Ein aufsehenerregendes Urteil des Europäischen Gerichtshofs (EuGH) vom 21. Dezember 2023 (Rechtssache C-667/21) stellt klar: Unter bestimmten Bedingungen ist es datenschutzrechtlich zulässig, wenn ein Arbeitgeber – wie der Medizinische Dienst der Krankenversicherung (MDK) – Gesundheitsdaten eigener Mitarbeitender verarbeitet, sofern er gleichzeitig als gesetzlich beauftragter medizinischer Dienst fungiert. Dieser Fall betrifft nicht nur den öffentlichen Dienst, sondern hat Signalwirkung für das gesamte Gesundheitswesen, insbesondere im Kontext der Datenschutz-Grundverordnung (DSGVO), Art. 9 DSGVO sowie dem Schadenersatz nach Art. 82 DSGVO.
Â
Ausgangspunkt des Falls – Gesundheitsdatenverarbeitung durch den MDK als Arbeitgeber
Â
Interne Begutachtung durch den Arbeitgeber selbst
Im Zentrum des Falls stand ein IT-Mitarbeiter des MDK Nordrhein, der nach längerer krankheitsbedingter Abwesenheit von seiner Krankenkasse zur medizinischen Begutachtung geschickt wurde. Diese Begutachtung wurde allerdings nicht durch eine externe medizinische Stelle durchgeführt, sondern durch eine interne Organisationseinheit des MDK selbst – also durch seinen eigenen Arbeitgeber, der gleichzeitig als medizinischer Dienst tätig ist. Dabei wurde ein medizinisches Gutachten erstellt, in dem sensible Gesundheitsdaten, darunter eine psychiatrische Diagnose, enthalten waren. Dieses wurde im internen System des MDK archiviert.
Â
Datenschutzvorwurf wegen IT-Zugriffs auf medizinisches Gutachten
Brisant: Ein Kollege aus der IT-Abteilung stellte dem Betroffenen auf dessen Bitte hin ein Foto dieses medizinischen Dokuments zur Verfügung. Der Mitarbeiter sah darin einen schweren Verstoß gegen die DSGVO, konkret gegen Art. 9 DSGVO, der den Umgang mit besonders sensiblen personenbezogenen Daten regelt. Er klagte auf immateriellen Schadenersatz gemäß Art. 82 DSGVO in Höhe von 20.000 Euro.
Â
DSGVO im Fokus – Welche rechtlichen Fragen das EuGH-Urteil beantworten musste
Im Zuge der gerichtlichen Auseinandersetzung reichte das Bundesarbeitsgericht (BAG) dem EuGH mehrere Fragen zur Vorabentscheidung ein. Dabei ging es im Kern um die datenschutzrechtliche Bewertung der Verarbeitung von Gesundheitsdaten durch den Arbeitgeber, der gleichzeitig ein medizinischer Dienst ist. Das Verfahren sollte klären, ob eine solche Verarbeitung im Einklang mit der DSGVO steht – und welche Bedingungen dabei gelten müssen.
Besonders relevant war, ob neben der Erlaubnisnorm des Art. 9 Abs. 2 lit. h DSGVO auch eine Rechtfertigung nach Art. 6 DSGVO notwendig ist – also ob die Datenverarbeitung nicht nur im medizinischen Kontext erlaubt ist, sondern auch allgemein rechtmäßig erfolgen muss. Zusätzlich stellte sich die Frage, ob strengere technische und organisatorische Maßnahmen nach Art. 32 DSGVO notwendig sind, um den Zugriff durch Kollegen – wie im vorliegenden Fall aus der IT-Abteilung – zu unterbinden.
Â
Entscheidung des EuGH – Gesundheitsdatenverarbeitung durch den MDK ist zulässig, aber nicht grenzenlos
Am 21. Dezember 2023 verkündete der EuGH seine Entscheidung: Die Verarbeitung von Gesundheitsdaten durch den MDK ist grundsätzlich mit der DSGVO vereinbar, auch wenn der Betroffene beim MDK selbst angestellt ist. Das Gericht stellte jedoch klar, dass diese Zulässigkeit strengen Voraussetzungen unterliegt.
Die Richter betonten, dass nicht die Doppelfunktion des MDK als Arbeitgeber und medizinischer Dienst entscheidend ist, sondern allein der Zweck der Verarbeitung. Wenn die Gesundheitsdaten ausschließlich zur medizinischen Begutachtung im Rahmen eines gesetzlichen Auftrags verarbeitet werden – etwa auf Basis des Sozialgesetzbuchs V (SGB V) –, dann greift die Ausnahmevorschrift des Art. 9 Abs. 2 lit. h DSGVO.
Zusätzlich ist erforderlich, dass die Verarbeitung durch medizinisches Fachpersonal erfolgt, das einer gesetzlich geregelten Schweigepflicht unterliegt, und dass geeignete technische und organisatorische Maßnahmen vorhanden sind, um die Vertraulichkeit zu wahren – wie in Art. 32 DSGVO gefordert.
Â
Interner Datenzugriff durch Kollegen – Technische Maßnahmen nach Art. 32 DSGVO im Blick
Ein zentraler Streitpunkt im Verfahren betraf die Frage, ob Mitarbeitende – insbesondere in der IT-Abteilung – auf sensible Gesundheitsdaten ihrer Kollegen zugreifen dürfen. Der EuGH stellte hierzu fest: Die DSGVO enthält kein absolutes Verbot für solche internen Zugriffe. Stattdessen schreibt Art. 32 DSGVO vor, dass Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die Vertraulichkeit und Integrität personenbezogener Daten zu gewährleisten.
Im konkreten Fall bedeutete dies: Der MDK musste nicht zwingend eine vollständige Abschottung zwischen IT-Personal und medizinischen Daten etablieren. Entscheidend war, ob der Zugriff zweckgebunden, dokumentiert und sicherheitskonform organisiert war. Ein Kollege darf also nicht einfach „neugierig“ auf Gesundheitsdaten zugreifen – doch wenn der Zugriff im Rahmen seiner administrativen Aufgaben erfolgt und keine unbefugte Offenbarung geschieht, liegt laut EuGH nicht zwangsläufig ein Datenschutzverstoß vor.
Â
PraxismaĂźnahmen fĂĽr Unternehmen:
- Rollenkonzepte mit klarer Abgrenzung von Zugriffsrechten
- Zugriffskontrolle über Berechtigungssysteme (z. B. LDAP, RBAC)
- Protokollierung und Auditierung aller Zugriffe
- Regelmäßige Schulungen zum Thema Datenschutz und Schweigepflicht
- Einsatz technischer Lösungen wie Data Loss Prevention (DLP)
Â
Kein Strafschadensersatz nach Art. 82 DSGVO – Nur Ausgleich für tatsächlichen Schaden
Der betroffene Mitarbeiter des MDK forderte in seiner Klage einen immateriellen Schadenersatz in Höhe von 20.000 Euro. Seine Argumentation: Der Betrag solle nicht nur einen persönlichen Ausgleich darstellen, sondern auch eine abschreckende Wirkung auf zukünftige Datenschutzverstöße haben. Doch der Europäische Gerichtshof erteilte dieser Auffassung eine deutliche Absage.
Laut dem EuGH verfolgt Art. 82 DSGVO keine punitive oder strafrechtliche Funktion. Der Zweck des Schadenersatzes sei ausschließlich kompensatorisch – also auf den Ausgleich eines nachgewiesenen, individuell erlittenen Schadens gerichtet. Allein die Feststellung eines Datenschutzverstoßes – etwa einer unzulässigen Verarbeitung von Gesundheitsdaten – genügt nicht. Vielmehr muss der Betroffene darlegen, dass ein konkreter Schaden eingetreten ist, der kausal auf die DSGVO-Verletzung zurückzuführen ist.
Darüber hinaus stellte das Gericht klar: Auch wenn es einer Schuld nicht bedarf und eine Haftungsvermutung für Unternehmen besteht, hat der Grad des Verschuldens keinen Einfluss auf die Höhe des Schadenersatzes. Die DSGVO grenzt sich damit deutlich vom US-amerikanischen Konzept der punitive damages ab.
Â
Fazit – DSGVO-konforme Gesundheitsdatenverarbeitung durch Arbeitgeber ist möglich, aber anspruchsvoll
Das EuGH-Urteil bringt Klarheit in eine bislang rechtlich graue Zone: Ein Arbeitgeber darf Gesundheitsdaten eigener Mitarbeitender verarbeiten, wenn er zugleich als gesetzlich beauftragter medizinischer Dienst tätig ist – vorausgesetzt, alle Bedingungen der DSGVO, insbesondere aus Art. 6, Art. 9 und Art. 32 DSGVO, werden eingehalten.
Â
FĂĽr die Praxis bedeutet das:
- Die bloĂźe Doppelfunktion eines Unternehmens ist nicht per se ein DatenschutzverstoĂź.
- Es kommt maĂźgeblich auf den konkreten Zweck der Datenverarbeitung, die technische Absicherung und die Dokumentation an.
- Schadenersatz nach Art. 82 DSGVO ist nur dann zu zahlen, wenn ein konkreter Schaden mit Kausalität zum Verstoß vorliegt – und nicht zur Abschreckung.
âť“ FAQ: EuGH-Urteil zur DSGVO und Gesundheitsdatenverarbeitung durch den MDK
Ja, aber nur unter sehr engen Voraussetzungen. Wenn der Arbeitgeber – wie im Fall des MDK – gleichzeitig als gesetzlich beauftragter medizinischer Dienst handelt und die Verarbeitung zum Zweck einer medizinischen Begutachtung erfolgt, kann dies nach Art. 9 Abs. 2 lit. h DSGVO zulässig sein. Zudem müssen die Anforderungen aus Art. 6 und Art. 32 DSGVO eingehalten werden.
Art. 32 DSGVO verpflichtet Arbeitgeber, geeignete technische und organisatorische Maßnahmen zu ergreifen, um personenbezogene Daten zu schützen. Ein interner Zugriff – etwa durch IT-Mitarbeitende – ist nicht grundsätzlich verboten, muss aber sicherheitskonform, zweckgebunden und dokumentiert erfolgen.
Nein. Der EuGH stellte klar, dass Art. 82 DSGVO keinen Strafschadenersatz vorsieht. Ein Anspruch auf immateriellen Schadenersatz besteht nur, wenn ein individueller Schaden nachgewiesen und dieser kausal auf die Datenschutzverletzung zurĂĽckzufĂĽhren ist.
Die Verarbeitung sensibler Gesundheitsdaten darf nur durch qualifiziertes medizinisches Personal erfolgen, das gesetzlich zur Verschwiegenheit verpflichtet ist – z. B. Ärzte, Psychologen oder Pflegekräfte. Auch diese Voraussetzung ist Teil der Ausnahmeregelung des Art. 9 Abs. 2 lit. h DSGVO.
Unternehmen sollten u. a. folgende Maßnahmen einführen:
- Rollenkonzepte mit klaren Zugriffsrechten
- Zugriffskontrollen (z. B. RBAC, LDAP)
- Protokollierung und Auditierung von Zugriffen
- Schulungen zu Datenschutz und Schweigepflicht
- Systeme zur Verhinderung von Datenverlusten (DLP)
Betroffene Mitarbeitende haben u. a. das Recht auf:
- Auskunft ĂĽber gespeicherte Gesundheitsdaten (Art. 15 DSGVO),
- Berichtigung unrichtiger Daten (Art. 16 DSGVO),
- Löschung, sofern keine Aufbewahrungspflicht besteht (Art. 17 DSGVO),
- und Beschwerde bei der Datenschutzaufsichtsbehörde (Art. 77 DSGVO).
Verstöße gegen Art. 9 DSGVO – insbesondere bei sensiblen Daten wie Gesundheitsinformationen – können hohe Bußgelder nach Art. 83 DSGVO nach sich ziehen. Zusätzlich drohen individuelle Schadenersatzforderungen (Art. 82 DSGVO), Reputationsschäden und aufsichtsrechtliche Maßnahmen (z. B. Untersagungen, Prüfungen).
Nicht direkt – das Urteil bezieht sich auf den MDK als gesetzlich beauftragte Institution. Dennoch lassen sich daraus wichtige Grundsätze auch für private Krankenversicherer, Reha-Einrichtungen oder arbeitsmedizinische Dienste ableiten, sofern sie in ähnlicher Funktion handeln.