Mehr Infos

EuGH zur Klärung der Verarbeitung sensibler Daten

 
 
 

 

 

 

 

Arbeitgeber müssen bei der Begründung und Durchführung eines Arbeitsverhältnisses personenbezogene Daten des Arbeitnehmers speichern und verarbeiten. Beim Thema Datenschutz im Arbeitsverhältnis ist es erforderlich, einerseits die Unternehmensführung des Arbeitgebers zu berücksichtigen, aber auch andererseits das Recht auf informationelle Selbstbestimmung der Beschäftigten zu wahren. Im Beschäftigungsverhältnis bestehen oftmals offene Fragen, was die Befugnisse des Arbeitgebers hinsichtlich personenbezogener Daten anbelangt. Hier bedarf es noch höchstrichterliche Klärung. Jüngst hat das BAG dem EuGH mit Vorlagebeschluss Fragen zu den Rechtsgrundlagen für die Datenverarbeitung im Beschäftigungsverhältnis zur Klärung gestellt. Unter diesen Fragen befindet sich auch das klärungsbedürftige Verhältnis zwischen Art. 9 Abs. 2 DSGVO und Art. 6 Abs. 1 DSGVO.

 

Das Wichtigste in Kürze:

  • Der BGH legte dem EuGH einen Fragekatalog zur Klärung von datenschutzrechtlichen Fragestellungen im Beschäftigungsverhältnis vor.
  • Vorangegangen war ein Rechtsstreit, in dem es um die Verarbeitung besonderer Kategorien von personenbezogenen Daten nach Art. 9 Abs. 2 lit. h) DSGVO ging.
  • Klärungsbedürftig bleibt weiterhin das Verhältnis zwischen Art. 6 Abs. 1 DSGVO und Art. 9 Abs. 2 DSGVO. Deutsche Datenschützer gehen aktuell von einer kumulativen Anwendung aus.
  • § 26 Abs. 3 BDSG ist eine Verarbeitung besonderer Kategorien personenbezogener Daten nach Erfüllung weiterer Voraussetzungen zulässig.

 

Hintergrund und Vorlagefragen des BAG

Das Bundesarbeitsgericht ersuchte mit Beschluss von 26. August 2021 den Europäischen Gerichtshof nach Art. 267 AEUV um Vorabentscheidung. Das zugrundeliegende Revisionsverfahren der Beklagten wird bis zur Entscheidung des EuGH ausgesetzt. Das BAG stellte hierbei folgende Fragen:

  • Ist Art. 9 Abs. 2 lit. h) DSGVO so auszulegen, dass ein MDK Gesundheitsdaten eines betreffenden Arbeitnehmers, die wiederrum Voraussetzung und daher notwendig für die Beurteilung seiner Arbeitsfähigkeit sind, nicht verarbeiten darf?
  • Falls der MDK die personenbezogenen Daten entsprechend verarbeiten durfte ist fraglich, ob außer den Maßgaben aus Art. 9 Abs. 3 DSGVO in diesem Fall noch weitere und gegebenenfalls welche Vorgaben zum Datenschutz zu beachten sind?
  • Falls der MDK die Daten entsprechend verarbeiten durfte, besteht Klärungsbedarf hinsichtlich der Frage, ob die Zulässigkeit und Rechtmäßigkeit der Datenverarbeitung der Gesundheitsdaten zusätzlich zu Art. 9 Abs. 2 lit. h) DSGVO von den weiteren Voraussetzungen des Art. 6 Abs. 1 DSGVO abhängt.
  • Sodann muss geprüft werden, ob Art. 82 Abs. 1 DSGVO generalpräventiven Charakter hat und ob dies bei der Bußgeldhöhe berücksichtigt werden muss.
  • Kommt es bei der Bemessung der Höhe des Bußgeldes nach Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. des Auftragsverarbeiters an? Indes ist fraglich, ob geringes bzw. fehlendes Verschulden zu seinen Gunsten berücksichtigt werden darf.

In dem zugrundeliegenden Verfahren geht es um die Geltendmachung eines Schadensersatzanspruchs gem. Art. 82 DSGVO. Der Kläger war zum maßgeblichen Zeitpunkt Systemadministrator in der IT-Abteilung des beauftragten medizinischen Diensts (MDK) bei der Beklagten. Der Kläger macht Verstöße gegen Datenschutzvorschriften geltend, die im Zusammenhang mit der Einholung eines schriftlichen Gutachtens zu seiner Arbeitsunfähigkeit beim MDK stehen.

So wurden weitere Beschäftigte detailliert über seinen Gesundheitszustand informiert. Der Kläger warf der Beklagten vor, sie hätte in seinem Fall das Gutachten gar nicht erst erstellen dürfen. Er trägt außerdem vor, seine Gesundheitsdaten seien von der Beklagten nicht ausreichend geschützt worden.

 

Verarbeitung besonderer Kategorien personenbezogener Daten

In Art. 9 Abs. 1 DSGVO definierte der Gesetzgeber Kategorien von besonders schützenswerten personenbezogenen Daten. Darin heißt es, dass die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person untersagt ist.

Nach Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringen von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Es besteht also erst einmal ein kategorisches Verbot der Verarbeitung. Dieser Regelung liegt die Vermutung zugrunde, dass ein unzureichender Schutz dieser Daten mit besonders negativen Konsequenzen für die betroffene Person verbunden ist.

Da im Wirtschaftsleben oftmals auch besondere Kategorien personenbezogener Daten verarbeitet werden müssen, sieht Art. 9 Abs. 2 DSGVO einen Katalog von eng gefassten Ausnahmen vor. So gilt Absatz 1 beispielsweise nicht in den Fällen, in denen die Verarbeitung für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien, erforderlich ist (lit. h).

Absatz 1 gilt auch nicht für den Fall, dass der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist.

Dies ist bei Ausübung eines Beschäftigungsverhältnisses unerlässlich, da sonst keine Arbeitsunfähigkeitsbescheinigungen eingesehen oder betriebliche Eingliederungsmaßnahmen vollzogen werden könnten.

 

Verhältnis Art. 6 Abs. 1 S. 1 lit. a) und Art. 9 Abs. 2 lit. a) DSGVO

Weiterhin geht es insbesondere darum, ob bei der Verarbeitung besonderer Kategorien personenbezogener Daten die Erfordernisse des Art. 6 Abs. 1 und Art. 9 Abs. 2 DSGVO kumulativ vorliegen müssen oder ob gegebenenfalls eine Verarbeitung alleine auf Art. 9 DSGVO gestützt werden kann. Diese Fragestellung hat weitreichende praktische Konsequenzen für die Verantwortlichen.

So muss bei Erfüllung der Informationspflichten nach Art. 13, 14 Abs. 1 lit. c) DSGVO die genaue und konkrete Rechtsgrundlage stets angegeben werden. Bei Verstoß gegen eben diese Pflicht können Bußgelder drohen. Art. 6 Abs. 1 S. 1 lit. a) nennt die Einwilligung Betroffener als potentielle Rechtsgrundlage für die Verarbeitung personenbezogener Daten.

Hiernach ist die Verarbeitung nur rechtmäßig, wenn die Bedingung der Einwilligung der betroffenen Person zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke abgegeben wurde. Art. 7 DSGVO enthält ergänzende Regelungen zur rechtlichen Wirksamkeit einer Einwilligung.

Der wesentliche Unterschied der Normen besteht also darin, dass Art. 9 Abs. 2 lit. a) DSGVO schlicht regelt, dass besondere Kategorien personenbezogener Daten, wie etwa Gesundheitsdaten, nur bei Vorliegen einer ausdrücklichen Einwilligung verarbeitet werden dürfen. Art. 9 Abs. 2 lit. a) DSGVO grenzt dabei den Erlaubnistatbestand dahingehend weiter ein, dass eine Einwilligung ausdrücklich erteilt werden muss. Art. 6 Abs. 1 S. 1 lit. a) DSGVO hingegen spricht nur von einer eindeutig bestätigenden Handlung. Gegen eine zusätzliche Anwendung von Art. 6 DSGVO könnte sprechen, dass dieser rein nach der Gesetzessystematik einen abschließenden Katalog von Erlaubnistatbeständen enthält.

Für eine gemeinsame Anwendbarkeit spricht allerdings, dass Art. 9 Abs. 2 DSGVO Grenzen der zulässigen Bearbeitung enger fasst, aber keine weitere ergänzende Rechtsgrundlage schafft. Weiterhin spricht auch der risikobasierte Ansatz der DSGVO für eine ergänzende Anwendung beider Vorschriften. Mit steigender Sensibilität und damit auch steigender Eingriffsintensität der personenbezogenen Daten, wie dies bei Gesundheitsdaten der Fall ist, werden auch höhere Anforderungen an die Rechtmäßigkeit und Zulässigkeit der Verarbeitung gestellt.

Aktuell wenden die deutschen Aufsichtsbehörden, der deutsche Gesetzgeber als Verfasser des BDSG und die gerichtliche Vorinstanz im konkreten Fall die kumulierten Voraussetzungen beider Artikel an. Ob der EuGH auch tatsächlich demgemäß entscheidet, steht damit noch lange nicht fest.

 

Besondere Voraussetzungen im Beschäftigungsverhältnis

Nach § 26 Abs. 3 BDSG ist die Verarbeitung von besonderen Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses zulässig. Erforderlich ist, dass die Verarbeitung zur Erfüllung rechtlicher Pflichten aus dem Arbeits- und Sozialrecht dient. Überdies muss eine Interessenabwägung getätigt werden.

Es darf kein Grund zu der Annahme bestehen, dass ein überwiegendes schutzwürdiges Interesse der Betroffenen an einem Unterlassen der Verarbeitung besteht. Dies könnte im Arbeitsverhältnis beispielsweise in den Situationen von Dokumentationspflichten bei Arbeitsunfällen, der Verarbeitung von Arbeitsunfähigkeitsbescheinigungen, Beachtung der Kirchensteuer bei der Lohnabrechnung und einer Unterrichtung des Betriebsrates bei längerer Erkrankung/ Schwangerschaft relevant werden.

Sodann müssen „angemessenen und spezifische Maßnahmen“ zur Interessenwahrung der Betroffenen getroffen werden, § 22 Abs. 2 BDSG. Dies könnten nach S. 2 etwa Zugriffsprotokollierung, Sensibilisierung der an Verarbeitungsvorgängen beteiligten Mitarbeiter, Pseudonymisierung, Benennung von Datenschutzbeauftragten oder Implementierung von TOMs sein.

 

Ausblick

Gerade im Bereich der besonderen Kategorien personenbezogener Daten ist im Zuge der Sensibilität Vorsicht und eine umfassende Sicherung dieser Daten geboten. Gerade im Beschäftigungsverhältnis ist das Aufkommen an besonderen Kategorien personenbezogener Daten sehr hoch, denke man an die Gesundheitsdaten, wie Arbeitsunfähigkeitsbescheinigungen, von Beschäftigten in Ihrem Unternehmen. Hier sollten Sie sich vorzeitig mit Datenschutzbeauftragten um eine datenschutzkonforme Lösung beraten, die ein hohes Sicherheitsmaß vor unbefugten Zugriffen und Missbrauch aufweist.

Die Vorlagefragen an den EuGH befassen sich also im Kern mit der Konkretisierung des Schutzes besonderer Kategorien personenbezogener Daten. Bezüglich des Verhältnisses des Art. 6 und Art. 9 DSGVO steht eine richtungsweisende Entscheidung des EuGH bevor.

Nach Auffassung der Gerichte hierzulande kann eine Verarbeitung nicht alleine auf Art. 9 Abs. 2 DSGVO gestützt werden, wenn sie nicht auch nach Art. 6 Abs. 1 DSGVO zulässig ist. Ansonsten würde eine Umgehung des beabsichtigten besonders hohen Schutzes bei der Verarbeitung besonderer Kategorien personenbezogener Daten drohen.

Es bleibt abzuwarten, ob der EuGH die kumulative Anwendung der Artikel bestätigt. Zu begrüßen ist die Entscheidung jedenfalls vor dem Hintergrund größerer Rechtssicherheit.

 

 

Call Now ButtonKontakt aufnehmen