Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
06. Februar 2024

Umgang mit Gesundheitsdaten von Arbeitnehmern

Ein Urteil des EuGH bringt eher Überraschendes zum Thema Gesundheitsdaten
Bild: iStock.com / ipopba
5,00 (1)
drucken
Inhalte in diesem Beitrag
Überraschende Entscheidung des EuGH
Gesundheitsdaten schützt die DSGVO ganz besonders. Was folgt daraus, wenn eine Gesundheitseinrichtung medizinische Daten von Mitarbeitern verarbeitet, um die Arbeitsfähigkeit dieser Mitarbeiter zu beurteilen? Der EuGH gibt einige Antworten, die wohl kaum jemand so erwartet hätte.

➧ Es geht um Schadensersatz nach DSGVO

Ausgangspunkt des Rechtsstreits ist ein Anspruch auf Schadensersatz, den ein Mitarbeiter des Medizinischen Dienstes der Krankenversicherung Nordrhein gegen seinen Arbeitgeber geltend macht. Der Mitarbeiter ist der Auffassung, dieser Medizinische Dienst habe Gesundheitsdaten, die ihn betreffen, unrechtmäßig verarbeitet.

➧ Der MDK hat in diesem Fall eine Doppelfunktion

Der Medizinische Dienst einer Krankenversicherung, vielen besser unter der Abkürzung MDK bekannt, hat die gesetzliche Aufgabe, die Arbeitsfähigkeit von erkrankten Versicherten zu beurteilen. Der Mitarbeiter, um den es geht, ist in der IT-Abteilung des MDK Nordrhein beschäftigt. Zugleich ist er bei einer Krankenversicherung versichert, für die der MDK auf Anforderung tätig wird, um die Arbeitsfähigkeit von erkrankten Versicherten zu begutachten.

Somit hat der Medizinische Dienst in Bezug auf diesen Mitarbeitern eine Doppelfunktion:

  • Zum einen ist er Arbeitgeber dieses Mitarbeiters.
  • Zum anderen wird er gegenüber dem Mitarbeiter als MDK tätig, wenn die Krankenkasse des Mitarbeiters dies veranlasst.
WebTrainer KI-Anwendungen sicher einsetzen

E-Learning KI-Anwendungen sicher einsetzen

Sensibilisieren Sie die Beschäftigten in Unternehmen und Behörden mit diesem E-Learning dafür, was KI kann – und was nicht. Wo liegen ganz konkret die Chancen im Arbeitsalltag, wo die Gefahren?

Minimieren Sie auf diese Weise Fallstricke im KI-Arbeitsumfeld.

 

➜ Jetzt zu KI schulen

➧ Die Krankenkasse wollte ein Gutachten des MDK

Der Mitarbeiter war längere Zeit erkrankt. Deshalb endete ihm gegenüber die Lohnfortzahlung durch seinen Arbeitgeber, die MDK Nordrhein. Im Anschluss daran bezog er Krankengeld von seiner gesetzlichen Krankenkasse. Diese Krankenkasse beauftragte den MDK Nordrhein, die Arbeitsfähigkeit ihres eigenen Mitarbeiters im Rahmen einer Begutachtung zu klären. Dies tat der MDK Nordrhein auch.

➧ Der Betroffene hält das Vorgehen des MDK für nicht korrekt

Der Mitarbeiter ist der Auffassung, dass sein Arbeitgeber dazu verpflichtet gewesen wäre, diese Begutachtung abzulehnen. Stattdessen wäre es aus seiner Sicht in einem solchen Spezialfall notwendig gewesen, die Begutachtung einem anderen MDK zu übertragen. Und selbst wenn man dies nicht so sehe, wäre – so die Argumentation des Mitarbeiters – sein Arbeitgeber verpflichtet gewesen, dafür zu sorgen, dass die unmittelbaren Kollegen des Mitarbeiters in der IT-Abteilung keinen Zugriff auf seine Gesundheitsdaten haben.

➧ Als Ausgleich dafür verlangt er Schadensersatz

Da der Arbeitgeber aus der Sicht des Mitarbeiters gegen beide Pflichten verstoßen hat, fordert der Mitarbeiter von seinem Arbeitgeber Schadensersatz in Höhe von 20.000 Euro. Diese Forderung wies der MDK Nordrhein zurück. Deshalb erhob der Mitarbeiter Klage auf Schadensersatz beim Arbeitsgericht Düsseldorf.

➧ Das Gericht erbittet Rat vom EuGH

Das Arbeitsgericht Düsseldorf war unschlüssig, ob die Argumentation des Mitarbeiters durch die Datenschutz-Grundverordnung (DSGVO) gedeckt ist. Deshalb legte es dem Europäischen Gerichtshof (EuGH) mehrere Fragen zur Auslegung der DSGVO vor. Die Antworten des EuGH enthalten einige Überraschungen.

➧ Die erste Frage an den EuGH thematisiert die Doppelfunktion des MDK

Die erste Frage des Arbeitsgerichts Düsseldorf lautet sinngemäß: Verbietet es die DSGVO, dass eine Stelle wie der MDK Nordrhein im Rahmen ihrer gesetzlichen Aufgaben als MDK die Arbeitsfähigkeit von gesetzlich Versicherten beurteilt, die zugleich ihre eigenen Arbeitnehmer sind? Anders formuliert: Sind die beiden Rollen als Arbeitgeber und als MDK miteinander zu vereinbaren oder schließen sie sich gegenseitig aus?

Der EuGH beginnt mit grundsätzlichen Aussagen zum Schutz von Gesundheitsdaten

Um diese Frage zu beantworten, beginnt der EuGH mit grundsätzlichen Überlegungen zum Schutz von Gesundheitsdaten. Sie lauten wie folgt:

  • Bei der Beurteilung der Arbeitsfähigkeit geht es um die Verarbeitung von Gesundheitsdaten und damit um die „Verarbeitung besonderer Kategorien personenbezogener Daten“ im Sinn von Art. 9 DSGVO. Es handelt sich also um „sensible Daten“, wie die DSGVO an anderer Stelle (nämlich in ihren Erwägungsgründen 10 und 51) formuliert.
  • Um der besonderen Sensibilität dieser Daten Rechnung zu tragen, stellt sie Art. 9 Abs. 1 DSGVO unter einen besonderen Schutz. Dies geschieht dadurch, dass er die Verarbeitung solcher Daten vom Grundsatz her zunächst einmal untersagt.
  • Art. 9 Abs. 2 DSGVO enthält eine abschließende Liste von Ausnahmen vom Grundsatz des Verbots der Verarbeitung dieser Daten, der in Art. 9 Abs. 1 DSGVO enthalten ist.

Die DSGVO akzeptiert eine Überprüfung der Arbeitsfähigkeit

Eine dieser Ausnahmen bezieht sich auf die Beurteilung der Arbeitsfähigkeit von Beschäftigten. Die Verarbeitung von Gesundheitsdaten für diesen Zweck ist erlaubt, wenn mehrere weitere Voraussetzungen erfüllt sind (siehe Art. 9 Abs. 2 Buchst. h DSGVO).

Sie verlangt dafür aber eine gesetzliche Regelung

Zu diesen weiteren Voraussetzungen gehört es zum einen, dass die Verarbeitung der Gesundheitsdaten für diesen Zweck entweder im EU-Recht oder im Recht eines Mitgliedstaats vorgesehen ist. Letzteres ist der Fall, denn in Deutschland sieht § 275 Abs. 1 Sozialgesetzbuch Fünftes Buch vor, dass gesetzliche Krankenkassen den zuständigen MDK mit der Begutachtung der Arbeitsfähigkeit von Versicherten beauftragen können.

Tätig werden darf nur verschwiegenes Fachpersonal

Zum anderen darf die Verarbeitung nur durch Fachpersonal erfolgen, dass einem Berufsgeheimnis unterliegt. Dies ist etwa der Fall, wenn die Verarbeitung durch Ärzte erfolgt.

Ausreichend ist es jedoch auch, wenn die Verarbeitung durch andere Personen erfolgt, die zumindest einer Geheimhaltungspflicht unterliegen. Dies ist unter anderem dann gegeben, wenn etwa IT-Personal an der Verarbeitung medizinischer Daten durch Ärzte mitwirkt. Für Deutschland ergibt sich für solches Personal eine Geheimhaltungspflicht aus § 203 Abs. 3 Strafgesetzbuch (StGB).

Das DSGVO sagt nichts zur „Doppelfunktion eines MDK“

Auf der Basis dieser grundsätzlichen Überlegungen kommt der EuGH endlich zum entscheidenden Punkt. Er wirft nämlich die Frage auf, ob es die bisher angestellten Überlegungen ausschließen, dass ein Arbeitgeber, der die gesetzliche Aufgabe eines MDK hat, auch gegenüber seinem eigenen Arbeitnehmer als MDK tätig wird. Hierzu führt der EuGH aus:

  • Zwar sind alle Ausnahmen vom Grundsatz des Verbots der Verarbeitung von sensiblen Daten wie etwa Gesundheitsdaten eng auszulegen.
  • Dies erlaubt es jedoch nicht, die Anwendung einer solchen Ausnahme an zusätzliche Bedingungen zu knüpfen, für die es in ihrem eindeutigen Wortlaut keinen Anhaltspunkt gibt.
  • Genau dies würde jedoch geschehen, wenn einem MDK untersagt würde, die Arbeitsfähigkeit von gesetzlich Versicherten zu beurteilen, die zugleich seine eigenen Arbeitnehmer sind.
  • Die DSGVO sieht eine solche zusätzliche Bedingung in Art. 9 Abs. 2 Buchst. h DSGVO nicht vor. Deshalb darf sie auch nicht im Wege einer Auslegung der gesetzlichen Vorschriften eingeführt werden.

Die DSGVO schließt eine solche „Doppelfunktion“ nicht aus

Daraus folgt als klare Antwort: Aus der Sicht der DSGVO steht nichts dagegen, dass ein MDK auch gegenüber seinen eigenen Arbeitnehmern die Aufgabe eines MDK wahrnimmt. So etwas wie ein „Trennungsprinzip“ ist aus der DSGVO nicht abzuleiten.

WEKA Manager Datenschutz

WEKA Manager Datenschutz: Eine Plattform, drei Module – Gemeinsame Funktionalität, für die Arbeit im Team optimiert

WEKA Manager Datenschutz – das ist eine moderne Datenschutz-Software mit umfassenden Muster-Strukturen und praxiserprobten Vorlage-Dokumenten in einer flexibel anpassbaren Dokumentations-Umgebung mit vielen Funktionen für Übersicht, Export, Nachweis und Report.

 

➜ Jetzt Datenschutz leichter managen

➧ Die zweite Frage an den EuGH betrifft den Zugriff auf Gesundheitsdaten von Kollegen

Nun wendet sich der EuGH der zweiten Frage des Arbeitsgerichts Düsseldorf zu. Sie lautet sinngemäß: Muss ein Arbeitgeber bei der Verarbeitung von Gesundheitsdaten von Mitarbeitern sicherstellen, dass kein Kollege dieses Mitarbeiters Zugang zu dessen Gesundheitsdaten hat?

Bei der Beantwortung dieser Frage kommt der EuGH mehr oder weniger gleich zum Punkt. Er führt dazu aus:

  • Die DSGVO formuliert abschließend, welche spezifischen Schutzmaßnahmen bei der Verarbeitung von Gesundheitsdaten zu beachten sind.
  • Diese Schutzmaßnahmen bestehen insbesondere darin, dass die Verarbeitung dieser Daten nur durch Fachpersonal erfolgt, das einem Berufsgeheimnis unterliegt, oder durch andere Personen, die einer Geheimhaltungspflicht unterworfen sind (siehe Art. 9 Abs. 3 DSGVO).
  • Die Anforderung, dass Kollegen einer betroffenen Person keinen Zugang zu Daten über den Gesundheitszustand dieser Person haben dürfen, ist in der DSGVO nicht enthalten.
  • Deshalb darf der DSGVO eine solche Anforderung auch nicht im Wege der Auslegung zusätzlich hinzugefügt werden.

Ein solcher Zugriff ist im Prinzip rechtlich zulässig

Daraus folgt als klare Antwort: Ein Arbeitgeber muss nicht gewährleisten, dass kein Kollege einer betroffenen Person Zugang zu Daten über den Gesundheitszustand dieser Person hat.

Einen Freibrief stellt der EuGH damit aber nicht aus

Verfehlt wäre es, die Entscheidung des EuGH als Freibrief für einen nachlässigen Umgang mit den Daten von Mitarbeitern zu verstehen. Wörtlich sagt der EuGH lediglich, dass ein Verantwortlicher „nicht verpflichtet ist, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu den Daten über ihren Gesundheitszustand hat“ (siehe Randnummer 70 des Urteils).

Die Vertraulichkeit sensibler Daten bleibt zu beachten

Unzulässig wäre dagegen der Umkehrschluss, dass Kollegen einer betroffenen Person nach Belieben Zugang zu den Daten über ihren Gesundheitszustand haben dürften. Vielmehr ist strikt darauf zu achten, dass der Zugang zu solchen Daten erforderlich sein muss, damit ein Kollege der betroffenen Person die Aufgaben erfüllen kann, die ihr zugewiesen sind.

Der Grundsatz der Vertraulichkeit von personenbezogenen Daten ist stets zu beachten. Er ist an mehreren Stellen der DSGVO ausdrücklich verankert (siehe Art. 5 Abs. 1 Buchst. f DSGVO und Art. 32 Abs. 1 Buchst. b DSGVO).

➧ Schadensersatz darf der Betroffene wohl kaum erhoffen

Im konkreten Fall kann man davon ausgehen, dass das Arbeitsgericht Düsseldorf auf der Basis der Antworten des EuGH den geltend gemachten Schadensersatzanspruch so gut wie sicher ablehnen wird. Denn jedenfalls anhand der Antworten des EuGH ist nicht zu erkennen, dass der MDK Nordrhein in irgendeiner Weise gegen die DSGVO verstoßen hätte.

Doch ist bei dieser Einschätzung eine gewisse Vorsicht angebracht. Denn möglicherweise enthalten die Akten des Arbeitsgerichts noch Ausführungen, die es dem EuGH nicht geschildert hat, weil sie für die Fragen an den EuGH irrelevant waren. Dann käme es möglicherweise beim Arbeitsgericht in diesem Fall noch zu weiteren Überraschungen.

➧ Hier finden Sie das Urteil des EuGH

Das Urteil des EuGH vom 21. Dezember 2023 ist bei Eingabe des Aktenzeichens C-667/21 in den gängigen Suchmaschinen sofort zu finden.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
EuGH Urteil
drucken
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 die IDACON , den renommierten Datenschutz-Kongress.
Verwandte Beiträge
11. November 2024
DP+
Der Europäische Gerichtshof (EuGH) hat zwei wichtige Entscheidungen getroffen. Ein Fall beschreibt das Versagen von technischen, der andere das Versagen von organisatorischen Maßnahmen.
Bild: iStock.com/Flashvector

EuGH: Risikomanagement ja, Risikofreiheit nein

Urteil
EuGH Urteil
17. Februar 2022
DP+
Bei den Krankenrückkehrgesprächen geht es um Fürsorgepflichten, nicht darum, unliebsame Beschäftigte auszusortieren
Bild: -iStock.com / Prostock-Studio

Kranken­rückkehr­gespräche: Das müssen Sie beachten

Ratgeber
18. März 2021
Der digitale Fortschritt in Gesundheitseinrichtungen bietet die Chance, so manche versteckte Daten zukünftig zu vermeiden
Bild: iStockcom / metamorworks

„Versteckte“ personenbezogene Daten im Krankenhaus

Praxisbericht
26. Oktober 2020
DP+
Datenschutz im betrieblichen Gesundheitsmanagement
Bild: iStock.com / AndreyPopov

Datenschutz im betrieblichen Gesundheitsmanagement

Analyse
12. Oktober 2020
Auskunftsanspruch eines Patienten gegen eine Klinik
Bild: iStock.com / sturti

Auskunftsanspruch eines Patienten gegen eine Klinik

Urteil
Urteil
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.