Urteil Rs. C-667/21

Der Medizinische Dienst der Krankenkassen (MDK) Nordrhein erstellte ein medizinisches Gutachten zur Arbeitsunfähigkeit seines eigenen Mitarbeiters. Dieser Mitarbeiter, zuvor in der IT-Abteilung tätig, erfuhr von der Verarbeitung seiner Gesundheitsdaten und forderte Schadenersatz, da er die Verarbeitung als rechtswidrig ansah. Der MDK lehnte diese Forderung ab. Der Mitarbeiter erhob daraufhin  Klage. Das Gericht hatte zu prüfen, ob die Verarbeitung den Datenschutzbestimmungen entspreche und ob Schadenersatzansprüche gemäß der Datenschutzgrundverordnung (DSGVO) geltend gemacht werden können.

Die Fragen an den Europäischen Gerichtshof (EuGH) betrafen zunächst die Ausnahmen für die Verarbeitung von Gesundheitsdaten gemäß Artikel 9 DSGVO. Das Gericht zweifelte daran, dass die Ausnahmen aus Artikel 9 Absatz 2 DSGVO, insbesondere Buchstaben b und h, in diesem Fall anwendbar wären. Es wurde die Anforderung aufgestellt, dass der Verantwortliche sicherstellen müsse, dass keine Kollegen des Betroffenen Zugang zu seinen Gesundheitsdaten haben. Weiterhin sollte geklärt werden, ob mindestens eine der Voraussetzungen gemäß Artikel 6 Absatz 1 DSGVO für eine rechtmäßige Verarbeitung erfüllt sein muss.

Der Gerichtshof der Europäischen Union (Dritte Kammer) veröffentlichte am 21. Dezember 2023 sein Urteil zur Vorabentscheidung bezüglich der Verarbeitung personenbezogener Daten, insbesondere von Gesundheitsdaten, und der Rechtmäßigkeit dieser Verarbeitung nach der Datenschutz-Grundverordnung (DSGVO).

Im Fall C-667/21 wurde entschieden, dass:

• Die Verarbeitung von Gesundheitsdaten eines Arbeitnehmers durch seinen Arbeitgeber, der auch als medizinischer Dienstleister agiert, zur Beurteilung der Arbeitsfähigkeit des Arbeitnehmers unter bestimmten Voraussetzungen erlaubt ist. Diese Voraussetzungen beinhalten, dass die Verarbeitung den Anforderungen des Artikels 9 Absätze 2 Buchstabe h und Absatz 3 der DSGVO entspricht.
• Der für die Verarbeitung Verantwortliche ist nicht verpflichtet, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu deren Gesundheitsdaten hat. Eine solche Pflicht kann jedoch aus nationalen Regelungen oder aus den Grundsätzen der Integrität und Vertraulichkeit der DSGVO entstehen.
• Eine Verarbeitung von Gesundheitsdaten ist nur dann rechtmäßig, wenn sie sowohl den Anforderungen des Artikels 9 Absatz 2 Buchstabe h der DSGVO entspricht als auch mindestens eine der in Artikel 6 Absatz 1 genannten Rechtmäßigkeitsvoraussetzungen erfüllt.
• Der in Artikel 82 Absatz 1 der DSGVO vorgesehene Schadenersatzanspruch dient der Kompensation und hat keine abschreckende oder strafende Funktion. Die Höhe des Schadenersatzes soll den konkret erlittenen Schaden vollständig ausgleichen und darf nicht über diesen hinausgehen.
• Die Haftung des Verantwortlichen hängt vom Vorliegen eines ihm anzulastenden Verschuldens ab, das vermutet wird, wenn er nicht nachweisen kann, dass er für den Umstand, durch den der Schaden entstanden ist, nicht verantwortlich ist. Der Grad des Verschuldens muss bei der Bemessung der Höhe des Schadenersatzes nicht berücksichtigt werden.

Dieses Urteil klärt wichtige Aspekte der DSGVO, insbesondere im Zusammenhang mit der Verarbeitung von Gesundheitsdaten am Arbeitsplatz und den Bedingungen für eine rechtmäßige Verarbeitung solcher Daten.

Es betont die Notwendigkeit, sowohl die spezifischen Bestimmungen der DSGVO für sensible Daten als auch die allgemeinen Grundsätze und Bedingungen für eine rechtmäßige Verarbeitung zu berücksichtigen. Die Entscheidung unterstreicht auch, dass der Schadenersatzanspruch in der DSGVO eine Ausgleichsfunktion hat und nicht als Straf- oder Abschreckungsmaßnahme gedacht ist.

Stand: Januar 2024