Im Dezember gab es bereits einige wichtige Entscheidungen des Europäischen Gerichtshofes (EuGH) den Datenschutz betreffend, wie bspw. zum Scoring der SCHUFA (wir berichteten). In diesem Beitrag beschäftigen wir uns mit dem EuGH-Urteil vom 21. Dezember 2023 in der Rechtssache C-667/21. Dabei geht es um ein Vorabentscheidungsersuchen, welches das Bundesarbeitsgericht (BAG) beim EuGH im Jahr 2021 eingereicht hatte. Das BAG richtete insgesamt fünf Fragen an den EuGH, bei denen es um die Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis ging, aber auch um die Bemessung der Höhe eines immateriellen Schadens auf Grundlage von Art. 82 Abs. 1 DSGVO. Wir fassen für Sie den Verfahrensgang und die relevanten Erkenntnisse aus dem Urteil des EuGH zusammen.
Ausgangsverfahren
Der Medizinische Dienst der Krankenversicherung Nordrhein (MDK Nordrhein) hat im Auftrag der gesetzlichen Krankenkassen u. a. die Aufgabe, medizinische Gutachten zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit von Versicherten zu erstellen. Dies ist ebenfalls Aufgabe des MDK, wenn diese Gutachten seine eigenen Beschäftigten betreffen. Für einen derartigen Fall gelten strengere Regeln der Vertraulichkeit und Sicherheit, wie z. B., dass nur eine „Organisationseinheit Spezialfall“ mit einer sehr begrenzten Anzahl von MDK-Beschäftigten Zugang zu den personenbezogenen Daten des gesperrten Bereichs haben darf.
Im vorliegenden Fall wurde ein Beschäftigter der IT-Abteilung des MDK Nordrhein für längere Zeit arbeitsunfähig und bezog Krankengeld von seiner Krankenkasse. Diese beauftragte den MDK Nordrhein mit einem Gutachten zur Prüfung der Arbeitsunfähigkeit des Beschäftigten. Dabei wurden u. a. Informationen von dem behandelnden Arzt des Beschäftigten eingeholt. Als der Arzt den Beschäftigten darüber informierte, klagte der Beschäftigte beim Arbeitsgericht (ArbG) Düsseldorf. Ihm sei ein immaterieller Schaden gemäß Art. 82 Abs. 1 DSGVO durch die Verarbeitung der personenbezogenen Daten im Rahmen der Gutachtenerstellung entstanden, welchen der MDK Nordrhein ihm ersetzen müsse. Der Kläger behauptete, dass ein anderer MDK den Fall hätte bearbeiten müssen und die getroffenen Sicherheitsmaßnahmen zum Schutz seiner personenbezogenen Daten unzureichend gewesen seien.
Die Klage wurde in erster und zweiter Instanz abgewiesen, worauf der Kläger Revision beim BAG einlegte. Das BAG setzte das Verfahren aus und legte wiederum dem EuGH fünf Fragen zur Vorabentscheidung vor.
Der EuGH hat die Fragen am 21. Dezember 2023 beantwortet. Datenschutzrechtlich interessant waren vor allem die dritte, vierte und fünfte Frage. Die Antworten des EuGH geben nun mehr Rechtssicherheit in den folgenden Bereichen:
Ohne Art. 6 DSGVO geht nichts!
Der BAG wollte vom EuGH wissen, ob die Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 lit. h DSGVO nur rechtmäßig ist, wenn auch die Voraussetzungen nach Art. 6 Abs. 1 DSGVO erfüllt sind (vgl. Rn. 71 ff. zur dritten Frage). Die kurze Antwort: Ja. Die lange Antwort: Art. 9 Abs. 2 lit. h DSGVO ist keine alleinstehende Rechtsgrundlage. Vielmehr bildet sich diese nur in Verbindung mit der Erfüllung einer Rechtmäßigkeitsvoraussetzung aus Art. 6 Abs. 1 lit. a bis f DSGVO. Der MDK muss im vorliegenden Fall nunmehr die Datenverarbeitung auf die Rechtsgrundlage nach Art. 6 Abs. 1 lit. a bis f DSGVO in Verbindung mit Art. 9 Abs. 2 lit. h DSGVO stützen können. Möglich in diesem Fall wäre der Rückgriff auf Art. 6 Abs. 1 lit. c bzw. e DSGVO in Verbindung mit § 275 SGB V. Dem MDK wurde die Aufgabe übertragen, die Zweifel zur Arbeitsunfähigkeit von Beschäftigten zu beseitigen. Die Aufgabe wird in öffentlicher Gewalt ausgeübt. Die Antwort des EuGH beendet Diskussionen darüber, dass Art. 9 DSGVO als alleinstehende Rechtsgrundlage Datenverarbeitungen legitimiert. Es ist deutlich: Ohne die Erfüllung der allgemeinen Voraussetzungen aus Art. 6 DSGVO geht nichts!
Art. 82 DSGVO hat keine abschreckende Funktion
…, sondern nur eine Ausgleichsfunktion.
Bezogen auf die vierte Frage des BAG, ob Art. 82 DSGVO auch eine abschreckende Funktion oder Straffunktion erfüllt oder nur eine Ausgleichsfunktion innewohnt, betonte der EuGH, dass Art. 83 und 84 DSGVO (Verhängung von Bußgeldern, Sanktionen) im Wesentlichen den Strafzweck verfolgen (vgl. Rn. 80 ff.). Art. 82 DSGVO solle jedoch nur den Anspruch auf Schadensersatz verankern. Die Betroffenen sollen entschädigt werden, wenn ihre Rechte verletzt wurden. Diese Antwort ist für den BAG besonders wichtig bei der Bemessung der Höhe eines dem Betroffenen eventuell zu ersetzenden immateriellen Schadens. Hätte der EuGH die abschreckende Funktion des Art. 82 DSGVO bejaht, hätte der BAG den eventuellen Schaden deutlich höher bemessen können.
Die Beweislast liegt beim Verantwortlichen
Die Antwort auf die fünfte und letzte Frage sollte klären, wer die Beweislast trägt und ob es bei der Bemessung der Höhe des zu ersetzenden Schadens auf den Grad des Verschuldens ankommt (vgl. Rn. 88 ff.). Der EuGH stellte klar, dass der Verantwortliche gemäß Art. 82 Abs. 3 DSGVO von der Haftung befreit wird, wenn er nachweist, dass er für den Umstand, durch den der Schaden entstanden ist, nicht verantwortlich ist. Die Beweislastumkehr führt dazu, dass der Verantwortliche beweisen muss, dass ihm kein Verschulden zuzurechnen ist. Der Grad des Verschuldens beeinflusse die Höhe des Schadensersatzes zudem laut EuGH nicht. Dies bedeutet, dass bereits bei leichter Fahrlässigkeit ein Anspruch entsteht. Verantwortliche sollten daher ihre Datenschutzkonformität stets hinterfragen und prüfen.
Urteil des BAG?
Nun ist es wieder Aufgabe des BAG, die Antworten des EuGH in die Entscheidung im oben genannten Fall einfließen zu lassen. Über das Ergebnis werden wir Sie hier in unserem Blog auf dem Laufenden halten.