LAG Düsseldorf Urteil vom 11.03.2020 - 12 Sa 186/19

Entscheidungsstichwort (Thema)

Keine Prüfung des Datenschutzes von Amts wegen. Gutachtenerstellung als rechtliche Erfüllung nach Art. 6 Abs. 1 DSGVO. Erfordernis technisch-organisatorischer Maßnahmen bei Sicherheit von Sozialdaten. Zulässigkeit der Einholung von Daten beim Betriebsarzt oder dem behandelnden Arzt. Datenverarbeitung durch Fachpersonal. Spannungsverhältnis Art. 82 DSGVO und Verletzung Persönlichkeitsrecht

Leitsatz (amtlich)

1. Fordert eine Krankenkasse aufgrund des Bezugs von Krankengeld bei einem Medizinischen Dienst der Krankenkasse (MDK) eine gutachtliche Stellungnahme zu dessen Arbeitsunfähigkeit an, so darf der MDK, auch wenn es sich um den Arbeitgeber des Mitgliedes handelt, ein schriftliches Gutachten durch eine bei ihr angestellte Ärztin erstellen.

2. Die Ärztin darf zur Erstellung der gutachtlichen Stellungnahme den behandelnden Arzt des Mitglieds telefonisch und ohne dessen vorherige Zustimmung um Auskunft ersuchen.

3. Zu den Anforderungen an den Datenschutz, welche sich aus Art. 6, 9 DSGVO in einem solchen Fall bezogen auf die Aspekte aus dem ersten und zweiten Leitsatz und für die Speicherung der gutachtlichen Stellungnahme ergeben.

Normenkette

DSGVO Art. 4 Nrn. 2, 15, Art. 5 Abs. 1, Art. 6 Abs. 1, 3-4, Art. 9 Abs. 1-4, Art. 79 Abs. 2, Art. 82 Abs. 1, 6; GG Art. 1 Abs. 1, Art. 2 Abs. 1; BGB § 823 Abs. 1; BDSG § 22 Abs. 2; GVG § 17a Abs. 5; SGB I § 35 Abs. 1-2; SGB V § 275 Abs. 1, 1a, § 276 Abs. 2, § 278 Abs. 1; SGB X § 67 Abs. 2, § 67a Abs. 1-2, § 100 Abs. 1; StGB § 203 Abs. 1; ZPO § 253 Abs. 2 Nr. 2, § 256 Abs. 1, § 533; GVG Art. 17a Abs. 5

Verfahrensgang

ArbG Düsseldorf (Entscheidung vom 22.02.2019; Aktenzeichen 4 Ca 6116/18)

Nachgehend

BAG (EuGH-Vorlage vom 26.08.2021; Aktenzeichen 8 AZR 253/20 (A))

Tenor

1. Die Berufung des Klägers gegen das Urteil des Arbeitsgerichts Düsseldorf vom 22.02.2019 - 4 Ca 6116/18 - wird zurückgewiesen.
2. Die Kosten des Berufungsverfahrens werden dem Kläger auferlegt.
3. Die Revision wird zugelassen.

Tatbestand

Die Parteien streiten darüber, ob der Beklagte verpflichtet ist, dem Kläger eine Entschädigung und materiellen Schadensersatz wegen einer vom Kläger angenommenen Verletzung datenschutzrechtlicher Vorschriften und seines Persönlichkeitsrechts zu zahlen.

Der am 10.07.1956 geborene Kläger war seit dem 01.09.1999 bei dem Beklagten, dem N. Dienst der Krankenversicherung Nordrhein, der im Jahr 2018 an acht Standorten insgesamt 1.049 Beschäftigte hatte, tätig und zwar zuletzt im IT-Bereich als Systemadministrator und Mitarbeiter im Helpdesk. Örtlich befand sich der Arbeitsplatz des Klägers in E.. Der Kläger war schwerbehinderter Mensch mit einem GdB von 60. Er verdiente zuletzt monatlich 5.812,00 Euro brutto, wobei sich dieser Betrag zusammensetzte aus dem Bruttogehalt vom 5.446,00 Euro, der Familienzulage von 306,00 Euro und 40,00 Euro vermögenswirksamen Leistungen. Bei dem Beklagten war ein Datenschutzbeauftragter bestellt.

Im Jahr 2018 erstellte der Beklagte für die gesetzlichen Krankenkassen insgesamt 663.467 Gutachten. Die Datenverarbeitung erfolgte durch die Software Ismed3. Hierzu existierte eine Dienstvereinbarung zwischen dem Beklagten und dem Personalrat über den Einsatz von Ismed 3 (im Folgenden DV Ismed 3). In dieser hieß es u.a.:

"...

2. Geltungsbereich

Die Dienstvereinbarung gilt für alle Mitarbeiter, die einen Zugang zur Software Ismed 3 haben.

...

6. Persönliche Identifikation am System

Für den Anmeldevorgang und das Arbeiten mit Ismed 3 wird ein Softwarezertifikat benötigt. ...

7. Zugriffsrechte

Der Zugriff auf die Software Ismed 3 erfolgt durch den Einsatz eines Softwarezertifikates.

Die Zugriffsrechte in Ismed 3 werden über die Vergabe von Rechten und Rollen festgelegt (s. Anlage 2 - Rollenkonzept, Eskalationsroutinen und -regeln). ...

8. Auswertungen

Im System werden personenbezogene Daten (wer führt welche Aktion durch) in der Attributhistorie und Prozesshistorie protokolliert und können zum Zwecke der Netz- und Betriebssicherheit genutzt werden.

...

Ein Zugriff auf anonymisierte oder nicht anonymisierte Daten zum Zwecke der individuellen Verhaltens- und Leistungskontrolle erfolgt nicht, es sei denn das gesetzliche Beteiligungsverfahren ist zuvor durchgeführt worden.

...

9. Schulungen

Alle Mitarbeiter, die mit dem System arbeiten sollen, werden vor der Einführung der Software Ismed 3 geschult.

10. Datenschutz

Der Datenschutz wird auf der Grundlage der gesetzlichen Regelungen des Bundesdatenschutzgesetzes, Landesdatenschutzgesetzes, Sozialdatenschutzgesetzes usw. sichergestellt. Es werden geeignete organisatorische Maßnahmen zur Einhaltung der speziellen Anforderungen an den Mitarbeiterdatenschutz gem. § 35 SGB I getroffen.

..."

In der Anlage 2 "Rollenkonzept in Ismed 3" zu DV Ismed 3 hieß es u.a.:

"Um gewisse Tätigkeiten durchführen zu können, benötigt jeder Mitarbeiter verschiedene Rechte innerhalb von Ismed 3. Die Summe verschiedener Einzelrechte spiegelt sich dabei in den Rollen wieder. Es gibt zur Zeit sechs Standardrollen in Ismed 3, die jedoch erweitert od...