Verarbeitung von Gesund­heitsdaten im Arbeits­ver­hältnisMedizinischer Dienst darf AU auch der eigenen Mitarbeiter prüfen

Der beklagte Medizinische Dienst Nordrhein führt u.a. im Auftrag der gesetzlichen Krankenkassen medizinische Begutachtungen zur Beseitigung von Zweifeln an der Arbeits­un­fä­higkeit gesetzlich Versicherter durch, und zwar auch dann, wenn der Auftrag seine eigenen Mitarbeiter betrifft. Im letztgenannten Fall ist es - nach den Regelungen in einer zwischen dem Beklagten und dem Personalrat geschlossenen Dienst­ver­ein­barung und einer vom Beklagten erlassenen Dienstanweisung - einer begrenzten Zahl von Mitarbeitern einer jeweils in Düsseldorf und in Duisburg eingerichteten besonderen Einheit (sog. Organi­sa­ti­o­ns­einheit „Spezialfall“), gestattet, unter Verwendung eines gesperrten Bereichs des IT-Systems des Beklagten die anfallenden (Gesundheits-)Daten betroffener Arbeitnehmer zu verarbeiten und nach Abschluss des Begut­ach­tungs­auftrags Zugang zum elektronischen Archiv zu erhalten. Der Zugriff auf die Daten erfolgt durch den Einsatz perso­na­li­sierter Softwa­re­zer­ti­fikate und darf nur innerhalb vergebener Zugriffsrechte, die sich an den zu erledigenden Aufgaben orientieren, stattfinden. In der Dienstanweisung ist zudem u.a. festgelegt, dass für die Beschäftigten am Standort Düsseldorf bestimmte - in einem „Zugriffskonzept“ namentlich benannte - Mitarbeiter (Assistenzkräfte und Gutachter) der Organi­sa­ti­o­ns­einheit „Spezialfall“ in Duisburg zuständig sind. Nach der Dienst­ver­ein­barung zugangs­be­rechtigt sind außerdem - wiederum ausschließlich zur Erledigung ihrer Aufgaben - die Mitarbeiter der beim Beklagten stand­ort­über­greifend in Düsseldorf eingerichteten IT-Abteilung, der im Streitzeitraum neun Beschäftigte angehörten.

Der Kläger war zuletzt als Syste­m­admi­nis­trator und Mitarbeiter „Helpdesk“ in der IT-Abteilung des Beklagten tätig. Seit November 2017 war er ununterbrochen arbeitsunfähig erkrankt. Ab Mai 2018 bezog er von seiner gesetzlichen Krankenkasse Krankengeld. Diese beauftragte im Juni 2018 den Beklagten mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeits­un­fä­higkeit des Klägers. Eine bei dem Beklagten angestellte Ärztin, die der Organi­sa­ti­o­ns­einheit „Spezialfall“ in Duisburg angehörte, fertigte ein Gutachten, das die Diagnose der Krankheit des Klägers enthielt. Vor Erstellung des Gutachtens holte die Ärztin bei dem behandelnden Arzt telefonisch Auskünfte über den Gesund­heits­zustand des Klägers ein. Nachdem der Kläger über seinen behandelnden Arzt von dem Telefonat Kenntnis erlangt hatte, kontaktierte er eine Kollegin aus der IT-Abteilung, die auf seine Bitten im Archiv nach dem Gutachten recherchierte, hiervon mit ihrem Mobiltelefon Fotos machte und anschließend die Fotos dem Kläger mittels eines Messenger-Dienstes übermittelte.

Mit seiner Klage hat der Kläger vom Beklagten die Zahlung von immateriellem Schadenersatz u.a. auf der Grundlage von Art. 82 Abs. 1 DSGVO mit der Begründung verlangt, die Verarbeitung seiner Gesundheitsdaten durch den Beklagten sei unzulässig gewesen. Das Gutachten habe durch einen anderen Medizinischen Dienst erstellt werden müssen; jedenfalls sei die Gutachterin nicht berechtigt gewesen, bei seinem behandelnden Arzt telefonisch Auskünfte einzuholen. Auch seien die Sicher­heits­maß­nahmen rund um die Archivierung des Gutachtens unzureichend gewesen. Die unrechtmäßige Verarbeitung seiner Gesund­heitsdaten habe bei ihm bestimmte - näher ausgeführte - Sorgen und Befürchtungen ausgelöst. Zweitin­sta­nzlich hat der Kläger außerdem im Wege der Leistungs- und der Feststel­lungsklage materiellen Schadenersatz in Gestalt eines ihm entstandenen bzw. künftig entstehenden (Erwerbs-)Schadens mit der Begründung geltend gemacht, die Kenntnis von dem Telefonat zwischen der Gutachterin und seinem behandelnden Arzt habe zu einer Verlängerung seiner Arbeits­un­fä­higkeit geführt. Die Vorinstanzen haben die Klage abgewiesen.

Vorgaben des EuGH erfüllt

Die Revision des Klägers blieb vor dem BAG erfolglos. Die Grund­vor­aus­set­zungen eines Schaden­er­satz­an­spruchs nach Art. 82 Abs. 1 DSGVO, die - kumulativ - in einem Verstoß gegen die DSGVO, einem dem Betroffenen entstandenen materiellen und/oder immateriellen Schaden und einem Kausa­l­zu­sam­menhang zwischen dem Schaden und dem Verstoß bestehen, liegen nicht vor. Es fehlt bereits an einem Verstoß gegen die Bestimmungen der DSGVO. Die Verarbeitung der Gesund­heitsdaten des Klägers durch den Beklagten war insgesamt unionsrechtlich zulässig. Sie genügte den Vorgaben des EuGH aus der Vorab­ent­scheidung, um die ihn das BAG ersucht hat. Die Verarbeitung war zur Erstellung der von der gesetzlichen Krankenkasse beauftragten gutachtlichen Stellungnahme, die ihre Grundlage im nationalen Recht hat, zur Beseitigung von Zweifeln an der Arbeits­un­fä­higkeit des Klägers iSv. Art. 9 Abs. 2 Buchst. h DSGVO erforderlich. Das betrifft auch das zwischen der Gutachterin des Beklagten und dem behandelnden Arzt des Klägers geführte Telefonat.

Auch deutsches Recht eingehalten

Die Daten­ver­a­r­beitung genügte zudem den Garantien des Art. 9 Abs. 3 DSGVO, da sämtliche Mitarbeiter des Beklagten, die Zugang zu Gesund­heitsdaten des Klägers hatten, einer beruflichen Verschwie­gen­heits­pflicht bzw. jedenfalls dem Sozialgeheimnis, das die Mitarbeiter des Beklagten auch untereinander zu beachten haben, unterlagen. Das Unionsrecht enthält in den genannten Bestimmungen keine Vorgabe, wonach in einem Fall wie dem Vorliegenden ein anderer Medizinischer Dienst mit der Gutach­te­n­er­stellung beauftragt werden müsste oder sichergestellt werden müsste, dass kein anderer Arbeitnehmer des beauftragten Medizinischen Dienstes Zugang zu Gesund­heitsdaten des Betroffenen erhält. Entsprechende Beschränkungen der (Gesundheits-)Daten­ver­a­r­beitung, die die Mitgliedstaaten nach Art. 9 Abs. 4 DSGVO einführen oder aufrecht­er­halten dürfen, sind im nationalen (deutschen) Recht nicht enthalten.

Die Daten­ver­a­r­beitung durch den Beklagten war auch im Übrigen rechtmäßig. Sie erfüllte die allgemeinen Bedingungen für eine rechtmäßige Verarbeitung des neben Art. 9 DSGVO anwendbaren Art. 6 DSGVO. Die vom Beklagten hinsichtlich der Wahrnehmung seiner gesetzlichen Aufgaben als Medizinischer Dienst zum Schutz der Gesund­heitsdaten eigener Mitarbeiter getroffenen organi­sa­to­rischen und technischen Maßnahmen wurden überdies den im Unionsrecht verankerten Grundsätzen der Integrität und Vertraulichkeit gerecht. Davon war umso mehr auszugehen als der einzige nachgewiesene Fall eines unberechtigten Zugriffs auf Gesund­heitsdaten eines Beschäftigten, die der Beklagte als Medizinischer Dienst verarbeitet hat, auf eine Initiative des Betroffenen selbst - hier des Klägers - zurückzuführen war.