Entscheidungsstichwort (Thema)
Keine Prüfung des Datenschutzes von Amts wegen. Gutachtenerstellung als rechtliche Erfüllung nach Art. 6 Abs. 1 DSGVO. Erfordernis technisch-organisatorischer Maßnahmen bei Sicherheit von Sozialdaten. Zulässigkeit der Einholung von Daten beim Betriebsarzt oder dem behandelnden Arzt. Datenverarbeitung durch Fachpersonal. Spannungsverhältnis Art. 82 DSGVO und Verletzung Persönlichkeitsrecht
Leitsatz (amtlich)
1. Fordert eine Krankenkasse aufgrund des Bezugs von Krankengeld bei einem Medizinischen Dienst der Krankenkasse (MDK) eine gutachtliche Stellungnahme zu dessen Arbeitsunfähigkeit an, so darf der MDK, auch wenn es sich um den Arbeitgeber des Mitgliedes handelt, ein schriftliches Gutachten durch eine bei ihr angestellte Ärztin erstellen.
2. Die Ärztin darf zur Erstellung der gutachtlichen Stellungnahme den behandelnden Arzt des Mitglieds telefonisch und ohne dessen vorherige Zustimmung um Auskunft ersuchen.
3. Zu den Anforderungen an den Datenschutz, welche sich aus Art. 6, 9 DSGVO in einem solchen Fall bezogen auf die Aspekte aus dem ersten und zweiten Leitsatz und für die Speicherung der gutachtlichen Stellungnahme ergeben.
Normenkette
DSGVO Art. 4 Nrn. 2, 15, Art. 5 Abs. 1, Art. 6 Abs. 1, 3-4, Art. 9 Abs. 1-4, Art. 79 Abs. 2, Art. 82 Abs. 1, 6; GG Art. 1 Abs. 1, Art. 2 Abs. 1; BGB § 823 Abs. 1; BDSG § 22 Abs. 2; GVG § 17a Abs. 5; SGB I § 35 Abs. 1-2; SGB V § 275 Abs. 1, 1a, § 276 Abs. 2, § 278 Abs. 1; SGB X § 67 Abs. 2, § 67a Abs. 1-2, § 100 Abs. 1; StGB § 203 Abs. 1; ZPO § 253 Abs. 2 Nr. 2, § 256 Abs. 1, § 533; GVG Art. 17a Abs. 5
Verfahrensgang
ArbG Düsseldorf (Entscheidung vom 22.02.2019; Aktenzeichen 4 Ca 6116/18) |
Nachgehend
Tenor
- Die Berufung des Klägers gegen das Urteil des Arbeitsgerichts Düsseldorf vom 22.02.2019 - 4 Ca 6116/18 - wird zurückgewiesen.
- Die Kosten des Berufungsverfahrens werden dem Kläger auferlegt.
- Die Revision wird zugelassen.
Tatbestand
Die Parteien streiten darüber, ob der Beklagte verpflichtet ist, dem Kläger eine Entschädigung und materiellen Schadensersatz wegen einer vom Kläger angenommenen Verletzung datenschutzrechtlicher Vorschriften und seines Persönlichkeitsrechts zu zahlen.
Der am 10.07.1956 geborene Kläger war seit dem 01.09.1999 bei dem Beklagten, dem N. Dienst der Krankenversicherung Nordrhein, der im Jahr 2018 an acht Standorten insgesamt 1.049 Beschäftigte hatte, tätig und zwar zuletzt im IT-Bereich als Systemadministrator und Mitarbeiter im Helpdesk. Örtlich befand sich der Arbeitsplatz des Klägers in E.. Der Kläger war schwerbehinderter Mensch mit einem GdB von 60. Er verdiente zuletzt monatlich 5.812,00 Euro brutto, wobei sich dieser Betrag zusammensetzte aus dem Bruttogehalt vom 5.446,00 Euro, der Familienzulage von 306,00 Euro und 40,00 Euro vermögenswirksamen Leistungen. Bei dem Beklagten war ein Datenschutzbeauftragter bestellt.
Im Jahr 2018 erstellte der Beklagte für die gesetzlichen Krankenkassen insgesamt 663.467 Gutachten. Die Datenverarbeitung erfolgte durch die Software Ismed3. Hierzu existierte eine Dienstvereinbarung zwischen dem Beklagten und dem Personalrat über den Einsatz von Ismed 3 (im Folgenden DV Ismed 3). In dieser hieß es u.a.:
"...
2. Geltungsbereich
Die Dienstvereinbarung gilt für alle Mitarbeiter, die einen Zugang zur Software Ismed 3 haben.
...
6. Persönliche Identifikation am System
Für den Anmeldevorgang und das Arbeiten mit Ismed 3 wird ein Softwarezertifikat benötigt. ...
7. Zugriffsrechte
Der Zugriff auf die Software Ismed 3 erfolgt durch den Einsatz eines Softwarezertifikates.
Die Zugriffsrechte in Ismed 3 werden über die Vergabe von Rechten und Rollen festgelegt (s. Anlage 2 - Rollenkonzept, Eskalationsroutinen und -regeln). ...
8. Auswertungen
Im System werden personenbezogene Daten (wer führt welche Aktion durch) in der Attributhistorie und Prozesshistorie protokolliert und können zum Zwecke der Netz- und Betriebssicherheit genutzt werden.
...
Ein Zugriff auf anonymisierte oder nicht anonymisierte Daten zum Zwecke der individuellen Verhaltens- und Leistungskontrolle erfolgt nicht, es sei denn das gesetzliche Beteiligungsverfahren ist zuvor durchgeführt worden.
...
9. Schulungen
Alle Mitarbeiter, die mit dem System arbeiten sollen, werden vor der Einführung der Software Ismed 3 geschult.
10. Datenschutz
Der Datenschutz wird auf der Grundlage der gesetzlichen Regelungen des Bundesdatenschutzgesetzes, Landesdatenschutzgesetzes, Sozialdatenschutzgesetzes usw. sichergestellt. Es werden geeignete organisatorische Maßnahmen zur Einhaltung der speziellen Anforderungen an den Mitarbeiterdatenschutz gem. § 35 SGB I getroffen.
..."
In der Anlage 2 "Rollenkonzept in Ismed 3" zu DV Ismed 3 hieß es u.a.:
"Um gewisse Tätigkeiten durchführen zu können, benötigt jeder Mitarbeiter verschiedene Rechte innerhalb von Ismed 3. Die Summe verschiedener Einzelrechte spiegelt sich dabei in den Rollen wieder. Es gibt zur Zeit s...