EuGH wird über wichtige Fragen urteilen

Der Medizinische Dienst der Krankenkassen (MDK) erstellt in seiner Eigenschaft als Medizinischer Dienst für die gesetzlichen Krankenkassen gutachtliche Stellungnahmen zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit von Versicherten. Dies tut er allerdings auch in Fällen seiner eigenen Beschäftigten. Fälle von eigenen Beschäftigten werden als sogenannte Spezialfälle behandelt, deren Daten nicht am Dienstort des Mitarbeiters erhoben und gespeichert werden sollen. Der Kläger ist als IT Spezialist langjährig als Mitarbeiter des MDK tätig. Seit November 2017 war er ununterbrochen arbeitsunfähig erkrankt. Im Juni 2018 wurde er deshalb durch Beauftragung seiner Krankenkasse nochmals von einer Ärztin untersucht. Das Ergebnis des Gutachtens mit der Angabe „Diagnose(n): F32.2 – Schwere depressive Episode ohne psychotische Symptome“ wurde sodann von der MDK verschlüsselt abgespeichert. Doch auch die verschlüsselten Daten der Spezialfälle waren zumindest für neun Mitarbeitende der IT-Abteilung vollständig einsehbar.

Nachdem dem Kläger das Gutachten zu seiner Person von einem Arbeitskollegen zugeleitet wurde, verlangte dieser vom MDK immateriellen Schadensersatz in Höhe von 20.000 Euro aus Art. 82 Abs. 1 der Datenschutzgrundverordnung (DSGVO) sowie Ersatz materieller Schäden in Höhe ihm entgangener Verdienste. Er führte an, dass es dem MDK vor dem Hintergrund des mit ihm bestehenden Arbeitsverhältnisses nicht erlaubt gewesen sei, in seinem Fall die Aufgaben eines Medizinischen Dienstes nach § 275 Abs. 1 Satz 1 Nr. 3 Buchstabe b des Sozialgesetzbuches V (SGB V) auszuüben. Mit der Erstellung eines Gutachtens zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Beschäftigten sei regelmäßig die Verarbeitung von solchen Gesundheitsdaten – einschließlich der konkreten Diagnose – verbunden, die im Arbeitsverhältnis nicht verarbeitet werden dürften. Durch diese unzulässige Verarbeitung sei er schwerwiegend in seinem Persönlichkeitsrecht verletzt worden, da seine eigenen Kollegen Einsicht in die Diagnose hatten. Seiner Ansicht nach hätte das Gutachten von einem anderen Medizinischen Dienst erstellt und verarbeitet werden müssen, der nicht gleichzeitig sein Arbeitgeber ist.

Der Beklagte schulde ihm auch materiellen Schadenersatz; dieser habe den finanziellen Schaden zu ersetzen, der ihm dadurch entstanden sei, dass er an Stelle der Arbeitsvergütung ein niedrigeres Krankengeld erhalten habe. Ohne die Datenschutzverstöße hätte er seine Tätigkeit bei dem beklagten MDK ab Dezember 2018 wieder aufnehmen können.

Dem Kläger wurde im Dezember 2019 wegen der „massiven Vorwürfe“, die nicht den Tatsachen entsprächen, fristlos gekündigt. Der MDK hat die Auffassung vertreten, nicht gegen datenschutzrechtliche Bestimmungen verstoßen zu haben. Er habe die ihm als Medizinischem Dienst nach dem Sozialgesetzbuch V zugewiesene Aufgabe der Begutachtung der Arbeitsunfähigkeit auch im Fall des Klägers wahrnehmen dürfen, obgleich er dessen Arbeitgeber sei. Zudem sei die tatsächliche Bearbeitung stets im Einklang mit den datenschutzrechtlichen Vorgaben erfolgt.

Das Arbeitsgericht (AG) Düsseldorf (Urteil vom 22.02.2019, Az. 4 Ca 6116/18) und das Landesarbeitsgericht (LG) Düsseldorf (Urteil vom 11.03.2020, Az. 12 Sa 186/19) wiesen die Klage in den Vorinstanzen ab. Die Datenverarbeitung durch den MDK habe nicht gegen die Vorschriften der DSGVO verstoßen.

EuGH muss Datenschutzverstoß wegen Speicherung der Gesundheitsdaten klären

Da die Ansprüche des betroffenen Mitarbeiters maßgeblich davon abhängen, ob die Speicherung des medizinischen Gutachtens des eigenen Mitarbeiters durch den MDK gegen die DSGVO verstößt, hat das Bundesarbeitsgericht (BAG) das Verfahren nun ausgesetzt und dem EuGH Fragen zur Vorabentscheidung vorgelegt (BAG, 8 AZR 253/20 (A). Denn bei Zweifeln über die Auslegung von europarechtlichen Regelungen muss nach Art. 267 des Vertrags über Arbeitsweise der Europäischen Union (AEUV) stets der EuGH entscheiden.

Das BAG geht davon aus, dass die Speicherung der Gesundheitsdaten, insbesondere eines solchen Gutachtens des eigenen Mitarbeiters nach Art. 9 Abs. 1 DSGVO verboten ist. Mangels „Erforderlichkeit“ für das Arbeitsverhältnis sei nach dem 8. Senat auch der Ausnahmetatbestand des Art. 9 Abs. 2b DSGVO nicht gegeben. Der Arbeitgeber müsse lediglich wissen, dass der Arbeitnehmer arbeitsunfähig ist und wie lange die Krankheit voraussichtlich noch andauern wird. Das BAG stellt zunächst die grundlegende Frage, ob Art. 9 Abs. 2 lit. h DSGVO dahin auszulegen sei, dass es einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten. Nach dem Buchstaben h) dieser Norm ist eine Verarbeitung von Gesundheitsdaten ausnahmsweise zulässig, wenn dies zur Beurteilung der Arbeitsfähigkeit erforderlich ist. Die Begutachtung des Klägers hatte aufgrund der gesetzlichen Regelung aus § 275 Abs. 1 Satz 1 Nr. 3 lit. b SGB V stattgefunden und könnte nach Ansicht des BAG deshalb erforderlich im Sinne der DSGVO sein. Entgegen der Ansicht des LAG Düsseldorf äußert das BAG erhebliche Zweifel daran, dass sich der MDK auf den Ausnahmetatbestand nach Art. 9 Abs. 2 lit. h DSGVO berufen könnte, weil in diesem Fall wegen der Doppelfunktion des MDK eine viel weitere Datenverarbeitung erlaubt wäre als bei anderen Arbeitgebern.

Im Ergebnis spreche nach Auffassung des 8. Senats alles dafür, dass die in Art. 9 Abs. 2 Buchstabe h DSGVO geregelte Verarbeitung von Gesundheitsdaten eines Betroffenen durch eine neutrale Stelle und nicht durch den Arbeitgeber erfolgen müsse. Für den Fall, dass der EuGH die Verarbeitung der Gesundheitsdaten entgegen der Auffassung des BAG grundsätzlich durch die DSGVO gedeckt sehen sollten, möchte das BAG wissen, mit welchen Mitteln der MDK dann den Datenschutz seiner Mitarbeiter gewährleisten muss. Das BAG geht davon aus, dass das Zugriffsrecht auf diese Daten für alle Personen, die im beruflichen Kontakt zu dem Betroffenen stehen, ausgeschlossen sein müsse. Eine bloße Geheimhaltungspflicht, wie in Art. 9 Abs. 3 DSGVO bestimmt, reiche nicht aus.

Schadensersatzbemessung nach der DSGVO

Für den Fall, dass der EuGH dem BAG zustimmt und im Vorgehen des MDK einen datenschutzrechtlichen Verstoß erkennt, stellt der Senat zur Ermittlung des zu ersetzenden Schadens die Folgefragen, ob Art. 82 Abs. 1 DSGVO nicht nur die Ausgleichsfunktion berücksichtigt, sondern spezial- bzw. generalpräventiven Charakter hat und dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden müsse.

Das BAG geht davon aus,  dass der Rechtsanspruch auf immateriellen Schadensersatz über eine subjektive Rechtsverletzung hinaus nicht zusätzlich erfordere, dass die verletzte Person einen weiteren von ihr erlittenen immateriellen Schaden darlege. Nach Auffassung des Senats führe demnach bereits die Verletzung der DSGVO selbst zu einem auszugleichenden immateriellen Schaden.

Denn nach dem 146. Erwägungsgrund der DSGVO sollen die betroffenen Personen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Bei der Bemessung des immateriellen Schadenersatzes seien nach dem BAG alle Umstände des Einzelfalls zu berücksichtigen – hier gegebenenfalls auch die spätere Kündigung des Arbeitsverhältnisses des Klägers. Zudem solle ein tatsächlicher und wirksamer Schutz der aus der DSGVO hergeleiteten Rechte gewährleistet werden. Weiter stellt das BAG die Frage, ob es

bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters ankomme und ob ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden dürfe.

Bisher beurteilten deutsche Gerichte diese Fragen unterschiedlich. So gehen etwa das AG Düsseldorf (Urt. v. 05.03.2020 ­– Az.: 9 Ca 6557/18) oder das AG Neumünster (Urt. v. 11.8.2020 – Az.: 1 Ca 247 c/20), davon aus, dass der Schadensersatz general- bzw. spezialpräventiv wirken solle. Andere Gerichte verlangen für einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO den Nachweis eines konkreten und spürbaren Schadens, der über die reine Verletzung von datenschutzrechtlichen Vorschriften hinausgeht (z.B. OLG Brandenburg, Beschluss vom 11.08.2021 – 1 U 69/20; OLG Bremen, Beschluss vom 16.07.2021 – 1 W 18/21; LG Bonn, Urteil vom 01.07.2021 – 15 O 372/20; OLG München, Urteil vom 08.12.2020 – 18 U 5493/19). Der Schadensersatzanspruch nach Art. 82 DSGVO setzt nach dieser Auffassung für die Kompensation einen tatsächlich eingetretenen Schaden voraus.

Das BAG befürwortet dagegen in seiner vorliegenden Entscheidung eine sehr weite Auslegung des Schadensbegriffs wonach jeder Verstoß gegen die Vorgaben der DSGVO zugleich einen ersatzfähigen immateriellen Schaden begründen soll. Die Haftung nach Art. 82 DSGVO setzt aus Sicht des BAG auch kein schuldhaftes Handeln voraus. Das BAG grenzt sich damit auch von der Rechtsauffassung des Obersten Gerichtshof in Österreich (ÖOGH) ab, die dieser in seinem Vorlagebeschluss zur Auslegung von Art. 82 DSGVO vertreten hat (Beschluss vom 12.05.2021 – 6 Ob 35/21x; EuGH C-300/21). Der ÖOGH hatte dem EuGH unter anderem die Frage gestellt ob bereits die Verletzung der DSGVO unabhängig von einem tatsächlich erlittenen Schaden für die Zuerkennung von Schadensersatz ausreiche. Nach dem Vorlagebeschluss des ÖOGH setzt der Anspruch nach Art. 82 Abs. 1 DSGVO die Darlegung eines tatsächlichen und spürbaren Nachteils voraus.

Ausblick für die Praxis

Die Vorabentscheidungsersuchen ist von hoher Praxisrelevanz. Dies betrifft insbesondere die Vorlagefragen, die sich auf den Entschädigungsanspruch nach Art. 82 Abs. 1 DSGVO beziehen. Bisher ist ungeklärt, nach welchen Kriterien der zu ersetzende immaterielle Schaden zu bemessen ist; so dass In Zusammenschau mit der zu erwartenden Entscheidung des EuGH über das Vorabentscheidungsersuchen des ÖOGH mehr Einheitlichkeit und Klarheit in der bislang sehr differenzierten Rechtsprechung zum datenschutzrechtlichen Schadensersatz zu erwarten ist.

Falls der EuGH die Auffassung des BAG aus dem Vorlagebeschluss bestätigten sollte, würden datenschutzrechtliche Haftungsrisiken für datenverarbeitende Unternehmen verstärkt. Zudem könnten datenschutzrechtliche Schadensersatzforderungen vermehrt Gegenstand arbeitsrechtlicher Auseinandersetzungen werden. In Zusammenschau mit der zu erwartenden Entscheidung über das Vorabentscheidungsersuchen des ÖOGH besteht die Chance auf mehr Einheitlichkeit und Klarheit in der bislang sehr diffusen Rechtsprechung zum datenschutzrechtlichen Schadensersatz.

Unternehmen sollten die Zeit bis zur Entscheidung des EuGH nutzen, um bestehende datenschutzrechtliche Risiken zu ermitteln und Organisationsstrukturen zu optimieren. Dazu gehört auch die Definition von Prozessen und Zuständigkeiten im Fall von Datenschutzverstößen.