Ein aufsehenerregendes Urteil des Europäischen Gerichtshofs (EuGH) vom 21. Dezember 2023 (Rechtssache C-667/21) stellt klar: Unter bestimmten Bedingungen ist es datenschutzrechtlich zulässig, wenn ein Arbeitgeber – wie der Medizinische Dienst der Krankenversicherung (MDK) – Gesundheitsdaten eigener Mitarbeitender verarbeitet, sofern er gleichzeitig als gesetzlich beauftragter medizinischer Dienst fungiert. Dieser Fall betrifft nicht nur den öffentlichen Dienst, sondern hat Signalwirkung für den Datenschutz im Gesundheitswesen, insbesondere im Kontext der Datenschutz-Grundverordnung (DSGVO), Art. 9 DSGVO sowie dem Schadenersatz nach Art. 82 DSGVO.
Â
Ausgangspunkt des EuGH-Urteils – Gesundheitsdatenverarbeitung durch den MDK als Arbeitgeber
Â
Interne Begutachtung durch den Arbeitgeber (MDK) selbst
Im Zentrum des Falls, der letztlich vor dem EuGH landete, stand ein IT-Mitarbeiter des MDK Nordrhein, der nach längerer krankheitsbedingter Abwesenheit von seiner Krankenkasse zur medizinischen Begutachtung geschickt wurde. Diese Begutachtung wurde allerdings nicht durch eine externe medizinische Stelle durchgeführt, sondern durch eine interne Organisationseinheit des MDK selbst – also durch seinen eigenen Arbeitgeber, der gleichzeitig als medizinischer Dienst tätig ist. Dabei wurde ein medizinisches Gutachten erstellt, in dem sensible Gesundheitsdaten, darunter eine psychiatrische Diagnose, enthalten waren. Dieses wurde im internen System des MDK archiviert.
Â
Datenschutzvorwurf wegen IT-Zugriffs auf medizinisches Gutachten
Besonders brisant beim Fall vor dem EuGH: Ein Kollege aus der IT-Abteilung stellte dem Betroffenen auf dessen Bitte hin ein Foto dieses medizinischen Dokuments zur Verfügung. Der Mitarbeiter sah darin einen schweren Verstoß gegen die DSGVO wegen der Verarbeitung personenbezogener Gesundheitsdaten, konkret gegen Art. 9 DSGVO, der den Umgang mit besonders sensiblen personenbezogenen Daten regelt. Er klagte auf immateriellen Schadenersatz gemäß Art. 82 DSGVO in Höhe von 20.000 Euro.
Â
DSGVO im Fokus – Welche rechtlichen Fragen das EuGH-Urteil beantworten musste
Im Zuge der gerichtlichen Auseinandersetzung reichte das Bundesarbeitsgericht (BAG) dem EuGH mehrere Fragen zur Vorabentscheidung ein. Dabei ging es im Kern um die datenschutzrechtliche Bewertung der Verarbeitung von Gesundheitsdaten durch den Arbeitgeber, der gleichzeitig ein medizinischer Dienst ist. Das Verfahren vor dem EuGH sollte klären, ob eine solche Verarbeitung im Einklang mit der DSGVO steht – und welche Bedingungen dabei gelten müssen.
Besonders relevant war, ob neben der Erlaubnisnorm des Art. 9 Abs. 2 lit. h DSGVO auch eine Rechtfertigung nach Art. 6 DSGVO notwendig ist – also ob die Datenverarbeitung nicht nur im medizinischen Kontext erlaubt ist, sondern auch allgemein rechtmäßig erfolgen muss. Zusätzlich stellte sich vor dem EuGH die Frage, ob strengere technische und organisatorische Maßnahmen nach Art. 32 DSGVO notwendig sind, um den Zugriff durch Kollegen – wie im vorliegenden Fall aus der IT-Abteilung auf die sensiblen Gesundheitsdaten – zu unterbinden.
Â
EuGH-Urteil – Gesundheitsdatenverarbeitung durch den MDK ist zulässig gemäß der DSGVO
Am 21. Dezember 2023 verkündete der EuGH seine Entscheidung: Die Verarbeitung von Gesundheitsdaten durch den MDK ist grundsätzlich mit der DSGVO vereinbar, auch wenn der Betroffene beim MDK selbst angestellt ist. Der EuGH stellte jedoch klar, dass diese Zulässigkeit der Verarbeitung von Gesundheitsdaten strengen Voraussetzungen unterliegt.
Die Richter des EuGHs betonten, dass nicht die Doppelfunktion des MDK als Arbeitgeber und medizinischer Dienst entscheidend ist, sondern allein der Zweck der Verarbeitung der Gesundheitsdaten gemäß der DSGVO. Wenn die Gesundheitsdaten ausschließlich zur medizinischen Begutachtung im Rahmen eines gesetzlichen Auftrags verarbeitet werden – etwa auf Basis des Sozialgesetzbuchs V (SGB V) –, dann greift die Ausnahmevorschrift des Art. 9 Abs. 2 lit. h DSGVO.
Zusätzlich ist erforderlich, dass die Verarbeitung der Gesundheitsdaten durch medizinisches Fachpersonal erfolgt, das einer gesetzlich geregelten Schweigepflicht unterliegt, und dass geeignete technische und organisatorische Maßnahmen vorhanden sind, um die Vertraulichkeit zu wahren – wie in Art. 32 DSGVO gefordert.
Â
Interner Datenzugriff durch Kollegen – Technische Maßnahmen nach Art. 32 DSGVO im Blick
Ein zentraler Streitpunkt im Verfahren vor dem EuGH betraf die Frage, ob Mitarbeitende – insbesondere in der IT-Abteilung – auf sensible Gesundheitsdaten ihrer Kollegen zugreifen dürfen. Der EuGH stellte hierzu fest: Die DSGVO enthält kein absolutes Verbot für solche internen Zugriffe. Stattdessen schreibt Art. 32 DSGVO vor, dass Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die Vertraulichkeit und Integrität personenbezogener Daten zu gewährleisten.
Im konkreten Fall vor dem EuGH bedeutete dies: Der MDK musste nicht zwingend eine vollständige Abschottung zwischen IT-Personal und medizinischen Daten etablieren. Entscheidend war, ob der Zugriff zweckgebunden, dokumentiert und sicherheitskonform organisiert war. Ein Kollege darf also nicht einfach „neugierig“ auf Gesundheitsdaten zugreifen – doch wenn der Zugriff im Rahmen seiner administrativen Aufgaben erfolgt und keine unbefugte Offenbarung geschieht, liegt laut EuGH nicht zwangsläufig ein Verstoß gegen die DSGVO vor.
Â
Praxismaßnahmen für Unternehmen nach dem EuGH-Urteil zur Verarbeitung von Gesundheitsdaten gemäß der DSGVO:
- Rollenkonzepte mit klarer Abgrenzung von Zugriffsrechten
- Zugriffskontrolle über Berechtigungssysteme (z. B. LDAP, RBAC)
- Protokollierung und Auditierung aller Zugriffe
- Regelmäßige Schulungen zum Thema Datenschutz und Schweigepflicht
- Einsatz technischer Lösungen wie Data Loss Prevention (DLP)
Â
EuGH-Urteil: Kein Strafschadensersatz nach Art. 82 DSGVO – Nur Ausgleich für tatsächlichen Schaden
Der betroffene Mitarbeiter des MDK forderte in seiner Klage einen immateriellen Schadenersatz in Höhe von 20.000 Euro auf Grundlage von Art. 82 DSGVO. Seine Argumentation: Der Betrag solle nicht nur einen persönlichen Ausgleich darstellen, sondern auch eine abschreckende Wirkung auf zukünftige Datenschutzverstöße haben. Doch der Europäische Gerichtshof erteilte dieser Auffassung eine deutliche Absage.
Laut dem EuGH-Urteil verfolgt Art. 82 DSGVO keine punitive oder strafrechtliche Funktion. Der Zweck des Schadenersatzes aus Art. 82 DSGVO sei ausschließlich kompensatorisch – also auf den Ausgleich eines nachgewiesenen, individuell erlittenen Schadens gerichtet. Allein die Feststellung eines Datenschutzverstoßes – etwa einer unzulässigen Verarbeitung von Gesundheitsdaten – genügt nicht. Vielmehr muss der Betroffene darlegen, dass ein konkreter Schaden eingetreten ist, der kausal auf die DSGVO-Verletzung zurückzuführen ist.
Darüber hinaus stellte der EuGH klar: Auch wenn es einer Schuld nicht bedarf und eine Haftungsvermutung für Unternehmen besteht, hat der Grad des Verschuldens keinen Einfluss auf die Höhe des Schadenersatzes nach Art. 82 DSGVO. Die DSGVO grenzt sich damit deutlich vom US-amerikanischen Konzept der punitive damages ab.
Â
Fazit zum EuGH-Urteil – DSGVO-konforme Gesundheitsdatenverarbeitung durch Arbeitgeber ist möglich, aber anspruchsvoll
Das EuGH-Urteil bringt Klarheit für eine DSGVO-konforme Compliance im Gesundheitswesen: Ein Arbeitgeber darf Gesundheitsdaten eigener Mitarbeitender verarbeiten, wenn er zugleich als gesetzlich beauftragter medizinischer Dienst tätig ist – vorausgesetzt, alle Bedingungen der DSGVO, insbesondere aus Art. 6, Art. 9 und Art. 32 DSGVO, werden eingehalten.
Â
FĂĽr die Praxis bedeutet das EuGH-Urteil zur Verarbeitung von Gesundheitsdaten:
- Die bloĂźe Doppelfunktion eines Unternehmens ist nicht per se ein DSGVO-VerstoĂź.
- Es kommt maĂźgeblich auf den konkreten Zweck der Datenverarbeitung, die technische Absicherung und die Dokumentation im Sinne der DSGVO an.
- Schadenersatz nach Art. 82 DSGVO ist nur dann zu zahlen, wenn ein konkreter Schaden mit Kausalität zum Verstoß vorliegt – und nicht zur Abschreckung.
Â
Unsere spezialisierten Rechtsanwälte für IT- und Datenschutzrecht beraten Sie zu allen Fragen rund um die Verarbeitung von Gesundheitsdaten nach der DSGVO, Datenschutz im Gesundheitswesen und technische Maßnahmen nach Art. 32 DSGVO. Hier Beratungstermin vereinbaren! Alternativ können Sie auch an unserem Webinar zum Thema „DSGVO-konformes Handeln – Unmöglichkeit oder Herausforderung?“ teilnehmen
âť“ FAQ: EuGH-Urteil zur DSGVO und Gesundheitsdatenverarbeitung durch den MDK
Ja dies ist laut dem EuGH-Urteil möglich, aber nur unter sehr engen Voraussetzungen. Wenn der Arbeitgeber – wie im Fall des MDK – gleichzeitig als gesetzlich beauftragter medizinischer Dienst handelt und die Verarbeitung zum Zweck einer medizinischen Begutachtung erfolgt, kann dies nach Art. 9 Abs. 2 lit. h DSGVO zulässig sein. Zudem müssen die Anforderungen aus Art. 6 und Art. 32 DSGVO eingehalten werden damit Gesundheitsdaten verarbeitet werden dürfen.
Art. 32 DSGVO verpflichtet Arbeitgeber, geeignete technische und organisatorische Maßnahmen zu ergreifen, um personenbezogene Daten zu schützen. Ein interner Zugriff – etwa durch IT-Mitarbeitende – ist nicht grundsätzlich verboten, muss aber sicherheitskonform, zweckgebunden und dokumentiert erfolgen. Dies gilt insbesondere dann, wenn wie im Fall vor dem EuGH, sensible Gesundheitsdaten verarbeitet werden.
Nein. Das EuGH-Urteil stellte klar, dass Art. 82 DSGVO keinen Strafschadenersatz vorsieht. Ein Anspruch auf immateriellen Schadenersatz im Sinne der DSGVO besteht nur, wenn ein individueller Schaden nachgewiesen und dieser kausal auf die Datenschutzverletzung zurĂĽckzufĂĽhren ist.
Die Verarbeitung sensibler Gesundheitsdaten darf nur durch qualifiziertes medizinisches Personal erfolgen, das gesetzlich zur Verschwiegenheit verpflichtet ist – z. B. Ärzte, Psychologen oder Pflegekräfte. Auch diese Voraussetzung ist Teil der Ausnahmeregelung des Art. 9 Abs. 2 lit. h DSGVO.
Unternehmen sollten u. a. folgende Maßnahmen einführen:
- Rollenkonzepte mit klaren Zugriffsrechten
- Zugriffskontrollen (z. B. RBAC, LDAP)
- Protokollierung und Auditierung von Zugriffen
- Schulungen zu Datenschutz und Schweigepflicht
- Systeme zur Verhinderung von Datenverlusten (DLP)
Betroffene Mitarbeitende haben u. a. das Recht auf:
- Auskunft ĂĽber gespeicherte Gesundheitsdaten (Art. 15 DSGVO),
- Berichtigung unrichtiger Daten (Art. 16 DSGVO),
- Löschung, sofern keine Aufbewahrungspflicht besteht (Art. 17 DSGVO),
- und Beschwerde bei der Datenschutzaufsichtsbehörde (Art. 77 DSGVO).
Â
Sie wollen mehr über das Auskunftsrecht erfahren. Buchen Sie hier unsere Webinar zum Thema „DSGVO Auskunftsbegehren & Datenschutzvorfälle“
Verstöße gegen Art. 9 DSGVO – insbesondere bei sensiblen Daten wie Gesundheitsinformationen – können hohe Bußgelder nach Art. 83 DSGVO nach sich ziehen. Zusätzlich drohen individuelle Schadenersatzforderungen (Art. 82 DSGVO), Reputationsschäden und aufsichtsrechtliche Maßnahmen (z. B. Untersagungen, Prüfungen).
Â
Sie haben Fragen zur DSGVO? Nehmen Sie gerne an unserer DSGVO-Sprechstunde teil!
Nicht direkt – das EuGH-Urteil bezieht sich auf den MDK als gesetzlich beauftragte Institution. Dennoch lassen sich daraus wichtige Grundsätze bezüglich der DSGVO auch für private Krankenversicherer, Reha-Einrichtungen oder arbeitsmedizinische Dienste ableiten, sofern sie in ähnlicher Funktion handeln.
WeiterfĂĽhrende Themen
Datenschutz schlägt SCHUFA-Interesse
„Einmal SCHUFA, immer SCHUFA?“ Nicht mehr! Das OLG Köln hat entschieden: Bezahlte Schulden dürfen nicht jahrelang gespeichert bleiben. Datenschutz schlägt SCHUFA-Interesse – was das für Verbraucher, Kreditvergabe und Bonität bedeutet, erfahren Sie in unserem Beitrag.
EuGH verpflichtet zur geschlechtsneutralen Anrede
Anredepflicht adé: Der EuGH stärkt Vielfalt und Datenschutz. Unternehmen stehen vor einem Umbruch – wir zeigen, wie Sie rechtssicher und zeitgemäß kommunizieren.
Transparenzpflicht bei automatisierten Entscheidungen nach DSGVO
Automatisierte Entscheidungen treffen immer häufiger über unser Leben – doch was passiert im Hintergrund? Der EuGH schafft Klarheit zur Transparenzpflicht bei automatisierten Entscheidungen nach DSGVO. Erfahre, was Unternehmen offenlegen müssen, welche Rechte Betroffene haben – und wie der Spagat zwischen Datenschutz und Geschäftsgeheimnissen gelingt. Jetzt weiterlesen!