19.07.2024

Verarbeitung von Gesundheitsdaten durch einen Medizinischen Dienst

Ein medizinischer Dienst muss in der Regel Gesundheitsdaten einer Person verarbeiten, wenn ein Gutachten erforderlich ist, das Zweifel an der Arbeitsunfähigkeit eines Versicherten ausräumen soll. Ein besonderer Fall liegt vor, wenn es sich bei der Person um einen Angestellten des Medizinischen Dienstes selbst handelt. Hier regelt Art. 9 Abs. 2 Buchst. h der Datenschutz-Grundverordnung (DSGVO), dass dies auch dann zulässig ist.

Arzt schreibt Bericht auf Tablett

Spezialeinheit für eigene Fälle

Im konkreten Fall geht es um den Medizinischen Dienst Nordrhein, der u.a. im Auftrag der gesetzlichen Krankenkassen medizinische Begutachtungen durchführt, um Zweifel an der Arbeitsunfähigkeit gesetzlich Versicherter auszuräumen. Diese Aufträge führt er ebenso durch, wenn eigene Mitarbeitende dem Gutachten unterzogen werden.
Der Medizinische Dienst Nordrhein hat mit dem Personalrat eine Dienstvereinbarung sowie eine Dienstanweisung abgeschlossen, die vorsieht, dass eine Gruppe von Mitarbeitenden einer besonderen Einheit (der sog. Organisationseinheit „Spezialfall“) in einem gesperrten IT-Bereich die Gesundheitsdaten betroffener Arbeitnehmer verarbeiten darf. Nach Abschluss des Begutachtungsauftrags erhalten diese dann auch Zugang zum elektronischen Archiv. Der Zugriff auf die Daten erfolgt über personalisierte Softwarezertifikate und darf nur innerhalb vergebener Zugriffsrechte erfolgen, entsprechend den zu erledigenden Aufgaben.

IT-Mitarbeiter erkrankte längerfristig

Ein Mitarbeiter und Systemadministrator der IT-Abteilung des Medizinischen Dienstes Nordrhein hat nun gegen seinen Arbeitgeber geklagt. Hintergrund ist, dass er seit November 2017 ununterbrochen arbeitsunfähig erkrankt war und ab Mai 2018 von seiner gesetzlichen Krankenkasse Krankengeld bezog. Die Krankenkasse beauftragte im Juni 2018 schließlich den Medizinischen Dienst mit der Erstellung eines Gutachtens zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers. Eine beim Beklagten angestellte Ärztin, die der Organisationseinheit „Spezialfall“ angehörte, verfasste ein Gutachten mit der Diagnose des Kollegen. Die Ärztin kontaktierte dafür auch den behandelnden Arzt des Kollegen, um Auskunft über dessen Gesundheitszustand zu erhalten. Als der Administrator davon erfuhr, bat er eine Kollegin per Mobiltelefon, Kopien von dem Gutachten anzufertigen und ihm zuzuschicken.

Klage gegen den Arbeitgeber wegen Verstoßes gegen die DSGVO

Der Administrator klagte daraufhin gegen seinen Arbeitgeber und forderte von ihm die Zahlung von immateriellem Schadenersatz u.a. auf der Grundlage von Art. 82 Abs. 1 DSGVO. Zur Begründung führte er an, dass die Verarbeitung seiner Gesundheitsdaten durch den Medizinischen Dienst unzulässig gewesen sei und dass das Gutachten durch einen anderen Medizinischen Dienst hätte erstellt werden müssen. Auch habe die Gutachterin nicht bei seinem behandelnden Arzt telefonisch Auskünfte einholen dürfen. Zudem seien die Sicherheitsmaßnahmen rund um die Archivierung des Gutachtens unzureichend.

Klage wurde abgewiesen

Die Vorinstanzen haben die Klage abgewiesen. Die Revision des Klägers blieb vor dem Achten Senat des Bundesarbeitsgerichts erfolglos. Die Grundvoraussetzungen eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO, die – kumulativ – in einem Verstoß gegen die DSGVO, einem dem Betroffenen entstandenen materiellen und/oder immateriellen Schaden und einem Kausalzusammenhang zwischen dem Schaden und dem Verstoß bestehen, liegen nicht vor.
Es fehlt bereits an einem Verstoß gegen die Bestimmungen der DSGVO. Die Verarbeitung der Gesundheitsdaten des Klägers durch den Beklagten war zulässig. Sie genügte den Vorgaben des Europäischen Gerichtshofs aus der Vorabentscheidung vom 21.12.2023, um die ihn der Senat durch Beschluss vom 26.08.2021 ersucht hat.
Die Datenverarbeitung genügte zudem den Garantien aus Art. 9 Abs. 3 DSGVO, da sämtliche Mitarbeiter des Beklagten, die Zugang zu Gesundheitsdaten des Klägers hatten, einer beruflichen Verschwiegenheitspflicht unterlagen. Die Datenverarbeitung durch den Medizinischen Dienst war auch im Übrigen rechtmäßig. Sie erfüllte die allgemeinen Bedingungen für eine rechtmäßige Verarbeitung des neben Art. 9 DSGVO anwendbaren Art. 6 DSGVO (Bundesarbeitsgericht, Urteil vom 20.06.2024 – 8 AZR 253/20, Vorinstanz: Landesarbeitsgericht Düsseldorf, Urteil vom 11.03.2020 – 12 Sa 186/19).

Autor*in: Andrea Brill (Andrea Brill ist Pressereferentin und Fachjournalistin.)