EuGH-Urteil zur Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten

Der Fall

Der Mitarbeiter des Medizinischen Dienst der Krankenkassen Nordrhein (MDK Nordrhein) war von seinem Arzt arbeitsunfähig krankgeschrieben. Seine Krankenkasse beauftragte den MDK Nordrhein mit der Erstellung eines Gutachtens zur Arbeitsunfähigkeit dieses Mitarbeiters. Um das Gutachten zu erstellen, holte die zuständige Ärztin des MDK Nordrhein unter anderem Informationen vom behandelnden Arzt des Mitarbeiters ein. Der betroffene Mitarbeiter erfuhr von seinem behandelnden Arzt von der Begutachtung. Er war der Ansicht, dass die mit dem Gutachten zusammenhängende Verarbeitung seiner Gesundheitsdaten durch den MDK Nordrhein unzulässig war. Mit der Begutachtung seiner Arbeitsunfähigkeit hätte seiner Meinung nach ein anderer MDK beauftragt werden müssen. Der Mitarbeiter forderte von seinem Arbeitgeber eine Entschädigung gem. Art. 82 DS-GVO in Höhe von 20.000 EUR.

Der MDK Nordrhein zahlte nicht, woraufhin der Mitarbeiter Klage erhob. Im Rahmen des Revisionsverfahrens legte das Bundesarbeitsgericht dem EuGH mehrere Fragen zur Vorabentscheidung vor, insbesondere zur Auslegung und Anwendung von Art. 9 Abs. 2 und 3 DS-GVO und Art. 6 Abs. 1 DS-GVO.

Die Entscheidung

Der EuGH bestätigte, dass die gesetzliche Erlaubnis nach Art. 9 Abs. 2 Buchst. h, Abs. 3 DS-GVO, § 275 Abs. 1 SGB V auch für medizinische Dienste anwendbar ist, wenn sie gleichzeitig Arbeitgeber des Betroffenen sind. Außerdem bedarf Art. 9 Abs. 3 DS-GVO keiner zusätzlichen Anforderungen bezüglich des Zugangs von Kollegen zu Gesundheitsdaten. Solche können sich jedoch aus den Grundsätzen der Integrität und der Vertraulichkeit nach Art. 32 Abs. 1 lit. a und b, Art. 5 Abs. 1 lit. f DS-GVO oder nationalen Gesetzen der Mitgliedstaaten ergeben.

Der EuGH stellt in seinem Urteil klar, dass für die rechtmäßige Verarbeitung sensibler Daten sowohl ein Ausnahmetatbestand nach Art. 9 Abs. 2 DS-GVO als auch eine Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO erforderlich sind. Um die Rechte und Freiheiten der Betroffenen zu schützen, seien allgemeine Grundsätze für die Verarbeitung personenbezogener Daten, insbesondere die Rechtmäßigkeitsvoraussetzungen des Art. 6 Abs. 1 DS-GVO zu beachten.

Darüber hinaus betont der EuGH, dass Schadenersatzansprüche gemäß Art. 82 DS-GVO rein kompensatorisch sind und keinen strafrechtlichen Charakter haben. Die Haftung des Verantwortlichen erfordert ein Verschulden, wobei die Beweislast beim Verantwortlichen liegt. Ein Mitverschulden des Betroffenen mindert den Schadensersatzanspruch nicht.

Fazit

Die Entscheidung des EuGH hat bedeutende Auswirkungen auf die Praxis der Datenverarbeitung. Verantwortliche, die sensible Daten verarbeiten, müssen sowohl einen Ausnahmetatbestand nach Art. 9 Abs. 2 DS-GVO als auch eine Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO nachweisen. Dies kann beispielsweise durch Einwilligung, Vertragserfüllung, rechtliche Verpflichtung oder berechtigte Interessen erfolgen. In der Praxis müssen Datenschutzhinweise, Verzeichnisse von Verarbeitungstätigkeiten und interne Datenschutzregelungen bei Bedarf entsprechend angepasst werden. Wir empfehlen, eine sorgfältige Datenverarbeitungspraxis beizubehalten, um Haftungsansprüchen vorzubeugen.