Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten durch den Arbeitgeber

Die Ver­ar­bei­tung be­stimm­ter per­so­nen­be­zo­ge­ner Da­ten, u. a. von Ge­sund­heits­da­ten ei­ner natürli­chen Per­son, ist grundsätz­lich un­ter­sagt, es sei denn, sie ist für Zwecke der Ge­sund­heits­vor­sorge oder der Ar­beits­me­di­zin, für die Be­ur­tei­lung der Ar­beitsfähig­keit des Be­schäftig­ten etc. er­for­der­lich, Art. 9 Abs. 1, Abs. 2 Buchst. h, Abs. 3 DS­GVO.

Wie der EuGH mit Ur­teil vom 21.12.2023 (Rs. C-667/21, ZQ ./. MDK Nord­rhein) auf Vor­lage des BAG ent­schied, steht diese Aus­nahme un­ter dem Vor­be­halt, dass die be­tref­fende Da­ten­ver­ar­bei­tung auf Si­tua­tio­nen an­wend­bar ist, in de­nen eine Stelle für me­di­zi­ni­sche Be­gut­ach­tung Ge­sund­heits­da­ten ei­nes ih­rer Ar­beit­neh­mer nicht als Ar­beit­ge­ber, son­dern als Me­di­zi­ni­scher Dienst ver­ar­bei­tet, um die Ar­beitsfähig­keit die­ses Ar­beit­neh­mers zu be­ur­tei­len. Da­bei sei der für eine auf Art 9 Abs. 2 Buchst. h DS­GVO gestützte Ver­ar­bei­tung von Ge­sund­heits­da­ten Ver­ant­wort­li­che nicht ver­pflich­tet, zu gewähr­leis­ten, dass kein Kol­lege der be­trof­fe­nen Per­son Zu­gang zu den Da­ten über ih­ren Ge­sund­heits­zu­stand hat.

Eine sol­che Pflicht könne dem für eine sol­che Ver­ar­bei­tung Ver­ant­wort­li­chen je­doch gemäß ei­ner von einem EU-Mit­glied­staat auf der Grund­lage von Art. 9 Abs. 4 DS­GVO er­las­se­nen Re­ge­lung oder auf­grund der in Art. 5 Abs. 1 Buchst. f DS­GVO ge­nann­ten und in ih­rem Art. 32 Abs. 1 Buchst. a und b kon­kre­ti­sier­ten Grundsätze der In­te­grität und der Ver­trau­lich­keit ob­lie­gen.

Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 DS­GVO sind da­hin aus­zu­le­gen, dass eine auf die erst­ge­nannte Be­stim­mung gestützte Ver­ar­bei­tung von Ge­sund­heits­da­ten nur dann rechtmäßig ist, wenn sie nicht nur die sich aus die­ser Be­stim­mung er­ge­ben­den An­for­de­run­gen einhält, son­dern auch min­des­tens eine der in Art. 6 Abs. 1 DS­GVO ge­nann­ten Rechtmäßig­keits­vor­aus­set­zun­gen erfüllt.

Hin­weis: Fer­ner hat der EuGH ent­schie­den, dass ein Scha­dens­er­satz­an­spruch aus Art. 82 DS­GVO die Kom­pen­sa­tion für einen kon­kre­ten Scha­den dar­stellt. Denn, so der EuGH, der vor­ge­se­hene Scha­den­er­satz­an­spruch habe eine Aus­gleichs­funk­tion, da eine dar­auf gestützte Ent­schädi­gung in Geld ermögli­chen soll, den kon­kret auf­grund des Ver­stoßes ge­gen diese Ver­ord­nung er­lit­te­nen Scha­den vollständig zu er­set­zen. Die Vor­schrift erfüllte dem­ge­genüber keine ab­schre­ckende oder Straf­funk­tion. Sie sei der­art aus­zu­le­gen, dass zum einen die Haf­tung des Ver­ant­wort­li­chen vom Vor­lie­gen ei­nes ihm an­zu­las­ten­den Ver­schul­dens abhängt. Ein sol­ches werde ver­mu­tet, wenn er nicht nach­weist, dass die scha­dens­ver­ur­sa­chende Hand­lung ihm nicht zu­re­chen­bar ist. Zu­dem ver­lange Art. 82 DS­GVO nicht, dass der Grad die­ses Ver­schul­dens bei der Be­mes­sung der Höhe des als Ent­schädi­gung für einen im­ma­te­ri­el­len Scha­den auf der Grund­lage die­ser Be­stim­mung gewähr­ten Scha­den­er­sat­zes berück­sich­tigt werde.