Der EuGH stellt klar: Arbeitgeber darf Gesundheitsdaten verarbeiten DSGVO, wenn die strengen Voraussetzungen nach Art. 9 DSGVO und Art. 32 DSGVO erfüllt werden.
Das EuGH-Urteil Gesundheitsdaten Arbeitgeber schafft damit erstmals klare Leitlinien für die datenschutzrechtliche Zulässigkeit der Verarbeitung sensibler Mitarbeiterdaten durch Arbeitgeber mit medizinischem Auftrag.
Ein aufsehenerregendes Urteil des Europäischen Gerichtshofs (EuGH) vom 21. Dezember 2023 (Rechtssache C-667/21) stellt klar: Unter bestimmten Bedingungen ist es datenschutzrechtlich zulässig, wenn ein Arbeitgeber – wie der Medizinische Dienst der Krankenversicherung (MDK) – Gesundheitsdaten eigener Mitarbeitender verarbeitet, sofern er gleichzeitig als gesetzlich beauftragter medizinischer Dienst fungiert. Dieser Fall betrifft nicht nur den öffentlichen Dienst, sondern hat Signalwirkung für den Datenschutz im Gesundheitswesen, insbesondere im Kontext der Datenschutz-Grundverordnung (DSGVO), Art. 9 DSGVO sowie dem Schadenersatz nach Art. 82 DSGVO.
Der Fall MDK Gesundheitsdaten DSGVO verdeutlicht exemplarisch, wie sensibel die Abgrenzung zwischen Arbeitgeberrolle und medizinischer Aufgabenwahrnehmung nach der DSGVO ist.
Arbeitgeber darf Gesundheitsdaten verarbeiten DSGVO: EuGH-Urteil
Im Zentrum stand die Frage, ob die Verarbeitung medizinischer Daten nach DSGVO durch den Arbeitgeber zulässig ist, wenn dieser – wie der MDK – eine gesetzliche Doppelfunktion innehat.
MDK und die Verarbeitung von Gesundheitsdaten eigener Mitarbeiter
Im Zentrum des Falls, der letztlich vor dem EuGH landete, stand ein IT-Mitarbeiter des MDK Nordrhein, der nach längerer krankheitsbedingter Abwesenheit von seiner Krankenkasse zur medizinischen Begutachtung geschickt wurde. Diese Begutachtung wurde allerdings nicht durch eine externe medizinische Stelle durchgeführt, sondern durch eine interne Organisationseinheit des MDK selbst – also durch seinen eigenen Arbeitgeber, der gleichzeitig als medizinischer Dienst tätig ist. Dabei wurde ein medizinisches Gutachten erstellt, in dem sensible Gesundheitsdaten, darunter eine psychiatrische Diagnose, enthalten waren. Dieses wurde im internen System des MDK archiviert.
Art. 9 DSGVO Voraussetzungen für die Verarbeitung von Gesundheitsdaten
Besonders brisant beim Fall vor dem EuGH: Ein Kollege aus der IT-Abteilung stellte dem Betroffenen auf dessen Bitte hin ein Foto dieses medizinischen Dokuments zur Verfügung. Der Mitarbeiter sah darin einen schweren Verstoß gegen die DSGVO wegen der Verarbeitung personenbezogener Gesundheitsdaten, konkret gegen Art. 9 DSGVO, der den Umgang mit besonders sensiblen personenbezogenen Daten regelt. Er klagte und forderte einen Schadensersatzanspruch nach Art. 82 DSGVO in Höhe von 20.000 Euro.
Art. 32 DSGVO: Interner Zugriff und Datensicherheit
Im Zuge der gerichtlichen Auseinandersetzung reichte das Bundesarbeitsgericht (BAG) dem EuGH mehrere Fragen zur Vorabentscheidung zum Zusammenspiel von Art. 6 DSGVO, Art. 9 DSGVO und Art. 32 DSGVO ein. Dabei ging es im Kern um die datenschutzrechtliche Bewertung der Verarbeitung von Gesundheitsdaten durch den Arbeitgeber, der gleichzeitig ein medizinischer Dienst ist. Das Verfahren vor dem EuGH sollte klären, ob eine solche Verarbeitung im Einklang mit der DSGVO steht – und welche Bedingungen dabei gelten müssen.
Besonders relevant war, ob neben der Erlaubnisnorm des Art. 9 Abs. 2 lit. h DSGVO auch eine Rechtfertigung nach Art. 6 DSGVO notwendig ist – also ob die Datenverarbeitung nicht nur im medizinischen Kontext erlaubt ist, sondern auch allgemein rechtmäßig erfolgen muss. Zusätzlich stellte sich vor dem EuGH die Frage, ob strengere technische und organisatorische Maßnahmen nach Art. 32 DSGVO notwendig sind, um den Zugriff durch Kollegen – wie im vorliegenden Fall aus der IT-Abteilung auf die sensiblen Gesundheitsdaten – zu unterbinden.
EuGH-Urteil – Gesundheitsdatenverarbeitung zulässig
Am 21. Dezember 2023 verkündete der EuGH seine Entscheidung: Die Verarbeitung von Gesundheitsdaten durch den MDK ist grundsätzlich mit der DSGVO vereinbar, auch wenn der Betroffene beim MDK selbst angestellt ist. Der EuGH stellte jedoch klar, dass diese Zulässigkeit der Verarbeitung von Gesundheitsdaten strengen Voraussetzungen unterliegt.
Die Richter des EuGHs betonten, dass nicht die Doppelfunktion des MDK als Arbeitgeber und medizinischer Dienst entscheidend ist, sondern allein der Zweck der Verarbeitung der Gesundheitsdaten gemäß der DSGVO. Wenn die Gesundheitsdaten ausschließlich zur medizinischen Begutachtung im Rahmen eines gesetzlichen Auftrags verarbeitet werden – etwa auf Basis des Sozialgesetzbuchs V (SGB V) –, dann greift die Ausnahmevorschrift des Art. 9 Abs. 2 lit. h DSGVO. Damit konkretisiert der EuGH zugleich die Anforderungen an die Verarbeitung von Art. 9 DSGVO Gesundheitsdaten im Beschäftigungskontext.
Zusätzlich ist erforderlich, dass die Verarbeitung der Gesundheitsdaten durch medizinisches Fachpersonal erfolgt, das einer gesetzlich geregelten Schweigepflicht unterliegt, und dass geeignete technische und organisatorische Maßnahmen vorhanden sind, um die Vertraulichkeit zu wahren – wie in Art. 32 DSGVO gefordert.
Art. 32 DSGVO: Interner Zugriff & Sicherheit
Ein zentraler Streitpunkt im Verfahren vor dem EuGH betraf die Frage, ob Mitarbeitende – insbesondere in der IT-Abteilung – auf sensible Gesundheitsdaten ihrer Kollegen zugreifen dürfen. Der EuGH stellte hierzu fest: Die DSGVO enthält kein absolutes Verbot für solche internen Zugriffe. Stattdessen schreibt Art. 32 DSGVO vor, dass Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die Vertraulichkeit und Integrität personenbezogener Daten zu gewährleisten.
Der Maßstab für den Art. 32 DSGVO Zugriff liegt damit nicht in einem absoluten Zugriffsverbot, sondern in einer zweckgebundenen, kontrollierten und dokumentierten Zugriffsgestaltung.
Im konkreten Fall vor dem EuGH bedeutete dies: Der MDK musste nicht zwingend eine vollständige Abschottung zwischen IT-Personal und medizinischen Daten etablieren. Entscheidend war, ob der Zugriff zweckgebunden, dokumentiert und sicherheitskonform organisiert war. Ein Kollege darf also nicht einfach „neugierig“ auf Gesundheitsdaten zugreifen – doch wenn der Zugriff im Rahmen seiner administrativen Aufgaben erfolgt und keine unbefugte Offenbarung geschieht, liegt laut EuGH nicht zwangsläufig ein Verstoß gegen die DSGVO vor.
Praxismaßnahmen für DSGVO-konforme Gesundheitsdatenverarbeitung
- Rollenkonzepte mit klarer Abgrenzung von Zugriffsrechten
- Zugriffskontrolle über Berechtigungssysteme (z. B. LDAP, RBAC)
- Protokollierung und Auditierung aller Zugriffe
- Regelmäßige Schulungen zum Thema Datenschutz und Schweigepflicht
- Einsatz technischer Lösungen wie Data Loss Prevention (DLP)
Schadensersatz nach Art. 82 DSGVO ist kein Strafschadensersatz
Der betroffene Mitarbeiter des MDK forderte in seiner Klage einen immateriellen Schadenersatz in Höhe von 20.000 Euro auf Grundlage von Art. 82 DSGVO. Seine Argumentation: Der Betrag solle nicht nur einen persönlichen Ausgleich darstellen, sondern auch eine abschreckende Wirkung auf zukünftige Datenschutzverstöße haben. Doch der Europäische Gerichtshof erteilte dieser Auffassung eine deutliche Absage.
Laut dem EuGH-Urteil verfolgt Art. 82 DSGVO keine punitive oder strafrechtliche Funktion. Ein Anspruch auf Schadensersatz Art. 82 DSGVO setzt daher stets einen konkret nachgewiesenen, kausal verursachten immateriellen Schaden voraus. Der Zweck des Schadenersatzes aus Art. 82 DSGVO sei ausschließlich kompensatorisch – also auf den Ausgleich eines nachgewiesenen, individuell erlittenen Schadens gerichtet. Allein die Feststellung eines Datenschutzverstoßes – etwa einer unzulässigen Verarbeitung von Gesundheitsdaten – genügt nicht. Vielmehr muss der Betroffene darlegen, dass ein konkreter Schaden eingetreten ist, der kausal auf die DSGVO-Verletzung zurückzuführen ist.
Darüber hinaus stellte der EuGH klar: Auch wenn es einer Schuld nicht bedarf und eine Haftungsvermutung für Unternehmen besteht, hat der Grad des Verschuldens keinen Einfluss auf die Höhe des Schadenersatzes nach Art. 82 DSGVO. Die DSGVO grenzt sich damit deutlich vom US-amerikanischen Konzept der punitive damages ab.
Fazit zum EuGH-Urteil Arbeitgeber darf Gesundheitsdaten verarbeiten DSGVO
Das EuGH-Urteil bringt Klarheit für eine DSGVO-konforme Compliance im Gesundheitswesen: Ein Arbeitgeber darf Gesundheitsdaten eigener Mitarbeitender verarbeiten, wenn er zugleich als gesetzlich beauftragter medizinischer Dienst tätig ist – vorausgesetzt, alle Bedingungen der DSGVO, insbesondere aus Art. 6, Art. 9 und Art. 32 DSGVO, werden eingehalten.
Für die Praxis bedeutet das EuGH-Urteil zur Verarbeitung von Gesundheitsdaten:
- Die bloße Doppelfunktion eines Unternehmens ist nicht per se ein DSGVO-Verstoß.
- Es kommt maßgeblich auf den konkreten Zweck der Datenverarbeitung, die technische Absicherung und die Dokumentation im Sinne der DSGVO an.
- Schadenersatz nach Art. 82 DSGVO ist nur dann zu zahlen, wenn ein konkreter Schaden mit Kausalität zum Verstoß vorliegt – und nicht zur Abschreckung.
Fragen zur Verarbeitung von Gesundheitsdaten, DSGVO-Compliance oder technischen Schutzmaßnahmen?
Wenn Sie Fragen zur Verarbeitung von Gesundheitsdaten nach Art. 9 DSGVO, zu internen Zugriffsbefugnissen nach Art. 32 DSGVO oder zu Schadensersatzansprüchen nach Art. 82 DSGVO haben, unterstützen wir Sie gerne. Unsere spezialisierten Rechtsanwälte für IT- und Datenschutzrecht beraten Sie umfassend – von der Bewertung einzelner Datenverarbeitungsprozesse über die Einführung sicherer Zugriffs- und Rollenkonzepte.
Vereinbaren Sie gerne einen Beratungstermin!
❓ FAQ: EuGH-Urteil zur DSGVO und Gesundheitsdatenverarbeitung durch den MDK
Ja. Laut EuGH darf ein Arbeitgeber Gesundheitsdaten nach DSGVO verarbeiten, wenn er gesetzlich als medizinischer Dienst tätig ist und die Verarbeitung ausschließlich medizinischen Zwecken dient. Voraussetzung ist die Einhaltung von Art. 6, Art. 9 Abs. 2 lit. h und Art. 32 DSGVO.
Art. 32 DSGVO verpflichtet Arbeitgeber, technische und organisatorische Maßnahmen zum Schutz von Gesundheitsdaten umzusetzen. Interne Zugriffe sind nicht verboten, müssen aber zweckgebunden, dokumentiert und sicher ausgestaltet sein, insbesondere bei sensiblen Daten nach Art. 9 DSGVO.
Nein. Der EuGH stellt klar, dass Art. 82 DSGVO keinen Strafschadensersatz vorsieht. Ein Anspruch besteht nur, wenn ein konkreter materieller oder immaterieller Schaden nachgewiesen wird, der kausal auf einen DSGVO-Verstoß zurückzuführen ist.
Der EuGH stellt klar: Ein Arbeitgeber darf Gesundheitsdaten verarbeiten DSGVO-konform, wenn die Verarbeitung ausschließlich durch medizinisches Fachpersonal erfolgt, das einer gesetzlichen Schweigepflicht unterliegt. Diese Voraussetzung ist zentral für die Ausnahme nach Art. 9 Abs. 2 lit. h DSGVO, wenn der Arbeitgeber Gesundheitsdaten nach DSGVO zu medizinischen Begutachtungszwecken verarbeitet.
Wenn der Arbeitgeber Gesundheitsdaten nach DSGVO verarbeitet, verlangt der EuGH geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO. Dazu gehören klare Rollenkonzepte, Zugriffsbeschränkungen, Protokollierung von Zugriffen, Datenschutzschulungen sowie technische Schutzsysteme wie RBAC oder DLP. Ziel ist es, Vertraulichkeit, Integrität und Zweckbindung sensibler Gesundheitsdaten sicherzustellen.
Auch wenn der Arbeitgeber Gesundheitsdaten verarbeiten DSGVO-konform darf, behalten Mitarbeitende ihre Betroffenenrechte. Dazu zählen insbesondere das Auskunftsrecht nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO sowie das Beschwerderecht bei der Datenschutzaufsicht gemäß Art. 77 DSGVO.
Verstößt ein Arbeitgeber gegen die Voraussetzungen, unter denen er Gesundheitsdaten nach DSGVO verarbeiten darf, drohen erhebliche Risiken. Dazu zählen Bußgelder nach Art. 83 DSGVO, Schadensersatzansprüche nach Art. 82 DSGVO, aufsichtsrechtliche Maßnahmen sowie erhebliche Reputationsschäden. Das EuGH-Urteil betont jedoch, dass Schadensersatz nur bei konkret nachgewiesenem Schaden geschuldet ist.
Obwohl das Urteil den MDK betrifft, lassen sich die Grundsätze auch auf private Unternehmen übertragen. Ein Arbeitgeber darf Gesundheitsdaten verarbeiten DSGVO-konform, wenn Zweckbindung, medizinischer Kontext sowie Art. 6, Art. 9 und Art. 32 DSGVO eingehalten werden. Dies betrifft etwa private Krankenversicherer, Reha-Einrichtungen, arbeitsmedizinische Dienste oder Medizin-IT-Dienstleister.
Ein Arbeitgeber darf Gesundheitsdaten verarbeiten DSGVO-konform, wenn die Verarbeitung medizinischen Zwecken dient, gesetzlich vorgesehen ist und durch qualifiziertes Fachpersonal erfolgt. Zusätzlich müssen die Voraussetzungen des Art. 9 Abs. 2 DSGVO erfüllt sein, insbesondere bei Tätigkeiten im Rahmen medizinischer Begutachtung oder Gesundheitsversorgung.
Nein. Auch wenn der Arbeitgeber Gesundheitsdaten nach DSGVO verarbeitet, genügt Art. 9 DSGVO allein nicht. Zusätzlich ist stets eine Rechtsgrundlage nach Art. 6 DSGVO erforderlich. Der EuGH stellt klar, dass besondere Kategorien personenbezogener Daten nur dann zulässig verarbeitet werden dürfen, wenn beide Normebenen erfüllt sind.
Der EuGH verlangt keine zwingende physische Trennung. Wenn der Arbeitgeber Gesundheitsdaten verarbeiten DSGVO-konform möchte, müssen jedoch strenge Zugriffsbeschränkungen, Zweckbindung, Protokollierung und technische Sicherheitsmaßnahmen umgesetzt werden. Entscheidend ist nicht die Trennung selbst, sondern der wirksame Schutz vor unbefugtem Zugriff nach Art. 32 DSGVO.
Ja. Die Entscheidung entfaltet über den öffentlichen Dienst hinaus Wirkung. Die Grundsätze gelten überall dort, wo ein Arbeitgeber Gesundheitsdaten verarbeiten DSGVO-konform will, etwa im privaten Gesundheitssektor. Maßgeblich sind Zweck der Verarbeitung, medizinischer Kontext sowie die konsequente Einhaltung von Art. 6, Art. 9 und Art. 32 DSGVO.
Weiterführende Themen
DSGVO Kontrollverlust als Schadensersatzgrund – BAG 2025
Reicht Kontrollverlust über personenbezogene Daten für DSGVO-Schadensersatz? Das BAG stellt klar: Auch ohne Datenmissbrauch kann ein Anspruch nach Art. 82 DSGVO bestehen. Was das Urteil für Arbeitgeber und Arbeitnehmer bedeutet, erfahren Sie hier.
DSGVO Google-Recherche Bewerber im Recruiting-Prozess
Dürfen Arbeitgeber Bewerber googeln? Der Beitrag zeigt, wann eine DSGVO-konforme Google-Recherche im Recruiting-Prozess zulässig ist, welche Informationspflichten bestehen und wann Schadensersatz droht. Mit aktueller Rechtsprechung von LAG und BAG.
Datenschutz schlägt SCHUFA-Interesse
„Einmal SCHUFA, immer SCHUFA?“ Nicht mehr! Das OLG Köln hat entschieden: Bezahlte Schulden dürfen nicht jahrelang gespeichert bleiben. Datenschutz schlägt SCHUFA-Interesse – was das für Verbraucher, Kreditvergabe und Bonität bedeutet, erfahren Sie in unserem Beitrag.