03.01.2024FachbeitragUpdate DatenschutzDatenschutz

Update Datenschutz Nr. 165

EuGH klärt weitere Fragen zum Schadensersatz und zu Gesundheitsdaten

Am 21. Dezember hat der EuGH in der Rechtssache C‑667/21 über Fragen zu Gesundheitsdaten im Arbeitskontext entschieden. Dabei ging es insbesondere um das Verhältnis zwischen Art. 6 und Art. 9 DSGVO, sowie die Beweislast im Rahmen des Schadensersatzes nach Art. 82 DSGVO.

Hintergrund

Vorangegangen war ein Streit vor dem Bundesarbeitsgericht (BAG) zwischen einer natürlichen Person als Klägerpartei und dem medizinischen Dienst der Krankenversicherung Nordrhein (MDK), als Arbeitgeber und Beklagte.

Die Beklagte erstellt gutachterliche Stellungnahmen über die Arbeitsunfähigkeit von Versicherten und insbesondere auch seiner eigenen Beschäftigten, sowie die des Klägers. Der Kläger war in der IT-Abteilung als Systemadministrator und Mitarbeiter des Helpdesks beschäftigt.

Als der Kläger im November 2017 ununterbrochen arbeitsunfähig erkrankt war, beauftragte die Krankenversicherung des Klägers die Beklagte mit einer gutachterlichen Stellungnahme um Zweifel an der Arbeitsunfähigkeit zu beseitigen, § 275 Abs. 1 Nr. 3 lit. b SGB V.

Die Beklagte holte bei dem Arzt des Klägers die benötigten Auskünfte ein und archivierte das Gutachten elektronisch so, dass Kolleginnen und Kollegen des Klägers auf dieses zugreifen konnten. Eine Kollegin des Klägers konnte auf seinen Geheiß das Gutachten im Archiv finden, sodass sie ihm dies zusandte.

Daraufhin machte der Kläger Schadensersatz in Höhe von 20.000 € geltend. Der Kläger ist der Ansicht, dass die Beklagte seine Gesundheitsdaten ohne seine Einwilligung und ohne sonstige Rechtsgrundlage verarbeitet habe und ihm deshalb ein Schaden entstanden sei, den die Beklagte zu ersetzen habe.

Entscheidung des EuGH

Das Bundesarbeitsgericht wollte vom EuGH sinngemäß folgendes wissen:

  1. Darf die Beklagte die Gesundheitsdaten ihrer Mitarbeiter verarbeiten, um ein Gutachten für die Beurteilung der Arbeitsfähigkeit zu erstellen?
  2. Falls die erste Frage mit ja beantwortet wird, sind über Art. 9 Abs. 3 DSGVO hinaus zusätzliche Datenschutzvorgaben einzuhalten?
  3. Falls die erste Frage mit ja beantwortet wird, muss über Art. 9 DSGVO hinaus ein Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO vorliegen?
  4. Hat Art. 82 DSGVO lediglich eine Ausgleichsfunktion oder wohnt dem Schadensersatzanspruch auch ein Abschreckungs- oder Strafzweck inne, der Berücksichtigung finden muss?
  5. Hängt die Höhe des Schadensersatzes vom Verschulden des Verantwortlichen ab und wird ein Mitverschulden auf Seiten der betroffenen Person mitberücksichtigt?

Der EuGH beantwortete die Fragen wie folgt:

Frage 1:

Stellen für medizinische Begutachtungen dürfen auch die Gesundheitsdaten ihrer Mitarbeiter verarbeiten. Dafür spreche der eindeutige Wortlaut des Art. 9 Abs. 2 lit. h DSGVO, sowie der Grund, dass die Auslegung nicht von Erwägungen geleitet werden dürfe, die aus dem Gesundheitssystem eines Mitgliedstaates hergeleitet werden oder aus den Ausgangsrechtsstreit kennzeichnenden Umständen. Das BAG hatte insoweit ein Störgefühl geäußert, weil die Beklagte im hiesigen Fall eine Doppelfunktion ausführte und sowohl Arbeitgeberin als auch als Medizinischer Dienst der Krankenkasse war. Nach dem BAG wäre eine „neutrale Stelle“ für die hiesige Verarbeitung notwendig gewesen.

Aufgrund der Beantwortung der ersten Frage, konnten auch die Frage zwei und drei beantwortet werden:

Fragen 2 und 3:

Dabei betonte der EuGH für Frage zwei, dass keine zusätzlichen Datenschutzvorgaben einzuhalten seien. Begründet wird dies ebenfalls mit dem eindeutigen Wortlaut des Gesetzes. Der Verantwortliche sei somit nicht verpflichtet dafür Sorge zu tragen, dass kein Kollege der betroffenen Person Zugang zu den Daten über ihren Gesundheitszustand hat. Der in dem Vorlagebeschluss vertretenen Ansicht des Bundesarbeitsgerichts, wonach absolut verhindert werden müsse, dass Kollegen Zugang zu Daten eines Mitarbeiters haben, dessen Arbeitsunfähigkeit begutachtet wird, hat der EuGH somit eine Absage erteilt. Die Mitgliedstaaten seien nach Ansicht des EuGHs vielmehr durch zusätzliche Regelungen gemäß Art. 9 Abs. 4 DSGVO ermächtigt, erhöhte Datenschutzvorgaben zu erlassen. Voraussetzung an diese Regelung wäre lediglich die Verhältnismäßigkeit, sowie das Nichtentgegenstehen der praktischen Wirksamkeit der Erlaubnis für die Datenverarbeitung.

Die Frage 3, ob neben den Anforderungen des Art. 9 DSGVO mindestens eine Rechtfertigungsgrundlage nach Art. 6 Abs. 1 DSGVO vorliegen müsse, hat der EuGH mit einem klaren „Ja“ beantwortet. Begründet hat der EuGH das systematisch mit dem Argument, dass die Art. 5, 6 und 9 DSGVO in Kapitel II „Grundsätze“ stehen. Dabei betonte der EuGH noch einmal deutlich, dass jede Verarbeitung von personenbezogenen Daten mit den in Art. 5 Abs. 1 DSGVO aufgestellten Grundsätzen in Einklang stehen und die in Art. 6 DSGVO aufgeführten Voraussetzungen für die Rechtmäßigkeit erfüllen muss. Das bedeutet, dass Art. 9 und Art. 6 DSGVO immer im Zusammenhang gelesen werden müssen.

Frage 4:

Zur Frage 4, ob Art. 82 DSGVO ausschließlich einen Ausgleich bewirken soll oder ob dem Schadensersatzanspruch auch ein Schreck- oder Strafzweck innewohne, der sich auf den Schadensersatz niederschlägt, findet der EuGH ebenfalls klare Worte. Art. 82 DSGVO hat, anders als Art. 83 und 84 DSGVO keinen Strafzweck, sondern lediglich eine Ausgleichsfunktion. Verwiesen wird auf Erwägungsgrund 146 S. 6 wonach ein vollständiger und wirksamer Schadensersatz für den erlittenen Schaden sichergestellt werden soll.

Frage 5:

Zur letzten Frage, ob es bei der Bemessung der Höhe des Schadens auf den Grad des Verschuldens ankommt und ob ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen zu dessen Gunsten zu berücksichtigen ist, stellt der EuGH klar, der Schadensersatzanspruch nach Art. 82 DSGVO ein Verschulden auf Seiten des Verantwortlichen voraussetzt. Das Verschulden wird aber vermutet, die Beweislast für ein Nichtverschulden liegt beim Verantwortlichen. Der Verantwortliche habe, wie sich aus dem Wortlaut der Art. 24 und Art. 32 DSGVO ergibt, technische und organisatorische Maßnahmen zu treffen, die darauf gerichtet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern. Wenn der Verantwortliche jeden Schaden ohne Betrachtung des Verschuldens zu ersetzen hätte, der durch die Verarbeitung unter Verstoß gegen die DSGVO entstanden sei, würde diese Pflicht in Frage gestellt. Zudem wird mit der Voraussetzung des Verschuldens und der dazugehörigen Beweislast beim Verantwortlichen ein Gleichgewicht zwischen der betroffenen Person und dem Verantwortlichen geschaffen.

Bezüglich der Bemessung des Schadensersatzes weist der EuGH darauf hin, dass die nationalen Gerichte für die Beurteilung des Schadensersatzes die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern unionsrechtliche Grundsätze beachtet werden. Art. 82 DSGVO verlangt jedoch nicht, dass der Grad des Verschuldens bei der Bemessung der Höhe des Schadensersatzes zu berücksichtigen ist.

Mögliche Auswirkungen

Die Entscheidung könnte sich auf § 26 Abs. 3 BDSG auswirken. Danach ist die Verarbeitung besonderer Kategorien von Daten im Sinne des Art. 9 DSGVO zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung von rechtlichen Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Folgte man dem Gedanken des Bundesarbeitsgerichts spreche viel dafür, dass das kollegiale Verhältnis untereinander beschädigt wird, wenn ein Kollege von den Gesundheitsdaten des anderen zugreifen kann. „Risiken sind unter anderem, dass - je nach Art der Krankheit - der Ruf geschädigt wird, das Ansehen bzw. die Reputation leidet und/oder dass die begutachtete Person für sie peinlichen Situationen ausgesetzt ist bzw. dies so empfindet.“, so der BAG. Das schutzwürdige Interesse der betroffenen Person könnte in diesem oder einem vergleichbaren Fall überwiegen.

Fazit

Gesundheitsdaten genießen in Europa einen erhöhten Schutz. Das hat der EuGH mit dieser Entscheidung noch einmal deutlich gemacht.

Der EuGH hat mit dieser Entscheidung gerade mit der Beantwortung der Frage 5 klargestellt, dass ein Verschulden nicht nur in Bußgeldverfahren Voraussetzung ist, wie zuletzt in dem Verfahren zu Deutsche Wohnen entschieden (Update Datenschutz Nr. 159 & Update Compliance 9/2023), sondern sich diese Voraussetzung auch auf Schadensersatzansprüche erstreckt. Schäden sollen durch Art. 82 DSGVO nur ausgeglichen werden. Einen darüberliegenden Strafaspekt weise die Norm nicht auf.

Bedeutsam ist die höchstrichterliche Bestätigung der in Art. 82 DSGVO enthaltenen Beweislastumkehr. Unternehmen, die persönliche Daten verarbeiten, sind umso mehr herausgefordert ihren Datenschutz zu dokumentieren, um sich im Ernstfall gegen Klagen wirksam verteidigen zu können.

Fraglich bleibt wie Gerichte den immateriellen Schaden der Angst oder der Sorge bewerten, bzw. wie viel Geld notwendig ist, um solche Schäden auszugleichen.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.