Verarbeitung von Gesundheitsdaten eigener Mitarbeiter kann datenschutzkonform sein
Arbeitgeber News

16.07.2024

Verarbeitung von Gesundheitsdaten eigener Mitarbeiter kann datenschutzkonform sein

Medizinische Dienste, die bei Zweifeln an der Arbeitsunfähigkeit eines Arbeitnehmers ein Gutachten erstellen, dürfen grundsätzlich auch dann Gesundheitsdaten verarbeiten, wenn das Gutachten einen eigenen Mitarbeiter betrifft. Das geht aus einer Entscheidung des Bundesarbeitsgerichts hervor.

Die Verarbeitung von Gesundheitsdaten durch einen Medizinischen Dienst, der von einer gesetzlichen Krankenkasse mit der Erstellung eines Gutachtens zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten beauftragt wurde, kann datenschutzrechtlich auch dann zulässig sein, wenn es sich bei dem Versicherten um einen eigenen Arbeitnehmer des Medizinischen Dienstes handelt. Der Medizinische Dienst ist in einem solchen Fall nicht dazu verpflichtet, zu gewährleisten, dass kein anderer Beschäftigter Zugang zu diesen Daten hat. Das hat das Bundesarbeitsgericht in einem neuen Urteil entschieden (BAG, Urteil vom 20. Juni 2024, 8 AZR 253/20).

Mit seinem Urteil wies das BAG die Klage eines Mitarbeiters der IT-Abteilung eines Medizinischen Dienstes ab. Der Kläger hatte von seinem Arbeitgeber Schadensersatz gemäß Artikel 82 Abs. 1 Datenschutz-Grundverordnung (DSGVO) gefordert. Er war der Ansicht, die Verarbeitung seiner Gesundheitsdaten durch den Arbeitgeber sei unzulässig gewesen. Das Gutachten hätte seiner Meinung nach durch einen anderen Medizinischen Dienst erstellt werden müssen. Auch seien die Sicherheitsmaßnahmen rund um die Archivierung des Gutachtens unzureichend gewesen.

Weder die Vorinstanzen noch das BAG folgten der Argumentation des Klägers. Es fehle bereits an einem Verstoß gegen die Bestimmungen der DSGVO. Die Verarbeitung der Gesundheitsdaten sei zur Erstellung des von der Krankenkasse beauftragten Gutachtens erforderlich gewesen. Außerdem genügte die Datenverarbeitung nach BAG-Auffassung den Anforderungen gemäß Artikel 9 Abs. 3 DSGVO, da für sämtliche Mitarbeiter des Medizinischen Dienstes, die Zugang zu Gesundheitsdaten des Klägers hatten, eine berufliche Verschwiegenheitspflicht oder jedenfalls das Sozialgeheimnis gemäß § 35 Abs. 1 SGB I galt.

Hallo, haben Sie eine Frage?
Überprüfen oder Zurücksetzen der Datenschutzeinstellungen