Datenschutzverstoß des Arbeitgebers MDK?

Darf der Me­di­zi­ni­sche Dienst der Kran­ken­kas­sen (MDK) auch Gut­ach­ten über die ei­ge­nen Mit­ar­bei­ter spei­chern? Um dies zu klä­ren, hat das Bun­des­ar­beits­ge­richt (BAG) dem Eu­ro­päi­schen Ge­richts­hof (EuGH) zur Vor­ab­ent­schei­dung ver­schie­de­ne Fra­gen zur Da­ten­schutz­grund­ver­ord­nung (DS-GVO) vor­ge­legt, die wegen der Dop­pel­rol­le des MDK als Gut­ach­ter und Ar­beit­ge­ber vi­ru­lent ge­wor­den sind.

Ein Mann arbeitete in der IT-Abteilung eines Medizinischen Dienstes einer Krankenkasse als Systemadministrator. Nach mehr als 20 Jahren Tätigkeit erkrankte er Ende 2017 dauerhaft. Ein halbes Jahr später gab seine Krankenversicherung dem Medizinischen Dienst – seinem Arbeitgeber – den Auftrag, ihn zu begutachten, weil sie die Arbeitsunfähigkeit des Computerfachmanns bezweifelte. Dieses Gutachten wurde im System des MDK gespeichert, so dass zumindest auch eine Kollegin darauf zugreifen konnte. Diese rief auf seinen Wunsch sein Gutachten auf und leitete es dem Betroffenen zu. Es war ersichtlich, dass er unter anderem an einer schweren Depression litt. Der Kranke verlangte von seinem Arbeitgeber Schadensersatz wegen Datenschutzverletzung in Höhe von 20.000 EUR. Sowohl das Arbeitsgericht als auch das Landesarbeitsgericht Düsseldorf wiesen seine Klage ab. Das BAG legte nun dem EuGH unter anderem die Frage vor, ob es mit der DS-GVO vereinbar ist, dem MDK zu erlauben, gesundheitliche Daten zur Arbeitsfähigkeit der eigenen Mitarbeiter zu verarbeiten.

Das BAG geht davon aus, dass die Speicherung der Gesundheitsdaten, insbesondere eines solchen Gutachtens des eigenen Mitarbeiters nach Art. 9 Abs. 1 der Datenschutz-Grundverordnung verboten ist. Da sie nicht für das Arbeitsverhältnis erforderlich seien, verneint das BAG auch die Ausnahme nach Art. 9 Abs. 2 b DS-GVO. Der Arbeitgeber müsse lediglich wissen, dass der IT-ler arbeitsunfähig ist und wie lange die Krankheit voraussichtlich noch andauern wird. Entgegen der Ansicht des Landesarbeitsgerichts Düsseldorf könne er sich auch nicht auf den Ausnahmetatbestand nach Art. 9 Abs. 2 h DS-GVO berufen, weil in diesem Fall wegen der Doppelfunktion des MDK eine viel weitere Datenverarbeitung erlaubt wäre als bei anderen Arbeitgebern.

Für den Fall, dass der EuGH die Verarbeitung der Gesundheitsdaten doch prinzipiell durch die DS-GVO gedeckt sehen sollten, möchte das BAG wissen, mit welchen Mitteln der MDK dann den Datenschutz ihres Arbeitnehmers gewährleisten muss. Das BAG geht davon aus, dass das Zugriffsrecht auf diese Daten für alle Personen, die im beruflichen Kontakt zu dem Betroffenen stehen, ausgeschlossen sein müsse. Eine bloße Geheimhaltungspflicht, wie in Art. 9 Abs. 3 DS-GVO bestimmt, reicht nach Meinung des BAG nicht aus.

Weitere Vorlagefragen betreffen den Schadensersatz nach Art. 82 Abs. 1 DS-GVO: kommt es bei der Bemessung auf ein Verschulden des Verantwortlichen an und dürfen general- und spezialpräventive Gesichtspunkte berücksichtigt werden.

Beschluss des Bundesarbeitsgerichts vom 26.08.2021

Aktenzeichen: 8 AZR 253/20 (A)