CHB_RSW_Logo_mit_Welle_trans
Banner Jubiläumslogo

NZADirekt

NZADirekt: Die Datenbank zum NZA-Abonnement in beck-online - Jetzt im Homeoffice kostenlos freischalten!

 

Mit der Online-Freischaltung für einen Nutzer profitieren Sie sofort + gratis von allen tagesaktuellen Inhalten:

• Online-Archiv der NZA seit 1984,
• Aufsätze und Rechtsprechung zum Arbeitsrecht in der NJOZ - Neue Juristische Online-Zeitschrift,
• die in der NZA häufig zitierten Normen.

Unter www.freischaltung.beck.de geben Sie Ihre persönliche Freischaltnummer (Aufdruck auf NZA Heft 2/2020) ein und klicken auf »weiter«.

Sie finden Ihre Freischaltnummer nicht mehr? E-Mail: beck-online  (Bitte unter Angabe von Vor- und Nachname sowie der Abonummer auf dem NZA-Adressaufkleber).

Noch kein NZA-Abonnent? Testen Sie jetzt das NZA-Abo kostenlos!

 

NZA-Newsletter

NZA-Newsletter: Das aktuelle Heft im Überblick per E-Mail

 

Immer auf dem Laufenden mit dem kostenlosen NZA-Newsletter: Dieser informiert Sie pünktlich zum Erscheinungstermin über das neue Heft und punktet mit einer qualifizierten Inhaltsübersicht mit Abstracts der Aufsätze und den amtlichen Leitsätzen der Rechtsprechung. Selbstverständlich vollverlinkt zu beck-online. Ideal für den schnellen Überblick auf dem Smartphone!

Gleich anmelden und von den Vorteilen profitieren!

 


NZA Nachrichten und Podcast

Die NZA-Nachrichten können Sie bequem als RSS-Feed abonnieren und so auf Ihr Mobiltelefon laden oder in einem Feed-Reader lesen (z. B. dem Google Reader). So erhalten Sie stets einen aktuellen Überblick darüber, was es in Gesetzgebung und Rechtsprechung Neues gibt. Schneller kann Recht nicht sein! Die Nachrichten finden Sie auf dieser Seite oder durch Klick auf das RSS-Symbol.

Die von der NZA-Redaktion ausgewählten Beiträge für die Podcasts sollen dem Hörer einen kurzen und informativen Überblick u. a. über aktuelle Gerichtsentscheidungen und Gesetzgebungsvorhaben geben. Die Audio-Dateien sind dazu bestimmt, den Rechtsanwender, der ohnehin einen Großteil seiner Arbeitszeit lesend oder schreibend verbringt, auch unterwegs – vielleicht im Zug oder beim Joggen – akustisch „auf dem Laufenden“ zu halten. Die NZA-Podcasts finden Sie unter der Rubrik NZA-Podcast, als RSS-Feed durch Klick auf das RSS-Symbol oder z. B. bei Amazon Music, Apple Podcasts, Audible, iTunes oder Spotify.

NZA Nachrichten

Medizinischer Dienst darf eigenen Mitarbeiter begutachten

BAG
Ein Me­di­zi­ni­scher Dienst darf auch Ge­sund­heits­da­ten eines ei­ge­nen Mit­ar­bei­ters ver­ar­bei­ten, wenn er für eine ge­setz­li­che Kran­ken­kas­se die Ar­beits­un­fä­hig­keit eines Ver­si­cher­ten be­gut­ach­ten soll. Das hat das BAG ent­schie­den, nach­dem es den Fall dem EuGH vor­ge­legt hatte. Die Ein­rich­tung muss auch nicht ge­währ­leis­ten, dass über­haupt kein an­de­rer Be­schäf­tig­ter Zu­gang zu die­sen In­for­ma­tio­nen hat.

Seine Forderung nach Schadensersatz endgültig verloren hat mit dem Richterspruch ein Computerexperte des Medizinischen Dienstes der Krankenversicherung Nordrhein (Urteil vom 20.06.2024 – 8 AZR 253/20). Er klagte wegen einer angeblichen Verletzung datenschutzrechtlicher Vorschriften und seines Persönlichkeitsrechts. Denn nach längerer Krankheit hatte die Kasse, bei der er versichert war, bei seinem dafür zuständigen Arbeitgeber – eben dem MDK – um ein Gutachten über ihn gebeten. Der Systemadministrator und Mitarbeiter des IT-Helpdesks beanstandete: Die Kollegen wüssten jetzt, dass er an einer (sich mittlerweile bessernden) Depression leide.

Eine besondere Konstellation, in welcher der Beklagte eine "Doppelfunktion" innehat, weil er sowohl der Arbeitgeber der zu begutachtenden Person ist als auch Expertisen für die gesetzlichen Krankenkassen bei Zweifeln an der Arbeitsunfähigkeit von Versicherten erstellt. Dafür gibt es bei diesem MDK eine "Organisationseinheit Spezialfall" sowie besondere Regelungen, darunter eine "Dienstanweisung zum Schutz bei Sozialdaten der Beschäftigten des Medizinischen Diensts" der betreffenden Krankenkasse und ihrer Angehörigen. Eine bei der Kontrollinstitution angestellte Ärztin erarbeitete eine Beurteilung, welche die Diagnose der Krankheit des Klägers enthielt. Dazu hatte sie auch mit dem behandelnden Arzt telefoniert. Nachdem der Betroffene über diesen von dem Telefonat erfahren hatte, kontaktierte er eine Kollegin aus der IT-Abteilung, die auf seine Bitten hin im Archiv nach dem Gutachten recherchierte, hiervon mit ihrem Handy Fotos schoss und ihm anschließend über einen Messenger-Dienst zuleitete.

Nach Niederlagen vor dem ArbG Düsseldorf und dem dortigen LAG legte das BAG dem EuGH fünf Fragen zur Auslegung der DS-GVO vor (NJW-aktuell H. 34/2021, 6). Der antwortete naturgemäß allgemein, aber eher zulasten des Klägers (NJW-aktuell H. 51/2023, 6). Die Luxemburger Richter verwiesen unter anderem auf Ausnahmen vom Verbot, besonders empfindliche Kategorien personenbezogener Daten wie solche über die Gesundheit zu verarbeiten, die etwa für den Bereich der Arbeitsmedizin gelten (Art. 9 Abs. 3 Buchst. h DS-GVO). Allerdings müssten besondere Sicherheitsvorkehrungen eingehalten werden, und die Mitgliedstaaten dürften diese noch verschärfen (Art. 5 ABs. 1 Buchst. f, 6 Abs. 1, 9 Abs. 3 und 4, 32 Abs. 1 Buchst. a und b). Ein etwaiger Ersatzanspruch sei danach zu bemessen, dass er eine Ausgleichsfunktion für einen konkret erlittenen Schaden habe, aber keinen abschreckenden oder strafenden Zweck. Der Grad des Verschuldens sei dabei nicht zu berücksichtigen.

Vorgaben des EuGH erfüllt

Das griffen Deutschlands oberste Arbeitsrichterinnen und -richter nun auf. Der MDK durfte den Zustand seines eigenen Beschäftigten prüfen, entschieden sie. Auch musste er nicht dafür sorgen, dass kein einziger der anderen Mitarbeitenden Einblick bekam. Der Betroffene hatte immateriellen Schadensersatz verlangt, weil die Verarbeitung seiner Gesundheitsdaten unzulässig gewesen sei. Die Stellungnahme hätte nach seiner Ansicht durch einen anderen Medizinischen Dienst erstellt werden müssen. Jedenfalls sei die Gutachterin nicht berechtigt gewesen, bei seinem Arzt Auskünfte einzuholen. Ein weiterer Vorwurf: Die Sicherheitsmaßnahmen rund um die Archivierung der Unterlagen seien unzureichend gewesen. Die unrechtmäßige Verarbeitung seiner Gesundheitsdaten habe bei ihm bestimmte Sorgen und Befürchtungen ausgelöst, wie er weiter ausführte. Vor dem LAG setzte der Mann noch eine weitere Forderung drauf:  Nun begehrte er zusätzlich materiellen Schadenersatz, nämlich einen Erwerbsschaden. Denn die Kenntnis von besagtem Telefonat habe zu einer Verlängerung seiner Arbeitsunfähigkeit geführt.

Mit all dem fand er in Erfurt keine Zustimmung. Von den Grundvoraussetzungen eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DS-GVO war der Entscheidung zufolge keine einzige erfüllt – nämlich weder ein Verstoß gegen die DS-GVO noch ein materieller oder immaterieller Schaden des Betroffenen und auch kein ursächlicher Zusammenhang zwischen Schaden und Verstoß. So fehle es bereits an einer Verletzung der europäischen Bestimmungen. "Die Verarbeitung der Gesundheitsdaten des Klägers durch den Beklagten war insgesamt unionsrechtlich zulässig", fasste der 8. Senat zusammen. Sie habe nämlich den Vorgaben des EuGH aus der Vorabentscheidung (C-667/21) genügt, um die ihn das BAG (Az. 8 AZR 253/20 (A)) gebeten hatte. Die Verarbeitung war demnach zur Erstellung der Stellungnahme, die ihre Grundlage im nationalen Recht habe, erforderlich, um Zweifeln an seiner Arbeitsunfähigkeit nachzugehen (Art. 9 Abs. 2 Buchst. h DS-GVO). Das betreffe auch das Telefongespräch zwischen der Gutachterin und dem behandelnden Mediziner.

Auch deutsches Recht eingehalten

Die Datenverarbeitung genügte aus Erfurter Sicht zudem den Garantien des Art. 9 Abs. 3 DS-GVO. Denn sämtliche Mitarbeiter des MDK, die Zugang zu Gesundheitsdaten des Klägers hatten, unterlägen einer beruflichen Verschwiegenheitspflicht – jedenfalls dem Sozialgeheimnis, das sie auch untereinander zu beachten hätten. "Das Unionsrecht enthält in den genannten Bestimmungen keine Vorgabe, wonach in einem Fall wie dem Vorliegenden ein anderer Medizinischer Dienst mit der Erstellung des Gutachtens beauftragt werden oder sichergestellt werden müsste, dass kein anderer Arbeitnehmer des beauftragten MD Zugang zu Gesundheitsdaten des Betroffenen erhält", schreibt der Senat in seiner Pressemitteilung. Entsprechende Beschränkungen der (Gesundheits-)Datenverarbeitung, die die Mitgliedstaaten nach Art. 9 Abs. 4 DS-GVO einführen oder aufrechterhalten dürfen, seien im deutschen Recht nicht enthalten.

Und schließlich sei die Datenverarbeitung auch im Übrigen rechtmäßig gewesen, heißt es in dem Urteilsbericht weiter. Sie habe nämlich die allgemeinen Bedingungen für eine rechtmäßige Verarbeitung des Art. 6 DS-GVO erfüllt, der zahlreiche Ausnahmen vom grundsätzlichen Verarbeitungsverbot auflistet, sowie jene des daneben anwendbaren Art. 9 DS-GVO, der zusätzliche Kriterien für Gesundheitsdaten nennt. "Die vom Beklagten hinsichtlich der Wahrnehmung seiner gesetzlichen Aufgaben als Medizinischer Dienst zum Schutz der Gesundheitsdaten eigener Mitarbeiter getroffenen organisatorischen und technischen Maßnahmen wurden überdies den im Unionsrecht verankerten Grundsätzen der Integrität und Vertraulichkeit gerecht", stellen die Thüringer Bundesrichter und -richterinnen fest. Was sie mit dem Hinweis unterstreichen, es handele sich hier um den einzigen nachgewiesenen Fall dieser Art – zumal der Zugriff durch eine unzuständige Kollegin aus seiner eigenen IT-Abteilung, die für den Kläger die erwähnten Fotos aufgenommen hatte, auf dessen eigene Initiative zurückzuführen gewesen sei (Urt. v. 20.6.2024 8 AZR 253/20). 

 

Aus der Datenbank beck-online

Fuhlrott, Anforderungen an die Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis, GWR 2022, 34

Leibold, EuGH-Vorlage zur Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis (Anm. zur Vorlage des BAG), ZD 2022, 60

Haußmann, Zulässigkeit der Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis (Anm. zur Vorlage des BAG), Fachdienst Arbeitsrecht 2021, 443736

Schumacher/Stegemann, Verarbeitung von Gesundheitsdaten durch den Medizinischen Dienst – Schadensersatz (Anm. zur Entscheidung des EuGH), EuZW 2024, 277

Hesse, Zum Schadensersatz nach rechtswidriger Gesundheitsdaten-Verarbeitung (Anm. zur Entscheidung des EuGH), GRUR-Prax 2024, 275

Anzeigen:

NZA Banner
ArbeitsR PLUS Banner

BECK Stellenmarkt

Teilen:

Menü