Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis
Bundesarbeitsgericht, EuGH-Vorlage vom 26.08.2021, 8 AZR 253/20 (A)
Leitsätze des Gerichts
Der Gerichtshof der Europäischen Union wird gemäß Art. 267 AEUV um Vorabentscheidung über die Fragen ersucht:
1. Ist Art. 9 Abs. 2 Buchstabe h der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) dahin auszulegen, dass es einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten?
2. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 Buchstabe h DSGVO eine Ausnahme von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Sind in einem Fall wie hier über die in Art. 9 Abs. 3 DSGVO bestimmten Maßgaben hinaus weitere, gegebenenfalls welche Datenschutzvorgaben zu beachten?
3. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 Buchstabe h DSGVO eine Ausnahme von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Hängt in einem Fall wie hier die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon ab, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist?
4. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?
5. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?
Tenor
I. Der Gerichtshof der Europäischen Union wird gemäß Art. 267 AEUV um Vorabentscheidung über die Fragen ersucht:
1. Ist Art. 9 Abs. 2 Buchstabe h der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) dahin auszulegen, dass es einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten?
2. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 Buchstabe h DSGVO eine Ausnahme von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Sind in einem Fall wie hier über die in Art. 9 Abs. 3 DSGVO bestimmten Maßgaben hinaus weitere, gegebenenfalls welche Datenschutzvorgaben zu beachten?
3. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 Buchstabe h DSGVO eine Ausnahme von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Hängt in einem Fall wie hier die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon ab, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist?
4. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?
5. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?
II. Das Revisionsverfahren wird bis zur Entscheidung des Gerichtshofs der Europäischen Union über das Vorabentscheidungsersuchen ausgesetzt.
Entscheidungsgründe
8 AZR 253/20 (A) > Rn 1
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 9 Abs. 1, Art. 9 Abs. 2 Buchstaben b und h, Art. 9 Abs. 3, Art. 6 Abs. 1 sowie von Art. 82 Abs. 1 DSGVO.
8 AZR 253/20 (A) > Rn 2
Das Vorabentscheidungsersuchen ergeht im Rahmen eines Rechtsstreits zwischen dem Kläger und seinem Arbeitgeber, einem Medizinischen Dienst einer Krankenversicherung (im Folgenden Beklagter bzw. beklagter MDK). Die Parteien streiten darüber, ob der Beklagte verpflichtet ist, dem Kläger materiellen und immateriellen Schadenersatz wegen Verletzung datenschutzrechtlicher Bestimmungen im Arbeitsverhältnis zu zahlen.
8 AZR 253/20 (A) > Rn 3
Soweit hier die Auslegung von Art. 82 Abs. 1 DSGVO betroffen ist, weist der Senat vorab darauf hin, dass dem Gerichtshof zu dieser Bestimmung bereits ein Vorabentscheidungsersuchen des Obersten Gerichtshofs (Österreich) (- C-300/21 -) vorliegt und dass die vom Senat insoweit gestellten Vorlagefragen mit den vom Obersten Gerichtshof (Österreich) gestellten Fragen im Zusammenhang stehen.
A. Das Ausgangsverfahren
8 AZR 253/20 (A) > Rn 4
Der beklagte MDK ist eine Körperschaft des öffentlichen Rechts. Nach § 278 Abs. 1 Satz 1 Sozialgesetzbuch Fünftes Buch (im Folgenden SGB V) wird in jedem Bundesland der Bundesrepublik Deutschland ein Medizinischer Dienst als Körperschaft des öffentlichen Rechts errichtet. Nach den gesetzlichen Bestimmungen untersteht der Medizinische Dienst der Aufsicht der für die Sozialversicherung zuständigen obersten Verwaltungsbehörde des Bundeslandes, in dem er seinen Sitz hat. Seine Aufgaben sind ihm durch Gesetz und Satzung zugewiesen. Für die gesetzliche Krankenversicherung als Teil der Sozialversicherung sind die Leistungspflichten und Aufgaben der Medizinischen Dienste in den §§ 275 ff. SGB V festgelegt. Hierzu gehört auch die Erstellung von gutachtlichen Stellungnahmen zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit von Versicherten. Nach § 275 Abs. 1 Satz 1 Nr. 3 Buchstabe b SGB V sind die gesetzlichen Krankenkassen verpflichtet, in gesetzlich bestimmten Fällen oder wenn es nach Art, Schwere, Dauer oder Häufigkeit der Erkrankung oder nach dem Krankheitsverlauf erforderlich ist, bei ärztlich bescheinigter Arbeitsunfähigkeit eines/einer Versicherten bei dem Medizinischen Dienst der Krankenversicherung eine gutachtliche Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit einzuholen. Nach § 275 Abs. 1a Satz 3 SGB V kann der Arbeitgeber verlangen, dass die Krankenkasse eine solche gutachtliche Stellungnahme des Medizinischen Dienstes einholt.
8 AZR 253/20 (A) > Rn 5
Der beklagte MDK führte seine Aufgaben im Jahr 2018 an acht Standorten mit ca. 1.000 Beschäftigten durch.
8 AZR 253/20 (A) > Rn 6
Der Kläger ist seit 1991 bei dem Beklagten als Arbeitnehmer tätig, zuletzt am Standort A. in der IT-Abteilung als Systemadministrator und Mitarbeiter Help-desk. Der Beklagte erstellt in seiner Eigenschaft als Medizinischer Dienst für die gesetzlichen Krankenkassen gutachtliche Stellungnahmen zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit von Versicherten auch in den Fällen, in denen seine eigenen Beschäftigten betroffen sind. Für einen solchen Fall – bei dem beklagten MDK „Spezialfall“ genannt – gibt es bei ihm eine „Organisationseinheit Spezialfall“ sowie spezielle Regelungen. Zu diesen Regelungen gehört die „Dienstanweisung zum Schutz der Sozialdaten der Beschäftigten des MDK (…) und ihrer Angehörigen“ (im Folgenden Dienstanweisung MDK). Danach sollen Sozialdaten von Beschäftigten nicht am Dienstort des Beschäftigten erhoben und gespeichert werden. Zudem dürfen Sozialdaten der Beschäftigten, die anfallen, wenn der beklagte MDK von der jeweils zuständigen Krankenkasse mit einer Begutachtung beauftragt wird, nicht mit „‚Mitarbeiterdaten‘ verwechselt werden“, die im Rahmen eines Arbeits- oder Dienstverhältnisses entstehen oder verarbeitet werden. Zugriffsberechtigt für den „Spezialfall“ sind nur bestimmte Beschäftigte der jeweiligen „Teilbereiche“ des Beklagten. Ausweislich einer zur Gerichtsakte gereichten „Übersicht“ (Bl. 307 f. Akten der Vorinstanz) gibt es bei dem beklagten MDK vier sog. Teilbereiche. In den beiden Teilbereichen „Ambulante Versorgung“ und „Stationäre Versorgung“ sind zugriffsberechtigt insgesamt 24 Beschäftigte, die entweder am Standort B. oder am Standort A. des beklagten MDK als Arzt/Ärztin bzw. als Assistenz- oder Kodierfachkraft tätig sind. Der Teilbereich „Behandlungsfehler“ mit drei zugriffsberechtigten Sekretariatskräften ist am Standort C. angesiedelt und der Teilbereich „IT Abteilung“ mit neun zugriffsberechtigten Beschäftigten – darunter auch der Kläger – bei der Zentrale am Standort A.
8 AZR 253/20 (A) > Rn 7
Die Datenverarbeitung erfolgt bei dem beklagten MDK durch das „Informationssystem der Medizinischen Dienste der Krankenversicherung“ (im Folgenden ISmed). Der Beklagte und der bei ihm errichtete Personalrat haben im April 2015 eine „Dienstvereinbarung zum Einsatz von ISmed 3“ geschlossen. Danach erfolgt der Zugriff auf die Software ISmed 3 durch den Einsatz eines Softzertifikats. Die Zugriffsrechte werden in ISmed 3 über die Vergabe von Rechten und Rollen festgelegt. Für die Organisationseinheit „Spezialfall“ enthält die Dienstanweisung MDK besondere Verfahrensvorgaben unter der Software ISmed 3. Dazu gehört es unter anderem, dass die eingehenden Fälle, die eigene Beschäftigte betreffen, bei der Erfassung als „Spezialfall“ gekennzeichnet und ausschließlich durch die Mitarbeiter der Organisationseinheit „Spezialfall“ bearbeitet werden. Dafür wurde in ISmed 3 eine virtuelle Organisationseinheit für Spezialfälle eingerichtet, zu der nur die Beschäftigten der Organisationseinheit „Spezialfall“ Zugang haben. Nach Abschluss des Begutachtungsauftrags werden der Auftrag sowie die gutachtliche Stellungnahme einschließlich der verbleibenden elektronischen medizinischen Unterlagen im elektronischen Archiv des beklagten MDK hinterlegt. Dort werden die Auftragsdaten zusammen mit den Stammdaten und getrennt von den Begutachtungsdaten in zwei Datenbanken gespeichert. Eine Zuordnung zu einzelnen Personen ist nur über einen in einer Oracle Verschlüsselungsbibliothek hinterlegten Schlüssel möglich. Innerhalb des Systems wird zuvor die Zugriffsberechtigung technisch geprüft. Jedenfalls den neun Beschäftigten des Teilbereichs „IT Abteilung“ der Organisationseinheit „Spezialfall“ ist nach Archivierung der Zugriff auch auf all die Gutachten möglich, die aufgrund eines Begutachtungsauftrags erstellt wurden, der eigene Beschäftigte des beklagten MDK betrifft.
8 AZR 253/20 (A) > Rn 8
In der Dienstanweisung MDK ist ferner bestimmt, dass im Fall von Begutachtungsaufträgen, die eine körperliche Untersuchung eines Beschäftigten des beklagten MDK erfordern, die Organisationseinheit „Spezialfall“ die Begutachtung dem Sozialmedizinischen Dienst der „Knappschaft“ übergibt. Unter dieser Bezeichnung tritt seit 2002 die Deutsche Rentenversicherung Knappschaft-Bahn-See als einer der Träger der gesetzlichen Krankenversicherung auf. Auch in einem solchen Fall wird das – fertig erstellte – Gutachten sodann durch die Assistenzkräfte der Organisationseinheit „Spezialfall“ in der elektronischen Archivierung zum Auftrag hinzugefügt. Für den Fall, dass der Beklagte in seiner Eigenschaft als Arbeitgeber selbst Zweifel an der Arbeitsunfähigkeit eines seiner Beschäftigten hat, steht es ihm – wie in § 275 Abs. 1a Satz 3 SGB V für alle Arbeitgeber vorgesehen (vgl. Rn. 4) – frei zu verlangen, dass die Krankenkasse eine entsprechende gutachtliche Stellungnahme des Medizinischen Dienstes einholt. Auch in einem solchen Fall schließt die Dienstanweisung MDK die Bearbeitung und Archivierung durch den beklagten MDK nicht aus. Allerdings erfolgt auch insoweit eine körperliche Untersuchung durch andere Dienste, und zwar entweder durch zwei Medizinische Dienste aus anderen Bundesländern oder durch den Sozialmedizinischen Dienst der Knappschaft. Ausnahmen von diesen Verfahrensvorschriften sind nur nach Absprache mit der Geschäftsführung zulässig. Die Beschäftigten des MDK werden in der Dienstanweisung MDK aufgefordert, soweit sie Leistungen der Krankenkasse in Anspruch nehmen, die eine Begutachtung erfordern, durch die Benutzung spezieller Briefumschläge dazu beizutragen, dass der Begutachtungsauftrag bei der Erfassung als „Spezialfall“ erkannt und der Organisationseinheit „Spezialfall“ zur Bearbeitung zugewiesen wird. Soweit sich nachträglich herausstellt, dass Sozialdaten eines Beschäftigten im nicht gesondert gesperrten Bereich von ISmed 3 abgelegt und somit für „unberechtigte Mitarbeiter“, also Beschäftigte außerhalb der Organisationseinheit „Spezialfall“, zugänglich sind, werden diese Daten nachträglich „vom Bereich IT“ gesperrt, soweit der betroffene Beschäftigte dies beantragt.
8 AZR 253/20 (A) > Rn 9
Der Kläger war seit dem 22. November 2017 ununterbrochen arbeitsunfähig erkrankt. Nach dem (gesetzlich bestimmten) Ende der Entgeltfortzahlung durch den Beklagten, das heißt seit dem 24. Mai 2018 bezog der Kläger Krankengeld von seiner Krankenkasse. Am 6. Juni 2018 beauftragte die Krankenkasse des Klägers den beklagten MDK auf der Grundlage von § 275 Abs. 1 Satz 1 Nr. 3 Buchstabe b SGB V, zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers eine gutachtliche Stellungnahme zu erstellen. Der beklagte MDK übernahm den Gutachtenauftrag. Ein Sachbearbeiter ordnete den Auftrag der „Organisationseinheit Spezialfall“ zu. Eine bei dem beklagten MDK angestellte Ärztin, die der „Organisationseinheit Spezialfall“ angehörte, erstellte am 22. Juni 2018 ein Gutachten. Dieses enthielt die Diagnose der Krankheit des Klägers. Zur Erstellung dieses Gutachtens hatte die Ärztin unter anderem mit dem behandelnden Arzt des Klägers telefoniert und von diesem Auskünfte eingeholt. Das Gutachten vom 22. Juni 2018 wurde bei dem beklagten MDK elektronisch archiviert. Es enthielt unter anderem die Angabe „Diagnose(n): F32.2 – Schwere depressive Episode ohne psychotische Symptome“.
8 AZR 253/20 (A) > Rn 10
Der Kläger erfuhr durch seinen behandelnden Arzt von dem Anruf der Ärztin des beklagten MDK zwecks Gutachtenerstellung. Am 1. August 2018 rief der Kläger eine Kollegin der IT-Abteilung des Beklagten an und fragte sie, ob ein Gutachten über ihn gespeichert sei. Nach einer Recherche im Archiv bejahte die Kollegin diese Frage. Auf Bitte des Klägers fotografierte die Kollegin das Gutachten und sandte die Aufnahmen an den Kläger, der später im Klageverfahren einen Ausdruck zu den Gerichtsakten reichte.
8 AZR 253/20 (A) > Rn 11
Mit Schreiben vom 15. August 2018 forderte der Kläger von dem Beklagten erfolglos die Zahlung einer Entschädigung in Höhe von 20.000,00 Euro. Mit seiner am 17. Oktober 2018 bei dem örtlichen Arbeitsgericht eingegangenen Klage verfolgte er den Anspruch weiter und forderte im weiteren Verfahren zudem materiellen Schadenersatz in Höhe ihm entgangener Verdienste. Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO bzw. nach Vorschriften des nationalen Rechts (zB § 823 Abs. 1 BGB sowie § 823 Abs. 1 BGB iVm. Art. 2 Abs. 1, Art. 1 Abs. 1 GG) materieller und immaterieller Schadenersatz zu. Dem beklagten MDK sei es vor dem Hintergrund des mit ihm bestehenden Arbeitsverhältnisses nicht erlaubt gewesen, in seinem Fall die Aufgaben eines Medizinischen Dienstes nach § 275 Abs. 1 Satz 1 Nr. 3 Buchstabe b SGB V auszuüben. Mit der Erstellung eines Gutachtens zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Beschäftigten sei regelmäßig die Verarbeitung von solchen Gesundheitsdaten – einschließlich der konkreten Diagnose – verbunden, die im Arbeitsverhältnis nicht verarbeitet werden dürften. Der beklagte MDK habe deshalb den Gutachtenauftrag von vornherein nicht annehmen und schon gar nicht bearbeiten und das Gutachten nicht speichern dürfen. Durch die unzulässige Datenverarbeitung sei er, der Kläger, schwerwiegend in seinem Persönlichkeitsrecht verletzt worden. Seine Kollegen und Kolleginnen hätten das Gutachten bearbeitet und so entgegen den datenschutzrechtlichen Vorgaben von seinen Gesundheitsdaten einschließlich der Diagnose des behandelnden Arztes Kenntnis erlangt. Infolge der Archivierung des Gutachtens könnten sie auch weiterhin Einblick nehmen. Da solche Daten im Arbeitsverhältnis grundsätzlich nicht verarbeitet werden dürften, dürfe es keine Identität zwischen Arbeitgeber und Medizinischem Dienst geben. Der Gutachtenauftrag hätte deshalb von einem der anderen Medizinischen Dienste bearbeitet werden müssen. Überdies habe der Beklagte bei der Speicherung des Gutachtens nur unzureichende Vorkehrungen zum Datenschutz getroffen. Der Beklagte schulde ihm auch materiellen Schadenersatz; dieser habe den finanziellen Schaden zu ersetzen, der ihm dadurch entstanden sei, dass er an Stelle der Arbeitsvergütung ein niedrigeres Krankengeld erhalten habe. Ohne die Datenschutzverstöße hätte er seine Tätigkeit bei dem beklagten MDK ab Dezember 2018 wieder aufnehmen können, jedenfalls wäre er im Spätsommer 2018 für die ihm vom Beklagten angebotene stufenweise Wiedereingliederung (mit der es arbeitsunfähigen Beschäftigten ermöglicht werden soll, sich schrittweise wieder an die bisherige Arbeitsbelastung zu gewöhnen) ausreichend psychisch belastbar gewesen.
8 AZR 253/20 (A) > Rn 12
Im Laufe des gerichtlichen Verfahrens kündigte der beklagte MDK sowohl das Arbeitsverhältnis der unter Rn. 10 erwähnten Kollegin als auch das Arbeitsverhältnis des Klägers, und zwar letzteres fristlos am 5. Dezember 2019 sowie am 12. Dezember 2019. In der „Anhörung zur außerordentlichen fristlosen … Kündigung“ vom 27. November 2019 hatte sich der Beklagte zur Begründung unter anderem auf die „massiven Vorwürfe“ gestützt, die der Kläger im Rahmen des Rechtsstreits gegen ihn erhoben habe. Die Vorwürfe entsprächen nicht den Tatsachen, der Kläger wolle dem Beklagten vielmehr einen Schaden zufügen und habe dafür auch Kolleg(inn)en instrumentalisiert.
8 AZR 253/20 (A) > Rn 13
Der Beklagte hat die Auffassung vertreten, nicht gegen datenschutzrechtliche Bestimmungen verstoßen zu haben. Er habe die ihm als Medizinischem Dienst nach dem SGB V zugewiesene Aufgabe der Begutachtung der Arbeitsunfähigkeit auch im Fall des Klägers wahrnehmen dürfen, obgleich er dessen Arbeitgeber sei. Zudem sei die tatsächliche Bearbeitung stets im Einklang mit den datenschutzrechtlichen Vorgaben erfolgt. Auch im Fall des Klägers habe die bearbeitende Ärztin telefonisch Kontakt zu dessen behandelndem Arzt aufnehmen dürfen. Sie habe im Übrigen nur Daten erhoben, die für die Begutachtung erforderlich gewesen seien. Die ihm durch die Anfrage der Krankenkasse und vom behandelnden Arzt mitgeteilten Gesundheitsdaten des Klägers seien stets ausreichend geschützt gewesen. Er habe mit der Bearbeitung durch die „Organisationseinheit Spezialfall“ und die dafür bei ihm geltenden speziellen Regelungen hinreichend Vorsorge zum Schutz der Gesundheitsdaten seiner Beschäftigten getroffen. Nur ein kleiner Kreis von Beschäftigten, die grundsätzlich nicht am selben Standort wie der betroffene Beschäftigte tätig seien, sei überhaupt zugriffsberechtigt gewesen. Auch soweit direkte Kollegen/Kolleginnen des Klägers aus der IT-Abteilung zugriffsberechtigt gewesen seien, bestehe kein Datenschutzproblem. Bei normalem Datenverkehr werde kein/e IT-Mitarbeiter/in tätig. Diese würden nur bei Fehlermeldungen hinzugezogen. Dabei sei eine inhaltliche Kenntnisnahme des Gutachtens für eine Fehlerbehebung weder erforderlich noch erlaubt. Tatsächlich liefen mehrere 100.000 Gutachten durch das System, ohne dass ein/e IT-Mitarbeiter/in eingreifen müsse. Im Übrigen unterlägen alle zugriffsberechtigten Beschäftigten dem Sozialgeheimnis nach § 35 Sozialgesetzbuch Erstes Buch (im Folgenden SGB I), wonach jeder Anspruch darauf hat, dass die ihn betreffenden Sozialdaten von den Leistungsträgern nicht unbefugt verarbeitet werden. Darüber hinaus gelte für die ärztlichen Beschäftigten die ärztliche Schweigepflicht. Auch seien die Daten des Klägers entsprechend § 35 Abs. 1 Satz 3 SGB I nicht zugänglich für Beschäftigte des MDK, die Personalentscheidungen treffen oder daran mitwirken können; an diese Personen seien von den Zugriffsberechtigten auch keine Gesundheitsdaten des Klägers weitergegeben worden.
B. Rechtlicher Rahmen
8 AZR 253/20 (A) > Rn 14
Die DSGVO lautet auszugsweise:
„Artikel 2
Sachlicher Anwendungsbereich
(1)
Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
…
…
Artikel 4
Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1.
‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2.
‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
…
7.
‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
…
15.
‚Gesundheitsdaten‘ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;
…
…
Artikel 6
Rechtmäßigkeit der Verarbeitung
(1)
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a)
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b)
die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c)
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d)
die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e)
die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f)
die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
…
…
Artikel 9
Verarbeitung besonderer Kategorien personenbezogener Daten
(1)
Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
(2)
Absatz 1 gilt nicht in folgenden Fällen:
a)
Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
b)
die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,
…
h)
die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, … oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
…
(3)
Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.
…
…
Artikel 82
Haftung und Recht auf Schadenersatz
(1)
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
…
(3)
Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“
C. Zu den Vorlagefragen
8 AZR 253/20 (A) > Rn 15
Der Senat geht davon aus, dass im Ausgangsverfahren im Rahmen der vom Beklagten in seiner Eigenschaft als Medizinischer Dienst nach § 275 SGB V erstellten gutachtlichen Stellungnahme „personenbezogene Daten“ (Art. 4 Nr. 1 DSGVO) des Klägers „verarbeitet“ (Art. 4 Nr. 2 DSGVO) worden sind und dass es sich bei diesen Daten um „Gesundheitsdaten“ (35. Erwägungsgrund der DSGVO, Art. 4 Nr. 15 DSGVO) handelt. Die hier in Rede stehende Verarbeitung fällt auch in den sachlichen Anwendungsbereich der DSGVO, wie er in ihrem Art. 2 Abs. 1 definiert ist. Die für die Erstellung einer gutachtlichen Stellungnahme nach § 275 SGB V regelmäßig erforderliche Verarbeitung besteht im Erheben, Ordnen, Speichern und Abfragen der Daten im Sinne der Begriffsbestimmung der DSGVO.
8 AZR 253/20 (A) > Rn 16
Weiter geht der Senat davon aus, dass der beklagte MDK „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO ist, denn er hat, indem er über die Frage entschieden hat, ob er den Gutachtenauftrag betreffend den Kläger selbst ausführt und wie er die Gesundheitsdaten des Klägers verarbeitet, selbst über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (im Sinne der weiten Bestimmung des Begriffs des Verantwortlichen nach EuGH 13. Mai 2014 – C-131/12, EU:C:2014:317 – [Google Spain und Google] Rn. 34 zu der Vorgängerbestimmung in Art. 2 Buchstabe d der Richtlinie 95/46/EG) entschieden. Die dafür bestehende Dienstanweisung MDK stammt von ihm; die „Dienstvereinbarung zum Einsatz von ISmed 3“ hat der Beklagte mit dem Personalrat abgeschlossen.
8 AZR 253/20 (A) > Rn 17
Der Senat weist zudem darauf hin, dass sich im vorliegenden Fall die Frage, ob die insoweit einschlägigen Bestimmungen der DSGVO auf einer ausreichenden Ermächtigungsgrundlage beruhen, nicht stellt (vgl. anders in den Fällen der Vorabentscheidungsersuchen des Bundesarbeitsgerichts vom 30. Juli 2020 – 2 AZR 225/20 (A) -, – C-534/20 – und vom 27. April 2021 – 9 AZR 383/19 (A) -, – C-453/21 -). Der vorliegende Fall betrifft den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch eine Körperschaft des öffentlichen Rechts, die unter der Aufsicht der für die Sozialversicherung zuständigen obersten Verwaltungsbehörde des Landes Nordrhein-Westfalen steht.
8 AZR 253/20 (A) > Rn 18
Soweit der Senat den folgenden Ausführungen eine bestimmte Auslegung der Bestimmungen der DSGVO zugrunde legt, wird der Gerichtshof, sofern diese Auslegung unzutreffend sein sollte, über die Beantwortung der Vorlagefragen hinaus um einen entsprechenden Hinweis gebeten.
2. Zur ersten Frage
8 AZR 253/20 (A) > Rn 19
Mit seiner ersten Vorlagefrage möchte der Senat wissen, ob Art. 9 Abs. 2 Buchstabe h DSGVO dahin auszulegen ist, dass es einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten.
8 AZR 253/20 (A) > Rn 20
Da es sich bei den von dem beklagten MDK verarbeiteten Daten um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO handelt, geht der Senat davon aus, dass zunächst zu prüfen ist, ob die mit der Gutachtenerstellung und -speicherung vorgenommene Datenverarbeitung bereits nach Art. 9 Abs. 1 DSGVO untersagt ist. Dies wäre der Fall, wenn keiner der in Art. 9 Abs. 2 DSGVO aufgeführten Ausnahmetatbestände vorliegen würde. Dabei können hier nach den Umständen des Ausgangsfalls allein Art. 9 Abs. 2 Buchstabe b und Buchstabe h DSGVO als Ausnahmen von dem grundsätzlichen Verarbeitungsverbot in Art. 9 Abs. 1 DSGVO in Betracht gezogen werden.
8 AZR 253/20 (A) > Rn 21
Nach Auffassung des Senats kann sich der beklagte MDK – in seiner Eigenschaft als Arbeitgeber des Klägers – nicht auf den Ausnahmetatbestand des Art. 9 Abs. 2 Buchstabe b DSGVO berufen. Nach dieser Bestimmung muss die Verarbeitung erforderlich sein, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist. Im Ausgangsverfahren war die Verarbeitung der Gesundheitsdaten des Klägers, die im Zusammenhang mit der Erstellung der gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers anfielen, für den beklagten MDK in seiner Eigenschaft als Arbeitgeber nicht erforderlich, um seine oben genannten Rechte ausüben und seinen diesbezüglichen Pflichten nachkommen zu können. Dabei geht der Senat davon aus, dass es sich in den Fällen, in denen „Verantwortlicher“ ein Arbeitgeber und „betroffene Person“ ein Arbeitnehmer sind, bei den Rechten und Pflichten aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes um solche handeln muss, die dem Verantwortlichen und der betroffenen Person in ihrer Eigenschaft als Arbeitsvertragsparteien zustehen bzw. diese treffen. Die Rechte und Pflichten im Sinne von Art. 9 Abs. 2 Buchstabe b DSGVO müssen demnach – nach Auffassung des Senats – unmittelbar aus dem diesen Arbeitgeber und diesen Arbeitnehmer verbindenden Arbeitsverhältnis resultieren. Danach war die Verarbeitung der Gesundheitsdaten des Klägers durch den Beklagten unter keinem der in Art. 9 Abs. 2 Buchstabe b DSGVO genannten Gesichtspunkte erforderlich. Zum einen hatte der beklagte MDK selbst keine Zweifel an der ärztlich bescheinigten Arbeitsunfähigkeit des Klägers, für ihn stellte sich nicht die Frage, ob er dem Kläger zur Fortzahlung des Entgelts im Krankheitsfall verpflichtet war. Vielmehr ist der beklagte MDK nach Ablauf des Entgeltfortzahlungszeitraums auf Veranlassung der Krankenkasse des Klägers, die an diesen Krankengeld leistete, tätig geworden, weil diese Zweifel an der Arbeitsunfähigkeit des Klägers hatte. Zum anderen ist es nach nationalem Recht aus Gründen des Datenschutzes ausgeschlossen, dass ein Arbeitgeber im Fall einer ärztlich attestierten Arbeitsunfähigkeit des Arbeitnehmers mehr erfährt als den Umstand, dass eine Arbeitsunfähigkeit vorliegt und wie lange diese voraussichtlich andauern wird. Weitere Gesundheitsdaten – insbesondere die Krankheitsdiagnose(n) – darf der Arbeitgeber nicht erfahren. Dies gilt unabhängig davon, ob ein Medizinischer Dienst von der Krankenkasse mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Arbeitnehmers beauftragt wurde oder ob der Arbeitgeber selbst Zweifel an der Arbeitsunfähigkeit seines Arbeitnehmers hat und deshalb nach § 275 Abs. 1a Satz 3 SGB V von der Krankenkasse verlangt, dass diese eine gutachtliche Stellungnahme des Medizinischen Dienstes einholt. Zwar kann die Krankenkasse nach § 277 Abs. 2 SGB V im Einzelfall verpflichtet sein, dem Arbeitgeber und dem Versicherten das Ergebnis des Gutachtens des Medizinischen Dienstes über die Arbeitsunfähigkeit mitzuteilen; jedoch darf die Mitteilung keine Angaben über die Krankheit des Versicherten enthalten.
8 AZR 253/20 (A) > Rn 22
Der Senat kann allerdings nicht beurteilen, ob sich der beklagte MDK für die Verarbeitung der Gesundheitsdaten des Klägers im Zusammenhang mit der Erstellung der gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers auf den Ausnahmetatbestand des Art. 9 Abs. 2 Buchstabe h DSGVO berufen kann. Nach dieser Bestimmung muss die Verarbeitung unter anderem für die Beurteilung der Arbeitsfähigkeit des Beschäftigten auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats und vorbehaltlich der in Absatz 3 genannten Bedingungen erforderlich sein. Wie unter Rn. 9 ausgeführt, hat der Beklagte nach § 275 Abs. 1 Satz 1 Nr. 3 Buchstabe b SGB V auf Veranlassung der Krankenkasse des Klägers, die an diesen Krankengeld leistete und Zweifel an dessen Arbeitsunfähigkeit hatte, eine gutachtliche Stellungnahme zur Beseitigung dieser Zweifel erstellt. Damit könnte die Verarbeitung der Gesundheitsdaten des Klägers im Zusammenhang mit der Erstellung einer solchen gutachtlichen Stellungnahme gegebenenfalls für die Beurteilung der Arbeitsfähigkeit des Klägers im Sinne von Art. 9 Abs. 2 Buchstabe h DSGVO erforderlich gewesen sein. Allerdings hat der Senat erhebliche Bedenken, ob der Beklagte sich in einer Situation wie hier überhaupt auf diese Bestimmung berufen kann. Eine Anwendbarkeit von Art. 9 Abs. 2 Buchstabe h DSGVO im Ausgangsfall würde nämlich dazu führen, dass dem Beklagten, der sich – nach Auffassung des Senats – in seiner Eigenschaft als Arbeitgeber des Klägers für eine Verarbeitung der im Rahmen der gutachtlichen Stellungnahme anfallenden Gesundheitsdaten des Klägers nicht auf Art. 9 Abs. 2 Buchstabe b DSGVO berufen kann, entgegen dieser Bestimmung wegen seiner Doppelfunktion als Arbeitgeber und als Medizinischer Dienst der Krankenkasse des Klägers eine weitergehende Datenverarbeitung erlaubt wäre. Im Übrigen spricht nach Auffassung des Senats alles dafür, dass die in Art. 9 Abs. 2 Buchstabe h DSGVO geregelte Verarbeitung von Gesundheitsdaten eines Betroffenen durch eine neutrale Stelle und nicht durch den Arbeitgeber erfolgt. Der Senat geht deshalb davon aus, dass ein Medizinischer Dienst im Fall seiner eigenen Beschäftigten von der Krankenkasse nicht mit der Erstellung einer gutachtlichen Stellungahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit dieser Beschäftigten beauftragt werden darf und dass er einen solchen Auftrag auch nicht annehmen darf. Vor diesem Hintergrund nimmt der Senat an, dass Art. 9 Abs. 2 Buchstabe h DSGVO dahin auszulegen sein könnte, dass es unter Umständen wie denen des Ausgangsfalls einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten.
8 AZR 253/20 (A) > Rn 23
Insoweit ist im Übrigen anzumerken, dass im Ausgangsfall keine gravierend negativen praktischen Auswirkungen zu erwarten sind, wenn der Beklagte – soweit seine eigenen Beschäftigten betroffen sind – nicht selbst die Aufgaben eines Medizinischen Dienstes wahrnehmen darf. Wie bereits für körperliche Untersuchungen vom beklagten MDK praktiziert, kann der gesamte Begutachtungsauftrag der Krankenkasse unproblematisch einem anderen Medizinischen Dienst bzw. dem Sozialmedizinischen Dienst der Knappschaft überlassen werden. Vorzugsweise sollte dies durch einen elektronischen Abgleich von Gutachtenaufträgen mit dem Verzeichnis der Beschäftigten sichergestellt werden. Nach Auffassung des Senats muss es nämlich bereits ausgeschlossen sein, dass eine bei dem Beklagten beschäftigte Person – ein Kollege bzw. eine Kollegin des Klägers – mit der Gutachtenanfrage und -ausführung einschließlich der damit verbundenen Datenverarbeitung befasst ist, und sei es auch nur in einer Eingangs- bzw. Auffangzuständigkeit. Angesichts der bei dem beklagten MDK teilweise praktizierten standortübergreifenden Aufgabenwahrnehmung, insbesondere im Bereich der IT, geht der Senat zudem davon aus, dass der Umstand, dass der beklagte MDK verschiedene Standorte unterhält und eine „Organisationseinheit Spezialfall“ eingerichtet hat, nicht zu einer anderen Beurteilung führt.
3. Zur zweiten Frage
8 AZR 253/20 (A) > Rn 24
Die zweite Vorlagefrage stellt sich nur dann, wenn der Gerichtshof die erste Frage verneint. Wenn Art. 9 Abs. 2 Buchstabe h DSGVO unter Umständen wie denen des Ausgangsfalls einem Medizinischen Dienst einer Krankenkasse nicht untersagen würde, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten, müsste nämlich geklärt werden, welche Anforderungen bei der Datenverarbeitung an den Datenschutz zu stellen sind.
8 AZR 253/20 (A) > Rn 25
Insoweit geht der Senat davon aus, dass es nicht ausreichen würde, nur die in Art. 9 Abs. 3 DSGVO bestimmten Maßgaben zu beachten. Es würde demnach nicht genügen, wenn die Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt. Aus Sicht des Senats würde es zudem nicht ausreichen, wenn – wie im deutschen Recht durch § 35 Abs. 1 Satz 3 SGB I geregelt – Beschäftigte eines Medizinischen Dienstes der Krankenversicherung, die Personalentscheidungen treffen oder daran mitwirken können, keinen Zugang zu den Daten des Beschäftigten haben dürfen, dessen Arbeitsunfähigkeit begutachtet wird. Vielmehr wäre aus Sicht des Senats sicherzustellen, dass von der für ein solches Gutachten erforderlichen Datenverarbeitung alle Beschäftigten ausgeschlossen sind, mit denen ein beruflicher Kontakt besteht bzw. bestehen kann. Bei einem Arbeitgeber mit mehreren Standorten – wie hier – wäre es bei einer strikten Standorttrennung – die hier nach den Umständen des Falls nicht gegeben ist – denkbar, dass mindestens zwei voneinander unabhängige „Organisationseinheiten Spezialfall“ eingerichtet sind, von denen jeweils diejenige Einheit zum Einsatz kommt, welcher der Beschäftigte, dessen Arbeitsunfähigkeit begutachtet wird, nicht angehört. Das würde in einem Fall wie hier voraussetzen, dass es auch getrennte IT-Abteilungen gäbe, was im Ausgangsfall nicht zutrifft. Eine Situation wie hier, in der Kollegen und Kolleginnen der IT-Abteilung, in der auch der Kläger tätig ist, letztlich – berechtigt oder unberechtigt – Zugriff auf seine Gesundheitsdaten nehmen können, und es zudem nicht ausgeschlossen ist, dass der Kläger als Beschäftigter in einer standortübergreifenden IT-Abteilung zu einem späteren Zeitpunkt mit der seine Arbeits(un)fähigkeit begutachtenden Ärztin kollegial zusammenarbeiten muss, ist aus Sicht des Senats aus Gründen des Datenschutzes nicht hinnehmbar. Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen (35. Erwägungsgrund der DSGVO), verdienen nach der DSGVO einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können (51. Erwägungsgrund der DSGVO) und das Erreichen des Zwecks der Verarbeitung unter besonderen Anforderungen der Erforderlichkeit steht (53. Erwägungsgrund der DSGVO). Eine Verletzung des Schutzes personenbezogener Gesundheitsdaten kann in einer Situation wie der vorliegenden unter anderem einen materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa den Verlust der Kontrolle über die eigenen personenbezogenen Daten, Diskriminierung und Rufschädigung (75. Erwägungsgrund der DSGVO).
8 AZR 253/20 (A) > Rn 26
Aus Sicht des Senats können in einer kollegialen Situation wie hier insbesondere Sicherungsmaßnahmen nicht ausreichen, die die in die Datenverarbeitung einbezogenen Kollegen und Kolleginnen lediglich zum Schweigen verpflichten. Deshalb reichen weder die ärztliche Schweigepflicht noch das sogenannte Sozialgeheimnis (§ 35 SGB I) aus, das vor unbefugter Datenverarbeitung durch die Leistungsträger schützt und die Verpflichtung umfasst, auch innerhalb des Leistungsträgers sicherzustellen, dass die Sozialdaten nur Befugten zugänglich sind oder nur an diese weitergegeben werden. Sicherungsmaßnahmen wie diese sind allein darauf gerichtet, die Weitergabe von Daten zu verhindern. Sie können jedoch nicht dem Risiko begegnen, dass das betroffene kollegiale Verhältnis durch die Kenntnisnahme von sensiblen, nicht freiwillig preisgegebenen Gesundheitsdaten negativ beeinflusst wird. Risiken sind unter anderem, dass – je nach Art der Krankheit – der Ruf geschädigt wird, das Ansehen bzw. die Reputation leidet und/oder dass die begutachtete Person für sie peinlichen Situationen ausgesetzt ist bzw. dies so empfindet. Insbesondere im Ausgangsfall ist nicht nur zu bedenken, dass Depressionen in der Gesellschaft und Arbeitswelt nicht selten als „heikles Thema“ bzw. „Tabuthema“ angesehen werden und damit auch Annahmen anderer über die Leistungsfähigkeit verbunden sein können. Darüber hinaus ist allein schon der Umstand einer gutachtlichen Überprüfung wegen Zweifeln an einer Arbeitsunfähigkeit eine sensible Information, da damit auch die Möglichkeit der Vortäuschung einer Arbeitsunfähigkeit assoziiert werden kann.
8 AZR 253/20 (A) > Rn 27
Aus Sicht des Senats ist es deshalb erforderlich, durch technische und organisatorische Maßnahmen sicherzustellen, dass keine bei einem Medizinischen Dienst beschäftigte Person – auch nicht Beschäftigte mit Eingangs- bzw. Auffangzuständigkeit beispielsweise in einer Poststelle – Zugang zu den hier in Rede stehenden Gesundheitsdaten von Kollegen oder Kolleginnen haben. Dazu gehört es auch, dass der bloße Umstand einer anstehenden Überprüfung einer Arbeitsunfähigkeit keiner bei dem jeweiligen Medizinischen Dienst beschäftigten Person bekannt werden darf. Der beklagte MDK wäre deshalb aus Sicht des Senats verpflichtet gewesen sicherzustellen, dass Aufträge der Krankenkasse, die eigene Beschäftigte betreffen, von vornherein – etwa durch einen automatisierten softwarebasierten Abgleich von eingehenden Aufträgen mit dem Beschäftigtenverzeichnis – nicht angenommen werden. Darüber hinaus ist der Senat im Übrigen der Auffassung, dass die Systeme der Datenverarbeitung für sensible Gesundheitsdaten durch höchste Standards vor Angriffen jeglicher Art von innen und außen zu schützen sind, um eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten (vgl. etwa Art. 5 Abs. 1 Buchstabe f DSGVO).
4. Zur dritten Frage
8 AZR 253/20 (A) > Rn 28
Auch die dritte Vorlagefrage stellt sich nur dann, wenn der Gerichtshof die erste Frage verneint. Wenn Art. 9 Abs. 2 Buchstabe h DSGVO unter Umständen wie denen des Ausgangsfalls einem Medizinischen Dienst einer Krankenkasse nicht untersagen würde, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten, dann müsste auch geklärt werden, ob die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon abhängt, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist.
8 AZR 253/20 (A) > Rn 29
Der Senat geht für den Fall, dass keine Ausnahme nach Art. 9 Abs. 2 DSGVO von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten des Klägers besteht, davon aus, dass die Datenverarbeitung untersagt ist und auch nicht nach Art. 6 Abs. 1 DSGVO „erlaubt“ werden kann. Nicht geklärt ist allerdings bislang, ob in dem Fall, dass einer der Tatbestände des Art. 9 Abs. 2 DSGVO erfüllt ist, die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon abhängt, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist. Für diesen Fall weist der Senat auf Folgendes hin:
8 AZR 253/20 (A) > Rn 30
Im Ausgangsfall liegt weder eine Einwilligung des Klägers als betroffener Person zu der Verarbeitung seiner Gesundheitsdaten vor (Art. 6 Abs. 1 Buchstabe a DSGVO), noch ist die Verarbeitung der in Rede stehenden Gesundheitsdaten des Klägers für die Erfüllung des Arbeitsvertrags der Parteien des Ausgangsrechtsstreits erforderlich (Art. 6 Abs. 1 Buchstabe b DSGVO). Von den weiteren in Art. 6 Abs. 1 DSGVO abschließend aufgeführten Voraussetzungen kommen zwei, nämlich die in Art. 6 Abs. 1 Buchstaben d und f DSGVO aufgeführten, von vornherein nicht in Betracht.
8 AZR 253/20 (A) > Rn 31
Die übrigen zwei in Art. 6 Abs. 1 DSGVO aufgeführten Tatbestände könnten zwar womöglich grundsätzlich anwendbar sein. Danach muss die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich sein, der der Verantwortliche unterliegt (Art. 6 Abs. 1 Buchstabe c DSGVO) oder sie muss für die Wahrnehmung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt und die dem Verantwortlichen übertragen worden ist (Art. 6 Abs. 1 Buchstabe e DSGVO). Allerdings spricht aus Sicht des Senats viel dafür, dass es in beiden Fällen an der Erforderlichkeit der Datenverarbeitung durch den Beklagten fehlt. Das Ziel, mittels einer gutachtlichen Stellungnahme Zweifel an der Arbeitsunfähigkeit eines Beschäftigten auszuräumen, kann nämlich ebenso gut durch das Tätigwerden eines anderen Medizinischen Dienstes oder des Sozialmedizinischen Dienstes der Knappschaft erreicht werden. Deren Befassung mit der hier streitgegenständlichen Datenverarbeitung hätte den Vorteil, dass nicht der eigene Arbeitgeber unter Einbeziehung von Kollegen und Kolleginnen sensible Gesundheitsdaten verarbeitet, zu denen der jeweilige Medizinische Dienst in seiner Eigenschaft als Arbeitgeber keinen Zugang hat. Da somit das angestrebte Ziel auch auf einem anderen Weg erreicht werden kann, der den Schutz der sensiblen Gesundheitsdaten besser gewährleistet, ginge die bei dem beklagten MDK erfolgte Verarbeitung der Gesundheitsdaten des Klägers über das hinaus, was erforderlich ist. Zudem könnte der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO) berührt sein.
5. Vorbemerkungen zur vierten und zur fünften Frage
8 AZR 253/20 (A) > Rn 32
Sofern sich auf der Grundlage der Antworten des Gerichtshofs auf die ersten drei Fragen ergeben sollte, dass im Ausgangsfall ein Verstoß, gegebenenfalls sogar mehrere Verstöße gegen die DSGVO im Sinne von Art. 82 Abs. 1 DSGVO festzustellen ist/sind – wobei fraglich sein könnte, nach welchen Kriterien solche gegebenenfalls im Sinne der DSGVO abzugrenzen wären -, wäre davon auszugehen, dass der Kläger dem Grunde nach einen Anspruch gegen den Beklagten auf Schadenersatz nach Art. 82 Abs. 1 DSGVO hätte.
8 AZR 253/20 (A) > Rn 33
Insoweit geht der Senat in Kenntnis des Vorabentscheidungsersuchens des Obersten Gerichtshofs (Österreich) (- C-300/21 -) davon aus, dass Art. 82 Abs. 1 DSGVO ein Recht auf Schadenersatz nur für Personen vorsieht, die selbst wegen der Verletzung einer oder mehrerer Bestimmungen der DSGVO bei der Verarbeitung „ihrer“ personenbezogenen Daten (vgl. 2. Erwägungsgrund der DSGVO) in ihren (subjektiven) Rechten verletzt worden sind, die also selbst Opfer eines Verstoßes bzw. mehrerer Verstöße gegen die DSGVO geworden sind. Ferner geht der Senat davon aus, dass der Rechtsanspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO über eine solche Verletzung der DSGVO hinaus nicht zusätzlich erfordert, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Sie muss also aus Sicht des Senats keine „Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht“ (vgl. dazu jedoch die dritte Vorlagefrage des Vorabentscheidungsersuchens des Obersten Gerichtshofs (Österreich) – C-300/21 -) darlegen. Nach Auffassung des Senats führt demnach bereits die Verletzung der DSGVO selbst zu einem auszugleichenden immateriellen Schaden.
8 AZR 253/20 (A) > Rn 34
Unabhängig davon hängt die Entscheidung des vorliegenden Rechtsstreits nach Auffassung des Senats nicht davon ab, wie der Gerichtshof die dritte Vorlagefrage des Vorabentscheidungsersuchens des Obersten Gerichtshofs (Österreich) (- C-300/21 -) beantwortet. Selbst wenn der Gerichtshof zu dem Ergebnis käme, dass ein Anspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO voraussetzt, dass „eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht“, wenn also eine Verletzung des Anspruchstellers von einigem Gewicht gegeben sein bzw. eine Verletzung eine gewisse Erheblichkeitsschwelle überschritten haben müsste, stünde dies einem Schadenersatzanspruch des Klägers nicht entgegen. Insoweit geht der Senat nämlich davon aus, dass im vorliegenden Fall die Grenze einer erheblichen Rechtsverletzung (weit) überschritten ist.
6. Zur vierten Frage
8 AZR 253/20 (A) > Rn 35
Mit seiner vierten Vorlagefrage möchte der Senat wissen, ob Art. 82 Abs. 1 DSGVO neben seiner Ausgleichsfunktion zudem spezial- bzw. general-präventiven Charakter hat und ob der Senat dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen (bzw. Auftragsverarbeiters) zu berücksichtigen hat.
8 AZR 253/20 (A) > Rn 36
Nach dem 146. Erwägungsgrund der DSGVO sollen die betroffenen Personen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Dabei geht der Senat davon aus, dass bei der Bemessung des immateriellen Schadenersatzes durch das Gericht alle Umstände des Einzelfalls zu berücksichtigen sind – hier gegebenenfalls auch die spätere Kündigung des Arbeitsverhältnisses des Klägers – und dass ein tatsächlicher und wirksamer rechtlicher Schutz der aus der DSGVO hergeleiteten Rechte gewährleistet werden soll. Deshalb könnte es darauf ankommen, dass – wie in anderen Bereichen des Unionsrechts – die Höhe eines immateriellen Schadenersatzes der Schwere des mit ihm geahndeten Verstoßes gegen die DSGVO entspricht, wobei vermutlich eine wirklich abschreckende Wirkung – gegebenenfalls mit spezial- bzw. generalpräventivem Charakter – zu gewährleisten, zugleich aber der allgemeine Grundsatz der Verhältnismäßigkeit zu wahren wäre (vgl. zu anderen Bereichen des Unionsrechts etwa: EuGH 15. April 2021 – C-30/19, EU:C:2021:269 – [Braathens Regional Aviation] Rn. 38; 25. April 2013 – C-81/12, EU:C:2013:275 – [Asociatia ACCEPT] Rn. 63).
8 AZR 253/20 (A) > Rn 37
Neben dem damit unter anderem angesprochenen Grundsatz der Effektivität könnte bei der Höhe eines immateriellen Schadenersatzes zudem der Grundsatz der Äquivalenz zu berücksichtigen sein. Dabei geht der Senat zwar davon aus, dass Art. 82 DSGVO keine Verweisung auf das Recht der Mitgliedstaaten der Europäischen Union enthält und in der gesamten Union eine autonome und einheitliche Auslegung erfahren muss. Gleichwohl könnten angesichts womöglich in der Praxis unterschiedlich hoher Entschädigungsbeträge in den Mitgliedstaaten in vergleichbaren Fällen bei der Höhe eines immateriellen Schadenersatzes Gesichtspunkte der Äquivalenz zu berücksichtigen sein (vgl. insoweit auch zur Befugnis der Mitgliedstaaten, entsprechende Kriterien zur Staatshaftung für Schäden, die Einzelnen durch Verstöße gegen das Unionsrecht verursacht werden, zu bestimmen: ua. EuGH 19. November 1991 – C-6/90 und C-9/90, EU:C:1991:428 – [Francovich ua.] Rn. 42 f.; 5. März 1996 – C-46/93 und C-48/93, EU:C:1996:79 – [Brasserie du pêcheur und Factortame] Rn. 67).
7. Zur fünften Frage
8 AZR 253/20 (A) > Rn 38
Mit seiner fünften Vorlagefrage möchte der Senat wissen, ob es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen (bzw. Auftragsverarbeiters) ankommt. In diesem Zusammenhang ist insbesondere fraglich, ob ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen (bzw. Auftragsverarbeiters) zu dessen Gunsten berücksichtigt werden darf.
8 AZR 253/20 (A) > Rn 39
Diese Frage stellt sich für den Senat insbesondere vor dem Hintergrund des deutschen Zivilrechts, in dem es neben verschuldensunabhängigen Haftungstatbeständen auch verschuldensabhängige gibt, wobei das Verschulden im nationalen allgemeinen Schuldrecht mit „Vertretenmüssen“ bezeichnet wird. Insoweit ist in § 276 Abs. 1 Satz 1 BGB geregelt, dass der Schuldner in der Regel Vorsatz und Fahrlässigkeit zu vertreten hat, wenn nicht eine strengere oder mildere Haftung bestimmt ist. Würde für Art. 82 Abs. 1 DSGVO ähnliches gelten, müsste für eine Haftung zu dem bloßen Verstoß gegen die DSGVO etwas Weiteres hinzutreten, nämlich die subjektive Vorwerfbarkeit wegen Vorsatz oder Fahrlässigkeit. Der Senat nimmt allerdings an, dass die Haftung des Verantwortlichen (bzw. Auftragsverarbeiters) nach Art. 82 Abs. 1 DSGVO verschuldensunabhängig ist, also diese Bestimmung die Haftung des Urhebers eines Verstoßes keineswegs vom Vorliegen oder dem Nachweis eines Verschuldens abhängig macht (vgl. zu anderen Bereichen des Unionsrechts etwa: EuGH 22. April 1997 – C-180/95, EU:C:1997:208 – [Draehmpaehl] Rn. 17; 8. November 1990 – C-177/88, EU:C:1990:383 – [Dekker] Rn. 22). Wie unter Rn. 33 ausgeführt, geht der Senat davon aus, dass bereits die Verletzung der DSGVO als solche für einen Anspruch nach Art. 82 Abs. 1 DSGVO ausreicht.
8 AZR 253/20 (A) > Rn 40
Schließlich ist der Senat der Auffassung, dass sich insoweit aus Art. 82 Abs. 3 DSGVO nichts Abweichendes ergibt. Die darin enthaltene Bestimmung, wonach bei Nachweis der Nichtverantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist, eine Befreiung von der Haftung eintritt, betrifft nach Auffassung des Senats nicht das Verschulden im Sinne eines „Vertretenmüssens“. Art. 82 Abs. 3 DSGVO betrifft vielmehr lediglich die Frage nach einer „Beteiligung“ (im Sinne von: „beteiligt“ oder „nicht beteiligt“) – etwa in von außen schwer durchschaubaren Datenverarbeitungszusammenhängen mit mehreren potentiellen Beteiligten – bzw. die Frage nach der Urheberschaft im Sinne der Kausalität. Letzteres kann beispielsweise anzunehmen sein, wenn der haftungsbegründende Umstand auf einem unzulässigen Zugriff eines Dritten beruht, der trotz aller gebotenen Sicherheitsmaßnahmen Erfolg hatte (Däubler in Däubler/Wedde/Weichert/Sommer EU-DSGVO und BDSG 2. Aufl. DSGVO Art. 82 Rn. 24 mwN).
Schlewing Winter Vogelsang
Volz Wroblewski
> BAG, 05.05.2022 – 2 AZR 363/21