Seine Forderung nach Schadensersatz endgültig verloren hat mit dem Richterspruch ein Computerexperte des Medizinischen Dienstes der Krankenversicherung Nordrhein (Urteil vom 20.06.2024 – 8 AZR 253/20). Er klagte wegen einer angeblichen Verletzung datenschutzrechtlicher Vorschriften und seines Persönlichkeitsrechts. Denn nach längerer Krankheit hatte die Kasse, bei der er versichert war, bei seinem dafür zuständigen Arbeitgeber – eben dem MDK – um ein Gutachten über ihn gebeten. Der Systemadministrator und Mitarbeiter des IT-Helpdesks beanstandete: Die Kollegen wüssten jetzt, dass er an einer (sich mittlerweile bessernden) Depression leide.
Eine besondere Konstellation, in welcher der Beklagte eine "Doppelfunktion" innehat, weil er sowohl der Arbeitgeber der zu begutachtenden Person ist als auch Expertisen für die gesetzlichen Krankenkassen bei Zweifeln an der Arbeitsunfähigkeit von Versicherten erstellt. Dafür gibt es bei diesem MDK eine "Organisationseinheit Spezialfall" sowie besondere Regelungen, darunter eine "Dienstanweisung zum Schutz bei Sozialdaten der Beschäftigten des Medizinischen Diensts" der betreffenden Krankenkasse und ihrer Angehörigen. Eine bei der Kontrollinstitution angestellte Ärztin erarbeitete eine Beurteilung, welche die Diagnose der Krankheit des Klägers enthielt. Dazu hatte sie auch mit dem behandelnden Arzt telefoniert. Nachdem der Betroffene über diesen von dem Telefonat erfahren hatte, kontaktierte er eine Kollegin aus der IT-Abteilung, die auf seine Bitten hin im Archiv nach dem Gutachten recherchierte, hiervon mit ihrem Handy Fotos schoss und ihm anschließend über einen Messenger-Dienst zuleitete.
Nach Niederlagen vor dem ArbG Düsseldorf und dem dortigen LAG legte das BAG dem EuGH fünf Fragen zur Auslegung der DS-GVO vor (NJW-aktuell H. 34/2021, 6). Der antwortete naturgemäß allgemein, aber eher zulasten des Klägers (NJW-aktuell H. 51/2023, 6). Die Luxemburger Richter verwiesen unter anderem auf Ausnahmen vom Verbot, besonders empfindliche Kategorien personenbezogener Daten wie solche über die Gesundheit zu verarbeiten, die etwa für den Bereich der Arbeitsmedizin gelten (Art. 9 Abs. 3 Buchst. h DS-GVO). Allerdings müssten besondere Sicherheitsvorkehrungen eingehalten werden, und die Mitgliedstaaten dürften diese noch verschärfen (Art. 5 ABs. 1 Buchst. f, 6 Abs. 1, 9 Abs. 3 und 4, 32 Abs. 1 Buchst. a und b). Ein etwaiger Ersatzanspruch sei danach zu bemessen, dass er eine Ausgleichsfunktion für einen konkret erlittenen Schaden habe, aber keinen abschreckenden oder strafenden Zweck. Der Grad des Verschuldens sei dabei nicht zu berücksichtigen.
Vorgaben des EuGH erfüllt
Das griffen Deutschlands oberste Arbeitsrichterinnen und -richter nun auf. Der MDK durfte den Zustand seines eigenen Beschäftigten prüfen, entschieden sie. Auch musste er nicht dafür sorgen, dass kein einziger der anderen Mitarbeitenden Einblick bekam. Der Betroffene hatte immateriellen Schadensersatz verlangt, weil die Verarbeitung seiner Gesundheitsdaten unzulässig gewesen sei. Die Stellungnahme hätte nach seiner Ansicht durch einen anderen Medizinischen Dienst erstellt werden müssen. Jedenfalls sei die Gutachterin nicht berechtigt gewesen, bei seinem Arzt Auskünfte einzuholen. Ein weiterer Vorwurf: Die Sicherheitsmaßnahmen rund um die Archivierung der Unterlagen seien unzureichend gewesen. Die unrechtmäßige Verarbeitung seiner Gesundheitsdaten habe bei ihm bestimmte Sorgen und Befürchtungen ausgelöst, wie er weiter ausführte. Vor dem LAG setzte der Mann noch eine weitere Forderung drauf: Nun begehrte er zusätzlich materiellen Schadenersatz, nämlich einen Erwerbsschaden. Denn die Kenntnis von besagtem Telefonat habe zu einer Verlängerung seiner Arbeitsunfähigkeit geführt.
Mit all dem fand er in Erfurt keine Zustimmung. Von den Grundvoraussetzungen eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DS-GVO war der Entscheidung zufolge keine einzige erfüllt – nämlich weder ein Verstoß gegen die DS-GVO noch ein materieller oder immaterieller Schaden des Betroffenen und auch kein ursächlicher Zusammenhang zwischen Schaden und Verstoß. So fehle es bereits an einer Verletzung der europäischen Bestimmungen. "Die Verarbeitung der Gesundheitsdaten des Klägers durch den Beklagten war insgesamt unionsrechtlich zulässig", fasste der 8. Senat zusammen. Sie habe nämlich den Vorgaben des EuGH aus der Vorabentscheidung (C-667/21) genügt, um die ihn das BAG (Az. 8 AZR 253/20 (A)) gebeten hatte. Die Verarbeitung war demnach zur Erstellung der Stellungnahme, die ihre Grundlage im nationalen Recht habe, erforderlich, um Zweifeln an seiner Arbeitsunfähigkeit nachzugehen (Art. 9 Abs. 2 Buchst. h DS-GVO). Das betreffe auch das Telefongespräch zwischen der Gutachterin und dem behandelnden Mediziner.
Auch deutsches Recht eingehalten
Die Datenverarbeitung genügte aus Erfurter Sicht zudem den Garantien des Art. 9 Abs. 3 DS-GVO. Denn sämtliche Mitarbeiter des MDK, die Zugang zu Gesundheitsdaten des Klägers hatten, unterlägen einer beruflichen Verschwiegenheitspflicht – jedenfalls dem Sozialgeheimnis, das sie auch untereinander zu beachten hätten. "Das Unionsrecht enthält in den genannten Bestimmungen keine Vorgabe, wonach in einem Fall wie dem Vorliegenden ein anderer Medizinischer Dienst mit der Erstellung des Gutachtens beauftragt werden oder sichergestellt werden müsste, dass kein anderer Arbeitnehmer des beauftragten MD Zugang zu Gesundheitsdaten des Betroffenen erhält", schreibt der Senat in seiner Pressemitteilung. Entsprechende Beschränkungen der (Gesundheits-)Datenverarbeitung, die die Mitgliedstaaten nach Art. 9 Abs. 4 DS-GVO einführen oder aufrechterhalten dürfen, seien im deutschen Recht nicht enthalten.
Und schließlich sei die Datenverarbeitung auch im Übrigen rechtmäßig gewesen, heißt es in dem Urteilsbericht weiter. Sie habe nämlich die allgemeinen Bedingungen für eine rechtmäßige Verarbeitung des Art. 6 DS-GVO erfüllt, der zahlreiche Ausnahmen vom grundsätzlichen Verarbeitungsverbot auflistet, sowie jene des daneben anwendbaren Art. 9 DS-GVO, der zusätzliche Kriterien für Gesundheitsdaten nennt. "Die vom Beklagten hinsichtlich der Wahrnehmung seiner gesetzlichen Aufgaben als Medizinischer Dienst zum Schutz der Gesundheitsdaten eigener Mitarbeiter getroffenen organisatorischen und technischen Maßnahmen wurden überdies den im Unionsrecht verankerten Grundsätzen der Integrität und Vertraulichkeit gerecht", stellen die Thüringer Bundesrichter und -richterinnen fest. Was sie mit dem Hinweis unterstreichen, es handele sich hier um den einzigen nachgewiesenen Fall dieser Art – zumal der Zugriff durch eine unzuständige Kollegin aus seiner eigenen IT-Abteilung, die für den Kläger die erwähnten Fotos aufgenommen hatte, auf dessen eigene Initiative zurückzuführen gewesen sei.