BAG legt dem EuGH Fragen zum Schadensersatzanspruch nach Art. 82 DSGVO im Zusammenhang mit sensiblen Daten vor

Das Bundesarbeitsgericht (BAG) hat mit Beschluss vom 26.08.2021 (8 AZR 253/20 (A)) dem Europäischen Gerichtshof (EuGH) mehrere Fragen zum Schadensersatzanspruch nach Art. 82 DSGVO zur Vorabentscheidung nach Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) vorgelegt.

Gegenstand der Fragen ist die Datenverarbeitung im Beschäftigungsverhältnis und die Bemessung der Bußgeldhöhe. Dabei soll insbesondere das Verhältnis zwischen Art. 9 Abs.2 DSGVO und Art. 6 Abs.1 DSGVO geklärt werden.

Das Revisionsverfahren, das vorinstanzlich vom Landesarbeitsgericht (LAG) Düsseldorf entschieden wurde, wird bis zur Entscheidung des EuGH über das Vorabentscheidungsersuchen ausgesetzt.

Hintergrund

Arbeitgeber sind bei der Begründung und Durchführung eines Arbeitsverhältnisses verpflichtet, personenbezogene Daten des Arbeitnehmers zu speichern und zu verarbeiten. Daher ist es beim Datenschutz im Arbeitsverhältnis erforderlich, einerseits die Unternehmensführung des Arbeitgebers zu berücksichtigen, aber auch andererseits das Recht auf informationelle Selbstbestimmung der Beschäftigten zu wahren.

Im vorliegenden Verfahren geht es um die Geltendmachung eines Schadensersatzanspruches gem. Art. 82 DSGVO durch den Kläger. Dieser war zum maßgeblichen Zeitpunkt ein Mitarbeiter in der IT-Abteilung bei dem Beklagten; dem medizinischen Dienst (MDK). Der Kläger machte Verstöße gegen das Datenschutzrecht geltend, die durch die Erstellung eines schriftlichen Gutachtens zu seiner Arbeitsunfähigkeit beim MDK entstanden sein sollen.

Der Kläger wirft dem Beklagten vor, dass das Gutachten gar nicht erst hätte erstellt werden dürfen und dass weitere Beschäftigte unbefugt über seinen Gesundheits- bzw. Krankheitszustand informiert wurden. Dadurch seien seine Gesundheitsdaten nicht ausreichend geschützt worden.

Im Rahmen des Verfahrens stellte das BAG dem EuGH folgende Fragen:

1. Ist Art. 9 Abs.2 lit. h DSGVO dahin auszulegen, dass es einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten?

2. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs.2 lit. h DSGVO eine Ausnahme von dem in Art. 9 Abs.1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Sind in einem Fall wie hier über die in Art. 9 Abs.3 DSGVO bestimmten Maßgaben hinaus weitere, gegebenenfalls welche Datenschutzvorgaben zu beachten?

3. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs.2 Buchstabe h DSGVO eine Ausnahme von dem in Art. 9 Abs.1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Hängt in einem Fall wie hier die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon ab, dass mindestens eine der in Art. 6 Abs.1 DSGVO genannten Voraussetzungen erfüllt ist?

4. Hat Art. 82 Abs.1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs.1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?

5. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs.1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

Klärung der vierten und fünften Frage in Bezug auf den Schadensersatzanspruch

Vorbemerkungen

Ergibt sich auf der Grundlage der Antworten des Gerichtshofs auf die ersten drei Fragen ein Verstoß im Ausgangsfall gegen die DSGVO im Sinne von Art. 82 Abs.1 DSGVO, so wäre davon auszugehen, dass dem Arbeitnehmer ein Schadensersatzanspruch nach Art. 82 Abs.1 DSGVO zustehe.

Das BAG geht in Kenntnis des Vorabentscheidungsersuchens des Obersten Gerichtshofs (Österreich) davon aus, dass Art. 82 Abs.1 DSGVO ein Schadensersatzanspruch nur für Personen vorsieht, die selbst wegen der Verletzung einer oder mehrerer Bestimmungen der DSGVO bei der Verarbeitung personenbezogenen Daten (vgl. 2. Erwägungsgrund der DSGVO) in ihren Rechten verletzt worden sind. Ein immaterieller Schadensersatzanspruch nach Art. 82 Abs.1 DSGVO erfordere nach Ansicht des BAG nicht, dass die verletzte Person zusätzlich einen von ihr erlittenen immateriellen Schaden darlegt. Bereits die Verletzung der DSGVO selbst führe somit zu einem auszugleichenden immateriellen Schaden.

Vierte Frage

Den betroffenen Personen sollen nach dem 146. Erwägungsgrund der DSGVO ein vollständiger und wirksamer Schadensersatzanspruch für den erlittenen Schaden zustehen. Bei der Bemessung des immateriellen Schadensersatzes durch das Gericht seien alle Umstände des Einzelfalles zu berücksichtigen, so das BAG. Ferner soll ein tatsächlicher und wirksamer rechtlicher Schutz der aus der DSGVO hergeleiteten Rechte gewährleistet werden. Deshalb könnte es darauf ankommen, dass die Höhe des Schadenersatzanspruchs der Schwere des mit ihm geahndeten Verstoßes gegen die DSGVO entspricht, wobei vermutlich eine abschreckende Wirkung – gegebenenfalls mit spezial- bzw. generalpräventivem Charakter, zu gewährleisten, zugleich aber der allgemeine Grundsatz der Verhältnismäßigkeit zu wahren wäre. Neben dem damit unter anderem angesprochenen Grundsatz der Effektivität könnte bei der Höhe eines Schadenersatzanspruchs zudem der Grundsatz der Äquivalenz zu berücksichtigen sein. Das BAG geht zwar davon aus, dass Art. 82 DSGVO keine Verweisung auf das Recht der Mitgliedstaaten der Europäischen Union enthält und in der gesamten Union eine autonome und einheitliche Auslegung erfahren muss. Gleichwohl könnten angesichts womöglich in der Praxis unterschiedlich hoher Entschädigungsbeträge in den Mitgliedstaaten in vergleichbaren Fällen bei der Höhe eines immateriellen Schadenersatzes Gesichtspunkte der Äquivalenz zu berücksichtigen sein.

Fünfte Frage

Diese Frage stellt sich für das BAG insbesondere vor dem Hintergrund des deutschen Zivilrechts, in dem es neben verschuldensunabhängigen Haftungstatbeständen auch verschuldensabhängige gibt, wobei das Verschulden im nationalen allgemeinen Schuldrecht mit „Vertretenmüssen“ bezeichnet wird. Insoweit ist in § 276 Abs.1 S.1 BGB geregelt, dass der Schuldner Vorsatz und Fahrlässigkeit zu vertreten hat, wenn nicht eine strengere oder mildere Haftung bestimmt ist. Würde für Art. 82 Abs.1 DSGVO ähnliches gelten, müsste für eine Haftung zu dem bloßen Verstoß gegen die DSGVO etwas Weiteres hinzutreten, nämlich die subjektive Vorwerfbarkeit wegen Vorsatz oder Fahrlässigkeit. Das BAG nimmt allerdings an, dass die Haftung des Verantwortlichen nach Art. 82 Abs.1 DSGVO verschuldensunabhängig ist, also diese Bestimmung die Haftung des Urhebers eines Verstoßes keineswegs vom Vorliegen oder dem Nachweis eines Verschuldens abhängig macht. Das BAG ist der Auffassung, dass sich insoweit aus Art. 82 Abs.3 DSGVO nichts Abweichendes ergibt. Die darin enthaltene Bestimmung, wonach bei Nachweis der Nichtverantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist, eine Befreiung von der Haftung eintritt, betrifft nach Auffassung des BAG nicht das Verschulden im Sinne eines „Vertretenmüssens“. Art. 82 Abs.3 DSGVO betreffe vielmehr lediglich die Frage nach einer „Beteiligung“ etwa in von außen schwer durchschaubaren Datenverarbeitungszusammenhängen mit mehreren potenziellen Beteiligten – bzw. die Frage nach der Urheberschaft im Sinne der Kausalität. Letzteres kann beispielsweise anzunehmen sein, wenn der haftungsbegründende Umstand auf einem unzulässigen Zugriff eines Dritten beruht, der trotz aller gebotenen Sicherheitsmaßnahmen Erfolg hatte.

Besondere Kategorien personenbezogener Daten

In Art. 9 Abs.1 DSGVO definiert der europäische Gesetzgeber besondere Kategorien der personenbezogenen Daten, die besonders schützenswert sind. Demnach ist grundsätzlich die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person untersagt.

In dem zweiten Absatz des Art. 9 DSGVO ist ein Katalog von eng gefassten Ausnahmen genannt. So gilt Absatz 1 beispielsweise nicht in den Fällen, in denen die betroffene Person in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt hat (lit. a).

Verhältnis Art. 6 Abs.1 S.1 lit. a) und Art. 9 Abs. 2 lit. a) DSGVO

Auch nach Art. 6 Abs.1 S. 1 lit.a) DSGVO kann eine Einwilligung der betroffenen Person die Datenverarbeitung des Verantwortlichen legitimieren. Der Unterschied der beiden Normen liegt darin, dass nach Art. 9 Abs.2 lit. a) DSGVO die Einwilligung ausdrücklich zu erfolgen hat. Bei Art. 6 Abs.1 S.1 lit. a) DSGVO hingegen ist eine konkludente Einwilligung ausreichend.

Damit ist nur eine der widersprüchlichen Ermächtigungsgrundlagen des Art. 6 DSGVO bzw. Art. 9 DSGVO genannt. Es fragt sich daher zu Recht, ob beide Normen kumulativ verwendet werden können, oder ob bei besonders sensiblen Daten nach Art. 9 Abs.1 DSGVO ausschließlich die im zweiten Absatz der Norm genannten Ausnahmen greifen sollen. Eine gerichtliche Klärung dessen wird demnach stark begrüßt.

Besondere Voraussetzungen im Beschäftigungsverhältnis

Daneben enthält auch Bundesdatenschutzgesetz (BDSG) besondere Ausnahmen für eine Datenverarbeitung sofern ein Beschäftigungsverhältnis vorliegt. Nach § 26 Abs. 3 BDSG ist die Verarbeitung von besonderen Kategorien personenbezogener Daten i.S.d. Art. 9 Abs.1 DSGVO für Zwecke des Beschäftigungsverhältnisses zulässig.

Darüber hinaus muss eine Interessenabwägung getätigt werden, denn in der Norm wird weiter ausgeführt, dass kein überwiegendes schutzwürdiges Interesse der betroffenen Person an dem Ausschluss der Verarbeitung vorliegen darf.

An der Anwendung des § 26 Abs.3 BDSG bestehen indessen keine Zweifel, denn Art. 9 Abs.2 lit.b DSGVO gibt dem nationalen Recht die Option, die Verarbeitung besonderer Kategorien personenbezogener Daten zu erlauben, wenn sie dazu erforderlich ist, dass der Verantwortliche seinen Rechten und Pflichten aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes nachkommen kann.

Generell soll die Entscheidung des EuGH mehr Rechtssicherheit bringen und Rechtsrisiken bei der Anwendung und Bestimmung von Schadensersatzansprüchen gemäß Art. 82 DSGVO insbesondere im Zusammenhang mit besonders schützenswerten Daten nach Art. 9 Abs.1 DSGVO minimieren.

–––

Sie suchen einen erfahrenen Partner rund um das Thema Datenschutz? Setzen Sie sich mit uns in Verbindung.