.st0{fill:#FFFFFF;}

EuGH zur Klärung der Verarbeitung sensibler Daten

Wichtige Datenschutz-Themen von Profis aufbereitet

EuGH zur Klärung der Verarbeitung sensibler Daten

Im Beschäftigungsverhältnis sind Arbeitgeber zur Wahrung ihrer sozialrechtlichen und arbeitsrechtlichen Pflichten verpflichtet, besondere Kategorien von personenbezogenen Daten zu verarbeiten. Hierzu zählen etwa Arbeitsunfähigkeitsbescheinigungen, Dokumentationsgutachten zu Arbeitsunfällen und sonstige Gesundheitsdaten.

Hier geraten unternehmerische Effizienz in der Datenverarbeitung und das Recht auf informationelle Selbstbestimmung des Arbeitnehmers in ein Spannungsverhältnis. Das BAG legte dem EuGH in einem aktuellen Beschluss einen Katalog zur Klärung von Fragestellung rund um die Datenverarbeitung im Beschäftigungsverhältnis vor.


Das Wichtigste in Kürze:

  • Dem EuGH liegt ein Fragenkatalog zur Klärung der Verarbeitung besonderer Kategorien personenbezogener Daten vor.
  • Insbesondere das Verhältnis zwischen Art. 6 Abs. 1 und Art. 9 Abs. 2 DSGVO wirft offene Fragen auf.
  • Nach § 26 Abs. 3 BDSG ist die Verarbeitung von besonderen Kategorien personenbezogener Daten im Beschäftigungsverhältnis zulässig.
    Inhalt
    Das Wichtigste in Kürze:
    1. Hintergrund und Vorlagefragen des BAG
    2. Besondere Kategorien personenbezogener Daten
    3. Ausblick

    1. Hintergrund und Vorlagefragen des BAG

    Die vorangegangene Revision vor dem Landesarbeitsgericht Düsseldorf war letztlich Initialzündung für den Vorlagebeschluss des BAG. In dem zugrundeliegenden Rechtsstreit geht es um die Geltendmachung eines Schadensersatzanspruchs gem. Art. 82 DSGVO im Zuge datenschutzrechtlicher Verstöße bei Verarbeitung von Gesundheitsdaten.

    Der Kläger war als Systemadministrator des beauftragten medizinischen Diensts (MDK) bei der Beklagten angestellt und macht Verstöße gegen Datenschutzvorschriften in Bezug auf die Einholung eines schriftlichen Gutachtens zu seiner Arbeitsunfähigkeit geltend. Bei Einholung des Gutachtens wurden vereinzelte Arbeitnehmer über den Krankheitsstand informiert. Der Kläger trägt vor, die Beklagte habe die Gesundheitsdaten unzulänglich geschützt und warf der Beklagten vor, sie hätte in seinem Fall das Gutachten gar nicht erstellen dürfen. 

    Dem EuGH liegt nun auf Beschluss des BAG im Vorabentscheidungsverfahren ein Katalog mit u.a. folgenden Fragestellungen vor:

    • Ist Art. 9 Abs. 2 lit. h) DSGVO so zu verstehen, dass ein MDK Gesundheitsdaten eines Arbeitnehmers, die notwendig für die Arbeitsunfähigkeitsbeurteilung sind, verarbeiten darf?
    • Ist die Rechtmäßigkeit der Verarbeitung der Gesundheitsdaten zusätzlich zu Art. 9 Abs. 2 lit. h) DSGVO von den weiteren Anforderungen des Art. 6 Abs. 1 DSGVO abhängig?
    • Kommt es bei der Bemessung der Bußgeldhöhe nach Art. 82 Abs. 1 DSGVO auf den Verschuldensgrad des Verantwortlichen an und wird ein fehlendes/ geringes Verschulden zu seinen Gunsten beachtet?


    2. Besondere Kategorien personenbezogener Daten

    Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen (…) hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten (…) untersagt. Art. 9 Abs. 2 DSGVO sieht allerdings auch Ausnahmetatbestände von dem kategorischen Verbot der Verarbeitung vor. Nach lit. h) gilt Absatz 1 beispielsweise in den Fällen nicht, in denen die Verarbeitung für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich (…) erforderlich ist.

    Letztlich stellt sich hier ebenfalls die Frage nach dem Schutzumfang der besonderen personenbezogenen Daten. Vorliegend hat der EuGH auf Vorlage des BAG das Verhältnis von Art. 6 Abs. 1 DSGVO und Art. 9 Abs. 2 DSGVO zu klären, welches hohe Praxisrelevanz hat. So muss für die Erfüllung von Informationspflichten die konkrete Rechtsgrundlage angegeben werden, um ein Bußgeld nach Art. 82 DSGVO zu vermeiden.

    Der Unterschied zwischen den beiden Artikeln liegt darin begründet, dass Art. 9 Abs. 2 lit. a) DSGVO schlicht eine „ausdrückliche“ Einwilligung in die Datenverarbeitung voraussetzt und Art. 6 Abs. 1 S. 1 lit. a) DSGVO hingegen nur von einer eindeutigen Einwilligungshandlung ausgeht. Die deutschen Aufsichtsbehörden, der deutsche Gesetzgeber als Verfasser des BDSG und die Vorinstanz verwenden die Anforderungen der Artikel kumulativ. Art. 9 Abs. 2 DSGVO verdrängt also keineswegs Art. 6 DSGVO, sondern ergänzt diesen vielmehr. Das wird von der herrschenden Auffassung mit dem risikobasierten Ansatz der DSGVO begründet. Je sensibler die Daten, desto höher sind die Voraussetzungen an eine rechtskonforme Datenverarbeitung zu stellen.

    Ob der EuGH die kumulative Anwendung der Artikel bestätigt, bleibt bis zu seiner Entscheidung offen.

    Überdies gewährt § 26 Abs. 3 BDSG eine zulässige Verarbeitung besonderer Kategorien im Beschäftigungsverhältnis, sofern dessen Voraussetzungen erfüllt sind. Hierzu gehört, dass der Verantwortliche mit der Verarbeitung seinen arbeits- und sozialrechtlichen Pflichten nachkommt.

    Dies ist der Fall, wenn eine dahingehende Interessenabwägung stattfand, ob den Interessen des Betroffenen und somit dem Ausschluss der Verarbeitung Vorrang zu gewähren ist, sowie „angemessene und spezifische Maßnahmen“ (beispielsweise TOMs) nach § 22 Abs. 2 BDSG etabliert wurden, um die Interessen des Betroffenen zu schützen.

    3. Ausblick

    Mit dem Vorlagebeschluss des BAG an den EuGH wird erneut auf rechtliche Ungewissheiten, aber auch auf die Praxisrelevanz und Bedeutung des Schutzes besonderer Kategorien personenbezogener Daten hingewiesen. Eine Entscheidung des EuGH bezüglich des Fragenkatalogs ist in jedem Fall richtungsweisend und trägt zu höherer Rechtssicherheit bei.

    Auch die Frage nach dem Verhältnis zwischen Art. 9 DSGVO und Art. 6 DSGVO, sowie den damit verbundenen, ergänzenden Anforderungen an die Einwilligung, ist durch Verantwortliche im Auge zu behalten. Gerade bei der Verarbeitung besonderer Datenkategorien ist Vorsicht geboten.

    Sie sollten im Vorfeld mit Ihren Datenschutzbeauftragten sichere, vor unbefugter Einsichtnahme geschützte Vorkehrungen und Maßnahmen treffen, um hohe Bußgelder und Schadenersatzansprüche nach Art. 82 DSGVO zu vermeiden.

    Share0
    Tweet0
    Share0

    Datenschutzschulungen für Ihre Mitarbeiter?

    Praxisnahe Online Schulungen für Datenschutz und Cybersecurity. DSGVO konform und zertifiziert.

     Mehr ansehen