Auch über drei Jahre nach Inkrafttreten der DSGVO ist die Zahl der Rechtsprechung zu vielen Detailfragen des Datenschutzrechts überschaubar. Wer in seiner täglichen Arbeit mit Fragen des Datenschutzrechts befasst ist, muss sich regelmäßig auf Stellungnahmen von Behörden oder aus der Literatur verlassen – dies bringt Rechtsunsicherheit mit sich. Etwas mehr Klarheit könnte hier eine aktuelle Vorlage des BAG an den EuGH bringen, in der sich das BAG mit der Auslegung der Erlaubnisnormen zur Verarbeitung von Gesundheitsdaten beschäftigt. Die von dem Gericht eingenommenen Positionen und mögliche Auswirkungen auf die Praxis fassen wir nachfolgend für Sie zusammen und zeigen auf, wo das Verfahren gerade auch außerhalb des Beschäftigtendatenschutzes Relevanz hat: Bei der Verarbeitung von Gesundheitsdaten durch Ärzte, DiGAS oder andere digitale Gesundheitsanwendungen.
In dem vor dem BAG verhandelten Fall (Beschl. v. 26.08.2021 – 8 AZR 253/20) ging es – kurz zusammengefasst – um einen Mitarbeiter des Medizinischen Dienstes einer Krankenkasse, der aufgrund einer psychischen Erkrankung langfristig arbeitsunfähig war. Die Erkrankung dauerte mehrere Monate an, sodass die Krankenkasse des Erkrankten zur Zahlung von Krankengeld verpflichtet war. Diese gab daraufhin bei ihrem Medizinischen Dienst, bei dem der Erkrankte beschäftigt war, ein Gutachten in Auftrag, in dem festgestellt werden sollte, ob die behauptete Krankheit tatsächlich vorlag oder vorgetäuscht war. Nach Erstellung des Gutachtens verlangte der Betroffene eine Entschädigung i.H.v. 20.000 EURO von seinem Arbeitgeber, also dem Medizinischen Dienst der Krankenkasse, weil er der Auffassung war, dass für die Verarbeitung seiner personenbezogenen (Gesundheits-)Daten keine Rechtsgrundlage bestanden habe.
Das BAG hat den Fall zunächst nicht entschieden, sondern dem EuGH Fragen zur Auslegung der DSGVO vorgelegt. Die Positionen, die das BAG dabei einnimmt, gehen in ihrer Bedeutung weit über den konkreten Fall hinaus und könnten Klarheit auch für andere Fragen bei der Verarbeitung von besonderen Kategorien personenbezogener Daten, insbesondere im Gesundheitssektor durch Gesundheitsprodukte und -dienstleistungen, bringen.
Auslegung von Art. 9 Abs. 2 DSGVO
In der ersten Frage des BAG geht es um das Verhältnis von zwei Erlaubnisgrundlagen zur Verarbeitung von Gesundheitsdaten (Art. 9 Abs. 2 lit. b und lit. h DSGVO). Die erste (lit. b) gibt Arbeitgebern das Recht, Gesundheitsdaten von Arbeitnehmern zu verarbeiten, wenn sie rechtlich zu der Verarbeitung verpflichtet sind. Die Norm erfasst die wenigen Fälle, in denen ein Arbeitgeber (den dieser Bereich üblicherweise nichts angeht) Informationen über die Gesundheit eines Arbeitnehmers erfahren darf/muss. Ein triviales Beispiel dafür ist etwa die Krankmeldung eines Arbeitnehmers oder die Verarbeitung von Informationen zur Tauglichkeit bei Berufen mit besonderen Anforderungen.
Keinesfalls muss ein Arbeitgeber allerdings Informationen über die genaue Krankheit eines Arbeitnehmers, die zur Arbeitsunfähigkeit führt, erhalten – hier bleibt es bei der Information, dass eine Krankheit besteht, die die Arbeitsunfähigkeit begründet. Daher erfährt er regelmäßig nichts über den genauen Inhalt eines Gutachtens über den Gesundheitszustand eines Arbeitnehmers, sondern allenfalls dessen Ergebnis (krank oder nicht krank, arbeitsunfähig oder arbeitsfähig).
Informationen zur konkreten Krankheit des Arbeitnehmers dürfen dagegen auf der Grundlage von Art. 9 Abs. 2 lit. h) DSGVO verarbeitet werden, etwa von Ärzten. Nach dieser Erlaubnisgrundlage dürfen Gesundheitsdaten zur Beurteilung der Arbeitsfähigkeit eines Beschäftigten verarbeitet werden, durch unabhängige Dritte, die als Angehörige von Gesundheitsberufen besonderen Verschwiegenheitspflichten unterliegen. Dies umfasst etwa auch die Erstellung von Gutachten über den Gesundheitszustand von Versicherten durch den Medizinischen Dienst einer Krankenkasse. Normalerweise sind solche Begutachtungen zulässig. Problematisch wird es allerdings, wenn der Versicherte – wie im vorliegenden Fall – gleichzeitig Arbeitnehmer des Medizinischen Dienstes der Krankenkasse ist. Das BAG fragt hierzu den EuGH, ob in diesem Fall nicht die an sich zulässige Erstellung des Gutachtens unzulässig sei, da der Arbeitgeber nach Art. 9 Abs. 2 lit. b) DSGVO nicht berechtigt wäre, ein Gutachten zu erstellen. Das BAG fragt also, ob Art. 9 Abs. 2 lit. b) DSGVO für einen Arbeitgeber Sperrwirkung entfaltet, sodass dieser weitere Rechtsgrundlagen des Art. 9 Abs. 2 DSGVO nicht mehr nutzen darf.
Diese Position des BAG lässt sich auf andere Fälle übertragen und könnte so weitreichende Folgen haben: Werden z.B. Ärzte in der Verarbeitung der Gesundheitsdaten ihrer Mitarbeiter beschränkt, wenn sich diese in der eigenen Praxis behandeln lassen? Wie sieht das bei DiGAs (ausgewählte Gesundheitsanwendungen für Patienten) und anderen digitalen Gesundheitsanwendungen aus: Müssen Anbieter ihre eigenen Mitarbeiter von der Verwendung dieser Tools ausschließen? Wie sieht es mit anderen Kombinationen von Erlaubnistatbeständen des Art. 9 Abs. 2 DSGVO aus?
Zusätzliche Maßnahmen zur Datensicherheit
Oder reichen interne „Chinese Walls“, die sicherstellen, dass die jeweiligen Kenntnisse nicht für das Arbeitsverhältnis selbst verwendet werden? Auf diese Thematik zielt die zweite Frage des BAG: Falls die Erstellung des Gutachtens zulässig war, hätten dann nicht zusätzliche Maßnahmen zur Geheimhaltung des Gutachtens vor Personen, mit denen der Betroffene Kontakt hatte, ergriffen werden müssen? Das BAG führt hierzu aus, dass es nicht ausreichen könne, dass an dem Gesundheitsgutachten nur beruflich zur Verschwiegenheit Verpflichtete mitwirken (so die Vorgabe aus Art. 9 Abs. 3 DSGVO) und HR-Mitarbeiter keinen Zugang zu den Informationen erhalten dürfen (so die Regelung zu Sozialdaten aus § 35 Abs. 1 S. 3 SGB I). Vielmehr, so das BAG, hätte der Arbeitgeber zum Schutz des Betroffenen sicherstellen müssen, dass keine Person, die mit dem Betroffenen zu tun hatte, an der Erstellung des Gutachtens mitwirken konnte oder berechtigt oder unberechtigt Zugriff auf das Gutachten hätte haben können.
Beantwortet der EuGH diese Frage so, dass besondere Vorkehrungen zum Schutz der Gesundheitsdaten des Betroffenen erforderlich gewesen wären, stellen sich wie oben Folgefragen bei der Nutzung von Gesundheitsprodukten oder -dienstleistungen. Müssen Arbeitgeber hier in Zukunft sicherstellen, dass Arbeitnehmerdaten nicht durch Kollegen wahrgenommen werden können? Aus der Beantwortung des EuGH zu dieser Frage ergeben sich womöglich auch weitergehende hilfreiche Hinweise darauf, wie besonders sensitive Daten technisch und organisatorisch geschützt werden müssen – eine in der Praxis höchst relevante Frage.
Rechtsgrundlage nach Art. 9 und Art. 6 DSGVO erforderlich?
Die größte Relevanz für die Praxis birgt die dritte, wiederum hypothetisch gestellte Frage des BAG. Diese betrifft das Verhältnis von Art. 6 und Art. 9 DSGVO. Grundsätzlich gilt hier: in Art. 9 Abs. 2 DSGVO werden die Rechtsgrundlagen für die Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten, Daten über religiöse und politische Auffassungen, über die sexuelle Orientierung etc.) aufgelistet. Art. 6 Abs. 1 DSGVO enthält dagegen Rechtsgrundlagen für die Verarbeitung aller anderen, weniger sensiblen Daten. Die Normen stehen nach bisher überwiegender Ansicht unabhängig nebeneinander, wer von einer Rechtsgrundlage aus Art. 9 Abs. 2 DSGVO Gebrauch macht, braucht Art. 6 Abs. 1 DSGVO nicht zu beachten und umgekehrt.
Das BAG hat dem EuGH nunmehr die Frage vorgelegt, ob die Verarbeitung von Daten auf der Grundlage von Art. 9 Abs. 2 DSGVO zusätzlich voraussetzt, dass auch eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO vorliegt. Dazu führt das BAG aus, dass – allerdings bei einer ziemlich konservativen Auslegung der Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO – im zu entscheidenden Fall die Voraussetzungen des Art. 6 Abs. 1 DSGVO nicht erfüllt gewesen seien.
Sollte sich das BAG in dieser Frage mit seinem Verständnis durchsetzen, hätte das weitreichenden Einfluss auf die Auslegung und Handhabung der DSGVO in der Praxis. Liegt eine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO vor, war bisher regelmäßig keine weitere Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für die Verarbeitung von Daten erforderlich. Bei einer entsprechenden Veränderung müssten etliche Verarbeitungsprozesse neu geprüft und bewertet werden: Liegt auch eine Erlaubnisgrundlage nach Art. 6 DSGVO vor? Müssen zusätzliche Dokumentationen erstellt werden? Sind die Informationen der Betroffenen (resp. die Datenschutzerklärungen) anzupassen? Fehlt eine Rechtsgrundlage nach einer der Normen, müssten die Datenverarbeitungen beendet werden.
Fazit
Das BAG hat dem EuGH relativ weitreichende Fragen zur Auslegung von Art. 9 Abs. 2 DSGVO vorgelegt. Der EuGH hat damit nun Gelegenheit, zu einigen grundsätzlichen Fragen in Bezug auf die Auslegung der DSGVO Stellung zu nehmen und damit ein Mehr an Rechtsklarheit und Rechtssicherheit zu schaffen.
Auch wenn das Verfahren primär den Beschäftigtendatenschutz betrifft, so wird sich die Entscheidung voraussichtlich weit darüber hinaus auswirken und auch Verarbeitungsprozesse beeinflussen, die außerhalb des Beschäftigtenverhältnisses sensitive Daten betreffen. Wir informieren Sie selbstverständlich, sobald Antworten aus Luxemburg eintreffen.