Bundesarbeitsgericht (BAG) vom 20.6.2024 – 8 AZR 253/20
Das war passiert
In dem vorliegenden Fall ging es um Folgendes: Der Arbeitnehmer war zuletzt als Systemadministrator und Mitarbeiter „Helpdesk“ in der IT-Abteilung des Arbeitgebers (Medizinischer Dienst Nordrhein) tätig. Seit November 2017 war er ununterbrochen arbeitsunfähig erkrankt. Ab Mai 2018 bezog er von seiner gesetzlichen Krankenkasse Krankengeld. Diese beauftragte den Arbeitgeber mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Mitarbeiters. Eine ebenfalls bei dem Medizinischen Dienst angestellte Ärztin fertigte ein Gutachten, das die Diagnose der Krankheit des ITlers enthielt. Vor Erstellung des Gutachtens holte sie bei dem behandelnden Arzt telefonisch Auskünfte über den Gesundheitszustand des Mitarbeiters ein. Nachdem dieser über seinen behandelnden Arzt von dem Telefonat Kenntnis erlangt hatte, kontaktierte er eine Kollegin aus der IT-Abteilung, die auf seine Bitten im Archiv nach dem Gutachten recherchierte, hiervon mit ihrem Mobiltelefon Fotos machte und ihm anschließend die Fotos mittels eines Messenger-Dienstes übermittelte.
Das war der Streitpunkt
Der Systemadministrator hielt die Verarbeitung seiner Gesundheitsdaten durch den Arbeitgeber für unzulässig und verlangte die Zahlung von immateriellem Schadenersatz u.a. auf der Grundlage von Art. 82 Abs. 1 DSGVO. Das Gutachten habe seiner Ansicht nach durch einen anderen Medizinischen Dienst erstellt werden müssen. Jedenfalls sei die Gutachterin nicht berechtigt gewesen, bei seinem behandelnden Arzt telefonisch Auskünfte einzuholen. Auch seien die Sicherheitsmaßnahmen rund um die Archivierung des Gutachtens unzureichend gewesen. Die unrechtmäßige Verarbeitung seiner Gesundheitsdaten habe bei ihm Sorgen und Befürchtungen ausgelöst, die unter anderem zu einer Verlängerung seiner Arbeitsunfähigkeit geführt haben.
Das entschied das Gericht
Sowohl die Vorinstanzen als auch das BAG haben die Klage abgewiesen. Denn: Die Grundvoraussetzungen eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO, die in einem Verstoß gegen die DSGVO, einem dem Betroffenen entstandenen materiellen und/oder immateriellen Schaden und einem Kausalzusammenhang zwischen dem Schaden und dem Verstoß bestehen, liegen nicht vor. Es fehlt bereits an einem Verstoß gegen die Bestimmungen der DSGVO.
Die Verarbeitung der Gesundheitsdaten des Mitarbeiters durch den Arbeitgeber war insgesamt zulässig, so das Urteil. Die Verarbeitung war zur Erstellung der von der gesetzlichen Krankenkasse beauftragten gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit erforderlich. Das betrifft auch das zwischen der Gutachterin und dem behandelnden Arzt geführte Telefonat.
Die Datenverarbeitung genügte zudem den Garantien des Art. 9 Abs. 3 DSGVO, da sämtliche Arbeitnehmende des Medizinischen Dienstes, die Zugang zu Gesundheitsdaten der anderen Mitarbeiter hatten, einer beruflichen Verschwiegenheitspflicht bzw. jedenfalls dem Sozialgeheimnis, das die Mitarbeiter auch untereinander zu beachten haben, unterlagen. Darüber hinaus gibt es keine Vorgabe, wonach in einem Fall wie diesem ein anderer Medizinischer Dienst mit der Gutachtenerstellung beauftragt werden müsste oder sichergestellt werden müsste, dass kein anderer Arbeitnehmer des beauftragten Medizinischen Dienstes Zugang zu Gesundheitsdaten des Betroffenen erhält.
Die Datenverarbeitung durch den Arbeitgeber war auch im Übrigen rechtmäßig. Sie erfüllte die allgemeinen Bedingungen für eine rechtmäßige Verarbeitung des neben Art. 9 DSGVO anwendbaren Art. 6 DSGVO. Die vom Arbeitgeber hinsichtlich der Wahrnehmung seiner gesetzlichen Aufgaben als Medizinischer Dienst zum Schutz der Gesundheitsdaten eigener Mitarbeiter getroffenen organisatorischen und technischen Maßnahmen wurden überdies den im Unionsrecht verankerten Grundsätzen der Integrität und Vertraulichkeit gerecht.