BAG, Urteil vom 20. Juni 2024 – 8 AZR 253/20 –
1. Ein Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO setzt kumulativ einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines Schadens und einen Kausalzusammenhang zwischen Verstoß und Schaden voraus. Der Anspruch- steller hat das Vorliegen dieser drei Voraussetzungen darzulegen und zu beweisen (Rn. 36).
2. Es verstößt nicht per se gegen das Verbot der Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO, wenn ein Medizinischer Dienst als Arbeitgeber im Rahmen einer von einer gesetzlichen Krankenkasse nach § 275 Abs. 1 Satz 1 Nr. 3 Buchst. b SGB V beauftragten gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten Gesundheitsdaten eines eigenen Arbeitnehmers verarbeitet. Ein Medizinischer Dienst kann sich vielmehr, auch wenn eine solche gut-achtliche Stellungnahme einen eigenen Arbeitnehmer betrifft, auf den in Art. 9 Abs. 2 Buchst. h DSGVO geregelten Ausnahmetatbestand berufen, soweit die Verarbeitung der Gesundheitsdaten für die Beurteilung der Arbeitsfähigkeit eines Beschäftigten auf der Grundlage des nationalen Rechts und vorbehaltlich der in Art. 9 Abs. 3 DSGVO genannten Bedingungen und Garantien erforderlich ist (Rn. 38 ff.).
3. Nach Art. 9 Abs. 3 DSGVO darf die Verarbeitung von Gesundheitsdaten eines Ar-beitnehmers zur Prüfung seiner Arbeitsfähigkeit nur dann erfolgen, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls einer entspre-chenden Geheimhaltungspflicht unterliegt. Das Sozialgeheimnis nach § 35 Abs. 1 SGB I, dem der Medizinische Dienst und – bei entsprechender arbeits-/dienstrechtli-cher Verpflichtung – dessen Beschäftigte unterliegen, ist als Berufsgeheimnis iSd. Art. 9 Abs. 3 DSGVO zu werten. Es zielt darauf ab, Geheimnisse in Bezug auf Sozial-daten, zu denen insbesondere Gesundheitsdaten zählen, in vergleichbarem Maße in-stitutionell zu schützen wie personale Berufsgeheimnisse, dem die beim Medizini-schen Dienst beschäftigten Ärzte unterliegen (Rn. 47 ff.).
4. Aus Art. 9 Abs. 3 DSGVO ergibt sich keine Verpflichtung eines Medizinischen Dienstes, bei der Verarbeitung von Gesundheitsdaten im Rahmen einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines betroffe-nen eigenen Arbeitnehmers zu gewährleisten, dass kein anderer seiner Beschäftigten Zugang zu solchen Daten hat (Rn. 50). Von der den Mitgliedstaaten nach Art. 9 Abs. 4 DSGVO eröffneten Möglichkeit, dahin gehende Beschränkungen einzuführen oder aufrechtzuerhalten, hat der deutsche Gesetzgeber keinen Gebrauch gemacht (Rn. 51 ff.).
5. Die Verarbeitung von Gesundheitsdaten eines eigenen Arbeitnehmers durch einen Medizinischen Dienst ist nicht schon dann rechtmäßig, wenn sie den spezifischen An-forderungen, die Art. 9 Abs. 2 Buchst. h iVm. Art. 9 Abs. 3 DSGVO stellt, gerecht wird. Die Verarbeitung muss auch mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllen und zudem die sich aus Art. 5 Abs. 1 DSGVO ergebenden Pflichten, insbesondere die Pflichten einhalten, die dem Verant-wortlichen aufgrund der in Art. 5 Abs. 1 Buchst. f DSGVO verankerten und in Art. 32 Abs. 1 Buchst. a und b DSGVO konkretisierten Grundsätze der Integrität und Vertrau-lichkeit obliegen (Rn. 57, 70 und 79 ff.).
6. Die Regelungen in § 276 Abs. 2 Satz 1 und Satz 3 SGB V, wonach der Medizinische Dienst Sozialdaten erheben und speichern darf, soweit dies ua. für gutachtliche Stel-lungnahmen nach § 275 SGB V erforderlich ist, und wonach rechtmäßig erhobene und gespeicherte Sozialdaten nur für die ua. in § 275 SGB V genannten Zwecke, und für andere Zwecke nur verarbeitet werden dürfen, soweit dies durch Rechtsvorschriften des Sozialgesetzbuchs angeordnet oder erlaubt ist, stellen eine unionsrechtskonforme Rechtsgrundlage iSv. Art. 6 Abs. 3 iVm. Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO dar (Rn. 60 ff.). Diese umfasst auch die Erhebung von Gesundheitsdaten durch Ein-holung telefonischer Auskünfte durch einen Gutachter des Medizinischen Dienstes bei dem behandelnden Arzt eines Betroffenen. Dies gilt auch, wenn es sich bei dem Be-troffenen um einen Arbeitnehmer des Medizinischen Dienstes handelt (Rn. 73 ff.).
7. Das deutsche Recht verpflichtet den Medizinischen Dienst in § 276 Abs. 2 Sätze 6 bis 9 SGB V zu besonderen Vorkehrungen zum Schutz der Sozialdaten. Daneben fin-den § 35 Abs. 1 SGB I und – über § 67a Abs. 1 Satz 3 und § 67b Abs. 1 Satz 4 SGB X – § 22 Abs. 2 BDSG Anwendung. Diese Bestimmungen enthalten spezifische Regelun-gen iSv. Art. 6 Abs. 2 und Abs. 3 Satz 3, Art. 9 Abs. 4 DSGVO, und achten das unionsrechtliche Normwiederholungsverbot. Insbesondere gehen die in § 22 Abs. 2 Satz 2 BDSG angegebenen Maßnahmen über die allgemeinen, in Art. 5 Abs. 1 DSGVO verankerten Grundsätze für die Verarbeitung personenbezogener Daten hin-aus (Rn. 80 ff.).
8. Ob die von einem Medizinischen Dienst getroffenen Vorkehrungen zum Schutz be-rechtigter Interessen betroffener eigener Arbeitnehmer ausreichend sind, ist einzelfall-bezogen in zwei Schritten zu prüfen. Zunächst sind die von der Verarbeitung ausge-henden Risiken einer Verletzung des Schutzes personenbezogener Daten und ihre möglichen Folgen für die Rechte und Freiheiten natürlicher Personen zu ermitteln. Diese Beurteilung muss konkret unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere der ermittelten Risiken erfolgen. Daran anknüpfend ist zu prüfen, ob die vom Verantwortlichen getroffenen Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke dieser Verarbeitung diesen Risiken angemessen sind. Dabei ist zu be-rücksichtigen, dass der Verantwortliche bei der Festlegung der Maßnahmen über ei-nen gewissen Entscheidungsspielraum verfügt (Rn. 88 f.).
9. Allein der Umstand, dass in einem einzigen Fall ein Kollege eines betroffenen Ar-beitnehmers – zumal auf dessen Initiative – außerhalb seiner arbeitsrechtlichen Befug-nisse Zugriff auf ein im Archiv des Medizinischen Dienstes gespeichertes Gutachten über dessen Arbeitsunfähigkeit genommen hat, reicht für die Annahme unzureichender Schutzmaßnahmen nicht aus (Rn. 93).
(Orientierungssätze)