n einem bemerkenswerten Urteil des Gerichtshofs der Europäischen Union (EuGH), Fallnummer C-667/21, wurden grundlegende Fragen zur Verarbeitung von Gesundheitsdaten von Arbeitnehmern im Einklang mit der Datenschutz-Grundverordnung (DSGVO) geklärt. Dieses Urteil ist von entscheidender Bedeutung für alle Unternehmen in der EU, die mit Mitarbeitergesundheitsdaten umgehen, und wirft Licht auf die Verantwortlichkeiten und Rechte sowohl der Arbeitgeber als auch der Arbeitnehmer.
1. Fallhintergrund: Im Mittelpunkt des Falls stand die Klage eines Mitarbeiters, ZQ, gegen seinen Arbeitgeber, den Medizinischen Dienst der Krankenversicherung Nordrhein, wegen der angeblichen unrechtmäßigen Verarbeitung seiner persönlichen Gesundheitsdaten.
2. Zentrale Fragestellungen des Urteils:
- Kann ein medizinischer Dienst als Arbeitgeber die Gesundheitsdaten seiner Mitarbeiter verarbeiten, um deren Arbeitsfähigkeit zu beurteilen?
- Welche Datenschutzanforderungen gelten darüber hinaus bei der Verarbeitung dieser Daten?
- Wie wird die Rechtmäßigkeit dieser Verarbeitung gemäß Art. 6 Abs. 1 DSGVO bestimmt?
- Welche Natur hat der Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO?
3. Entscheidung des EuGH:
- Der EuGH entschied, dass die Verarbeitung von Gesundheitsdaten durch den Arbeitgeber unter bestimmten Bedingungen zulässig ist. Wichtig ist, dass die Verarbeitung die explizit in Art. 9 Abs. 2 Buchst. h und Abs. 3 DSGVO festgelegten Voraussetzungen und Garantien erfüllt.
- Der Gerichtshof stellte klar, dass es keine zusätzliche Anforderung gibt, die es verbietet, dass Kollegen der betroffenen Person Zugang zu deren Gesundheitsdaten haben. Allerdings können Mitgliedstaaten strengere Regeln festlegen.
- Darüber hinaus muss jede Verarbeitung von Gesundheitsdaten eine der Rechtmäßigkeitsvoraussetzungen nach Art. 6 Abs. 1 DSGVO erfüllen.
- Interessant ist, dass der Schadenersatzanspruch nach Art. 82 DSGVO eine Ausgleichsfunktion hat, nicht aber abschreckend oder strafend wirkt. Die Haftung hängt vom Vorliegen eines Verschuldens ab, wobei ein Verschulden vermutet wird, wenn der Verantwortliche nicht das Gegenteil beweisen kann.
4. Auswirkungen für Unternehmen: Dieses Urteil unterstreicht die Notwendigkeit für Unternehmen, sichere und rechtskonforme Verfahren für die Verarbeitung sensibler Mitarbeiterdaten zu implementieren. Besonders hervorzuheben ist die Bedeutung der Einhaltung der DSGVO-Vorschriften zur Vermeidung von Schadensersatzansprüchen.
Fazit: Das Urteil des EuGH im Fall C-667/21 bietet wichtige Leitlinien für die rechtskonforme Verarbeitung von Gesundheitsdaten in der Arbeitswelt. Unternehmen sollten ihre Datenschutzpraktiken überprüfen und sicherstellen, dass diese im Einklang mit den aktuellen rechtlichen Anforderungen stehen.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TTDSG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530