Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten durch den Arbeitgeber

Die Verarbeitung bestimmter personenbezogener Daten, u. a. von Gesundheitsdaten einer natürlichen Person, ist grundsätzlich untersagt, es sei denn, sie ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten etc. erforderlich, Art. 9 Abs. 1, Abs. 2 Buchst. h, Abs. 3 DSGVO.

Wie der EuGH mit Urteil vom 21.12.2023 (Rs. C-667/21, ZQ ./. MDK Nordrhein) auf Vorlage des BAG entschied, steht diese Ausnahme unter dem Vorbehalt, dass die betreffende Datenverarbeitung auf Situationen anwendbar ist, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer Arbeitnehmer nicht als Arbeitgeber, sondern als Medizinischer Dienst verarbeitet, um die Arbeitsfähigkeit dieses Arbeitnehmers zu beurteilen. Dabei sei der für eine auf Art 9 Abs. 2 Buchst. h DSGVO gestützte Verarbeitung von Gesundheitsdaten Verantwortliche nicht verpflichtet, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu den Daten über ihren Gesundheitszustand hat.

Eine solche Pflicht könne dem für eine solche Verarbeitung Verantwortlichen jedoch gemäß einer von einem EU-Mitgliedstaat auf der Grundlage von Art. 9 Abs. 4 DSGVO erlassenen Regelung oder aufgrund der in Art. 5 Abs. 1 Buchst. f DSGVO genannten und in ihrem Art. 32 Abs. 1 Buchst. a und b konkretisierten Grundsätze der Integrität und der Vertraulichkeit obliegen.

Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 DSGVO sind dahin auszulegen, dass eine auf die erstgenannte Bestimmung gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllt.

Hinweis: Ferner hat der EuGH entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO die Kompensation für einen konkreten Schaden darstellt. Denn, so der EuGH, der vorgesehene Schadenersatzanspruch habe eine Ausgleichsfunktion, da eine darauf gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig zu ersetzen. Die Vorschrift erfüllte demgegenüber keine abschreckende oder Straffunktion. Sie sei derart auszulegen, dass zum einen die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhängt. Ein solches werde vermutet, wenn er nicht nachweist, dass die schadensverursachende Handlung ihm nicht zurechenbar ist. Zudem verlange Art. 82 DSGVO nicht, dass der Grad dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt werde.