Liebe Nutzer,
für ein optimales und schnelleres Benutzererlebnis wird als Alternative zum von Ihnen verwendeten Internet Explorer der Browser Microsoft Edge empfohlen. Microsoft stellt den Support für den Internet Explorer aus Sicherheitsgründen zum 15. Juni 2022 ein. Für weitere Informationen können Sie sich auf der Seite von -> Microsoft informieren.
Liebe Grüße,
Ihr ifb-Team
Darf ein Medizinischer Dienst auch die Gesundheitsdaten eines eigenen Mitarbeiters verarbeiten? Nach Vorlage an den EuGH hat das Bundesarbeitsgericht diese Frage nun entschieden – und die Schadensersatzklage des Betroffenen abgewiesen.
Bundesarbeitsgericht, Urteil vom 20. Juni 2024, 8 AZR 253/20
Dieser Fall ist delikat, denn es geht um sehr sensible Gesundheitsdaten eines Arbeitnehmers. Dieser war als IT-Spezialist beim Medizinischen Dienst Nordrhein beschäftigt. Der Medizinische Dienst führt u. a. im Auftrag von gesetzlichen Krankenkassen medizinische Begutachtungen zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit gesetzlich Versicherter durch.
Der klagende Arbeitnehmer war seit einigen Monaten ununterbrochen arbeitsunfähig erkrankt und bezog zuletzt Krankengeld. Seine Krankenkasse beauftragte den Medizinischen Dienst – also den Arbeitgeber des Klägers – mit einer Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit. Eine ebenfalls beim Medizinischen Dienst beschäftigte Ärztin (also eine Kollegin!) fertigte das Gutachten an. Hierfür holte sie beim behandelnden Arzt telefonisch Auskünfte über den Gesundheitszustand des Klägers ein.
Dieser verlang nun die Zahlung von Schadenersatz. Er hält die Verarbeitung seiner Gesundheitsdaten durch eine Kollegin für unzulässig; das Gutachten hätte seiner Ansicht nach durch einen anderen Medizinischen Dienst erstellt werden müssen. Auch seien die Sicherheitsmaßnahmen rund um die Archivierung des Gutachtens unzureichend gewesen.
In den Vorinstanzen wurde der Anspruch auf Schadensersatz abgewiesen. Das Bundesarbeitsgericht legte dem EuGH vor seiner Entscheidung zunächst Fragen zur Auslegung der Datenschutzgrundverordnung vor (EuGH, Rs. C-667/21). Die Verarbeitung der Gesundheitsdaten des Klägers durch den Beklagten war insgesamt unionsrechtlich zulässig, lautete die Antwort des EuGH.
Die Verarbeitung der Daten sei für das von der gesetzlichen Krankenkasse beauftragten Gutachtens erforderlich gewesen – auch das zwischen der Gutachterin und dem behandelnden Arzt geführte Telefonat. Die Datenverarbeitung genügte auch den Vorgaben der DSGVO, da sämtliche Mitarbeiter des Beklagten, die Zugang zu Gesundheitsdaten des Klägers hatten, einer beruflichen Verschwiegenheitspflicht unterlagen. Das Unionsrecht enthielte außerdem keine Vorgabe, dass ein anderer Medizinischer Dienst mit dem Gutachten hätte beauftragt werden müssen.
Unter Berücksichtigung dieser Vorabentscheidung des EuGH wies das BAG die Revision zurück. Dem Kläger stehe kein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu. Insbesondere gebe es eine Dienstanweisung sowie eine mit dem Personalrat getroffene Dienstvereinbarung mit Weisungen bzw. Regelungen zur Verarbeitung von Gesundheitsdaten durch die Beschäftigten. Hiernach haben nur solche Mitarbeiter Zugriff auf Sozialdaten eines Betroffenen, die nach vorab getroffenen Festlegungen intern für die Bearbeitung des Auftrags zuständig sind.
Außerdem sei ein Arbeitgeber, der als Medizinischer Dienst Gesundheitsdaten eines eigenen Arbeitnehmers verarbeitet, nicht verpflichtet zu gewährleisten, dass überhaupt kein anderer Beschäftigter Zugang zu diesen Daten hat. Im Ergebnis habe der Arbeitgeber hier grundsätzlich für den normalen Verwaltungsablauf geeignete Schutzvorkehrungen getroffen.
Beschäftigte dürfen in Normalfall zu Recht erwarten, dass ihre Gesundheitsdaten gegenüber dem Arbeitgeber und im Kollegenkreis geheim bleiben. Werden solche Daten offengelegt, besteht das Risiko, Nachteile bei Personalentscheidungen oder eine Stigmatisierung im Kreis der Kollegen zu erfahren.
In diesem Fall war die Konstellation allerdings etwas ungewöhnlich. Den betroffen Arbeitnehmer wird es wenig trösten, dass angemessene Schutzmaßnahmen vorhanden waren, um die Vertraulichkeit und Integrität der Daten zu gewährleisten. (cbo)