EuGH-Vorlage: Datenschutzverstoß des Arbeitgebers MDK?

Darf der Medizinische Dienst der Krankenkassen (MDK) auch Gutachten über die eigenen Mitarbeiter speichern? Um dies zu klären, hat das Bundesarbeitsgericht dem Europäischen Gerichtshof zur Vorabentscheidung verschiedene Fragen zur Datenschutzgrundverordnung (DS-GVO) vorgelegt, die wegen der Doppelrolle des MDK als Gutachter und Arbeitgeber virulent geworden sind.

Doppelrolle des MDK: Gesundheitsgutachter und Arbeitgeber

Ein Mann arbeitete in der IT-Abteilung eines Medizinischen Dienstes einer Krankenkasse (MDK) als Systemadministrator. Nach mehr als 20 Jahren Tätigkeit erkrankte er Ende 2017 dauerhaft. Ein halbes Jahr später gab seine Krankenversicherung dem Medizinischen Dienst - seinem Arbeitgeber - den Auftrag, ihn zu begutachten, weil sie die Arbeitsunfähigkeit des Computerfachmanns bezweifelte. Dieses Gutachten wurde im System des MDK gespeichert, so dass zumindest auch eine Kollegin darauf zugreifen konnte. Diese rief auf seinen Wunsch sein Gutachten auf und leitete es dem Betroffenen zu. Es war ersichtlich, dass er unter anderem an einer schweren Depression litt. Der Kranke verlangte von seinem Arbeitgeber Schadensersatz wegen Datenschutzverletzung in Höhe von 20.000 Euro. Sowohl das Arbeitsgericht als auch das Landesarbeitsgericht Düsseldorf wiesen seine Klage ab. Das Bundesarbeitsgericht legte nun dem Europäischen Gerichtshof unter anderem die Frage vor, ob es mit der DS-GVO vereinbar ist, dem MDK zu erlauben, gesundheitliche Daten zur Arbeitsfähigkeit der eigenen Mitarbeiter zu verarbeiten.

BAG hält Speicherung für unzulässig

Das BAG geht davon aus, dass die Speicherung der Gesundheitsdaten, insbesondere eines solchen Gutachtens des eigenen Mitarbeiters nach Art. 9 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) verboten ist. Da sie nicht für das Arbeitsverhältnis erforderlich seien, verneint der 8. Senat auch die Ausnahme nach Art. 9 Abs. 2b DS-GVO. Der Arbeitgeber müsse lediglich wissen, dass der IT-ler arbeitsunfähig ist und wie lange die Krankheit voraussichtlich noch andauern wird. Entgegen der Ansicht des LAG Düsseldorf könne er sich auch nicht auf den Ausnahmetatbestand nach Art. 9 Abs. 2 h DS-GVO berufen, weil in diesem Fall wegen der Doppelfunktion des MDK eine viel weitere Datenverarbeitung erlaubt wäre als bei anderen Arbeitgebern.

Weitere Vorgaben erforderlich?

Für den Fall, dass die Luxemburger Richter die Verarbeitung der Gesundheitsdaten doch prinzipiell durch die DS-GVO gedeckt sehen sollten, möchte das BAG wissen, mit welchen Mitteln der MDK dann den Datenschutz ihres Arbeitnehmers gewährleisten muss. Die Erfurter Richter gehen davon aus, dass das Zugriffsrecht auf diese Daten für alle Personen, die im beruflichen Kontakt zu dem Betroffenen stehen, ausgeschlossen sein müsse. Eine bloße Geheimhaltungspflicht, wie in Art. 9 Abs. 3 DS-GVO bestimmt, reicht ihrer Meinung nach nicht aus.

Schadensersatzbemessung

Weitere Vorlagefragen betreffen den Schadensersatz nach Art. 82 Abs. 1 DS-GVO: So, ob es bei der Bemessung auf ein Verschulden des Verantwortlichen ankomme und ob general- und spezialpräventive Gesichtspunkte berücksichtigt werden müssten.

BAG, Beschluss vom 26.08.2021 - 8 AZR 253/20 (A)

Redaktion beck-aktuell, 3. November 2021.

Weiterführende Links

Aus der Datenbank beck-online

LAG Baden-Württemberg, Kein Schadensersatz ohne kausalen DS-GVO-Verstoß, ZD 2021, 436

LAG Düsseldorf, Anforderungen an Datenschutz bei Einholung eines schriftlichen Gutachtens zur Arbeitsunfähigkeit, NZA-RR 2020, 348 (Vorinstanz)

Rechtssache C-300/21: Vorabentscheidungsersuchen des Obersten Gerichtshofs (Österreich) eingereicht am 12. Mai 2021 - UI gegen Österreichische Post AG, BeckEuRS 2021, 738287