mit der Datenverarbeitung durch den Arbeitgeber hier wohl nicht nachweisbar gewesen.
Fazit
Dieser Fall ist ein wirklich einmaliger – der Dienstgeber durfte als Dienstleister die Gesundheitsdaten seines Mitarbeiters verarbeiten. Aufgrund des speziellen Sachverhalts kann daraus keine generelle Erlaubnis zur Verarbeitung sensibler Daten durch einen Dienstgeber abgeleitet werden.
MeineBerater-Tipp
Gerade wenn es um Gesundheitsdaten von Mitarbeitenden geht, ist größte Vorsicht geboten. Die Frage, die man sich immer stellen muss: Ist es wirklich nötig, diese Daten zu verarbeiten? Habe ich eine entsprechende Rechtsgrundlage dafür? Wenn ja, wer hat auf die Daten Zugriff? Wie schütze ich diese Daten speziell? Und wenn ich nicht weiterweiß? Wie lautet nochmal die Kontaktadresse von MeineBerater? 😉 office@meineberater.at – und Ihnen wird umgehend geholfen.