Datenschutz - Gesundheitsdaten - Verarbeitung durch Arbeitgeber - Medizinischer Dienst
Leitsatz
1. Die Verarbeitung von Gesundheitsdaten durch einen Medizinischen Dienst, der von einer gesetzlichen Krankenkasse mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten beauftragt worden ist, kann nach Art. 9 Abs. 2 Buchst. h DSGVO auch dann zulässig sein, wenn es sich bei dem Versicherten um einen eigenen Arbeitnehmer des Medizinischen Dienstes handelt.
2. Ein Arbeitgeber, der als Medizinischer Dienst Gesundheitsdaten eines eigenen Arbeitnehmers verarbeitet, ist weder nach den Bestimmungen der Datenschutz-Grundverordnung noch aufgrund nationaler Rechtsvorschriften ausnahmslos verpflichtet zu gewährleisten, dass kein anderer Beschäftigter Zugang zu diesen Daten hat.
Gesetze: Art 9 Abs 2 Buchst h EUV 2016/679, Art 9 Abs 3 EUV 2016/679, § 276 Abs 2 SGB 5
Instanzenzug: Az: 4 Ca 6116/18 Urteilvorgehend Landesarbeitsgericht Düsseldorf Az: 12 Sa 186/19 Urteil
Tatbestand
1Die Parteien streiten über Ansprüche des Klägers auf materiellen und immateriellen Schadenersatz wegen Verstoßes gegen datenschutzrechtliche Bestimmungen und wegen Verletzung des allgemeinen Persönlichkeitsrechts des Klägers.
2Die Beklagte - vormals der Medizinische Dienst der Krankenversicherung (MDK) Nordrhein und jetzt der Medizinische Dienst Nordrhein (im Folgenden der Beklagte) - ist eine Körperschaft des öffentlichen Rechts. Er führt im Auftrag der gesetzlichen Krankenkassen gutachtliche Stellungnahmen nach dem Recht der sozialen Krankenversicherung durch. Im Jahr 2018 beschäftigte er - verteilt über acht Standorte im Gebiet Nordrhein - mehr als 1.000 Mitarbeiter.
3Der seit 1991 in einem Arbeitsverhältnis zum Beklagten stehende Kläger war zuletzt als Systemadministrator und Mitarbeiter „Helpdesk“ in der IT-Abteilung des Beklagten tätig. Seit November 2017 war er ununterbrochen arbeitsunfähig krank. Ab Mai 2018 bezog er von seiner gesetzlichen Krankenkasse Krankengeld.
4Im Jahr 2018 erstellte der Beklagte im Rahmen seiner Aufgaben als MDK mehrere hunderttausend medizinische Gutachten/gutachtliche Stellungnahmen für Träger der Sozialversicherung. Die Datenverarbeitung erfolgte mittels einer spezifischen Software, dem „Informationssystem der Medizinischen Dienste der Krankenversicherung“ (kurz ISmed), zuletzt dem System ISmed 3. Über den Einsatz von lSmed 3 schlossen der Beklagte, bei dem durchgängig ein Datenschutzbeauftragter bestellt war, und der Personalrat im April 2015 eine Dienstvereinbarung (im Folgenden DV). Dort ist ua. geregelt:
5In der mit „Rollenkonzept in ISmed 3“ überschriebenen Anlage 2 zur DV heißt es:
6Für den Fall, dass ein Gutachtenauftrag einen bei ihm beschäftigten Mitarbeiter betraf, erließ der Beklagte eine „Dienstanweisung zum Schutz der Sozialdaten der Beschäftigten des MDK Nordrhein und ihrer Angehörigen“ (im Folgenden DA). Dort ist ausgeführt:
7Insgesamt erhielten im Rahmen der nach der DA gebildeten Organisationseinheit „Spezialfall“ 36 Mitarbeiterinnen und Mitarbeiter des Beklagten technisch Zugriff auf den sog. geschützten Bereich. Es handelte sich dabei um ärztliche Mitarbeiter, Assistenzkräfte und Mitarbeiter der IT-Abteilung. Die Zugriffsberechtigung für die Bearbeitung der Spezialfälle war aufgeteilt in den „Teilbereich Ambulante Versorgung“ mit den Beratungs- und Begutachtungszentren (BBZ) A und B, denen jeweils Ärzte und Assistenzkräfte zugeordnet waren, den „Teilbereich Stationäre Versorgung“ mit den BBZ A und B, denen jeweils Ärzte, Kodierfachkräfte und Assistenzkräfte zugeordnet waren, den „Teilbereich MFB Behandlungsfehler“ mit dem BBZ C und den „Teilbereich IT Abteilung“, der in A angesiedelt war und dem im Jahr 2018 neun Personen, darunter der Kläger, zugeordnet waren. Sämtliche Mitarbeiter des sog. geschützten Bereichs waren auf das Sozialgeheimnis iSv. § 35 SGB I verpflichtet und wurden auf die strafrechtlichen und arbeitsrechtlichen Rechtsfolgen einer Verletzung hingewiesen. In regelmäßigen Schulungen wurden sie im Hinblick auf die Bedeutung des § 35 SGB I und die Einhaltung des Sozialdatenschutzes unterwiesen.
8Die Speicherung der unter Einsatz von ISmed 3 verarbeiteten Daten erfolgte im Rechenzentrum eines in M ansässigen Providers. Auftragsdaten mit den Stammdaten der Versicherten und die Begutachtungsdaten wurden getrennt voneinander - in zwei Datenbanken - gespeichert. Eine Zusammenführung war nur über einen in der Oracle Verschlüsselungsbibliothek hinterlegten Schlüssel und auch nur im Fall eines hergestellten Aufgabenbezugs durch einen zugriffsberechtigten Nutzer möglich. Die Zugriffsberechtigung wurde vom System technisch geprüft. Jedenfalls den der Organisationseinheit „Spezialfall“ angehörenden Mitarbeitern der IT-Abteilung war - unter Nutzung der vorhandenen Verschlüsselungstechnologie - auch nach der Archivierung technisch ein Zugriff auf Gutachten möglich, die eigene Mitarbeiter des Beklagten oder deren Angehörige betrafen.
9Im Juni 2018 beauftragte die gesetzliche Krankenkasse, bei der der Kläger versichert war, den Beklagten mit einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers. Der Auftrag ging auf dem Postweg - ohne dass ein Umschlag „Spezialfall“ Verwendung fand - im BBZ B ein und wurde dort unmittelbar händisch dem sog. geschützten Bereich zugeordnet. Eine im BBZ B tätige Ärztin, die der Organisationseinheit „Spezialfall“ angehörte, erstellte am ein - anschließend elektronisch im „geschützten Bereich“ gespeichertes - Gutachten, das ua. die Diagnose einer psychischen Erkrankung des Klägers auswies und als Ergebnis den Befund: „aus medizinischer Sicht auf Zeit AU“ enthielt. Vor der Anfertigung des Gutachtens holte die Ärztin beim behandelnden Arzt des Klägers telefonisch Auskünfte über den Gesundheitszustand des Klägers ein. Nachdem der Kläger durch seinen Arzt über das Gespräch unterrichtet worden war, nahm er am telefonisch Kontakt zu einer Kollegin aus der IT-Abteilung auf, die auf seine Bitten im digitalen Archiv nach dem Gutachten recherchierte, hiervon mit ihrem Mobiltelefon Fotos machte und anschließend die Fotos dem Kläger über einen Messenger-Dienst übermittelte.
10Nach erfolgloser außergerichtlicher Geltendmachung einer Entschädigung iHv. 20.000,00 Euro hat der Kläger mit seiner Klage seinen Leistungsanspruch auf immateriellen Schadenersatz weiterverfolgt und daneben - zweitinstanzlich - im Wege der Zahlungs- und Feststellungsklage materiellen Schadenersatz, jeweils gestützt auf Art. 82 Abs. 1 DSGVO und aus § 823 Abs. 1 BGB iVm. Art. 2 Abs. 1, Art. 1 Abs. 1 GG, begehrt.
11Im Verlauf des Rechtsstreits kündigte der Beklagte das Arbeitsverhältnis mit dem Kläger fristlos und hilfsweise fristgerecht. Dagegen erhob der Kläger in einem gesonderten Verfahren Kündigungsschutzklage. Zudem hörte der Beklagte den Personalrat zu einer beabsichtigten fristlosen, hilfsweise ordentlichen Kündigung des Arbeitsverhältnisses mit der Kollegin des Klägers an.
12Der Kläger hat die Auffassung vertreten, der Beklagte habe mit der Verarbeitung seiner Gesundheitsdaten im Zusammenhang mit der Erstellung des Gutachtens vom in mehrfacher Hinsicht gegen datenschutzrechtliche Bestimmungen verstoßen. Dem Beklagten sei es schon im Grundsatz nicht erlaubt, Gesundheitsdaten eigener Mitarbeiter zum Zweck der Erstellung eines von der Krankenkasse beauftragten medizinischen Gutachtens zu verarbeiten. Im Fall der Betroffenheit eigener Beschäftigter müsse die Begutachtung - selbst wenn kein Erfordernis einer körperlichen Untersuchung bestehe - stets durch einen anderen Medizinischen Dienst erfolgen. Zumindest habe für den Beklagten die Verpflichtung bestanden sicherzustellen, dass kein Kollege Kenntnis von ihn - den Kläger - betreffenden Gesundheitsdaten erlange und/oder Zugriff nehmen könne. Abgesehen davon sei es der konkret mit der Begutachtung befassten Ärztin, mit der er „immer mal wieder zu tun gehabt habe“, nicht erlaubt gewesen, bei seinem behandelnden Arzt telefonisch Auskünfte über seine Arbeitsunfähigkeit einzuholen. Schließlich seien auch die Maßnahmen zum Schutz seiner Gesundheitsdaten rund um die Bearbeitung des Auftrags der Krankenkasse und insbesondere die Archivierung des Gutachtens unzureichend gewesen. Es hätten ausreichende Schutzvorkehrungen und Kontrollen gefehlt, die wirksam einen unbefugten Zugriff auf Gesundheitsdaten, die eigene Mitarbeiter des Beklagten betreffen, verhindert hätten.
13Durch die darin liegenden Verstöße gegen die Datenschutz-Grundverordnung, in denen zugleich eine schwerwiegende Verletzung seines allgemeinen Persönlichkeitsrechts liege, habe er einen immateriellen Schaden erlitten, der vom Beklagten auszugleichen sei. Die erfolgte tatsächliche Kenntnisnahme von seinen Gesundheitsdaten durch Mitarbeiter des Beklagten, die seine Kollegen seien, und die Möglichkeit der Einsichtnahme in seine Daten - nach deren Speicherung im „geschützten Bereich“ jedenfalls noch durch Mitarbeiter der IT-Abteilung - hätten bei ihm die Befürchtung eines Austauschs im Kollegenkreis über seinen Gesundheitszustand „hinter seinem Rücken“ und damit verbunden die Sorge vor einer Bloßstellung ausgelöst. Zudem habe er befürchten müssen, dass Personalverantwortliche und Vorgesetzte zumindest „hinter vorgehaltener Hand“ Kenntnis von den Ursachen seiner Erkrankung erlangten. Weiterhin habe der Beklagte versucht, ihn und seine Kollegin mit den erklärten bzw. in Aussicht genommenen Kündigungen „mundtot“ zu machen; die Absicht einer Kündigung des Arbeitsverhältnisses seiner Kollegin habe bei ihm Gewissensbisse ausgelöst. Der Anspruch auf materiellen Schadenersatz bzw. entsprechende Feststellung resultiere aus einem Erwerbsschaden, der ihm infolge des zwischen der Gutachterin des Beklagten und seinem behandelnden Arzt unrechtmäßig geführten Telefonats entstanden sei. Die Kenntniserlangung von dem Telefonat habe dazu geführt, dass er - entgegen einer vorherigen Erwartung seines Arztes - nicht ab Dezember 2018 wieder voll arbeitsfähig, sondern weiterhin arbeitsunfähig erkrankt gewesen sei.
14Der Kläger hat zuletzt beantragt,
15Der Beklagte hat beantragt, die Klage abzuweisen.
16Das Arbeitsgericht hat die Klage hinsichtlich des Antrags zu 1. abgewiesen. Das Landesarbeitsgericht hat die Berufung des Klägers - auch hinsichtlich der Anträge zu 2. und 4. - zurückgewiesen. Den Antrag zu 3. hat es als nicht angefallen angesehen. Mit der Revision verfolgt der Kläger seine Klageanträge weiter. Der Beklagte begehrt, die Revision zurückzuweisen.
17Der Senat hat mit Beschluss vom (- 8 AZR 253/20 (A) - BAGE 175, 319) das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union gemäß Art. 267 AEUV um Vorabentscheidung über Rechtsfragen zur Auslegung von Art. 9 Abs. 1, Art. 9 Abs. 2, Art. 9 Abs. 3, Art. 6 Abs. 1 und Art. 82 Abs. 1 DSGVO ersucht. Über das Vorabentscheidungsverfahren hat der Gerichtshof mit Urteil vom (- C-667/21 - [Krankenversicherung Nordrhein]) entschieden.
Gründe
18Die zulässige Revision des Klägers ist unbegründet. Das Landesarbeitsgericht hat die Berufung des Klägers zu Recht zurückgewiesen. Die Klage hat, soweit sie dem Senat zur Entscheidung anfällt, keinen Erfolg.
19I. Der zulässige Hauptantrag zu 1. ist unbegründet.
201. Der Antrag ist zulässig, insbesondere hinreichend bestimmt iSv. § 253 Abs. 2 Nr. 2 ZPO.
21a) Der Kläger stützt seinen Anspruch auf immateriellen Schadenersatz zwar auf mehrere behauptete Verstöße des Beklagten gegen Bestimmungen der Datenschutz-Grundverordnung und damit verbundene, vermeintlich unrechtmäßige Eingriffe in sein allgemeines Persönlichkeitsrecht. Damit leitet er sein Begehren aber nicht aus einer Mehrheit von Streitgegenständen ab; es kann daher offenbleiben, ob andernfalls eine unzulässige alternative Klagehäufung vorläge.
22aa) Der Gegenstand des Verfahrens bestimmt sich nach dem für das arbeitsgerichtliche Urteilsverfahren geltenden zweigliedrigen Streitgegenstandsbegriff durch den gestellten Antrag (Klageantrag) und den ihm zugrunde liegenden Lebenssachverhalt (Klagegrund). Der Streitgegenstand erfasst alle Tatsachen, die bei einer natürlichen, vom Standpunkt der Parteien ausgehenden, den Sachverhalt seinem Wesen nach erfassenden Betrachtungsweise zu dem zur Entscheidung gestellten Tatsachenkomplex gehören, den der Kläger zur Stützung seines Rechtsschutzbegehrens dem Gericht unterbreitet hat (vgl. - Rn. 22 mwN).
23bb) Der Kläger sieht die Verarbeitung seiner Gesundheitsdaten durch den Beklagten vornehmlich deshalb als unzulässig an, weil dieser sein Arbeitgeber ist und weil bei der Verarbeitung ua. Kollegen, die - wie er - dem „geschützten Bereich“ angehörten, Zugriff auf seine besonders sensiblen Daten hatten. Darüber hinaus wendet er sich gegen die Art und Weise der Datenerhebung durch die ärztliche Gutachterin, die nach seiner Auffassung jedenfalls nicht ohne seine Einwilligung telefonisch Auskünfte bei seinem behandelnden Arzt habe einholen dürfen. Ausdrücklich nicht als „haftungsbegründenden“ Datenschutzverstoß will der Kläger zwar den von seiner Kollegin am vorgenommenen Zugriff auf das im Archiv gespeicherte Gutachten anführen, wie er im letzten Termin der mündlichen Verhandlung vor dem Landesarbeitsgericht klargestellt hat. Er will diesen Zugriff aber ersichtlich als Beleg für unzureichende Schutzmaßnahmen des Beklagten bei der Speicherung seiner Gesundheitsdaten verstanden wissen, auf die er sein Entschädigungsverlangen ebenfalls stützt.
24cc) Danach ist zwar nicht zu übersehen, dass dem Anspruch auf Geldentschädigung vermeintliche Datenschutzverstöße bei unterschiedlichen Verarbeitungsschritten-/tätigkeiten zugrunde liegen. Im Mittelpunkt des Begehrens stehen aber jeweils die Offenlegung und/oder Kenntnisnahme(möglichkeit) von Gesundheitsdaten des Klägers gegenüber bzw. durch eigene Beschäftigte des Beklagten, insbesondere solche Mitarbeiter, die seine „Kollegen“ sind, und der Umgang mit den Daten im Rahmen der von der gesetzlichen Krankenkasse beauftragten medizinischen Stellungnahme. Zudem handelt es sich bei den beanstandeten Verarbeitungstätigkeiten um eine Vorgangsreihe, dh. eine Aneinanderreihung von Verarbeitungsvorgängen (wie etwa das aufeinanderfolgende Erheben, Erfassen, Verwenden und Speichern) im Zusammenhang mit personenbezogenen Daten, die nach Art. 4 Nr. 2 DSGVO ihrerseits eine Verarbeitung im Sinne der Datenschutz-Grundverordnung darstellt und die bei natürlicher Betrachtung einen einheitlichen Lebenssachverhalt und damit einen einheitlichen Klagegrund im prozessualen Sinne bildet. Der maßgebliche einheitliche Streitgegenstand ist damit durch sämtliche Datenschutzverstöße gekennzeichnet, die nach dem Vorbringen des Klägers im Zusammenhang mit der Erstellung des Gutachtens über seine Arbeitsunfähigkeit stehen und die in den Zeitraum beginnend mit dem Auftrag der Krankenkasse vom bis zu dem am erfolgten Zugriff auf das archivierte Gutachten fallen.
25b) Der Kläger hat den Antrag zu 1. auch zulässigerweise unbeziffert gestellt und lediglich einen Mindestbetrag der beanspruchten (Gesamt-)Entschädigung angegeben. Denn die Höhe einer dem Kläger - unterstellt - zuzubilligenden Geldentschädigung hängt von einer gerichtlichen Schätzung nach § 287 Abs. 2 ZPO ab (zur Zulässigkeit eines unbezifferten Leistungsantrags in einem solchen Fall vgl.: - zu II 2 der Gründe; - Rn. 78 mwN). Der Kläger hat überdies ausreichend Tatsachen benannt, die das Gericht für die Schätzung heranziehen soll (zu diesem Erfordernis vgl. - zu A der Gründe mwN, BAGE 113, 361), nämlich ua. die Unsicherheit über eine mögliche Bekanntheit seiner Gesundheitsdaten im Kollegenkreis, die daraus resultierende Belastung des beruflichen „Miteinanders“ bis hin zur Befürchtung eines Austauschs über seinen Gesundheitszustand „hinter seinem Rücken“ und die damit verbundene Sorge vor einer „Bloßstellung“.
262. Der Antrag hat in der Sache keinen Erfolg. Die Voraussetzungen der in Betracht kommenden Anspruchsgrundlagen sind nicht erfüllt.
27a) Der Beklagte ist, worüber zwischen den Parteien kein Streit besteht, weiterhin passiv legitimiert. Vormalige Rechtsbeziehungen zum Medizinischen Dienst der Krankenversicherung Nordrhein sind auf den beklagten Medizinischen Dienst Nordrhein übergegangen. Die (Neu-)Errichtung der Medizinischen Dienste als Körperschaften des öffentlichen Rechts (§ 278 Abs. 1 Satz 1 SGB V idF des Art. 1 Nr. 25 des Gesetzes für bessere und unabhängigere Prüfungen vom - MDK-Reformgesetz, BGBl. I S. 2789) hat für den Beklagten, da er bereits zuvor als Körperschaft des öffentlichen Rechts organisiert war (vgl. Art. 73 Abs. 4 des Gesetzes zur Strukturreform im Gesundheitswesen vom , Gesundheits-Reformgesetz - GRG, BGBl. I S. 2477) lediglich deklaratorische Bedeutung (dazu und zu den maßgeblichen Übergangsregelungen im SGB V vgl. - Rn. 19 mwN).
28b) Der Kläger hat gegen den Beklagten keinen Anspruch auf die begehrte Geldentschädigung aus Art. 82 Abs. 1 DSGVO.
29aa) Der Anwendungsbereich der Datenschutz-Grundverordnung und damit von Art. 82 DSGVO ist zwar eröffnet.
30(1) Die Verordnung gilt nach Art. 99 Abs. 2 DSGVO ab dem . Sämtliche Einzelvorgänge, die mit dem Auftrag der Krankenkasse für eine gutachtliche Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers verbunden sind, fanden nach dem und damit im Geltungszeitraum der Datenschutz-Grundverordnung statt.
31(2) Der Anwendung der Datenschutz-Grundverordnung steht nicht entgegen, dass der Beklagte die im Streit stehende Datenverarbeitung nicht in seiner Eigenschaft als Arbeitgeber, sondern in seiner Funktion als Medizinischer Dienst vorgenommen hat.
32(a) Nach § 35 Abs. 2 Satz 1 SGB I (idF des Art. 19 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom - BVGÄndG, BGBl. I S. 2541), der ebenfalls seit dem gilt, regeln die Vorschriften des Zweiten Kapitels des Sozialgesetzbuches X und der übrigen Bücher des Sozialgesetzbuches die Verarbeitung von Sozialdaten abschließend, soweit nicht die Datenschutz-Grundverordnung unmittelbar gilt. Nach § 35 Abs. 2 Satz 2 SGB I finden für die Verarbeitungen von Sozialdaten im Rahmen von nicht in den Anwendungsbereich der Datenschutz-Grundverordnung fallenden Tätigkeiten die Datenschutz-Grundverordnung und dieses Gesetz entsprechende Anwendung, soweit nicht in diesem oder einem anderen Gesetz Abweichendes geregelt ist. Diese konstitutiv wirkende Regelung stellt für die Verarbeitung von Sozialdaten ein datenschutzrechtliches Vollregime unabhängig von der Reichweite der Datenschutz-Grundverordnung sicher (vgl. BT-Drs. 18/12611 S. 97; - Rn. 14, BSGE 127, 181; Bieresborn NZS 2017, 887, 891).
33Die Erstellung einer gutachtlichen Stellungnahme über das Vorliegen einer Arbeitsunfähigkeit des Klägers durch den Beklagten betrifft Sozialdaten iSv. § 35 Abs. 1 SGB I. Dies sind personenbezogene Daten iSv. Art. 4 Nr. 1 DSGVO, die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch verarbeitet werden (§ 67 Abs. 2 Satz 1 SGB X idF des Art. 24 Nr. 2 BVGÄndG). Zu den in § 35 Abs. 1 SGB I genannten Stellen gehören nach § 35 Abs. 1 Satz 4 SGB I auch die Arbeitsgemeinschaften der Leistungsträger. Dazu zählte die nach § 278 Abs. 1 Satz 1 SGB V (idF des Art. 1 GRG) in jedem (Bundes-)Land von den Krankenkassen getragene Arbeitsgemeinschaft „Medizinischer Dienst der Krankenversicherung“. Soweit der Beklagte nunmehr als Medizinischer Dienst fortbesteht, gilt nach § 276 Abs. 2 Satz 5 SGB V (idF des Art. 1 Nr. 24 MDK-Reformgesetz) in seinem Geschäftsbereich § 35 SGB I „entsprechend“.
34(b) Nach den übrigen Regelungen ist der sachliche und persönliche Anwendungsbereich der DSGVO eröffnet. Der Beklagte hat, wie bereits im Beschluss des Senats vom (- 8 AZR 253/20 (A) - Rn. 15, BAGE 175, 319) ausgeführt, im Rahmen der von der Krankenkasse des Klägers am beauftragten medizinischen gutachtlichen Stellungnahme personenbezogene Daten des betroffenen Klägers (Art. 4 Nr. 1 DSGVO), bei denen es sich überwiegend um Gesundheitsdaten (Art. 4 Nr. 15 DSGVO) handelt, iSv. Art. 2 Abs. 1, Art. 4 Nr. 2 DSGVO „verarbeitet“. Der Begriff der Verarbeitung, der weit auszulegen ist ( - [Ministerstvo zdravotnictvi (Application mobile Covid-19)] Rn. 27 mwN), umfasst auch das telefonische Abfragen von Informationen über den Gesundheitszustand des Klägers zur weiteren Dokumentation und Auswertung in einer gutachtlichen Stellungnahme, die - wie hier - zur Speicherung in einem Dateisystem des Beklagten vorgesehen ist (zur mündlichen Übermittlung von in einem Dateisystem gespeicherten Daten vgl. - [Endemol Shine Finland] Rn. 32 ff.). Der Beklagte ist zudem, jedenfalls soweit er personenbezogene Daten des Klägers zur Durchführung der medizinischen Begutachtung von dessen Arbeitsunfähigkeit verarbeitet hat, Verantwortlicher iSd. Art. 4 Nr. 7 DSGVO.
35bb) Die Voraussetzungen eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO liegen aber nicht vor.
36(1) Nach der Rechtsprechung des Gerichtshofs der Europäischen Union (im Folgenden Gerichtshof) hängt dieser Anspruch von drei Voraussetzungen ab. Es muss ein Verstoß gegen die Datenschutz-Grundverordnung, ein materieller oder immaterieller Schaden sowie ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden vorliegen, und diese drei Voraussetzungen müssen kumulativ erfüllt sein (vgl. - [MediaMarktSaturn] Rn. 58; - C-667/21 - [Krankenversicherung Nordrhein] Rn. 82 mwN). Hinsichtlich der Darlegungs- und Beweislast hat der Gerichtshof klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, das Vorliegen aller drei Voraussetzungen des Anspruchs nachweisen muss (vgl. - [juris] Rn. 35; - C-687/21 - [MediaMarktSaturn] Rn. 60 f.).
37(2) Danach kann der Kläger aus Art. 82 Abs. 1 DSGVO keinen immateriellen Schadenersatz beanspruchen. Es liegt - unter sämtlichen vom Kläger gerügten Gesichtspunkten - bereits kein Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung vor. Die Verarbeitung der Gesundheitsdaten des Klägers im Zusammenhang mit der Erstellung der gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers verstößt nicht gegen das Verarbeitungsverbot nach Art. 9 Abs. 1 DSGVO. Sie erfüllt die besonderen, sich aus Art. 9 Abs. 2 Buchst. h iVm. Art. 9 Abs. 3 DSGVO ergebenden Rechtmäßigkeitsvoraussetzungen. Die Verarbeitung genügte auch den allgemeinen, sich aus Art. 6 Abs. 1 DSGVO ergebenden Rechtmäßigkeitsanforderungen. Der Beklagte hat schließlich ausreichende Vorkehrungen zum Datenschutz getroffen. Insbesondere genügen die vom Beklagten insoweit getroffenen Maßnahmen den in Art. 5 Abs. 1 Buchst. a DSGVO genannten und in Art. 32 Abs. 1 Buchst. a und b DSGVO konkretisierten Grundsätzen der Integrität und der Vertraulichkeit.
38(a) Die Datenverarbeitung ist entgegen der Auffassung des Klägers nicht deshalb unrechtmäßig, weil es dem Beklagten angesichts seiner gleichzeitigen Stellung als Arbeitgeber und als Medizinischer Dienst nach Art. 9 DSGVO verwehrt wäre, Gesundheitsdaten des Klägers zu verarbeiten.
39(aa) Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten wie ua. Gesundheitsdaten zwar untersagt. Dieses Verbot gilt nach Art. 9 Abs. 2 Buchst. h DSGVO aber nicht in Fällen, in denen die Verarbeitung für die Beurteilung der Arbeitsfähigkeit eines Beschäftigten auf der Grundlage des Rechts eines Mitgliedstaats und vorbehaltlich der in Art. 9 Abs. 3 DSGVO genannten Bedingungen und Garantien erforderlich ist.
40(bb) Der Beklagte kann sich auf die Ausnahmeregelung des Art. 9 Abs. 2 Buchst. h DSGVO berufen, obwohl er im Zeitpunkt der Verarbeitung der Gesundheitsdaten Arbeitgeber des Klägers war. Nach der Rechtsprechung des Gerichtshofs ( - [Krankenversicherung Nordrhein] Rn. 58) ist Art. 9 Abs. 2 Buchst. h DSGVO unter dem Vorbehalt, dass die Datenverarbeitung die in der Bestimmung und in Art. 9 Abs. 3 DSGVO ausdrücklich vorgeschriebenen Voraussetzungen und Garantien erfüllt, auch auf Situationen anwendbar, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer Arbeitnehmer nicht als Arbeitgeber, sondern als Medizinischer Dienst verarbeitet, um die Arbeitsfähigkeit dieses Arbeitnehmers zu beurteilen. Der Gerichtshof hat dieses Verständnis aus Wortlaut und Regelungszusammenhang der in Art. 9 Abs. 2 Buchst. h DSGVO enthaltenen, streng reglementierten Ausnahme abgeleitet und erkannt, dass diese Auslegung mit den Zielen der Datenschutz-Grundverordnung und denen ihres Art. 9 in Einklang steht (vgl. - [Krankenversicherung Nordrhein] Rn. 41 bis 57). Danach steht außer Zweifel, dass sich der Anwendungsbereich der Ausnahmebestimmung einschließlich des Art. 9 Abs. 3 DSGVO nicht auf Fälle beschränkt, in denen ein „neutraler Dritter“, dh. eine Stelle, die nicht der Arbeitgeber des Beschäftigten ist, Gesundheitsdaten verarbeitet, um die Arbeitsfähigkeit des Arbeitnehmers zu prüfen. Andernfalls würde Art. 9 Abs. 2 Buchst. h DSGVO eine Anforderung hinzugefügt, die in der Bestimmung nicht enthalten ist und die je nach Ausgestaltung des jeweiligen Gesundheitssystems ggf. nicht in allen Mitgliedstaaten erfüllt werden kann (vgl. - [Krankenversicherung Nordrhein] Rn. 51, 52).
41(cc) Die Datenverarbeitung durch den Beklagten ist auch - vorbehaltlich der Erforderlichkeit der vom Kläger beanstandeten konkreten Verarbeitungstätigkeiten - insoweit von Art. 9 Abs. 2 DSGVO gedeckt, als die besonderen Rechtmäßigkeitsvoraussetzungen von Art. 9 Abs. 2 Buchst. h iVm. Art. 9 Abs. 3 DSGVO (vgl. dazu - [Krankenversicherung Nordrhein] Rn. 44) vorliegen.
42(aaa) Der Beklagte verarbeitete die Gesundheitsdaten des Klägers zu einem in Art. 9 Abs. 2 Buchst. h DSGVO genannten Zweck, nämlich der Beurteilung der Arbeitsunfähigkeit des Klägers. Soweit Art. 9 Abs. 2 Buchst. h DSGVO von „Arbeitsfähigkeit“ spricht, ist dieser Begriff, zumal der Gerichtshof in der Vorabentscheidung diesbezüglich keine Bedenken geäußert hat, ersichtlich auch im negativen Sinne zu verstehen.
43(bbb) Die Verarbeitung der Daten erfolgte auf der Grundlage einer dem Beklagten im deutschen Recht eingeräumten Befugnis.
44(aaaa) Nach § 275 Abs. 1 Satz 1 Nr. 3 Buchst. b SGB V sind die Krankenkassen in den gesetzlich bestimmten Fällen oder wenn es nach Art, Schwere, Dauer oder Häufigkeit der Erkrankung oder nach dem Krankheitsverlauf erforderlich ist, verpflichtet, bei Arbeitsunfähigkeit zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eine gutachtliche Stellungnahme des Medizinischen Dienstes der Krankenversicherung (Medizinischer Dienst) (jetzt - unter Streichung der Worte „der Krankenversicherung (Medizinischer Dienst)“ durch Art. 1 Nr. 21 des MDK-Reformgesetzes - nur noch „Medizinischer Dienst“; im Folgenden einheitlich: § 275 Abs. 1 Satz 1 Nr. 3 Buchst. b SGB V) einzuholen. Um eine solche Stellungnahme, die unerlässlich mit der Verarbeitung von Gesundheitsdaten einhergeht, hat die gesetzliche Krankenkasse des Klägers den Beklagten am gebeten.
45(bbbb) Nach § 276 Abs. 2 Satz 1 SGB V (idF des Art. 1 Nr. 16g des Gesetzes zur Stärkung der Heil- und Hilfsmittelversorgung vom , Heil- und Hilfsmittelversorgungsgesetz - HHVG, BGBl. I S. 778) darf der Medizinische Dienst Sozialdaten erheben und speichern sowie einem anderen Medizinischen Dienst übermitteln, soweit dies für die Prüfungen, Beratungen und gutachtlichen Stellungnahmen nach § 275 SGB V erforderlich ist. Der im deutschen Recht in § 67 Abs. 2 SGB X definierte Begriff der Sozialdaten schließt Gesundheitsdaten iSv. Art. 4 Nr. 15 DSGVO ein (vgl. BeckOK SozR/Westphal Stand SGB X § 67 Rn. 6; Wiesner/Wapler/Walther 6. Aufl. SGB X § 67 Rn. 3).
46(cccc) Soweit nach Art. 9 Abs. 2 Buchst. h DSGVO, wie Erwägungsgrund 53 Satz 1 klarstellt, die Verarbeitung zudem „im Interesse einzelner natürlicher Personen und der Gesellschaft insgesamt“, insbesondere im Zusammenhang mit der Verwaltung der Dienste und Systeme des Gesundheits- und Sozialbereichs erforderlich sein muss (vgl. - [Krankenversicherung Nordrhein] Rn. 56), liegt diese Voraussetzung ebenfalls vor. Zur Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich gehören in Deutschland im Bereich der gesetzlichen Krankenversicherung ua. die gesetzlichen Krankenkassen und der Medizinische Dienst (Kühling/Buchner/Weichert 4. Aufl. DS-GVO Art. 9 Rn. 107). Welche Zwecke im Interesse einzelner natürlicher Personen liegen, lässt sich nicht abschließend definieren. Hierunter fallen jedenfalls die Vornahme und die Abwicklung von gesundheitsbezogenen Sozialleistungen durch öffentlich-rechtliche Leistungsträger wie die gesetzlichen Krankenkassen (vgl. Ehmann/Selmayr/Schiff 3. Aufl. DS-GVO Art. 9 Rn. 61). Soweit diese zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten eine Stellungnahme des Medizinischen Dienstes einzuholen haben, ist dieses Verfahren Bestandteil der Abwicklung von Leistungen der gesetzlichen Krankenversicherung. Die Begutachtung durch den Medizinischen Dienst ist geeignet, Unsicherheiten ua. über die Berechtigung des Bezugs von Krankengeld auszuräumen. Es liegt im Interesse der Versicherten, dass diese Begutachtung durch den Medizinischen Dienst als einer von der leistungsgewährenden Krankenkasse unabhängigen Stelle durchgeführt wird. Die Begutachtung zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit durch einen Medizinischen Dienst unter Nutzung von dessen Fachkunde liegt zudem im gesamtgesellschaftlichen Interesse, da sie die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen der gesetzlichen Krankenkassen sicherstellt. Dies wiederum dient der finanziellen Stabilität der gesetzlichen Krankenversicherung insgesamt (vgl. - Rn. 239, BVerfGE 114, 196).
47(ccc) Die durch Art. 9 Abs. 3 DSGVO geforderten Garantien sind erfüllt.
48(aaaa) Nach dieser Bestimmung darf eine Verarbeitung von Gesundheitsdaten eines Arbeitnehmers zur Prüfung seiner Arbeitsfähigkeit nur dann erfolgen, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.
49(bbbb) Diesen Anforderungen wurde die Verarbeitung der Gesundheitsdaten des Klägers gerecht. Die beim Beklagten mit der Erstellung einer medizinischen Stellungnahme befassten Ärzte unterliegen, auch soweit sie beim Beklagten unmittelbar angestellt sind, nach § 203 Abs. 1 Nr. 1 StGB und § 9 der Berufsordnung für die nordrheinischen Ärztinnen und Ärzte vom (idF vom , MBl. NRW Nr. 7 vom S. 148) einer (strafbewehrten) Berufsgeheimnispflicht. Das übrige Verwaltungs- und IT-Personal, insbesondere das Personal der für die Bearbeitung medizinischer Stellungnahmen eines eigenen Beschäftigten des Beklagten allein zuständigen Organisationseinheit „Spezialfall“, muss aufgrund arbeits-/dienstrechtlicher Pflichten das Sozialgeheimnis wahren, dem der Beklagte als Medizinischer Dienst - wie oben (unter Rn. 33) gezeigt - unterliegt und das als Berufsgeheimnis iSd. Art. 9 Abs. 3 DSGVO zu werten ist (vgl. BeckOK SozR/Gutzler Stand März 2024 SGB I § 35 Rn. 11; Kühling/Buchner/Weichert 4. Aufl. DS-GVO Art. 9 Rn. 142). Das Sozialgeheimnis zielt darauf ab, Geheimnisse in vergleichbarem Maße institutionell zu schützen wie personale Berufsgeheimnisse (vgl. Kühling/Buchner/Weichert aaO). Zudem unterliegen die nichtärztlichen Mitarbeiter des Beklagten, soweit ihre berufliche Tätigkeit es mit sich bringt, dass ihnen Gesundheitsdaten Betroffener bekannt werden, als mitwirkende Personen jedenfalls einer nach § 203 Abs. 4 StGB strafbewehrten Geheimhaltungspflicht.
50(cccc) Weitergehende Anforderungen stellt Art. 9 Abs. 3 DSGVO nicht. Insbesondere ergibt sich hieraus keine Verpflichtung des Beklagten zu gewährleisten, dass kein Kollege eines von einer Begutachtung betroffenen Beschäftigten Zugang zu dessen Gesundheitsdaten hat. Auch diese Bestimmung kann, wie der Gerichtshof auf das Vorabentscheidungsersuchen des Senats erkannt hat, nicht um ungeschriebene Tatbestandsmerkmale ergänzt werden, da der Unionsgesetzgeber mit ihr die spezifischen Schutzmaßnahmen, die er für Verarbeitungen iSv. Art. 9 Abs. 2 Buchst. h DSGVO den Verantwortlichen auferlegen wollte, definiert hat, und weil die Auslegung dieser Bestimmung nicht von Erwägungen bestimmt werden darf, die aus dem Gesundheitssystem eines einzigen Mitgliedstaats hergeleitet werden oder die sich aus Besonderheiten einer bestimmten Fallkonstellation ergeben (vgl. - [Krankenversicherung Nordrhein] Rn. 62 f., 70).
51(ddd) Zwar sind die Mitgliedstaaten nach Art. 9 Abs. 4 DSGVO befugt, zusätzliche Bedingungen, einschließlich Beschränkungen, einzuführen oder aufrechtzuerhalten, soweit die Verarbeitung von Gesundheitsdaten betroffen ist. Dies umfasst die Befugnis der Mitgliedstaaten, den Verantwortlichen in den Fällen des Art. 9 Abs. 2 Buchst. h DSGVO zu verpflichten, Kollegen der betroffenen Person vom Zugang zu Daten über ihren Gesundheitszustand auszuschließen ( - [Krankenversicherung Nordrhein] Rn. 65, 70), sofern diese Einschränkung nicht der praktischen Wirksamkeit der Erlaubnis für die Datenverarbeitung schadet, die in Art. 9 Abs. 2 Buchst. h DSGVO ausdrücklich vorgesehen ist und deren Rahmen in Art. 9 Abs. 3 DSGVO abgesteckt wird ( - [Krankenversicherung Nordrhein] Rn. 67). Von dieser Möglichkeit der Einführung einer solchen Beschränkung hat der deutsche Gesetzgeber jedoch keinen Gebrauch gemacht.
52(aaaa) Eine Regelung im deutschen Recht, die dem Medizinischen Dienst hinsichtlich der Durchführung einer Begutachtung nach § 275 Abs. 1 Satz 1 Nr. 3 Buchst. b SGB V abstrakt-generell eine Beschränkung dahin gehend auferlegt, dass überhaupt kein anderer Mitarbeiter, der mit dem Betroffenen - und sei es nur gelegentlich - als „Kollege“ zusammenarbeitet, Zugriff auf dessen Gesundheitsdaten haben darf, liegt nicht vor. Eine derartige Vorgabe ist weder § 276 Abs. 2 SGB V (idF des Art. 1 Nr. 16g HHVG), der die Verarbeitung von Sozialdaten ua. in den Fällen des § 275 SGB V regelt, noch den für die Verarbeitung von Sozialdaten allgemein geltenden Bestimmungen im Zweiten Kapitel des SGB X (§§ 67 bis 85a) zu entnehmen.
53Gegen die Annahme einer solchen Beschränkung spricht im Übrigen die Regelung in § 35 Abs. 1 Satz 3 SGB I (jetzt iVm. § 276 Abs. 2 Satz 5 SGB V), wonach Personen, die Personalentscheidungen treffen oder daran mitwirken, Sozialdaten der Beschäftigten weder zugänglich sein dürfen noch an diesen Personenkreis von Zugriffsberechtigten weitergegeben werden dürfen. Die Vorschrift ist erkennbar von der Vorstellung geleitet, dass es bei Leistungsträgern wie etwa den gesetzlichen Krankenkassen oder einem Medizinischen Dienst zu Situationen kommen kann, in denen Sozialdaten eines eigenen Arbeitnehmers verarbeitet werden.
54(bbbb) Eine - zumindest teilweise - Beschränkung der Verarbeitungsbefugnisse des Beklagten folgt auch nicht aus den im Streitzeitraum geltenden Regelungen über die Beauftragung von Gutachtern. Nach § 279 Abs. 5 Halbs. 1 SGB V (idF des Art. 1 GRG; jetzt § 278 Abs. 2 Satz 1 SGB V idF des Art. 1 Nr. 25 MDK-Reformgesetz) werden die Fachaufgaben des Medizinischen Dienstes - dh. die Aufgaben nach § 275 SGB V (vgl. Wagner in Krauskopf Soziale Krankenversicherung, Pflegeversicherung Stand Juni 2018 § 279 SGB V Rn. 16) - von Ärzten und Angehörigen anderer Heilberufe wahrgenommen. Zwar hatte der Medizinische Dienst nach der bis zum übergangsweise fortgeltenden Regelung in § 279 Abs. 5 Halbs. 2 SGB V (idF des Art. 1 GRG), die im Zuge der Änderungen des SGB V durch das MDK-Reformgesetz ersatzlos gestrichen wurde (vgl. BR-Drs. 359/19 S. 76), vorrangig Gutachter zu beauftragen, womit die Beauftragung externer - nicht beim Medizinischen Dienst beschäftigter - Gutachter angesprochen war (vgl. Becker/Kingreen/Sichert 6. Aufl. SGB V § 279 Rn. 7). Diese Vorgabe stand jedoch nach der Begründung des Regierungsentwurfs zum Gesundheits-Reformgesetz (vgl. BT-Drs. 11/2237 S. 233; insoweit zu § 287 Abs. 5 der Entwurfsfassung) im Zusammenhang mit dem auf übernommene Beamte und Beamtenanwärter der Landesversicherungsanstalten begrenzten Recht des Medizinischen Dienstes, Beamte zu beschäftigen, und sollte vor dem Hintergrund zur Verfügung stehender begrenzter Begutachtungs-/Beratungskapazitäten eine möglichst qualifizierte Durchführung der Aufgaben nach § 275 SGB V gewährleisten. Nach der Begründung des Gesetzentwurfs zum MDK-Reformgesetz (BR-Drs. 359/19 S. 76) wurde die Regelung zur vorrangigen Beauftragung von Gutachtern aus dem SGB V gestrichen, da Art und Umfang der neben dem Einsatz eigener Beschäftigter zur Erledigung von Auftragsspitzen oder zur Bearbeitung seltener und spezieller Gutachtensaufträge möglichen Beauftragung externer Gutachter „künftig durch eine Richtlinie … gemäß § 283 Absatz 2 Satz 1 Nummer 5“, dh. eine Richtlinie des Medizinischen Dienstes Bund, „ausgestaltet wird“. Dies zeigt, dass die vormalige Regelung in § 279 Abs. 5 Halbs. 2 SGB V vornehmlich Zwecken der Qualitätssicherung diente und jedenfalls nicht das Ziel verfolgte, Befugnisse des Medizinischen Dienstes bei der Verarbeitung von Gesundheitsdaten einzuschränken.
55(cccc) Spezifische Beschränkungen der Verarbeitung von Gesundheitsdaten eines eigenen Mitarbeiters ergeben sich für den Medizinischen Dienst schließlich nicht aus der am vom Spitzenverband Bund der Krankenkassen als Richtlinie erlassenen Begutachtungsanleitung Arbeitsunfähigkeit (BGA-AU 2017) (in der bis zum geltenden Fassung vom , vgl. § 411 Abs. 2 Satz 1 SGB V). Es kommt deshalb für die vorliegende Beurteilung nicht darauf an, ob Richtlinien iSv. § 282 Abs. 2 Satz 3 bzw. § 283 Abs. 2 SGB V als Rechtsvorschriften iSv. Art. 9 Abs. 4 DSGVO anzusehen sind (zur Problematik vgl. Gola/Heckmann/Schulz 3. Aufl. DS-GVO Art. 9 Rn. 49).
56(dddd) Nach alledem kann der im Schrifttum vereinzelt vertretenen Auffassung (vgl. Halder/Maluszczak jurisPR-ITR 3/2024 Anm. 4 unter C), das deutsche Rechtssystem habe die Aufgaben bzw. Pflichten des Medizinischen Dienstes im Fall der Betroffenheit eigener Mitarbeiter bereits im Grundsatz „anders zugewiesen“, nicht gefolgt werden. Der deutsche Gesetzgeber hat, indem er den Medizinischen Dienst nicht allgemein verpflichtet hat, im Fall der Betroffenheit eigener Arbeitnehmer einen anderen Dienst zu beauftragen, diesem - ersichtlich bewusst und in Kenntnis dessen, dass die Verarbeitung von Daten zur Erstellung einer gutachtlichen Stellungnahme iSd. § 275 Abs. 1 Satz 1 Nr. 3 Buchst. b SGB V regelmäßig Gesundheitsdaten eines Betroffenen umfasst - eine dahin gehende Beschränkung nicht auferlegt. Die Annahme einer datenschutzrechtlichen „Unzuständigkeit“ des konkret beauftragten Dienstes allein unter dem Gesichtspunkt, dass eine medizinische Begutachtung die Arbeitsunfähigkeit eines eigenen Mitarbeiters betrifft, liefe dieser gesetzgeberischen Grundentscheidung zuwider.
57(b) Eine auf Art. 9 Abs. 2 Buchst. h DSGVO gestützte Verarbeitung von Gesundheitsdaten ist zwar nicht schon dann rechtmäßig, wenn sie den spezifischen Anforderungen, die diese Bestimmung stellt, gerecht wird. Vielmehr muss die auf die vorgenannte Bestimmung gestützte Verarbeitung zugleich ua. den sich aus Art. 6 Abs. 1 DSGVO ergebenden Rechtmäßigkeitsvoraussetzungen genügen ( - [Krankenversicherung Nordrhein] Rn. 78 f.). Diese liegen aber vor.
58(aa) Nach Art. 6 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderlich ist (Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO). Die Rechtsgrundlage für eine solche Verarbeitung kann sich aus dem Recht der Mitgliedstaaten ergeben (Art. 6 Abs. 3 Satz 1 Buchst. b DSGVO). Dies setzt voraus, dass der Zweck der Verarbeitung in dieser Rechtsgrundlage festgelegt ist (Art. 6 Abs. 3 Satz 2 DSGVO), die rechtlichen Regelungen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen (Art. 6 Abs. 3 Satz 4 DSGVO).
59(bb) Der Beklagte kam, wie bereits (unter Rn. 44) gezeigt, mit der Erstellung der medizinischen Stellungnahme zur Beseitigung von Zweifeln über die Arbeitsunfähigkeit des Klägers einer ihm nach § 275 Abs. 1 Satz 1 Nr. 3 Buchst. b SGB V zugewiesenen Aufgabe nach. Fordert die Krankenkasse eine solche Stellungnahme an, ist deren Ausführung für den Medizinischen Dienst verpflichtend und die Verarbeitung erforderlich.
60(cc) Der deutsche Gesetzgeber hat in § 276 Abs. 2 SGB V eine bereichsspezifische Rechtsgrundlage für die Datenverarbeitung beim Medizinischen Dienst geschaffen. Nach § 276 Abs. 2 Satz 1 SGB V darf, wie bereits ausgeführt, der Medizinische Dienst Sozialdaten, dh. sowohl personenbezogene Daten iSv. Art. 6 Abs. 1 DSGVO als auch Gesundheitsdaten iSv. Art. 9 Abs. 1 DSGVO, erheben und speichern sowie einem anderen Medizinischen Dienst übermitteln, soweit dies ua. für Stellungnahmen nach § 275 SGB V erforderlich ist. Nach Satz 3 der Bestimmung dürfen die rechtmäßig erhobenen und gespeicherten Sozialdaten nur für die in § 275 SGB V genannten Zwecke verarbeitet oder genutzt werden, für andere Zwecke, soweit dies durch Rechtsvorschriften des Sozialgesetzbuchs angeordnet oder erlaubt ist.
61(aaa) Die Rechtsgrundlage entspricht insoweit den Vorgaben in Art. 6 Abs. 1 Unterabs. 1 Buchst. c iVm. Art. 6 Abs. 3 Satz 1 Buchst. b DSGVO. Sie regelt die Datenverarbeitung beim Medizinischen Dienst im Rahmen seiner Aufgaben (zu diesem Erfordernis vgl. - [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 87 mwN). Nach Erwägungsgrund 45 verlangt die Datenschutz-Grundverordnung nicht für jede einzelne Verarbeitung ein spezifisches Gesetz. So kann ein Gesetz als Grundlage für mehrere Verarbeitungsvorgänge ausreichend sein, wenn die Verarbeitung - wie hier - aufgrund einer dem Verantwortlichen obliegenden rechtlichen Verpflichtung erfolgt ( - Rn. 66).
62(bbb) § 276 Abs. 2 Satz 1 und Satz 3 SGB V genügen auch den Anforderungen des Art. 6 Abs. 3 Satz 2 DSGVO. Sie legen ua. mit den gutachtlichen Stellungnahmen nach § 275 SGB V den Zweck der Verarbeitung fest. Der angeführte Zweck ist iSv. Art. 6 Abs. 3 Satz 4 DSGVO legitim, wie das Regelbeispiel in Art. 9 Abs. 2 Buchst. h DSGVO „für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich“ sowie Erwägungsgrund 52 Satz 2 zur DSGVO belegen (vgl. Rn. 46).
63(ccc) Die nach § 276 Abs. 2 Satz 2 und Satz 3 SGB V die Datenverarbeitung legitimierenden Rechtsgrundlagen stehen zudem in einem angemessenen Verhältnis zu dem verfolgten Zweck.
64(aaaa) Art. 6 Abs. 3 Satz 4 DSGVO trägt dem in Art. 52 Abs. 1 Satz 2 GRC verankerten Verhältnismäßigkeitsprinzip Rechnung (vgl. Paal/Pauly/Frenzel 3. Aufl. DS-GVO Art. 6 Rn. 45; vgl. auch Erwägungsgrund 4 Satz 2 zur DSGVO). Dieser Grundsatz verlangt, dass die Handlungen der Unionsorgane geeignet sind, die mit der fraglichen Regelung zulässigerweise verfolgten Ziele zu erreichen, und nicht die Grenzen dessen überschreiten, was zur Erreichung dieser Ziele geeignet und erforderlich ist (vgl. , C-594/12 - [Digital Rights Ireland] Rn. 46 mwN; - Rn. 48, BSGE 131, 169).
65Geboten ist in diesem Zusammenhang eine ausgewogene Gewichtung legitimer Verarbeitungsziele auf der einen Seite und der den natürlichen Personen durch Art. 7 und Art. 8 GRC zuerkannten Rechte auf Achtung ihres Privatlebens und auf Schutz ihrer personenbezogenen Daten auf der anderen Seite. Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten müssen sich in dem Sinne auf das absolut Notwendige beschränken, dass diese Zielsetzung vernünftigerweise nicht ebenso wirksam mit anderen Mitteln erreicht werden kann, die dieses Recht weniger beeinträchtigen. Der Eingriff darf zudem nicht außer Verhältnis zu der Zielsetzung stehen, was insbesondere eine Gewichtung der Bedeutung dieser Zielsetzung und der Schwere dieses Eingriffs impliziert (vgl. - [Orde van Vlaamse Balies ua.] Rn. 41, 42; - C-293/12, C-594/12 - [Digital Rights Ireland] Rn. 52; - Rn. 49, BSGE 131, 169; jeweils mwN).
66(bbbb) Daran gemessen ist die Verhältnismäßigkeit gewahrt.
67(aaaaa) Die strikte Zweckbindung der Verarbeitungen durch § 276 Abs. 2 Satz 1 und Satz 2 SGB V begrenzt sämtliche Verarbeitungen beim Beklagten auf ein zur Aufgabenerfüllung unerlässliches Maß und trägt insoweit dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) Rechnung.
68(bbbbb) Es ist nicht ersichtlich, dass es andere, gleich geeignete, weniger belastende Möglichkeiten gibt, um die Verarbeitungsziele zu erreichen. Die Durchführung der dem Medizinischen Dienst zugewiesenen Aufgabe zur Erstellung einer medizinischen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten ist ohne die Erfassung und Erhebung von personenbezogenen (Gesundheits-)Daten schlicht nicht möglich. Die Erlaubnis zur Datenspeicherung dient im Gesundheitsbereich zwingenden Dokumentationserfordernissen und trägt zudem den Erfordernissen moderner Gesundheitsverwaltung Rechnung. Der mit den Verarbeitungen verbundene Eingriff in das Recht der Versicherten auf Schutz ihrer personenbezogenen Daten wiegt zwar schwer. Das gilt umso mehr als besonders sensible Daten iSd. Art. 9 Abs. 1 DSGVO betroffen sind. Dagegen steht aber das öffentliche Interesse an der Sicherung der Qualität und Wirtschaftlichkeit der Leistungen der gesetzlichen Krankenversicherung, das nach der in Art. 9 Abs. 2 Buchst. h DSGVO vorgenommenen Abwägung des Unionsgesetzgebers unter den in der Bestimmung genannten Voraussetzungen auch einen solchen, schweren Eingriff zu legitimieren vermag (zur finanziellen Stabilität der gesetzlichen Krankenversicherung als „überragend wichtiges Gemeinschaftsgut“ vgl. auch - zu C III 1 c der Gründe, BVerfGE 114, 196; zur Relevanz dieses Gemeinwohlbelangs im Zusammenhang mit Maßnahmen zur Verhinderung eines Leistungsmissbrauchs vgl. - Rn. 44, 52, BSGE 131, 169).
69(ccccc) Die Rechtsgrundlage ist auch insoweit iSv. Art. 6 Abs. 3 Satz 4 DSGVO angemessen, als sie die Verarbeitung von Gesundheitsdaten nicht allgemein für den Fall ausschließt, dass der Medizinische Dienst zugleich Arbeitgeber des Betroffenen ist. Zwar besteht in solchen Konstellationen ein erheblich gesteigertes Interesse an der Wahrung der Vertraulichkeit seiner Daten, das sich sowohl auf den Arbeitgeber als auch das berufliche Umfeld des Betroffenen bezieht. Diesem als besonders hoch einzuschätzenden Geheimhaltungsinteresse trägt das nationale Recht aber dadurch Rechnung, dass es den an das Sozialgeheimnis gebundenen Stellen die in § 35 Abs. 1 Satz 3 SGB I enthaltenen Zugriffsbeschränkungen in Bezug auf Personen mit Personalentscheidungsbefugnis einschließlich Mitwirkender auferlegt. Eine entsprechende gesetzliche Regelung in Bezug auf sämtliche Mitarbeiter eines Dienstes war demgegenüber unter dem Gesichtspunkt der Verhältnismäßigkeit nicht geboten. Insoweit ist es grundsätzlich ausreichend, wenn dem Bedürfnis nach Wahrung der Integrität und Vertraulichkeit eines Betroffenen durch technische und organisatorische Maßnahmen innerhalb des Dienstes Rechnung getragen wird. Zwar bestünde angesichts der in Deutschland vorhandenen mehreren Medizinischen Dienste die Möglichkeit, die Aufgaben nach § 275 SGB V für den Fall der Betroffenheit eines eigenen Beschäftigten von vornherein einem anderen Dienst zuzuweisen. Dies brächte aber in der Abwicklung der Leistungen der gesetzlichen Krankenversicherung Nachteile mit sich, die die Verarbeitung durch einen anderen Dienst nicht als gleichermaßen effektiv und wirtschaftlich erscheinen lassen. Zum einen begünstigt die Zuständigkeit eines Medizinischen Dienstes für sämtliche Begutachtungen, die in seinem Geschäftsbereich anfallen, die - im Interesse der Gesamtheit der Versicherten liegende - einheitliche Anwendung der bei der Begutachtung anzulegenden Maßstäbe, wie sie sich insbesondere aus der BGA-AU 2017 ergeben. Zum anderen zielt die Einrichtung mehrerer Medizinischer Dienste in Deutschland gerade darauf, eine nach Möglichkeit arbeits- und wohnortnahe Begutachtung sicherzustellen, da diese dem Fachpersonal einen leichteren Zugang zu den Leistungserbringern, darunter die behandelnden niedergelassenen Ärzte, eröffnet. Sind Leistungserbringer den Gutachtern aufgrund eines regelmäßigen Kontakts bekannt, kann dies das Vertrauen in die Zuverlässigkeit von deren Beurteilungen zur Feststellung der Arbeitsunfähigkeit beeinflussen, was wiederum die Einschätzung eines Gutachters erleichtern kann, ob die medizinische Stellungnahme zur Arbeitsunfähigkeit eines Betroffenen auf der Grundlage vorhandener Befunde erfolgen kann, oder ob ggf. eine zusätzliche ärztliche Untersuchung des Gesundheitszustands veranlasst ist. Dies sichert wiederum nicht nur die Qualität, sondern auch die Wirtschaftlichkeit der Aufgabenerledigung durch die Medizinischen Dienste, die von den Kranken- und Pflegekassen finanziert werden.
70(ddddd) Diesem Befund stehen die Ausführungen des Gerichtshofs in der Vorabentscheidung zu den in Art. 5 Abs. 1 Buchst. f DSGVO genannten und in Art. 32 Abs. 1 Buchst. a und b DSGVO konkretisierten Grundsätzen der Integrität und Vertraulichkeit nicht entgegen. Zwar hat der Gerichtshof erkannt, aufgrund dieser Grundsätze könne einem Verantwortlichen, der als Medizinischer Dienst Gesundheitsdaten eines Beschäftigten verarbeitet, die Pflicht obliegen sicherzustellen, dass kein Kollege des Betroffenen Zugriff auf diese Daten hat (vgl. - [Krankenversicherung Nordrhein] Rn. 59 ff.). Diese Vorgaben verlangen aber keine abstrakt-generelle Regelung durch den Gesetzgeber. Sie richten sich an den Verantwortlichen und sind deshalb bei der Beurteilung zu berücksichtigen, ob konkret getroffene Schutzvorkehrungen den sich aus den Grundsätzen der Integrität und Vertraulichkeit ergebenden Pflichten genügen.
71(c) Die beim Beklagten im Zusammenhang mit der medizinischen Stellungnahme vom durchgeführten einzelnen Verarbeitungstätigkeiten entsprechen den Vorgaben in § 276 Abs. 2 Satz 1 und Satz 3 SGB V. Sie waren damit zugleich in ihrer konkreten Durchführung iSv. Art. 9 Abs. 2 Buchst. h DSGVO zur Beurteilung der Arbeits(un)fähigkeit des Klägers und iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO zur Erfüllung einer den Beklagten dahin gehend treffenden rechtlichen Verpflichtung erforderlich. Insbesondere ist kein Verstoß gegen die Datenschutz-Grundverordnung aufgrund des Verhaltens der befassten Ärztin zu erkennen.
72(aa) Auf der Grundlage der vom Landesarbeitsgericht getroffenen Feststellungen ergeben sich keine Anhaltspunkte dafür, dass der Beklagte Gesundheitsdaten des Klägers zu anderen Zwecken als zum Zweck der Erstellung einer medizinischen Stellungnahme über die Arbeitsunfähigkeit des Klägers verarbeitet hat, oder dass die Verarbeitung im Hinblick auf das konkret befasste Personal nicht den Garantien iSv. Art. 9 Abs. 2 Buchst. h iVm. Art. 9 Abs. 3 DSGVO entsprach.
73(bb) Die Datenverarbeitung war auch insoweit rechtmäßig als die Gutachterin telefonische Auskünfte über den Gesundheitszustand des Klägers bei dessen behandelndem Arzt eingeholt hat.
74(aaa) Nach § 276 Abs. 2 Satz 2 SGB V sind die Leistungserbringer, wozu ua. die niedergelassenen (Vertrags-)Ärzte zählen, auf Anforderung des Medizinischen Dienstes und soweit diese Anforderung unter Nennung des Begutachtungszwecks erfolgt, verpflichtet, versichertenbezogene Daten unmittelbar an den Medizinischen Dienst zu übermitteln. Dies impliziert die Befugnis der Gutachter eines Medizinischen Dienstes, Daten unmittelbar beim behandelnden Arzt zu erheben. Eine Vorgabe, wonach Datenabfrage und -übermittlung ausschließlich schriftlich erfolgen dürften, ist dem Gesetz für die Fallbearbeitung durch den Medizinischen Dienst nicht zu entnehmen (vgl. Krauskopf/Knittel Stand Februar 2024 SGB V § 276 Rn. 10; Spickhoff/Nebendahl 4. Aufl. SGB V § 276 Rn. 6). Eine telefonische Anfrage ist, da sie der zügigen Erledigung der Stellungnahme dient, auch grundsätzlich erforderlich. Da die Datenübermittlung durch einen Leistungserbringer an den Medizinischen Dienst keiner Einwilligung des Versicherten bedarf (vgl. BT-Drs. 19/8351 S. 212; Becker/Kingreen/Seifert 8. Aufl. SGB V § 276 Rn. 4), war eine solche auch für die hier erfolgte telefonische Auskunft nicht erforderlich.
75(bbb) Entsprechend sahen die im Zeitpunkt des Telefonats geltenden BGA-AU 2017 eine telefonische Datenerhebung ausdrücklich vor. Dort heißt es zu Nr. 3.1.7 („Ergänzende Instrumente der SFB“ Informationsbeschaffung) unter dem Punkt „Telefonisches MDK-Vertragsarztgespräch“: „Ein Telefonat zwischen MDK/Vertragsarzt u. a. zur Klärung der funktionellen Schädigungen, Beeinträchtigungen von Aktivitäten bzw. der Teilhabe am Arbeitsleben oder auch der individuellen Prognose des weiteren Verlaufes ist sinnvoll. … Der Vertragsarzt ist jedoch nicht verpflichtet, am Telefon Auskunft zu geben.“ Danach stellen die einschlägigen Begutachtungsrichtlinien die Entscheidung, ob Informationen beim Vertragsarzt telefonisch eingeholt werden, in das pflichtgemäße Ermessen des Gutachters. Dies entspricht dem erkennbaren und sowohl im (öffentlichen) Interesse der Leistungsträger als auch im Interesse des Versicherten liegenden Zweck der Richtlinienbestimmung, das Vorliegen von Arbeitsunfähigkeit in geeigneten Fällen möglichst zügig zu klären. Durch die Berechtigung des Vertragsarztes, die Auskunft am Telefon abzulehnen, werden die Belange des Betroffenen angemessen gewahrt.
76(ccc) Soweit der Kläger im Zusammenhang mit seiner Rüge, die Ärztin habe die Auskünfte schriftlich einholen müssen, auf ein anzuwendendes Umschlagverfahren verweist, galt - jedenfalls im Streitzeitraum - dieses Verfahren zwingend nur für Datenerhebungen durch die Krankenkassen bei den Leistungserbringern, wie wiederum aus den Vorgaben der BGA-AU 2017 (Nr. 3.1.4 unter Punkt „Einleitung der sozialmedizinischen Fallberatung [SFB] durch die Krankenkasse“) hervorgeht.
77(ddd) Nach den Dokumentationen in dem Gutachten vom hatte das „Behandlertelefonat“ vom die Frage zum Gegenstand, wann mit einer Rückkehr des Klägers an seinen Arbeitsplatz gerechnet werden kann. Die Datenabfrage diente damit jedenfalls der Klärung der voraussichtlichen Dauer der Arbeitsunfähigkeit und erfolgte damit zu dem Zweck der Erstellung der medizinischen Stellungnahme. Irgendeinen Anhaltspunkt dafür, dass in dem Telefonat Daten erfragt wurden, die außerhalb des Zwecks der Erstellung der gutachtlichen Stellungnahme lagen, hat der Kläger nicht aufgezeigt. Er hat lediglich - gänzlich unsubstantiierte - Befürchtungen hinsichtlich einer überschießenden Informationsbeschaffung geäußert. Damit ist er, soweit er seinen Schadenersatzanspruch auf das Telefonat stützt, der ihn treffenden Last zur Darlegung eines Verstoßes gegen die Datenschutz-Grundverordnung nicht nachgekommen. Der Kläger hat nicht behauptet, dass er über den Inhalt des Telefonats - etwa durch Nachfrage bei seinem behandelnden Arzt - keine näheren Informationen hätte erlangen können.
78(cc) Es kann dahinstehen, ob ein Verstoß gegen die Datenschutz-Grundverordnung vorliegt, soweit die Krankenkasse den ursprünglichen Gutachtenauftrag an den Beklagten außerhalb eines eigentlich vorgesehenen Umschlagverfahrens übermittelt hat. Insoweit ist der Beklagte jedenfalls nicht Verantwortlicher iSv. Art. 4 Nr. 7 DSGVO.
79(d) Die Datenverarbeitung beim Beklagten genügt auch unter dem Gesichtspunkt erforderlicher Schutzvorkehrungen den Anforderungen, die an eine rechtmäßige und nach Treu und Glauben erfolgende Verarbeitung zu stellen sind.
80(aa) Maßgeblich sind insoweit die in § 276 Abs. 2 Sätze 6 bis 9 SGB V getroffenen Regelungen. Da es sich um besondere Vorkehrungen zum Datenschutz beim Medizinischen Dienst handelt (vgl. Becker/Kingreen/Seifert 8. Aufl. SGB V § 276 Rn. 12), finden ergänzend die allgemeinen Bestimmungen in § 67a (Erhebung von Sozialdaten) und § 67b SGB X (Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung) (jeweils idF des Art. 24 BVGÄndG) Anwendung, wobei diese ausdrücklich auch die Verarbeitung der in Art. 9 Abs. 1 DSGVO genannten Daten, also ua. Gesundheitsdaten erfassen (§ 67a Abs. 1 Satz 2 und § 67b Abs. 1 Satz 2 SGB X). Soweit § 22 Abs. 2 BDSG nach § 67a Abs. 1 Satz 3 und § 67b Abs. 1 Satz 4 SGB X „entsprechend“ gilt, gelten die dortigen Vorgaben auch für Verarbeitungen beim Medizinischen Dienst. Im Übrigen gehen allerdings die Datenschutzregelungen des Sozialgesetzbuches den Regelungen des Bundesdatenschutzgesetzes vor (vgl.Sydow/Marsch DS-GVO/BDSG/Kampert 3. Aufl. DS GVO Art. 9 Rn. 75).
81(aaa) Nach § 276 Abs. 2 SGB V hat der Medizinische Dienst Sozialdaten zur Identifikation des Versicherten getrennt von den medizinischen Sozialdaten des Versicherten zu speichern (Satz 6). Durch technische und organisatorische Maßnahmen ist sicherzustellen, dass die Sozialdaten nur den Personen zugänglich sind, die sie für ihre Aufgaben benötigen (Satz 7). Der Schlüssel für die Zusammenführung der Daten ist vom Beauftragten für den Datenschutz des Medizinischen Dienstes aufzubewahren und darf anderen Personen nicht zugänglich gemacht werden (Satz 8). Darüber hinaus ist jede Zusammenführung zu protokollieren (Satz 9).
82(bbb) Nach § 22 Abs. 2 Satz 1 BDSG (idF des Art. 1 des Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU vom - DSAnpUG-EU, BGBl. I S. 2097), sind in den Fällen des Abs. 1, dh. in den Fällen der Verarbeitung besonderer Kategorien personenbezogener Daten wie der hier verarbeiteten Gesundheitsdaten, angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen gehören dazu die in § 22 Abs. 2 Satz 2 BDSG am Ende katalogartig aufgeführten Maßnahmen. Dazu zählen ua. technisch organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Datenschutz-Grundverordnung erfolgt (Nr. 1), Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind (Nr. 2), Sensibilisierung der an Verarbeitungsvorgängen Beteiligten (Nr. 3), Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern (Nr. 5), Pseudonymisierung personenbezogener Daten (Nr. 6) und Verschlüsselung personenbezogener Daten (Nr. 7).
83(ccc) § 22 Abs. 2 BDSG benennt die möglichen Maßnahmen nur beispielhaft. Deshalb muss es sich bei den vom Medizinischen Dienst zu treffenden Schutzvorkehrungen nicht um die ausdrücklich benannten Maßnahmen handeln. Soweit der Verantwortliche anderweitige Schutzvorkehrungen trifft, müssen sie aber das Vertraulichkeitsinteresse der Betroffenen strikt achten und bei wertender Betrachtung den in § 22 Abs. 2 BDSG aufgelisteten Kriterien entsprechen ( - Rn. 76 mwN). Darüber hinaus sind die in § 276 Abs. 2 SGB V aufgeführten besonderen Schutzvorkehrungen, wie sich aus der Formulierung „hat“ ergibt, zwingend.
84(bb) Die vorbezeichneten Bestimmungen des nationalen Rechts sind anwendbar. Sie enthalten spezifische Regelungen iSv. Art. 6 Abs. 2 und Abs. 3 Satz 3 DSGVO, und - soweit Gesundheitsdaten betroffen sind - auch iSv. Art. 9 Abs. 4 DSGVO, und achten das unionsrechtliche Normwiederholungsverbot (dazu - [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 67, zur Öffnungsklausel des Art. 88 DSGVO; - Rn. 50, zu § 26 Abs. 3 BDSG). Das gilt auch für die einbezogenen Vorgaben in § 22 Abs. 2 BDSG. Auch diese beschränken sich nicht auf eine bloße Wiedergabe von Verpflichtungen, die nach der Datenschutz-Grundverordnung ohnehin gelten. Insbesondere gehen die in § 22 Abs. 2 Satz 2 BDSG beispielhaft angegebenen Maßnahmen über die allgemeinen, in Art. 5 DSGVO verankerten Grundsätze für die Verarbeitung personenbezogener Daten hinaus (vgl. - Rn. 71).
85(cc) Bei den Begriffen der „technischen und organisatorischen Maßnahmen“ und der „angemessenen und spezifischen Maßnahmen“ iSv. § 276 Abs. 2 Satz 7 SGB V bzw. § 22 Abs. 2 BDSG handelt es sich um einen unbestimmten Rechtsbegriff. Ob die im Einzelfall getroffenen Vorkehrungen datenschutzrechtlich ausreichend sind, unterliegt deshalb der - revisionsrechtlich nur eingeschränkt überprüfbaren - Würdigung der Tatsachengerichte ( - Rn. 72 mwN).
86Im Ergebnis kommt es hierauf nicht an. Die Würdigung des Landesarbeitsgerichts, die vom Beklagten getroffenen Maßnahmen seien ausreichend, hält selbst einer uneingeschränkten revisionsrechtlichen Überprüfung stand. Das gilt auch unter Berücksichtigung dessen, dass den Verantwortlichen hinsichtlich der Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze der Integrität und Vertraulichkeit gemäß dem in Art. 5 Abs. 2 DSGVO verankerten Grundsatz der „Rechenschaftspflicht“ grundsätzlich die Beweislast trifft (vgl. - Rn. 53 mwN). Auf der Grundlage der vom Landesarbeitsgericht getroffenen Feststellungen ist dieser Nachweis geführt.
87(aaa) Das deutsche Recht stellt, soweit es den Verantwortlichen zu angemessenen Schutzvorkehrungen verpflichtet, keine geringeren Anforderungen als das Unionsrecht. Insbesondere gelten für die Maßstäbe, anhand derer sich die Erfüllung der diesbezüglichen Pflichten beurteilt, keine vom Unionsrecht abweichenden Maßstäbe. Bei der Prüfung ist deshalb grundsätzlich von den in der Rechtsprechung des Gerichtshofs zu Art. 5 Abs. 1 DSGVO entwickelten Grundsätzen (dazu - [Krankenversicherung Nordrhein] Rn. 68; - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 41 ff.) auszugehen.
88(bbb) Die hier einschlägigen nationalen Bestimmungen verlangen - ebenso wie Art. 5 Abs. 1 iVm. Art. 32 Abs. 1 DSGVO - dass der Verantwortliche, je nach Sachverhalt, geeignete technische und organisatorische Maßnahmen trifft, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei sind unter Berücksichtigung der im nationalen Recht ua. in § 276 Abs. 2 SGB V und § 35 Abs. 1 SGB I zwingend gestellten Anforderungen die in § 67a Abs. 1 und § 67b SGB X iVm. § 22 Abs. 2 BDSG nicht abschließend aufgezählten Kriterien zu berücksichtigen.
89Auf dieser Grundlage ist die Geeignetheit der technischen und organisatorischen Maßnahmen in zwei Schritten zu beurteilen. Zum einen sind die von der betreffenden Verarbeitung ausgehenden Risiken einer Verletzung des Schutzes personenbezogener Daten und ihre möglichen Folgen für die Rechte und Freiheiten natürlicher Personen zu ermitteln. Diese Beurteilung muss konkret unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere der ermittelten Risiken erfolgen. Zum anderen ist zu prüfen, ob die vom Verantwortlichen getroffenen Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke dieser Verarbeitung diesen Risiken angemessen sind, wobei zu berücksichtigen ist, dass der Verantwortliche bei der Festlegung der Maßnahmen über einen gewissen Entscheidungsspielraum verfügt (vgl. - [Natsionalna agentsia za prihodite] Rn. 41 ff.).
90(ccc) Im Rahmen dieser Prüfung ist zunächst festzustellen, dass Beschäftigte des Beklagten, die von einer Stellungnahme wie hier betroffen sind, berechtigterweise erwarten dürfen, dass ihre Gesundheitsdaten gegenüber dem Arbeitgeber und im Kollegenkreis geheim bleiben. Werden solche Daten offengelegt, besteht das Risiko, Nachteile bei Personalentscheidungen oder eine Stigmatisierung im Kreis der Mitarbeiter zu erfahren. Dieses Risiko wird allerdings durch gesetzliche Regelungen bereits dadurch begrenzt, dass nach § 35 Abs. 1 SGB I Personalverantwortliche und an Personalentscheidungen Mitwirkende keinen Zugriff auf solche Daten haben dürfen. Zum anderen wird es durch die in § 276 Abs. 2 Satz 6 bis Satz 9 SGB V enthaltenen Vorgaben begrenzt. Diesen Vorgaben ist der Beklagte mit der erlassenen Dienstanweisung und der mit dem Personalrat getroffenen Dienstvereinbarung nachgekommen, wobei die dortigen Weisungen bzw. Regelungen jeweils darauf beruhen, dass die Verarbeitung der Gesundheitsdaten Betroffener beim Beklagten unter Einsatz von ISmed erfolgt. Nach der Dienstvereinbarung erfolgte der Zugriff auf die Software ISmed 3 durch den Einsatz eines Softzertifikats. Die Zugriffsrechte wurden in ISmed 3 über die Vergabe von Rechten und Rollen festgelegt, die sicherstellten, dass nur solche Mitarbeiter Zugriff auf Sozialdaten eines Betroffenen haben, die nach vorab getroffenen Festlegungen intern für die Bearbeitung des Auftrags zuständig sind. Systemisch wurde bei jedem Vorgang vorab die Zugriffsberechtigung technisch geprüft. Für die Erledigung von Aufgaben nach § 275 Abs. 1 SGB V, die ua. eigene Beschäftigte des Beklagten betreffen, wurde innerhalb von ISmed 3 eine (virtuelle) Organisationseinheit „Spezialfall“ gebildet, zu der aufgrund technischer Beschränkungen nur die der Einheit zugehörigen - insgesamt 36 der mehr als 1.000 - Mitarbeiter des Beklagten Zugriff hatten. Zudem führte innerhalb dieser Einheit ein entwickeltes Rollenkonzept dazu, dass die betreffenden Gutachtenaufträge nicht durch Mitarbeiter bearbeitet wurden, die mit dem Betroffenen in einer Dienststelle zusammenarbeiten, was ebenfalls technisch abgesichert wurde. Nach Abschluss des Begutachtungsauftrags wurden der Auftrag sowie die gutachtliche Stellungnahme einschließlich der verbleibenden elektronischen medizinischen Unterlagen im elektronischen Archiv von ISmed 3 hinterlegt. Dort wurden die Auftragsdaten zusammen mit den Stammdaten und getrennt von den Begutachtungsdaten in zwei Datenbanken gespeichert. Eine Zusammenführung war nur noch über einen in einer Oracle Verschlüsselungsbibliothek hinterlegten Schlüssel möglich. Jedenfalls den neun Beschäftigten des Teilbereichs „IT Abteilung“ der Organisationseinheit „Spezialfall“ war nach Archivierung technisch der Zugriff auf sämtliche innerhalb dieser Einheit erstellten Gutachten weiterhin möglich. Dass der Beklagte die Vorgaben hinsichtlich des Datenschutzbeauftragten beachtet hat, steht zwischen den Parteien nicht im Streit. Zudem hat der Beklagte sämtliche Mitarbeiter im Rahmen der Dienstanweisung auf das Sozialgeheimnis nach § 35 SGB I hingewiesen und diese Belehrung in regelmäßigen Abständen erneuert.
91(ddd) Die Würdigung des Landesarbeitsgerichts, hiervon ausgehend seien die Schutzvorkehrungen des Beklagten für ausreichend zu erachten, ist zutreffend.
92(aaaa) Die Vorkehrungen waren - jedenfalls unter Beachtung der bestehenden Garantien iSv. Art. 9 Abs. 3 DSGVO, dh. der bestehenden (strafbewehrten) Berufsgeheimnisse und die aus der Verpflichtung des Beklagten auf das Sozialgeheimnis abgeleitete (ebenfalls strafbewehrte) Geheimhaltungspflicht - geeignet, die Möglichkeit einer Verwirklichung der mit der Verarbeitung von Gesundheitsdaten Beschäftigter verbundenen Risiken grundsätzlich auszuschließen. Der Beklagte hat durch organisatorische Regelungen und mit Blick darauf, dass es sich bei der Organisationseinheit „Spezialfall“ um eine rein virtuelle Struktur handelt, sichergestellt, dass die stets notwendigen Verarbeitungen im Zusammenhang mit einer medizinischen Stellungnahme nur von Personen durchgeführt werden, die nicht am gleichen Arbeitsort wie ein betroffener Beschäftigter, sondern an einem anderen, auch räumlich entfernten Standort tätig sind. Von solchen Personen ging kein wesentliches Risiko einer Beeinträchtigung der Integrität des Klägers, insbesondere nicht das Risiko aus, aufgrund einer persönlichen Bekanntheit Nachteile zu erfahren. Soweit sich ein solches Risiko bei einer körperlichen Untersuchung eher hätte verwirklichen können, ist der Beklagte dem durch die Weisung begegnet, medizinische Stellungnahmen, die eine solche Begutachtung erfordern, der Knappschaft zu übertragen. Zwar ist dem Kläger zuzugeben, dass all diese Maßnahmen die Möglichkeit der Kenntniserlangung durch einen unmittelbaren Kollegen der IT-Abteilung im Rahmen seiner beruflichen Aufgaben nicht vollständig ausgeschlossen haben. Insoweit ist aber zu bedenken, dass IT-Mitarbeiter zwar technisch Zugriff auf Gutachten haben, ihre Aufgaben es aber nach dem unwidersprochenen Vorbringen des Beklagten typischerweise nicht mit sich bringen, den Inhalt von Gutachten zur Kenntnis zu nehmen. Tun sie es dennoch, geschieht dies unbefugt und kann erhebliche arbeitsrechtliche Konsequenzen nach sich ziehen.
93(bbbb) Der Umstand, dass es - zumal auf seine eigene Veranlassung und unter Verstoß gegen die Dienstanweisung des Beklagten - im Fall des Klägers zu einem Zugriff auf das archivierte Gutachten durch eine unmittelbare Kollegin des Klägers gekommen ist, reicht für die Annahme unzureichender Schutzvorkehrungen nicht aus. Insoweit ist nämlich zu berücksichtigen, dass der Unionsgesetzgeber, wie durch den Erwägungsgrund 83 der Datenschutz-Grundverordnung bestätigt, im Rahmen geforderter Maßnahmen das Ziel verfolgt, die Risiken einer Verletzung des Schutzes personenbezogener Daten „einzudämmen“, ohne zu behaupten, dass sie beseitigt werden könnten (vgl. - [Natsionalna agentsia za prihodite] Rn. 38 f.). Diese Absicht des Unionsgesetzgebers ist gleichermaßen relevant, soweit es um die Frage geht, ob der Beklagte seinen im nationalen Recht verankerten Pflichten zur Wahrung der Grundsätze der Integrität und Vertraulichkeit nachgekommen ist.
94Diese Frage ist unter Berücksichtigung aller Umstände des vorliegenden Falls zu bejahen. Der Beklagte hat grundsätzlich für den normalen Verwaltungsablauf geeignete Schutzvorkehrungen getroffen. Zwar muss ein Verantwortlicher immer von einem gewissen Risiko ausgehen, dass Mitarbeiter Anweisungen oder sonstige allgemeine Vorgaben nicht beachten. Der Entscheidungsspielraum des Beklagten, dem Risiko mit den getroffenen Maßnahmen zu begegnen, wäre aber allenfalls überschritten, wenn unbefugte Zugriffe häufiger aufgetreten wären. So liegt es nach den - wiederum unbestrittenen - Darlegungen des Beklagten hier aber nicht. Jedenfalls unter dieser Prämisse war es insbesondere nicht geboten, für medizinische Stellungnahmen, die eigene Beschäftigte betreffen, ausnahmslos einen anderen Dienst einzuschalten, etwa wie bei einer gebotenen körperlichen Untersuchung die Knappschaft. Dabei kann auch nicht unberücksichtigt bleiben, dass ein solcher, regelhafter Prozess, schon wegen eines zusätzlich erforderlichen Datenaustauschs, wiederum eigene Risiken mit sich brächte. Zum anderen änderte eine solche regelhafte „externe“ Beauftragung nichts an dem Umstand, dass der Beklagte im Verhältnis zur beauftragenden Krankenkasse zur Erstellung einer gutachtlichen Stellungnahme verpflichtet ist. Auch unter der Prämisse einer vollständigen „externen“ Vergabe der gutachtlichen Stellungnahme bliebe es dabei, dass das Ergebnis dieser Begutachtung durch den Beklagten zur Übermittlung an die beauftragende Krankenkasse weiterverarbeitet und zu diesem Zweck eine Speicherung in dem vorgehaltenen System ISmed 3 als erforderlich angesehen werden müsste. Schließlich kommt hinzu, dass die Einschaltung eines anderen Dienstes, wie bereits im Rahmen der oben angestellten Verhältnismäßigkeitsprüfung erörtert (vgl. Rn. 63 ff.), nicht gleichsam effektiv und wirtschaftlich wäre.
95(3) Da nach alledem ein Verstoß gegen die Datenschutz-Grundverordnung nicht zu erkennen ist, kann offenbleiben, ob das Vorbringen des Klägers zu den weiteren Voraussetzungen eines Anspruchs auf Schadenersatz nach Art. 82 Abs. 1 DSGVO schlüssig ist, insbesondere ob nach den Anforderungen dieser Bestimmung ein Schaden hinreichend dargetan ist.
96c) Die Voraussetzungen eines Schadenersatzanspruchs aufgrund anderer in Betracht kommender Anspruchsgrundlagen liegen ebenfalls nicht vor. Insbesondere rechtfertigt sich der mit dem Hauptantrag zu 1. verfolgte Anspruch auf immateriellen Schadenersatz nicht aus § 823 Abs. 1 BGB iVm. Art. 2 Abs. 1, Art. 1 Abs. 1 GG. Ist - wie hier - eine Datenverarbeitung nach den Regelungen der Datenschutz-Grundverordnung und den nationalen Vorgaben zulässig, ist das Recht des von der Datenverarbeitung betroffenen Arbeitnehmers auf informationelle Selbstbestimmung gewahrt (vgl. - Rn. 51 mwN, BAGE 166, 269).
97II. Die Klage hat auch im Übrigen keinen Erfolg. Die Hauptanträge zu 2. und 4., mit denen der Kläger Ansprüche auf materiellen Schadenersatz verfolgt bzw. dahin gehende Feststellung begehrt, sind unbegründet. Der Hilfsfeststellungsantrag zu 3. ist dem Senat nicht zur Entscheidung angefallen.
981. Der Hauptantrag zu 2. ist als bezifferter Leistungsantrag ohne Weiteres zulässig. Der Antrag zu 4. begegnet zwar hinsichtlich eines bestehenden Feststellungsinteresses Zulässigkeitsbedenken. Er ist aber jedenfalls unbegründet.
99a) Der Antrag zu 4. ist ausreichend bestimmt, bedarf insoweit aber der Auslegung.
100aa) Der Antrag ist „für den Zeitraum ab November 2019“ auf die Feststellung einer Verpflichtung des Beklagten gerichtet, dem Kläger den materiellen Schaden zu ersetzen, der ihm „aus der mit der Klage geltend gemachten Verletzung seines Persönlichkeitsrechts entstanden ist und/oder noch entstehen wird“. Wörtlich genommen wäre der Antrag unzulässig, weil er dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 ZPO nicht genügt. Bei einem Feststellungsantrag muss das Rechtsverhältnis, das festgestellt werden soll, im Antrag so genau bezeichnet werden, dass über den Umfang der Rechtskraft keine Zweifel bestehen (vgl. - zu B II 3 c der Gründe, BAGE 110, 146).
101bb) Für das Verständnis eines Klageantrags ist jedoch nicht an dem buchstäblichen Wortlaut der Antragsfassung zu haften. Vielmehr hat das Gericht den erklärten Willen zu erforschen, wie er aus der Klagebegründung, dem Prozessziel und der Interessenlage hervorgeht. Für die Auslegung sind die für Willenserklärungen geltenden Auslegungsregeln (§§ 133, 157 BGB) heranzuziehen. Auch das Revisionsgericht ist zur Auslegung von Klageanträgen befugt (vgl. - Rn. 19; - 9 AZR 557/06 - Rn. 20 mwN).
102cc) Nach seinem Sinn ist der Antrag auf die Feststellung einer Verpflichtung des Beklagten gerichtet, dem Kläger den Erwerbsschaden zu ersetzen, der ihm in der Zeit seit dem aus dem vermeintlich unberechtigten Telefonat zwischen der Gutachterin des Beklagten und seinem behandelnden Arzt im Zusammenhang mit der Erstellung eines sozialmedizinischen Gutachtens vom bereits entstanden ist und künftig entsteht. Dies berücksichtigt zum einen, dass der Kläger seinen Anspruch auf materiellen Schadenersatz zuletzt zweitinstanzlich ausschließlich auf das vorbezeichnete Telefonat gestützt hat. Zum anderen macht der Kläger wegen dieser Pflichtverletzung mit seinem Leistungsantrag zu 2. ausschließlich einen - insoweit bezifferten - Erwerbsschaden für den Zeitraum vor dem geltend. Es liegt auf der Hand, dass sich der Feststellungsantrag auf eine Verpflichtung zum Ersatz eines entsprechenden Schadens für den nachfolgenden Zeitraum beziehen soll.
103In dieser Auslegung wird der Antrag den Anforderungen des § 253 Abs. 2 Nr. 2 ZPO gerecht.
104b) Ob der Kläger ein rechtliches Interesse an der begehrten Feststellung hat (§ 256 Abs. 1 ZPO), kann dahinstehen.
105aa) Allerdings ist das bisherige Vorbringen zu den Voraussetzungen des § 256 Abs. 1 ZPO unzureichend (vgl. zum Feststellungsinteresse bei einer Klage auf Feststellung der Schadenersatzpflicht - Rn. 16 ff. mwN). Der Kläger hat zwar in der mündlichen Verhandlung vor dem Landesarbeitsgericht behauptet, über den hinaus weiterhin arbeitsunfähig gewesen zu sein. Zu den Ursachen dieser weiteren Erkrankung hat er indes keinen Vortrag geleistet und damit schon die bloße Möglichkeit eines weiteren Schadenseintritts aufgrund des Mitte 2018 geführten Telefonats nicht hinreichend aufgezeigt. Schon deshalb steht das Feststellungsinteresse in Frage.
106bb) Im Ergebnis kommt es hierauf für die Zulässigkeit der Klage nicht an. Denn das Feststellungsinteresse ist echte Prozessvoraussetzung nur für das stattgebende Urteil ( - Rn. 13 mwN).
1072. Die Anträge zu 2. und 4. sind (jedenfalls) unbegründet. Der Kläger begehrt insoweit materiellen Schadenersatz aus Art. 82 Abs. 1 DSGVO und aus § 823 Abs. 1 BGB iVm. Art. 2 Abs. 1, Art. 1 Abs. 1 GG. Zur Begründung hat er sich auf eine Unzulässigkeit der Verarbeitung seiner Daten aufgrund der behaupteten Tatsache berufen, dass die Gutachterin des Beklagten nicht berechtigt gewesen wäre, telefonisch Auskünfte bei seinem behandelnden Arzt einzuholen. In dem Verhalten der Ärztin liegt aber, wie bereits zum Antrag zu 1. ausgeführt, keine unzulässige Verarbeitung der Gesundheitsdaten des Klägers und damit auch kein unzulässiger Eingriff in sein allgemeines Persönlichkeitsrecht. Damit fehlt es auch für einen Anspruch auf materiellen Schadenersatz insgesamt an einem haftungsbegründenden Tatbestand.
1083. Der Hilfsantrag zu 3. ist nach der Klagebegründung nur für den Fall der Unzulässigkeit des Antrags zu 2. gestellt. Diese innerprozessuale Bedingung ist nicht eingetreten.
109III. Die Kostenentscheidung folgt aus § 97 Abs. 1 ZPO.
Diese Entscheidung steht in Bezug zu
ECLI Nummer:
ECLI:DE:BAG:2024:200624.U.8AZR253.20.0
Fundstelle(n):
Nr. 47/2024 S. 2903
NJW 2024 S. 10 Nr. 46
AAAAJ-77401