Sachverhalt:
Im Arbeitsverhältnis eines Mitarbeiters eines Medizinischen Dienstes einer Krankenversicherung (MDK) war streitig, wie bei der Prüfung von Zweifeln an der Arbeitsunfähigkeit von Versicherten mit Gesundheitsdaten umgegangen werden dürfe (Bundesarbeitsgericht Beschluss vom 26. August 2021, 8 AZR 253/20 (A)). Der beklagte MDK hatte dazu in einer Dienstvereinbarung zum Einsatz eines technischen Systems Regelungen aufgestellt. Danach sollten in der Software eingehende Fälle als „Spezialfall“ gekennzeichnet und von einer hierfür eingerichteten neunköpfigen Organisationseinheit geprüft werden. Die Organisationseinheit hatte die Aufgabe, eine gutachterliche Stellungnahme zu erarbeiten, die getrennt von den Stammdaten des Begutachteten in einer Datenbank gespeichert wurden. Der Zugriff Unbefugter war durch Verschlüsselungstechniken erschwert. Innerhalb des Systems gab es eine Technik zur Kontrolle der Zugriffsberechtigung. Die Berechtigten hatten Zugriff auch auf diejenigen Gutachten, die eigene Beschäftigte des beklagten Arbeitgebers betrafen.
Der Kläger war über mehrere Monate ununterbrochen arbeitsunfähig erkrankt, als seine Krankenkasse den MDK beauftragte, Zweifel an seiner Arbeitsunfähigkeit zu prüfen. Das Gutachten wurde bei dem beklagten MDK erstellt und enthielt auch die Angabe der Diagnose der Krankheit des Klägers. Das Gutachten war bei der Beklagten elektronisch archiviert. Der Kläger erfuhr hiervon, setzte sich mit seinem Arbeitgeber über die Zulässigkeit dieses Umgangs mit seinen Gesundheitsdaten auseinander und verlangte eine Entschädigungszahlung. Die Beklagte sah in dieser Art der Datenverarbeitung die Erledigung einer ihr zugewiesenen Aufgabe nach dem SGB V, die nur auf diese Weise erledigt werden könne. Das BAG hat das Verfahren dem Europäischen Gerichtshof (EuGH) vorgelegt, um die Auslegung der Bestimmungen der Datenschutzgrundverordnung (DSGVO) zur Verarbeitung von Gesundheitsdaten klären zu lassen.
Entscheidung:
Das BAG hält die Verarbeitung von Gesundheitsdaten eines oder einer eigenen Mitarbeitenden durch einen MDK gemäß Art. 9 Abs. 1 DSGVO für unzulässig. Es wirke sich aus, dass der MDK einerseits für Krankenkassen Gesundheitsdaten verarbeitet und andererseits als Arbeitgeber im Verhältnis zu seinen eigenen Beschäftigten verantwortlich für die Verarbeitung der Arbeitnehmerdaten sei. Ausgehend von dieser Doppelfunktion sieht der Senat grundsätzlich in der DSGVO eine Legitimation für Einrichtungen wie den MDK, Gesundheitsdaten zu verarbeiten. Der Senat wirft allerdings die Frage auf, ob diese Einrichtungen nicht gerade deshalb dazu berufen seien, weil sie in der Regel „neutral“ seien. Deshalb könnte es untersagt sein, in demselben Verfahren Daten von solchen Versicherten zu verarbeiten, die bei derselben Einrichtung angestellt seien.
Für den Fall der Unzulässigkeit dieser Datenverarbeitung fragt der Senat, ob es unionsrechtlich geboten sei, mindestens durch zwei voneinander unabhängige Organisationseinheiten zur Bearbeitung von Spezialfällen Berührungen zwischen den zwei Rechtsverhältnissen möglichst zu vermeiden. Organisatorisch könne durch geeignete Maßnahmen unter Umständen ausgeschlossen werden, dass der Kläger als Beschäftigter in einer standortübergreifenden IT-Abteilung zu einem späteren Zeitpunkt mit Ärzten und Medizinerinnen kollegial zusammenarbeiten müsse, die Zugriff auf seine persönlichen Gesundheitsdaten hätten und seine Diagnose kennen könnten.
Jedenfalls könnte es in solchen Fällen erforderlich sein, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist, die Datenverarbeitung also durch einen gesetzlichen Verarbeitungstatbestand, eine Einwilligung oder eine andere Rechtsgrundlage gestützt werden kann.
Praxishinweis
Mit der Vorlage an den EuGH dürfte dieser bei einigen wichtigen, in der Rechtsprechung unterschiedlich gesehenen Fragen für Klarheit sorgen können. Die Entscheidung dürfte vor allem im Hinblick auf das Verhältnis von Art. 6 DSGVO und Art. 9 DSGVO sowie die Kriterien für die Bemessung des Ersatzanspruchs von Bedeutung sein.