8 AZR 253/20

Datenschutz - Gesundheitsdaten - Verarbeitung durch Arbeitgeber - Medizinischer Dienst

Details

  • Aktenzeichen

    8 AZR 253/20

  • ECLI

    ECLI:DE:BAG:2024:200624.U.8AZR253.20.0

  • Art

    Urteil

  • Datum

    20.06.2024

  • Senat

    8. Senat

Tenor

Die Revision des Klägers gegen das Urteil des Landesarbeitsgerichts Düsseldorf vom 11. März 2020 – 12 Sa 186/19 – wird zurückgewiesen.

Der Kläger hat die Kosten der Revision zu tragen.

Leitsatz

1. Die Verarbeitung von Gesundheitsdaten durch einen Medizinischen Dienst, der von einer gesetzlichen Krankenkasse mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten beauftragt worden ist, kann nach Art. 9 Abs. 2 Buchst. h DSGVO auch dann zulässig sein, wenn es sich bei dem Versicherten um einen eigenen Arbeitnehmer des Medizinischen Dienstes handelt.

2. Ein Arbeitgeber, der als Medizinischer Dienst Gesundheitsdaten eines eigenen Arbeitnehmers verarbeitet, ist weder nach den Bestimmungen der Datenschutz-Grundverordnung noch aufgrund nationaler Rechtsvorschriften ausnahmslos verpflichtet zu gewährleisten, dass kein anderer Beschäftigter Zugang zu diesen Daten hat.

Tatbestand

1

Die Parteien streiten über Ansprüche des Klägers auf materiellen und immateriellen Schadenersatz wegen Verstoßes gegen datenschutzrechtliche Bestimmungen und wegen Verletzung des allgemeinen Persönlichkeitsrechts des Klägers.

2

Die Beklagte – vormals der Medizinische Dienst der Krankenversicherung (MDK) Nordrhein und jetzt der Medizinische Dienst Nordrhein (im Folgenden der Beklagte) – ist eine Körperschaft des öffentlichen Rechts. Er führt im Auftrag der gesetzlichen Krankenkassen gutachtliche Stellungnahmen nach dem Recht der sozialen Krankenversicherung durch. Im Jahr 2018 beschäftigte er – verteilt über acht Standorte im Gebiet Nordrhein – mehr als 1.000 Mitarbeiter.

3

Der seit 1991 in einem Arbeitsverhältnis zum Beklagten stehende Kläger war zuletzt als Systemadministrator und Mitarbeiter „Helpdesk“ in der IT-Abteilung des Beklagten tätig. Seit November 2017 war er ununterbrochen arbeitsunfähig krank. Ab Mai 2018 bezog er von seiner gesetzlichen Krankenkasse Krankengeld.

4

Im Jahr 2018 erstellte der Beklagte im Rahmen seiner Aufgaben als MDK mehrere hunderttausend medizinische Gutachten/gutachtliche Stellungnahmen für Träger der Sozialversicherung. Die Datenverarbeitung erfolgte mittels einer spezifischen Software, dem „Informationssystem der Medizinischen Dienste der Krankenversicherung“ (kurz ISmed), zuletzt dem System ISmed 3. Über den Einsatz von lSmed 3 schlossen der Beklagte, bei dem durchgängig ein Datenschutzbeauftragter bestellt war, und der Personalrat im April 2015 eine Dienstvereinbarung (im Folgenden DV). Dort ist ua. geregelt:

        

2. Geltungsbereich

        

Die Dienstvereinbarung gilt für alle Mitarbeiter, die einen Zugang zur Software lSmed 3 haben.

        

3. Gegenstand

        

Gegenstand der Dienstvereinbarung ist die Einführung, der Einsatz und die Nutzung der Software ISmed 3 im MDK Nordrhein einschließlich der dafür eingesetzten Hardware und Software sowie die dadurch in Zusammenhang stehenden und daraus folgenden Maßnahmen:

        

…       

        

6. Persönliche Identifikation am System

        

Für den Anmeldevorgang und das Arbeiten in lSmed 3 wird ein Softzertifikat benötigt.

        

…       

        

7. Zugriffsrechte

        

Der Zugriff auf die Software lSmed 3 erfolgt durch den Einsatz eines Softzertifikates.

        

Die Zugriffsrechte in lSmed 3 werden über die Vergabe von Rechten und Rollen festgelegt (s. Anlage 2 – Rollenkonzept, Eskalationsroutinen und -regeln). …

        

8. Auswertungen

        

Im System werden personenbezogene Daten (wer führt welche Aktion durch) in der Attributhistorie und Prozesshistorie protokolliert und können zum Zwecke der Netz- und Betriebssicherheit genutzt werden.

        

…       

        

Der Personalrat wird darüber informiert, welche personenbezogenen Daten aus ISmed 3 in QlikView eingelesen und ausgewertet werden (…). Bei Übergabe an auswertende Stellen sind diese zu anonymisieren. …

        

Ein Zugriff auf anonymisierte oder nicht anonymisierte Daten zum Zwecke der individuellen Verhaltens- und Leistungskontrolle erfolgt nicht, es sei denn, das gesetzliche Beteiligungsverfahren ist zuvor durchgeführt worden. Auswertende Stellen, die mit QlikView arbeiten, dürfen keinen Zugriff auf die Schlüsseltabellen haben. Das Öffnen des passwortgeschützten Verschlüsselungscodes erfolgt durch die Datenschutzbeauftragten im Beisein des Personalrates.

        

…       

        

10. Datenschutz

        

Der Datenschutz wird auf der Grundlage der gesetzlichen Regelungen des Bundesdatenschutzgesetzes, Landesdatenschutzgesetzes, Sozialdatenschutzgesetzes usw. sichergestellt. Es werden geeignete organisatorische Maßnahmen zur Einhaltung der speziellen Anforderungen an den Mitarbeiterdatenschutz gem. § 35 SGB I getroffen.“

5

In der mit „Rollenkonzept in ISmed 3“ überschriebenen Anlage 2 zur DV heißt es:

        

„Um gewisse Tätigkeiten durchführen zu können, benötigt jeder Mitarbeiter verschiedene Rechte innerhalb von lSmed 3. Die Summe verschiedener Einzelrechte spiegelt sich dabei in den Rollen wieder. Es gibt zur Zeit sechs Standardrollen in lSmed 3, die jedoch jederzeit erweitert oder ergänzt werden können. Ein Benutzer kann mehrere Rollen besitzen, falls sein Aufgabengebiet dies verlangt. Die Rollen sind:

        

(1) Berufsgruppenbezogene Rollen

        

▪       

,Verwaltungskraft‘ für Assistenzkräfte

                 

Eine Verwaltungskraft kann beispielsweise Aufträge anlegen, Unterlagen erfassen, Gutachten bearbeiten und weiterleiten.

                 

…       

        

▪       

‚Gutachter‘ und ‚Gutachterfunktion‘ für Gutachter:

                 

Ein Gutachter erstellt zugewiesene Gutachten.

                 

Jeder Standort verfügt über einen Gruppenarbeitskorb für Gutachter. Die Rolle Gutachter steuert die Ansicht und die Zugriffsmöglichkeit auf den Gruppenarbeitskorb Gutachter.

                 

Gutachter verfügen zusätzlich über die Rolle Gutachterfunktion, die ihnen die Freigabeberechtigung für Gutachten erteilt.

        

▪       

…       

        

(2) Standortbezug

        

Zu jedem eingerichteten regionalen oder funktionalen Standort fächern sich die eingerichteten Gruppenarbeitskörbe auf. Sie werden für die Mitarbeiter erst sichtbar, wenn sie mindestens einen Auftrag erhalten.

        

▪       

…       

        

▪       

Die Administratoren und der Innenrevisor sind auf den virtuellen Standort ‘A (Hverw.)‘ als primäre Organisationseinheit eingerichtet.

        

▪       

Für die Bearbeitung der Gutachten von Mitarbeitern und ihren Angehörigen ist ein virtueller Standort ‘Spezialfall‘ eingerichtet.

        

(3) Zusatzrollen

        

Die individuelle Zusammenstellung der Rollen und Rechte eines Mitarbeiters weist immer mindestens einen Standortbezug auf (primäre Organisationseinheit) und bildet eine berufsgruppenbezogene Rolle ab. Darüber hinaus können an Mitarbeitergruppen mit Sonderaufgaben Zusatzrollen vergeben werden. …“

6

Für den Fall, dass ein Gutachtenauftrag einen bei ihm beschäftigten Mitarbeiter betraf, erließ der Beklagte eine „Dienstanweisung zum Schutz der Sozialdaten der Beschäftigten des MDK Nordrhein und ihrer Angehörigen“ (im Folgenden DA). Dort ist ausgeführt:

        

1. Ziel und Zweck

        

… Die Dienstanweisung dient dem Zweck, der gesetzlichen Verpflichtung gemäß § 35 Abs. 1 Satz 3 SGB I und § 94 Abs. 3 SGB XI nachzukommen und bereits den Anschein einer Interessenkollision zu vermeiden.

        

Dem MDK Nordrhein ist es ein besonderes Anliegen, daraus resultierende Bevorzugungen oder Benachteiligungen zu vermeiden und einen besonderen Schutz der Sozialdaten zu gewährleisten.

        

Daher sollen Sozialdaten von Mitarbeitern und ihren Angehörigen am Dienstort des Beschäftigten weder erhoben, noch gespeichert werden.

        

Dies setzt voraus, dass der Beschäftigte entsprechende Konstellationen gegenüber seiner Kranken-/Pflegekasse anzeigt. Der Hinweis an die Kranken-/Pflegekasse erfolgt bei jedem Kontakt, z.B. auch bei Widersprüchen gegen Leistungsentscheidungen, da der Fall im MDK bereits nach der Gutachtenerstellung abgeschlossen wurde und in diesem Fall sonst ohne erneuten Hinweis keine Kennzeichnung als Spezialfall erfolgt.

        

…       

        

3. Begriffserläuterungen

        

3.1 Sozialdaten der Beschäftigten und ihrer Angehörigen

        

…       

        

Sozialdaten der Beschäftigten bzw. ihrer Angehörigen fallen an, wenn der MDK Nordrhein seitens der zuständigen Kranken- oder Pflegekasse beauftragt wird, die sozialmedizinischen Voraussetzungen für Leistungen nach dem SGB für einen MDK-Beschäftigten bzw. seinen Angehörigen zu begutachten. Sie dürfen nicht mit ‚Mitarbeiterdaten‘ verwechselt werden, die im Rahmen eines Arbeits-/Dienstverhältnisses entstehen oder verarbeitet werden.

        

3.2 Zugriffsberechtigte

        

Zugriffsberechtigte im Sinne der Dienstanweisung sind Mitarbeiter, die aufgrund ihrer arbeitsvertraglichen Tätigkeit von den Sozialdaten der Beschäftigten und ihrer Angehörigen Kenntnis erhalten bzw. denen die Möglichkeit des Zugriffs auf diese Daten eingeräumt wurde (zuständige Gutachter und Assistenzmitarbeiter). Die Namen der zuständigen Mitarbeiter sind im beigefügten ‚Zugriffskonzept‘ hinterlegt.

        

4. Grundsatz

        

Beschäftigte und ihre Angehörigen dürfen grundsätzlich nicht an ihrem Beschäftigungsort oder an ihrer Dienststelle begutachtet werden. Die diesbezüglichen Unterlagen dürfen dort nicht aufbewahrt, die anfallenden Sozialdaten dort nicht gespeichert werden. Für die Anwendung von lSmed 3 gilt folgende Regelung: Für alle Mitarbeiter, die am Standort A tätig sind, sind die benannten Mitarbeiter der Organisationseinheit ‚Spezialfall‘ in B zuständig. Für Mitarbeiter der übrigen Standorte sind die benannten Mitarbeiter der Organisationseinheit ‚Spezialfall‘ in A zuständig.

        

Die Sozialdaten dürfen von den Zugriffsberechtigten nur zu den überlassenen Verarbeitungszwecken verwendet werden. Eine Weitergabe an unbefugte Dritte ist verboten.

        

5. Verfahren

        

5.1. Organisationseinheit Spezialfall

                 

a)    

lSmed 3

                          

Der betroffene Mitarbeiter oder Angehörige unterrichtet seine Krankenkasse im Vorfeld der Beauftragung des MDK darüber, dass seine Unterlagen ausschließlich an das für die Bearbeitung von Spezialfällen zuständige BBZ abgegeben werden darf. Zum Versand der Auftragsunterlagen reicht er seiner Krankenkasse den gekennzeichneten Umschlag ein, der bereits zutreffend an die Organisationseinheit ‚Spezialfall‘ adressiert ist.

                          

Begutachtungsaufträge im Rahmen des SGB V (Krankenversicherung), die die Beschäftigten des MDK Nordrhein oder ihre Angehörigen betreffen, müssen in der zuständigen Organisationseinheit ‚Spezialfall‘ eingehen und dürfen ausschließlich dort bearbeitet werden.

                          

Sollte der Auftrag zur Begutachtung eines Mitarbeiters oder des Angehörigen eines Mitarbeiters fälschlicherweise ohne gekennzeichneten Umschlag im BBZ eingehen, so erfolgt die Weiterleitung nach Maßgabe der beigefügten ‚Kurzinfo Spezialfall‘. Das Setzen des Merkmals ‚Spezialfall‘ übernimmt einen bereits angelegten Fall mit den zugehörigen Unterlagen in die Organisationseinheit ‚Spezialfall‘. Der Fall ist für die übrigen Mitarbeiter nicht mehr sichtbar. Die auftraggebende Krankenkasse erhält eine Abgabenachricht.

                 

…       

        
        

5.2 SFB/Aktenlage

                 

a)    

ISmed 3

                          

Die eingehenden Fälle werden bei der Erfassung als ‚Spezialfall‘ gekennzeichnet und ausschließlich durch die benannten Mitarbeiter der Organisationseinheit ‚Spezialfall‘ bearbeitet. Die Fälle müssen als Produktart ‚SFB mit Stellungnahme‘ bzw. ‚KH-SFB‘ bearbeitet und im elektronischen Archiv hinterlegt werden.

                          

…       

        

…       

                 
        

5.4. Archivierung

                 

a)    

ISmed 3

                          

Nach Abschluss des Begutachtungsauftrages im Rahmen des SGB V (Krankenversicherung) den Auftrag mit der gutachterlichen Stellungnahme einschließlich der beim MDK Nordrhein verbleibenden elektronischen medizinischen Unterlagen abschließen und im elektronischen Archiv hinterlegen.

                 

…       

        
        

5.5 Begutachtungsaufträge mit einer körperlichen Untersuchung bei Beschäftigten/Angehörigen des MDK Nordrhein

        

Im Falle eines Begutachtungsauftrages im Rahmen des SGB V oder SGB XI, der bei einem Beschäftigten/Angehörigen eines Beschäftigten eine körperliche Untersuchung beinhalten würde, erfolgt die Begutachtung durch den Sozialmedizinischen Dienst der Knappschaft.

                 

a)    

lSmed 3

                          

Falls der Gutachter bei einem Spezialfall feststellt, dass eine körperliche Untersuchung unumgänglich ist, werden die Unterlagen den Assistenzkräften der Organisationseinheit ‚Spezialfall‘ zur weiteren Veranlassung übergeben:

                          

Der Gutachter schließt den Fall ab mit dem Schlüssel:

                          

‚90 Zur Begutachtung empfohlen‘ (vgl. ‚Schulungsunterlage Spezialfall‘)

                          

Der Abschluss erfolgt als Produktart ‚SFB ohne Stellungnahme‘.

                          

Der Arzt und die Assistenzkraft der Organisationseinheit ‚Spezialfall‘ übergeben den Auftrag an den Leitenden Arzt der Knappschaft, der diejenige Dienststelle der Knappschaft mit der Untersuchung beauftragt, der dem Wohnort des zu Begutachtenden am nächsten gelegen ist und veranlasst nachfolgend auch die Rücksendung des Gutachtens.

                          

Die elektronische Archivierung erfolgt durch die Assistenzkräfte der Organisationseinheit ‚Spezialfall‘, die das Gutachten zum Auftrag nachscannen.

                          

Die tatsächliche Erstellung des Gutachtens durch die Bundesknappschaft ist von der Organisationseinheit ‚Spezialfall‘ zu überwachen.

        

…“    

                 
7

Insgesamt erhielten im Rahmen der nach der DA gebildeten Organisationseinheit „Spezialfall“ 36 Mitarbeiterinnen und Mitarbeiter des Beklagten technisch Zugriff auf den sog. geschützten Bereich. Es handelte sich dabei um ärztliche Mitarbeiter, Assistenzkräfte und Mitarbeiter der IT-Abteilung. Die Zugriffsberechtigung für die Bearbeitung der Spezialfälle war aufgeteilt in den „Teilbereich Ambulante Versorgung“ mit den Beratungs- und Begutachtungszentren (BBZ) A und B, denen jeweils Ärzte und Assistenzkräfte zugeordnet waren, den „Teilbereich Stationäre Versorgung“ mit den BBZ A und B, denen jeweils Ärzte, Kodierfachkräfte und Assistenzkräfte zugeordnet waren, den „Teilbereich MFB Behandlungsfehler“ mit dem BBZ C und den „Teilbereich IT Abteilung“, der in A angesiedelt war und dem im Jahr 2018 neun Personen, darunter der Kläger, zugeordnet waren. Sämtliche Mitarbeiter des sog. geschützten Bereichs waren auf das Sozialgeheimnis iSv. § 35 SGB I verpflichtet und wurden auf die strafrechtlichen und arbeitsrechtlichen Rechtsfolgen einer Verletzung hingewiesen. In regelmäßigen Schulungen wurden sie im Hinblick auf die Bedeutung des § 35 SGB I und die Einhaltung des Sozialdatenschutzes unterwiesen.

8

Die Speicherung der unter Einsatz von ISmed 3 verarbeiteten Daten erfolgte im Rechenzentrum eines in M ansässigen Providers. Auftragsdaten mit den Stammdaten der Versicherten und die Begutachtungsdaten wurden getrennt voneinander – in zwei Datenbanken – gespeichert. Eine Zusammenführung war nur über einen in der Oracle Verschlüsselungsbibliothek hinterlegten Schlüssel und auch nur im Fall eines hergestellten Aufgabenbezugs durch einen zugriffsberechtigten Nutzer möglich. Die Zugriffsberechtigung wurde vom System technisch geprüft. Jedenfalls den der Organisationseinheit „Spezialfall“ angehörenden Mitarbeitern der IT-Abteilung war – unter Nutzung der vorhandenen Verschlüsselungstechnologie – auch nach der Archivierung technisch ein Zugriff auf Gutachten möglich, die eigene Mitarbeiter des Beklagten oder deren Angehörige betrafen.

9

Im Juni 2018 beauftragte die gesetzliche Krankenkasse, bei der der Kläger versichert war, den Beklagten mit einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers. Der Auftrag ging auf dem Postweg – ohne dass ein Umschlag „Spezialfall“ Verwendung fand – im BBZ B ein und wurde dort unmittelbar händisch dem sog. geschützten Bereich zugeordnet. Eine im BBZ B tätige Ärztin, die der Organisationseinheit „Spezialfall“ angehörte, erstellte am 22. Juni 2018 ein – anschließend elektronisch im „geschützten Bereich“ gespeichertes – Gutachten, das ua. die Diagnose einer psychischen Erkrankung des Klägers auswies und als Ergebnis den Befund: „aus medizinischer Sicht auf Zeit AU“ enthielt. Vor der Anfertigung des Gutachtens holte die Ärztin beim behandelnden Arzt des Klägers telefonisch Auskünfte über den Gesundheitszustand des Klägers ein. Nachdem der Kläger durch seinen Arzt über das Gespräch unterrichtet worden war, nahm er am 1. August 2018 telefonisch Kontakt zu einer Kollegin aus der IT-Abteilung auf, die auf seine Bitten im digitalen Archiv nach dem Gutachten recherchierte, hiervon mit ihrem Mobiltelefon Fotos machte und anschließend die Fotos dem Kläger über einen Messenger-Dienst übermittelte.

10

Nach erfolgloser außergerichtlicher Geltendmachung einer Entschädigung iHv. 20.000,00 Euro hat der Kläger mit seiner Klage seinen Leistungsanspruch auf immateriellen Schadenersatz weiterverfolgt und daneben – zweitinstanzlich – im Wege der Zahlungs- und Feststellungsklage materiellen Schadenersatz, jeweils gestützt auf Art. 82 Abs. 1 DSGVO und aus § 823 Abs. 1 BGB iVm. Art. 2 Abs. 1, Art. 1 Abs. 1 GG, begehrt.

11

Im Verlauf des Rechtsstreits kündigte der Beklagte das Arbeitsverhältnis mit dem Kläger fristlos und hilfsweise fristgerecht. Dagegen erhob der Kläger in einem gesonderten Verfahren Kündigungsschutzklage. Zudem hörte der Beklagte den Personalrat zu einer beabsichtigten fristlosen, hilfsweise ordentlichen Kündigung des Arbeitsverhältnisses mit der Kollegin des Klägers an.

12

Der Kläger hat die Auffassung vertreten, der Beklagte habe mit der Verarbeitung seiner Gesundheitsdaten im Zusammenhang mit der Erstellung des Gutachtens vom 22. Juni 2018 in mehrfacher Hinsicht gegen datenschutzrechtliche Bestimmungen verstoßen. Dem Beklagten sei es schon im Grundsatz nicht erlaubt, Gesundheitsdaten eigener Mitarbeiter zum Zweck der Erstellung eines von der Krankenkasse beauftragten medizinischen Gutachtens zu verarbeiten. Im Fall der Betroffenheit eigener Beschäftigter müsse die Begutachtung – selbst wenn kein Erfordernis einer körperlichen Untersuchung bestehe – stets durch einen anderen Medizinischen Dienst erfolgen. Zumindest habe für den Beklagten die Verpflichtung bestanden sicherzustellen, dass kein Kollege Kenntnis von ihn – den Kläger – betreffenden Gesundheitsdaten erlange und/oder Zugriff nehmen könne. Abgesehen davon sei es der konkret mit der Begutachtung befassten Ärztin, mit der er „immer mal wieder zu tun gehabt habe“, nicht erlaubt gewesen, bei seinem behandelnden Arzt telefonisch Auskünfte über seine Arbeitsunfähigkeit einzuholen. Schließlich seien auch die Maßnahmen zum Schutz seiner Gesundheitsdaten rund um die Bearbeitung des Auftrags der Krankenkasse und insbesondere die Archivierung des Gutachtens unzureichend gewesen. Es hätten ausreichende Schutzvorkehrungen und Kontrollen gefehlt, die wirksam einen unbefugten Zugriff auf Gesundheitsdaten, die eigene Mitarbeiter des Beklagten betreffen, verhindert hätten.

13

Durch die darin liegenden Verstöße gegen die Datenschutz-Grundverordnung, in denen zugleich eine schwerwiegende Verletzung seines allgemeinen Persönlichkeitsrechts liege, habe er einen immateriellen Schaden erlitten, der vom Beklagten auszugleichen sei. Die erfolgte tatsächliche Kenntnisnahme von seinen Gesundheitsdaten durch Mitarbeiter des Beklagten, die seine Kollegen seien, und die Möglichkeit der Einsichtnahme in seine Daten – nach deren Speicherung im „geschützten Bereich“ jedenfalls noch durch Mitarbeiter der IT-Abteilung – hätten bei ihm die Befürchtung eines Austauschs im Kollegenkreis über seinen Gesundheitszustand „hinter seinem Rücken“ und damit verbunden die Sorge vor einer Bloßstellung ausgelöst. Zudem habe er befürchten müssen, dass Personalverantwortliche und Vorgesetzte zumindest „hinter vorgehaltener Hand“ Kenntnis von den Ursachen seiner Erkrankung erlangten. Weiterhin habe der Beklagte versucht, ihn und seine Kollegin mit den erklärten bzw. in Aussicht genommenen Kündigungen „mundtot“ zu machen; die Absicht einer Kündigung des Arbeitsverhältnisses seiner Kollegin habe bei ihm Gewissensbisse ausgelöst. Der Anspruch auf materiellen Schadenersatz bzw. entsprechende Feststellung resultiere aus einem Erwerbsschaden, der ihm infolge des zwischen der Gutachterin des Beklagten und seinem behandelnden Arzt unrechtmäßig geführten Telefonats entstanden sei. Die Kenntniserlangung von dem Telefonat habe dazu geführt, dass er – entgegen einer vorherigen Erwartung seines Arztes – nicht ab Dezember 2018 wieder voll arbeitsfähig, sondern weiterhin arbeitsunfähig erkrankt gewesen sei.

14

Der Kläger hat zuletzt beantragt,

        

1.    

den Beklagten zu verurteilen, an ihn eine angemessene Entschädigung nach billigem Ermessen, mindestens jedoch 20.000,00 Euro zu zahlen;

        

2.    

den Beklagten zu verurteilen, an ihn einen materiellen Schadenersatz in Höhe des ihm entfallenden Verdienstes zu zahlen iHv. jeweils 5.812,00 Euro brutto abzüglich 2.653,00 Euro netto für die Monate Dezember 2018, Januar 2019, Februar 2019, März 2019, April 2019 und Mai 2019 sowie jeweils 5.812,00 Euro brutto für die Monate Juni 2019, Juli 2019, August 2019, September 2019 und Oktober 2019 nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit;

        

3.    

für den Zeitraum bis Oktober 2019 hilfsweise festzustellen, dass der Beklagte verpflichtet ist, ihm den materiellen Schaden zu ersetzen, der ihm aus der mit der Klage geltend gemachten Verletzung seines Persönlichkeitsrechts entstanden ist und/oder noch entstehen wird, sowie

        

4.    

für den Zeitraum ab November 2019 festzustellen, dass der Beklagte verpflichtet ist, ihm den materiellen Schaden zu ersetzen, der ihm aus der mit der Klage geltend gemachten Verletzung seines Persönlichkeitsrechts entstanden ist und/oder noch entstehen wird.

15

Der Beklagte hat beantragt, die Klage abzuweisen.

16

Das Arbeitsgericht hat die Klage hinsichtlich des Antrags zu 1. abgewiesen. Das Landesarbeitsgericht hat die Berufung des Klägers – auch hinsichtlich der Anträge zu 2. und 4. – zurückgewiesen. Den Antrag zu 3. hat es als nicht angefallen angesehen. Mit der Revision verfolgt der Kläger seine Klageanträge weiter. Der Beklagte begehrt, die Revision zurückzuweisen.

17

Der Senat hat mit Beschluss vom 26. August 2021 (- 8 AZR 253/20 (A) – BAGE 175, 319) das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union gemäß Art. 267 AEUV um Vorabentscheidung über Rechtsfragen zur Auslegung von Art. 9 Abs. 1, Art. 9 Abs. 2, Art. 9 Abs. 3, Art. 6 Abs. 1 und Art. 82 Abs. 1 DSGVO ersucht. Über das Vorabentscheidungsverfahren hat der Gerichtshof mit Urteil vom 21. Dezember 2023 (- C-667/21 – [Krankenversicherung Nordrhein]) entschieden.

Entscheidungsgründe

18

Die zulässige Revision des Klägers ist unbegründet. Das Landesarbeitsgericht hat die Berufung des Klägers zu Recht zurückgewiesen. Die Klage hat, soweit sie dem Senat zur Entscheidung anfällt, keinen Erfolg.

19

I. Der zulässige Hauptantrag zu 1. ist unbegründet.

20

1. Der Antrag ist zulässig, insbesondere hinreichend bestimmt iSv. § 253 Abs. 2 Nr. 2 ZPO.

21

a) Der Kläger stützt seinen Anspruch auf immateriellen Schadenersatz zwar auf mehrere behauptete Verstöße des Beklagten gegen Bestimmungen der Datenschutz-Grundverordnung und damit verbundene, vermeintlich unrechtmäßige Eingriffe in sein allgemeines Persönlichkeitsrecht. Damit leitet er sein Begehren aber nicht aus einer Mehrheit von Streitgegenständen ab; es kann daher offenbleiben, ob andernfalls eine unzulässige alternative Klagehäufung vorläge.

22

aa) Der Gegenstand des Verfahrens bestimmt sich nach dem für das arbeitsgerichtliche Urteilsverfahren geltenden zweigliedrigen Streitgegenstandsbegriff durch den gestellten Antrag (Klageantrag) und den ihm zugrunde liegenden Lebenssachverhalt (Klagegrund). Der Streitgegenstand erfasst alle Tatsachen, die bei einer natürlichen, vom Standpunkt der Parteien ausgehenden, den Sachverhalt seinem Wesen nach erfassenden Betrachtungsweise zu dem zur Entscheidung gestellten Tatsachenkomplex gehören, den der Kläger zur Stützung seines Rechtsschutzbegehrens dem Gericht unterbreitet hat (vgl. BAG 13. Dezember 2023 – 5 AZR 259/22 – Rn. 22 mwN).

23

bb) Der Kläger sieht die Verarbeitung seiner Gesundheitsdaten durch den Beklagten vornehmlich deshalb als unzulässig an, weil dieser sein Arbeitgeber ist und weil bei der Verarbeitung ua. Kollegen, die – wie er – dem „geschützten Bereich“ angehörten, Zugriff auf seine besonders sensiblen Daten hatten. Darüber hinaus wendet er sich gegen die Art und Weise der Datenerhebung durch die ärztliche Gutachterin, die nach seiner Auffassung jedenfalls nicht ohne seine Einwilligung telefonisch Auskünfte bei seinem behandelnden Arzt habe einholen dürfen. Ausdrücklich nicht als „haftungsbegründenden“ Datenschutzverstoß will der Kläger zwar den von seiner Kollegin am 1. August 2018 vorgenommenen Zugriff auf das im Archiv gespeicherte Gutachten anführen, wie er im letzten Termin der mündlichen Verhandlung vor dem Landesarbeitsgericht klargestellt hat. Er will diesen Zugriff aber ersichtlich als Beleg für unzureichende Schutzmaßnahmen des Beklagten bei der Speicherung seiner Gesundheitsdaten verstanden wissen, auf die er sein Entschädigungsverlangen ebenfalls stützt.

24

cc) Danach ist zwar nicht zu übersehen, dass dem Anspruch auf Geldentschädigung vermeintliche Datenschutzverstöße bei unterschiedlichen Verarbeitungsschritten-/tätigkeiten zugrunde liegen. Im Mittelpunkt des Begehrens stehen aber jeweils die Offenlegung und/oder Kenntnisnahme(möglichkeit) von Gesundheitsdaten des Klägers gegenüber bzw. durch eigene Beschäftigte des Beklagten, insbesondere solche Mitarbeiter, die seine „Kollegen“ sind, und der Umgang mit den Daten im Rahmen der von der gesetzlichen Krankenkasse beauftragten medizinischen Stellungnahme. Zudem handelt es sich bei den beanstandeten Verarbeitungstätigkeiten um eine Vorgangsreihe, dh. eine Aneinanderreihung von Verarbeitungsvorgängen (wie etwa das aufeinanderfolgende Erheben, Erfassen, Verwenden und Speichern) im Zusammenhang mit personenbezogenen Daten, die nach Art. 4 Nr. 2 DSGVO ihrerseits eine Verarbeitung im Sinne der Datenschutz-Grundverordnung darstellt und die bei natürlicher Betrachtung einen einheitlichen Lebenssachverhalt und damit einen einheitlichen Klagegrund im prozessualen Sinne bildet. Der maßgebliche einheitliche Streitgegenstand ist damit durch sämtliche Datenschutzverstöße gekennzeichnet, die nach dem Vorbringen des Klägers im Zusammenhang mit der Erstellung des Gutachtens über seine Arbeitsunfähigkeit stehen und die in den Zeitraum beginnend mit dem Auftrag der Krankenkasse vom 6. Juni 2018 bis zu dem am 1. August 2018 erfolgten Zugriff auf das archivierte Gutachten fallen.

25

b) Der Kläger hat den Antrag zu 1. auch zulässigerweise unbeziffert gestellt und lediglich einen Mindestbetrag der beanspruchten (Gesamt-)Entschädigung angegeben. Denn die Höhe einer dem Kläger – unterstellt – zuzubilligenden Geldentschädigung hängt von einer gerichtlichen Schätzung nach § 287 Abs. 2 ZPO ab (zur Zulässigkeit eines unbezifferten Leistungsantrags in einem solchen Fall vgl.: BAG 22. April 2004 – 8 AZR 620/02 – zu II 2 der Gründe; BGH 21. Januar 2021 – I ZR 207/19 – Rn. 78 mwN). Der Kläger hat überdies ausreichend Tatsachen benannt, die das Gericht für die Schätzung heranziehen soll (zu diesem Erfordernis vgl. BAG 15. Februar 2005 – 9 AZR 635/03 – zu A der Gründe mwN, BAGE 113, 361), nämlich ua. die Unsicherheit über eine mögliche Bekanntheit seiner Gesundheitsdaten im Kollegenkreis, die daraus resultierende Belastung des beruflichen „Miteinanders“ bis hin zur Befürchtung eines Austauschs über seinen Gesundheitszustand „hinter seinem Rücken“ und die damit verbundene Sorge vor einer „Bloßstellung“.

26

2. Der Antrag hat in der Sache keinen Erfolg. Die Voraussetzungen der in Betracht kommenden Anspruchsgrundlagen sind nicht erfüllt.

27

a) Der Beklagte ist, worüber zwischen den Parteien kein Streit besteht, weiterhin passiv legitimiert. Vormalige Rechtsbeziehungen zum Medizinischen Dienst der Krankenversicherung Nordrhein sind auf den beklagten Medizinischen Dienst Nordrhein übergegangen. Die (Neu-)Errichtung der Medizinischen Dienste als Körperschaften des öffentlichen Rechts (§ 278 Abs. 1 Satz 1 SGB V idF des Art. 1 Nr. 25 des Gesetzes für bessere und unabhängigere Prüfungen vom 14. Dezember 2019 – MDK-Reformgesetz, BGBl. I S. 2789) hat für den Beklagten, da er bereits zuvor als Körperschaft des öffentlichen Rechts organisiert war (vgl. Art. 73 Abs. 4 des Gesetzes zur Strukturreform im Gesundheitswesen vom 20. Dezember 1988, Gesundheits-Reformgesetz – GRG, BGBl. I S. 2477) lediglich deklaratorische Bedeutung (dazu und zu den maßgeblichen Übergangsregelungen im SGB V vgl. BSG 19. Oktober 2023 – B 1 KR 22/22 R – Rn. 19 mwN).

28

b) Der Kläger hat gegen den Beklagten keinen Anspruch auf die begehrte Geldentschädigung aus Art. 82 Abs. 1 DSGVO.

29

aa) Der Anwendungsbereich der Datenschutz-Grundverordnung und damit von Art. 82 DSGVO ist zwar eröffnet.

30

(1) Die Verordnung gilt nach Art. 99 Abs. 2 DSGVO ab dem 25. Mai 2018. Sämtliche Einzelvorgänge, die mit dem Auftrag der Krankenkasse für eine gutachtliche Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers verbunden sind, fanden nach dem 6. Juni 2018 und damit im Geltungszeitraum der Datenschutz-Grundverordnung statt.

31

(2) Der Anwendung der Datenschutz-Grundverordnung steht nicht entgegen, dass der Beklagte die im Streit stehende Datenverarbeitung nicht in seiner Eigenschaft als Arbeitgeber, sondern in seiner Funktion als Medizinischer Dienst vorgenommen hat.

32

(a) Nach § 35 Abs. 2 Satz 1 SGB I (idF des Art. 19 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17. Juli 2017 – BVGÄndG, BGBl. I S. 2541), der ebenfalls seit dem 25. Mai 2018 gilt, regeln die Vorschriften des Zweiten Kapitels des Sozialgesetzbuches X und der übrigen Bücher des Sozialgesetzbuches die Verarbeitung von Sozialdaten abschließend, soweit nicht die Datenschutz-Grundverordnung unmittelbar gilt. Nach § 35 Abs. 2 Satz 2 SGB I finden für die Verarbeitungen von Sozialdaten im Rahmen von nicht in den Anwendungsbereich der Datenschutz-Grundverordnung fallenden Tätigkeiten die Datenschutz-Grundverordnung und dieses Gesetz entsprechende Anwendung, soweit nicht in diesem oder einem anderen Gesetz Abweichendes geregelt ist. Diese konstitutiv wirkende Regelung stellt für die Verarbeitung von Sozialdaten ein datenschutzrechtliches Vollregime unabhängig von der Reichweite der Datenschutz-Grundverordnung sicher (vgl. BT-Drs. 18/12611 S. 97; BSG 18. Dezember 2018 – B 1 KR 31/17 R – Rn. 14, BSGE 127, 181; Bieresborn NZS 2017, 887, 891).

33

Die Erstellung einer gutachtlichen Stellungnahme über das Vorliegen einer Arbeitsunfähigkeit des Klägers durch den Beklagten betrifft Sozialdaten iSv. § 35 Abs. 1 SGB I. Dies sind personenbezogene Daten iSv. Art. 4 Nr. 1 DSGVO, die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch verarbeitet werden (§ 67 Abs. 2 Satz 1 SGB X idF des Art. 24 Nr. 2 BVGÄndG). Zu den in § 35 Abs. 1 SGB I genannten Stellen gehören nach § 35 Abs. 1 Satz 4 SGB I auch die Arbeitsgemeinschaften der Leistungsträger. Dazu zählte die nach § 278 Abs. 1 Satz 1 SGB V (idF des Art. 1 GRG) in jedem (Bundes-)Land von den Krankenkassen getragene Arbeitsgemeinschaft „Medizinischer Dienst der Krankenversicherung“. Soweit der Beklagte nunmehr als Medizinischer Dienst fortbesteht, gilt nach § 276 Abs. 2 Satz 5 SGB V (idF des Art. 1 Nr. 24 MDK-Reformgesetz) in seinem Geschäftsbereich § 35 SGB I „entsprechend“.

34

(b) Nach den übrigen Regelungen ist der sachliche und persönliche Anwendungsbereich der DSGVO eröffnet. Der Beklagte hat, wie bereits im Beschluss des Senats vom 26. August 2021 (- 8 AZR 253/20 (A) – Rn. 15, BAGE 175, 319) ausgeführt, im Rahmen der von der Krankenkasse des Klägers am 6. Juni 2018 beauftragten medizinischen gutachtlichen Stellungnahme personenbezogene Daten des betroffenen Klägers (Art. 4 Nr. 1 DSGVO), bei denen es sich überwiegend um Gesundheitsdaten (Art. 4 Nr. 15 DSGVO) handelt, iSv. Art. 2 Abs. 1, Art. 4 Nr. 2 DSGVO „verarbeitet“. Der Begriff der Verarbeitung, der weit auszulegen ist (EuGH 5. Oktober 2023 – C-659/22 – [Ministerstvo zdravotnictvi (Application mobile Covid-19)] Rn. 27 mwN), umfasst auch das telefonische Abfragen von Informationen über den Gesundheitszustand des Klägers zur weiteren Dokumentation und Auswertung in einer gutachtlichen Stellungnahme, die – wie hier – zur Speicherung in einem Dateisystem des Beklagten vorgesehen ist (zur mündlichen Übermittlung von in einem Dateisystem gespeicherten Daten vgl. EuGH 7. März 2024 – C-740/22 – [Endemol Shine Finland] Rn. 32 ff.). Der Beklagte ist zudem, jedenfalls soweit er personenbezogene Daten des Klägers zur Durchführung der medizinischen Begutachtung von dessen Arbeitsunfähigkeit verarbeitet hat, Verantwortlicher iSd. Art. 4 Nr. 7 DSGVO.

35

bb) Die Voraussetzungen eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO liegen aber nicht vor.

36

(1) Nach der Rechtsprechung des Gerichtshofs der Europäischen Union (im Folgenden Gerichtshof) hängt dieser Anspruch von drei Voraussetzungen ab. Es muss ein Verstoß gegen die Datenschutz-Grundverordnung, ein materieller oder immaterieller Schaden sowie ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden vorliegen, und diese drei Voraussetzungen müssen kumulativ erfüllt sein (vgl. EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 58; 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 82 mwN). Hinsichtlich der Darlegungs- und Beweislast hat der Gerichtshof klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, das Vorliegen aller drei Voraussetzungen des Anspruchs nachweisen muss (vgl. EuGH 11. April 2024 – C-741/21 – [juris] Rn. 35; 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 60 f.).

37

(2) Danach kann der Kläger aus Art. 82 Abs. 1 DSGVO keinen immateriellen Schadenersatz beanspruchen. Es liegt – unter sämtlichen vom Kläger gerügten Gesichtspunkten – bereits kein Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung vor. Die Verarbeitung der Gesundheitsdaten des Klägers im Zusammenhang mit der Erstellung der gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers verstößt nicht gegen das Verarbeitungsverbot nach Art. 9 Abs. 1 DSGVO. Sie erfüllt die besonderen, sich aus Art. 9 Abs. 2 Buchst. h iVm. Art. 9 Abs. 3 DSGVO ergebenden Rechtmäßigkeitsvoraussetzungen. Die Verarbeitung genügte auch den allgemeinen, sich aus Art. 6 Abs. 1 DSGVO ergebenden Rechtmäßigkeitsanforderungen. Der Beklagte hat schließlich ausreichende Vorkehrungen zum Datenschutz getroffen. Insbesondere genügen die vom Beklagten insoweit getroffenen Maßnahmen den in Art. 5 Abs. 1 Buchst. a DSGVO genannten und in Art. 32 Abs. 1 Buchst. a und b DSGVO konkretisierten Grundsätzen der Integrität und der Vertraulichkeit.

38

(a) Die Datenverarbeitung ist entgegen der Auffassung des Klägers nicht deshalb unrechtmäßig, weil es dem Beklagten angesichts seiner gleichzeitigen Stellung als Arbeitgeber und als Medizinischer Dienst nach Art. 9 DSGVO verwehrt wäre, Gesundheitsdaten des Klägers zu verarbeiten.

39

(aa) Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten wie ua. Gesundheitsdaten zwar untersagt. Dieses Verbot gilt nach Art. 9 Abs. 2 Buchst. h DSGVO aber nicht in Fällen, in denen die Verarbeitung für die Beurteilung der Arbeitsfähigkeit eines Beschäftigten auf der Grundlage des Rechts eines Mitgliedstaats und vorbehaltlich der in Art. 9 Abs. 3 DSGVO genannten Bedingungen und Garantien erforderlich ist.

40

(bb) Der Beklagte kann sich auf die Ausnahmeregelung des Art. 9 Abs. 2 Buchst. h DSGVO berufen, obwohl er im Zeitpunkt der Verarbeitung der Gesundheitsdaten Arbeitgeber des Klägers war. Nach der Rechtsprechung des Gerichtshofs (EuGH 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 58) ist Art. 9 Abs. 2 Buchst. h DSGVO unter dem Vorbehalt, dass die Datenverarbeitung die in der Bestimmung und in Art. 9 Abs. 3 DSGVO ausdrücklich vorgeschriebenen Voraussetzungen und Garantien erfüllt, auch auf Situationen anwendbar, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer Arbeitnehmer nicht als Arbeitgeber, sondern als Medizinischer Dienst verarbeitet, um die Arbeitsfähigkeit dieses Arbeitnehmers zu beurteilen. Der Gerichtshof hat dieses Verständnis aus Wortlaut und Regelungszusammenhang der in Art. 9 Abs. 2 Buchst. h DSGVO enthaltenen, streng reglementierten Ausnahme abgeleitet und erkannt, dass diese Auslegung mit den Zielen der Datenschutz-Grundverordnung und denen ihres Art. 9 in Einklang steht (vgl. EuGH 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 41 bis 57). Danach steht außer Zweifel, dass sich der Anwendungsbereich der Ausnahmebestimmung einschließlich des Art. 9 Abs. 3 DSGVO nicht auf Fälle beschränkt, in denen ein „neutraler Dritter“, dh. eine Stelle, die nicht der Arbeitgeber des Beschäftigten ist, Gesundheitsdaten verarbeitet, um die Arbeitsfähigkeit des Arbeitnehmers zu prüfen. Andernfalls würde Art. 9 Abs. 2 Buchst. h DSGVO eine Anforderung hinzugefügt, die in der Bestimmung nicht enthalten ist und die je nach Ausgestaltung des jeweiligen Gesundheitssystems ggf. nicht in allen Mitgliedstaaten erfüllt werden kann (vgl. EuGH 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 51, 52).

41

(cc) Die Datenverarbeitung durch den Beklagten ist auch – vorbehaltlich der Erforderlichkeit der vom Kläger beanstandeten konkreten Verarbeitungstätigkeiten – insoweit von Art. 9 Abs. 2 DSGVO gedeckt, als die besonderen Rechtmäßigkeitsvoraussetzungen von Art. 9 Abs. 2 Buchst. h iVm. Art. 9 Abs. 3 DSGVO (vgl. dazu EuGH 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 44) vorliegen.

42

(aaa) Der Beklagte verarbeitete die Gesundheitsdaten des Klägers zu einem in Art. 9 Abs. 2 Buchst. h DSGVO genannten Zweck, nämlich der Beurteilung der Arbeitsunfähigkeit des Klägers. Soweit Art. 9 Abs. 2 Buchst. h DSGVO von „Arbeitsfähigkeit“ spricht, ist dieser Begriff, zumal der Gerichtshof in der Vorabentscheidung diesbezüglich keine Bedenken geäußert hat, ersichtlich auch im negativen Sinne zu verstehen.

43

(bbb) Die Verarbeitung der Daten erfolgte auf der Grundlage einer dem Beklagten im deutschen Recht eingeräumten Befugnis.

44

(aaaa) Nach § 275 Abs. 1 Satz 1 Nr. 3 Buchst. b SGB V sind die Krankenkassen in den gesetzlich bestimmten Fällen oder wenn es nach Art, Schwere, Dauer oder Häufigkeit der Erkrankung oder nach dem Krankheitsverlauf erforderlich ist, verpflichtet, bei Arbeitsunfähigkeit zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eine gutachtliche Stellungnahme des Medizinischen Dienstes der Krankenversicherung (Medizinischer Dienst) (jetzt – unter Streichung der Worte „der Krankenversicherung (Medizinischer Dienst)“ durch Art. 1 Nr. 21 des MDK-Reformgesetzes – nur noch „Medizinischer Dienst“; im Folgenden einheitlich: § 275 Abs. 1 Satz 1 Nr. 3 Buchst. b SGB V) einzuholen. Um eine solche Stellungnahme, die unerlässlich mit der Verarbeitung von Gesundheitsdaten einhergeht, hat die gesetzliche Krankenkasse des Klägers den Beklagten am 6. Juni 2018 gebeten.

45

(bbbb) Nach § 276 Abs. 2 Satz 1 SGB V (idF des Art. 1 Nr. 16g des Gesetzes zur Stärkung der Heil- und Hilfsmittelversorgung vom 4. April 2017, Heil- und Hilfsmittelversorgungsgesetz – HHVG, BGBl. I S. 778) darf der Medizinische Dienst Sozialdaten erheben und speichern sowie einem anderen Medizinischen Dienst übermitteln, soweit dies für die Prüfungen, Beratungen und gutachtlichen Stellungnahmen nach § 275 SGB V erforderlich ist. Der im deutschen Recht in § 67 Abs. 2 SGB X definierte Begriff der Sozialdaten schließt Gesundheitsdaten iSv. Art. 4 Nr. 15 DSGVO ein (vgl. BeckOK SozR/Westphal Stand 1. Juni 2024 SGB X § 67 Rn. 6; Wiesner/Wapler/Walther 6. Aufl. SGB X § 67 Rn. 3).

46

(cccc) Soweit nach Art. 9 Abs. 2 Buchst. h DSGVO, wie Erwägungsgrund 53 Satz 1 klarstellt, die Verarbeitung zudem „im Interesse einzelner natürlicher Personen und der Gesellschaft insgesamt“, insbesondere im Zusammenhang mit der Verwaltung der Dienste und Systeme des Gesundheits- und Sozialbereichs erforderlich sein muss (vgl. EuGH 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 56), liegt diese Voraussetzung ebenfalls vor. Zur Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich gehören in Deutschland im Bereich der gesetzlichen Krankenversicherung ua. die gesetzlichen Krankenkassen und der Medizinische Dienst (Kühling/Buchner/Weichert 4. Aufl. DS-GVO Art. 9 Rn. 107). Welche Zwecke im Interesse einzelner natürlicher Personen liegen, lässt sich nicht abschließend definieren. Hierunter fallen jedenfalls die Vornahme und die Abwicklung von gesundheitsbezogenen Sozialleistungen durch öffentlich-rechtliche Leistungsträger wie die gesetzlichen Krankenkassen (vgl. Ehmann/Selmayr/Schiff 3. Aufl. DS-GVO Art. 9 Rn. 61). Soweit diese zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten eine Stellungnahme des Medizinischen Dienstes einzuholen haben, ist dieses Verfahren Bestandteil der Abwicklung von Leistungen der gesetzlichen Krankenversicherung. Die Begutachtung durch den Medizinischen Dienst ist geeignet, Unsicherheiten ua. über die Berechtigung des Bezugs von Krankengeld auszuräumen. Es liegt im Interesse der Versicherten, dass diese Begutachtung durch den Medizinischen Dienst als einer von der leistungsgewährenden Krankenkasse unabhängigen Stelle durchgeführt wird. Die Begutachtung zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit durch einen Medizinischen Dienst unter Nutzung von dessen Fachkunde liegt zudem im gesamtgesellschaftlichen Interesse, da sie die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen der gesetzlichen Krankenkassen sicherstellt. Dies wiederum dient der finanziellen Stabilität der gesetzlichen Krankenversicherung insgesamt (vgl. BVerfG 13. September 2005 – 2 BvF 2/03 – Rn. 239, BVerfGE 114, 196).

47

(ccc) Die durch Art. 9 Abs. 3 DSGVO geforderten Garantien sind erfüllt.

48

(aaaa) Nach dieser Bestimmung darf eine Verarbeitung von Gesundheitsdaten eines Arbeitnehmers zur Prüfung seiner Arbeitsfähigkeit nur dann erfolgen, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.

49

(bbbb) Diesen Anforderungen wurde die Verarbeitung der Gesundheitsdaten des Klägers gerecht. Die beim Beklagten mit der Erstellung einer medizinischen Stellungnahme befassten Ärzte unterliegen, auch soweit sie beim Beklagten unmittelbar angestellt sind, nach § 203 Abs. 1 Nr. 1 StGB und § 9 der Berufsordnung für die nordrheinischen Ärztinnen und Ärzte vom 14. November 1998 (idF vom 21. November 2015, MBl. NRW Nr. 7 vom 16. März 2016 S. 148) einer (strafbewehrten) Berufsgeheimnispflicht. Das übrige Verwaltungs- und IT-Personal, insbesondere das Personal der für die Bearbeitung medizinischer Stellungnahmen eines eigenen Beschäftigten des Beklagten allein zuständigen Organisationseinheit „Spezialfall“, muss aufgrund arbeits-/dienstrechtlicher Pflichten das Sozialgeheimnis wahren, dem der Beklagte als Medizinischer Dienst – wie oben (unter Rn. 33) gezeigt – unterliegt und das als Berufsgeheimnis iSd. Art. 9 Abs. 3 DSGVO zu werten ist (vgl. BeckOK SozR/Gutzler Stand März 2024 SGB I § 35 Rn. 11; Kühling/Buchner/Weichert 4. Aufl. DS-GVO Art. 9 Rn. 142). Das Sozialgeheimnis zielt darauf ab, Geheimnisse in vergleichbarem Maße institutionell zu schützen wie personale Berufsgeheimnisse (vgl. Kühling/Buchner/Weichert aaO). Zudem unterliegen die nichtärztlichen Mitarbeiter des Beklagten, soweit ihre berufliche Tätigkeit es mit sich bringt, dass ihnen Gesundheitsdaten Betroffener bekannt werden, als mitwirkende Personen jedenfalls einer nach § 203 Abs. 4 StGB strafbewehrten Geheimhaltungspflicht.

50

(cccc) Weitergehende Anforderungen stellt Art. 9 Abs. 3 DSGVO nicht. Insbesondere ergibt sich hieraus keine Verpflichtung des Beklagten zu gewährleisten, dass kein Kollege eines von einer Begutachtung betroffenen Beschäftigten Zugang zu dessen Gesundheitsdaten hat. Auch diese Bestimmung kann, wie der Gerichtshof auf das Vorabentscheidungsersuchen des Senats erkannt hat, nicht um ungeschriebene Tatbestandsmerkmale ergänzt werden, da der Unionsgesetzgeber mit ihr die spezifischen Schutzmaßnahmen, die er für Verarbeitungen iSv. Art. 9 Abs. 2 Buchst. h DSGVO den Verantwortlichen auferlegen wollte, definiert hat, und weil die Auslegung dieser Bestimmung nicht von Erwägungen bestimmt werden darf, die aus dem Gesundheitssystem eines einzigen Mitgliedstaats hergeleitet werden oder die sich aus Besonderheiten einer bestimmten Fallkonstellation ergeben (vgl. EuGH 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 62 f., 70).

51

(ddd) Zwar sind die Mitgliedstaaten nach Art. 9 Abs. 4 DSGVO befugt, zusätzliche Bedingungen, einschließlich Beschränkungen, einzuführen oder aufrechtzuerhalten, soweit die Verarbeitung von Gesundheitsdaten betroffen ist. Dies umfasst die Befugnis der Mitgliedstaaten, den Verantwortlichen in den Fällen des Art. 9 Abs. 2 Buchst. h DSGVO zu verpflichten, Kollegen der betroffenen Person vom Zugang zu Daten über ihren Gesundheitszustand auszuschließen (EuGH 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 65, 70), sofern diese Einschränkung nicht der praktischen Wirksamkeit der Erlaubnis für die Datenverarbeitung schadet, die in Art. 9 Abs. 2 Buchst. h DSGVO ausdrücklich vorgesehen ist und deren Rahmen in Art. 9 Abs. 3 DSGVO abgesteckt wird (EuGH 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 67). Von dieser Möglichkeit der Einführung einer solchen Beschränkung hat der deutsche Gesetzgeber jedoch keinen Gebrauch gemacht.

52

(aaaa) Eine Regelung im deutschen Recht, die dem Medizinischen Dienst hinsichtlich der Durchführung einer Begutachtung nach § 275 Abs. 1 Satz 1 Nr. 3 Buchst. b SGB V abstrakt-generell eine Beschränkung dahin gehend auferlegt, dass überhaupt kein anderer Mitarbeiter, der mit dem Betroffenen – und sei es nur gelegentlich – als „Kollege“ zusammenarbeitet, Zugriff auf dessen Gesundheitsdaten haben darf, liegt nicht vor. Eine derartige Vorgabe ist weder § 276 Abs. 2 SGB V (idF des Art. 1 Nr. 16g HHVG), der die Verarbeitung von Sozialdaten ua. in den Fällen des § 275 SGB V regelt, noch den für die Verarbeitung von Sozialdaten allgemein geltenden Bestimmungen im Zweiten Kapitel des SGB X (§§ 67 bis 85a) zu entnehmen.

53

Gegen die Annahme einer solchen Beschränkung spricht im Übrigen die Regelung in § 35 Abs. 1 Satz 3 SGB I (jetzt iVm. § 276 Abs. 2 Satz 5 SGB V), wonach Personen, die Personalentscheidungen treffen oder daran mitwirken, Sozialdaten der Beschäftigten weder zugänglich sein dürfen noch an diesen Personenkreis von Zugriffsberechtigten weitergegeben werden dürfen. Die Vorschrift ist erkennbar von der Vorstellung geleitet, dass es bei Leistungsträgern wie etwa den gesetzlichen Krankenkassen oder einem Medizinischen Dienst zu Situationen kommen kann, in denen Sozialdaten eines eigenen Arbeitnehmers verarbeitet werden.

54

(bbbb) Eine – zumindest teilweise – Beschränkung der Verarbeitungsbefugnisse des Beklagten folgt auch nicht aus den im Streitzeitraum geltenden Regelungen über die Beauftragung von Gutachtern. Nach § 279 Abs. 5 Halbs. 1 SGB V (idF des Art. 1 GRG; jetzt § 278 Abs. 2 Satz 1 SGB V idF des Art. 1 Nr. 25 MDK-Reformgesetz) werden die Fachaufgaben des Medizinischen Dienstes – dh. die Aufgaben nach § 275 SGB V (vgl. Wagner in Krauskopf Soziale Krankenversicherung, Pflegeversicherung Stand Juni 2018 § 279 SGB V Rn. 16) – von Ärzten und Angehörigen anderer Heilberufe wahrgenommen. Zwar hatte der Medizinische Dienst nach der bis zum 31. Dezember 2019 übergangsweise fortgeltenden Regelung in § 279 Abs. 5 Halbs. 2 SGB V (idF des Art. 1 GRG), die im Zuge der Änderungen des SGB V durch das MDK-Reformgesetz ersatzlos gestrichen wurde (vgl. BR-Drs. 359/19 S. 76), vorrangig Gutachter zu beauftragen, womit die Beauftragung externer – nicht beim Medizinischen Dienst beschäftigter – Gutachter angesprochen war (vgl. Becker/Kingreen/Sichert 6. Aufl. SGB V § 279 Rn. 7). Diese Vorgabe stand jedoch nach der Begründung des Regierungsentwurfs zum Gesundheits-Reformgesetz (vgl. BT-Drs. 11/2237 S. 233; insoweit zu § 287 Abs. 5 der Entwurfsfassung) im Zusammenhang mit dem auf übernommene Beamte und Beamtenanwärter der Landesversicherungsanstalten begrenzten Recht des Medizinischen Dienstes, Beamte zu beschäftigen, und sollte vor dem Hintergrund zur Verfügung stehender begrenzter Begutachtungs-/Beratungskapazitäten eine möglichst qualifizierte Durchführung der Aufgaben nach § 275 SGB V gewährleisten. Nach der Begründung des Gesetzentwurfs zum MDK-Reformgesetz (BR-Drs. 359/19 S. 76) wurde die Regelung zur vorrangigen Beauftragung von Gutachtern aus dem SGB V gestrichen, da Art und Umfang der neben dem Einsatz eigener Beschäftigter zur Erledigung von Auftragsspitzen oder zur Bearbeitung seltener und spezieller Gutachtensaufträge möglichen Beauftragung externer Gutachter „künftig durch eine Richtlinie … gemäß § 283 Absatz 2 Satz 1 Nummer 5“, dh. eine Richtlinie des Medizinischen Dienstes Bund, „ausgestaltet wird“. Dies zeigt, dass die vormalige Regelung in § 279 Abs. 5 Halbs. 2 SGB V vornehmlich Zwecken der Qualitätssicherung diente und jedenfalls nicht das Ziel verfolgte, Befugnisse des Medizinischen Dienstes bei der Verarbeitung von Gesundheitsdaten einzuschränken.

55

(cccc) Spezifische Beschränkungen der Verarbeitung von Gesundheitsdaten eines eigenen Mitarbeiters ergeben sich für den Medizinischen Dienst schließlich nicht aus der am 15. Mai 2017 vom Spitzenverband Bund der Krankenkassen als Richtlinie erlassenen Begutachtungsanleitung Arbeitsunfähigkeit (BGA-AU 2017) (in der bis zum 31. Dezember 2021 geltenden Fassung vom 15. Mai 2017, vgl. § 411 Abs. 2 Satz 1 SGB V). Es kommt deshalb für die vorliegende Beurteilung nicht darauf an, ob Richtlinien iSv. § 282 Abs. 2 Satz 3 bzw. § 283 Abs. 2 SGB V als Rechtsvorschriften iSv. Art. 9 Abs. 4 DSGVO anzusehen sind (zur Problematik vgl. Gola/Heckmann/Schulz 3. Aufl. DS-GVO Art. 9 Rn. 49).

56

(dddd) Nach alledem kann der im Schrifttum vereinzelt vertretenen Auffassung (vgl. Halder/Maluszczak jurisPR-ITR 3/2024 Anm. 4 unter C), das deutsche Rechtssystem habe die Aufgaben bzw. Pflichten des Medizinischen Dienstes im Fall der Betroffenheit eigener Mitarbeiter bereits im Grundsatz „anders zugewiesen“, nicht gefolgt werden. Der deutsche Gesetzgeber hat, indem er den Medizinischen Dienst nicht allgemein verpflichtet hat, im Fall der Betroffenheit eigener Arbeitnehmer einen anderen Dienst zu beauftragen, diesem – ersichtlich bewusst und in Kenntnis dessen, dass die Verarbeitung von Daten zur Erstellung einer gutachtlichen Stellungnahme iSd. § 275 Abs. 1 Satz 1 Nr. 3 Buchst. b SGB V regelmäßig Gesundheitsdaten eines Betroffenen umfasst – eine dahin gehende Beschränkung nicht auferlegt. Die Annahme einer datenschutzrechtlichen „Unzuständigkeit“ des konkret beauftragten Dienstes allein unter dem Gesichtspunkt, dass eine medizinische Begutachtung die Arbeitsunfähigkeit eines eigenen Mitarbeiters betrifft, liefe dieser gesetzgeberischen Grundentscheidung zuwider.

57

(b) Eine auf Art. 9 Abs. 2 Buchst. h DSGVO gestützte Verarbeitung von Gesundheitsdaten ist zwar nicht schon dann rechtmäßig, wenn sie den spezifischen Anforderungen, die diese Bestimmung stellt, gerecht wird. Vielmehr muss die auf die vorgenannte Bestimmung gestützte Verarbeitung zugleich ua. den sich aus Art. 6 Abs. 1 DSGVO ergebenden Rechtmäßigkeitsvoraussetzungen genügen (EuGH 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 78 f.). Diese liegen aber vor.

58

(aa) Nach Art. 6 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderlich ist (Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO). Die Rechtsgrundlage für eine solche Verarbeitung kann sich aus dem Recht der Mitgliedstaaten ergeben (Art. 6 Abs. 3 Satz 1 Buchst. b DSGVO). Dies setzt voraus, dass der Zweck der Verarbeitung in dieser Rechtsgrundlage festgelegt ist (Art. 6 Abs. 3 Satz 2 DSGVO), die rechtlichen Regelungen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen (Art. 6 Abs. 3 Satz 4 DSGVO).

59

(bb) Der Beklagte kam, wie bereits (unter Rn. 44) gezeigt, mit der Erstellung der medizinischen Stellungnahme zur Beseitigung von Zweifeln über die Arbeitsunfähigkeit des Klägers einer ihm nach § 275 Abs. 1 Satz 1 Nr. 3 Buchst. b SGB V zugewiesenen Aufgabe nach. Fordert die Krankenkasse eine solche Stellungnahme an, ist deren Ausführung für den Medizinischen Dienst verpflichtend und die Verarbeitung erforderlich.

60

(cc) Der deutsche Gesetzgeber hat in § 276 Abs. 2 SGB V eine bereichsspezifische Rechtsgrundlage für die Datenverarbeitung beim Medizinischen Dienst geschaffen. Nach § 276 Abs. 2 Satz 1 SGB V darf, wie bereits ausgeführt, der Medizinische Dienst Sozialdaten, dh. sowohl personenbezogene Daten iSv. Art. 6 Abs. 1 DSGVO als auch Gesundheitsdaten iSv. Art. 9 Abs. 1 DSGVO, erheben und speichern sowie einem anderen Medizinischen Dienst übermitteln, soweit dies ua. für Stellungnahmen nach § 275 SGB V erforderlich ist. Nach Satz 3 der Bestimmung dürfen die rechtmäßig erhobenen und gespeicherten Sozialdaten nur für die in § 275 SGB V genannten Zwecke verarbeitet oder genutzt werden, für andere Zwecke, soweit dies durch Rechtsvorschriften des Sozialgesetzbuchs angeordnet oder erlaubt ist.

61

(aaa) Die Rechtsgrundlage entspricht insoweit den Vorgaben in Art. 6 Abs. 1 Unterabs. 1 Buchst. c iVm. Art. 6 Abs. 3 Satz 1 Buchst. b DSGVO. Sie regelt die Datenverarbeitung beim Medizinischen Dienst im Rahmen seiner Aufgaben (zu diesem Erfordernis vgl. EuGH 30. März 2023 – C-34/21 – [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 87 mwN). Nach Erwägungsgrund 45 verlangt die Datenschutz-Grundverordnung nicht für jede einzelne Verarbeitung ein spezifisches Gesetz. So kann ein Gesetz als Grundlage für mehrere Verarbeitungsvorgänge ausreichend sein, wenn die Verarbeitung – wie hier – aufgrund einer dem Verantwortlichen obliegenden rechtlichen Verpflichtung erfolgt (BAG 9. Mai 2023 – 1 ABR 14/22 – Rn. 66).

62

(bbb) § 276 Abs. 2 Satz 1 und Satz 3 SGB V genügen auch den Anforderungen des Art. 6 Abs. 3 Satz 2 DSGVO. Sie legen ua. mit den gutachtlichen Stellungnahmen nach § 275 SGB V den Zweck der Verarbeitung fest. Der angeführte Zweck ist iSv. Art. 6 Abs. 3 Satz 4 DSGVO legitim, wie das Regelbeispiel in Art. 9 Abs. 2 Buchst. h DSGVO „für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich“ sowie Erwägungsgrund 52 Satz 2 zur DSGVO belegen (vgl. Rn. 46).

63

(ccc) Die nach § 276 Abs. 2 Satz 2 und Satz 3 SGB V die Datenverarbeitung legitimierenden Rechtsgrundlagen stehen zudem in einem angemessenen Verhältnis zu dem verfolgten Zweck.

64

(aaaa) Art. 6 Abs. 3 Satz 4 DSGVO trägt dem in Art. 52 Abs. 1 Satz 2 GRC verankerten Verhältnismäßigkeitsprinzip Rechnung (vgl. Paal/Pauly/Frenzel 3. Aufl. DS-GVO Art. 6 Rn. 45; vgl. auch Erwägungsgrund 4 Satz 2 zur DSGVO). Dieser Grundsatz verlangt, dass die Handlungen der Unionsorgane geeignet sind, die mit der fraglichen Regelung zulässigerweise verfolgten Ziele zu erreichen, und nicht die Grenzen dessen überschreiten, was zur Erreichung dieser Ziele geeignet und erforderlich ist (vgl. EuGH 8. April 2014 – C-293/12, C-594/12 – [Digital Rights Ireland] Rn. 46 mwN; BSG 20. Januar 2021 – B 1 KR 7/20 R – Rn. 48, BSGE 131, 169).

65

Geboten ist in diesem Zusammenhang eine ausgewogene Gewichtung legitimer Verarbeitungsziele auf der einen Seite und der den natürlichen Personen durch Art. 7 und Art. 8 GRC zuerkannten Rechte auf Achtung ihres Privatlebens und auf Schutz ihrer personenbezogenen Daten auf der anderen Seite. Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten müssen sich in dem Sinne auf das absolut Notwendige beschränken, dass diese Zielsetzung vernünftigerweise nicht ebenso wirksam mit anderen Mitteln erreicht werden kann, die dieses Recht weniger beeinträchtigen. Der Eingriff darf zudem nicht außer Verhältnis zu der Zielsetzung stehen, was insbesondere eine Gewichtung der Bedeutung dieser Zielsetzung und der Schwere dieses Eingriffs impliziert (vgl. EuGH 8. Dezember 2022 – C-694/20 – [Orde van Vlaamse Balies ua.] Rn. 41, 42; 8. April 2014 – C-293/12, C-594/12 – [Digital Rights Ireland] Rn. 52; BSG 20. Januar 2021 – B 1 KR 7/20 R – Rn. 49, BSGE 131, 169; jeweils mwN).

66

(bbbb) Daran gemessen ist die Verhältnismäßigkeit gewahrt.

67

(aaaaa) Die strikte Zweckbindung der Verarbeitungen durch § 276 Abs. 2 Satz 1 und Satz 2 SGB V begrenzt sämtliche Verarbeitungen beim Beklagten auf ein zur Aufgabenerfüllung unerlässliches Maß und trägt insoweit dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) Rechnung.

68

(bbbbb) Es ist nicht ersichtlich, dass es andere, gleich geeignete, weniger belastende Möglichkeiten gibt, um die Verarbeitungsziele zu erreichen. Die Durchführung der dem Medizinischen Dienst zugewiesenen Aufgabe zur Erstellung einer medizinischen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten ist ohne die Erfassung und Erhebung von personenbezogenen (Gesundheits-)Daten schlicht nicht möglich. Die Erlaubnis zur Datenspeicherung dient im Gesundheitsbereich zwingenden Dokumentationserfordernissen und trägt zudem den Erfordernissen moderner Gesundheitsverwaltung Rechnung. Der mit den Verarbeitungen verbundene Eingriff in das Recht der Versicherten auf Schutz ihrer personenbezogenen Daten wiegt zwar schwer. Das gilt umso mehr als besonders sensible Daten iSd. Art. 9 Abs. 1 DSGVO betroffen sind. Dagegen steht aber das öffentliche Interesse an der Sicherung der Qualität und Wirtschaftlichkeit der Leistungen der gesetzlichen Krankenversicherung, das nach der in Art. 9 Abs. 2 Buchst. h DSGVO vorgenommenen Abwägung des Unionsgesetzgebers unter den in der Bestimmung genannten Voraussetzungen auch einen solchen, schweren Eingriff zu legitimieren vermag (zur finanziellen Stabilität der gesetzlichen Krankenversicherung als „überragend wichtiges Gemeinschaftsgut“ vgl. auch BVerfG 13. September 2005 – 2 BvF 2/03 – zu C III 1 c der Gründe, BVerfGE 114, 196; zur Relevanz dieses Gemeinwohlbelangs im Zusammenhang mit Maßnahmen zur Verhinderung eines Leistungsmissbrauchs vgl. BSG 20. Januar 2021 – B 1 KR 7/20 R – Rn. 44, 52, BSGE 131, 169).

69

(ccccc) Die Rechtsgrundlage ist auch insoweit iSv. Art. 6 Abs. 3 Satz 4 DSGVO angemessen, als sie die Verarbeitung von Gesundheitsdaten nicht allgemein für den Fall ausschließt, dass der Medizinische Dienst zugleich Arbeitgeber des Betroffenen ist. Zwar besteht in solchen Konstellationen ein erheblich gesteigertes Interesse an der Wahrung der Vertraulichkeit seiner Daten, das sich sowohl auf den Arbeitgeber als auch das berufliche Umfeld des Betroffenen bezieht. Diesem als besonders hoch einzuschätzenden Geheimhaltungsinteresse trägt das nationale Recht aber dadurch Rechnung, dass es den an das Sozialgeheimnis gebundenen Stellen die in § 35 Abs. 1 Satz 3 SGB I enthaltenen Zugriffsbeschränkungen in Bezug auf Personen mit Personalentscheidungsbefugnis einschließlich Mitwirkender auferlegt. Eine entsprechende gesetzliche Regelung in Bezug auf sämtliche Mitarbeiter eines Dienstes war demgegenüber unter dem Gesichtspunkt der Verhältnismäßigkeit nicht geboten. Insoweit ist es grundsätzlich ausreichend, wenn dem Bedürfnis nach Wahrung der Integrität und Vertraulichkeit eines Betroffenen durch technische und organisatorische Maßnahmen innerhalb des Dienstes Rechnung getragen wird. Zwar bestünde angesichts der in Deutschland vorhandenen mehreren Medizinischen Dienste die Möglichkeit, die Aufgaben nach § 275 SGB V für den Fall der Betroffenheit eines eigenen Beschäftigten von vornherein einem anderen Dienst zuzuweisen. Dies brächte aber in der Abwicklung der Leistungen der gesetzlichen Krankenversicherung Nachteile mit sich, die die Verarbeitung durch einen anderen Dienst nicht als gleichermaßen effektiv und wirtschaftlich erscheinen lassen. Zum einen begünstigt die Zuständigkeit eines Medizinischen Dienstes für sämtliche Begutachtungen, die in seinem Geschäftsbereich anfallen, die – im Interesse der Gesamtheit der Versicherten liegende – einheitliche Anwendung der bei der Begutachtung anzulegenden Maßstäbe, wie sie sich insbesondere aus der BGA-AU 2017 ergeben. Zum anderen zielt die Einrichtung mehrerer Medizinischer Dienste in Deutschland gerade darauf, eine nach Möglichkeit arbeits- und wohnortnahe Begutachtung sicherzustellen, da diese dem Fachpersonal einen leichteren Zugang zu den Leistungserbringern, darunter die behandelnden niedergelassenen Ärzte, eröffnet. Sind Leistungserbringer den Gutachtern aufgrund eines regelmäßigen Kontakts bekannt, kann dies das Vertrauen in die Zuverlässigkeit von deren Beurteilungen zur Feststellung der Arbeitsunfähigkeit beeinflussen, was wiederum die Einschätzung eines Gutachters erleichtern kann, ob die medizinische Stellungnahme zur Arbeitsunfähigkeit eines Betroffenen auf der Grundlage vorhandener Befunde erfolgen kann, oder ob ggf. eine zusätzliche ärztliche Untersuchung des Gesundheitszustands veranlasst ist. Dies sichert wiederum nicht nur die Qualität, sondern auch die Wirtschaftlichkeit der Aufgabenerledigung durch die Medizinischen Dienste, die von den Kranken- und Pflegekassen finanziert werden.

70

(ddddd) Diesem Befund stehen die Ausführungen des Gerichtshofs in der Vorabentscheidung zu den in Art. 5 Abs. 1 Buchst. f DSGVO genannten und in Art. 32 Abs. 1 Buchst. a und b DSGVO konkretisierten Grundsätzen der Integrität und Vertraulichkeit nicht entgegen. Zwar hat der Gerichtshof erkannt, aufgrund dieser Grundsätze könne einem Verantwortlichen, der als Medizinischer Dienst Gesundheitsdaten eines Beschäftigten verarbeitet, die Pflicht obliegen sicherzustellen, dass kein Kollege des Betroffenen Zugriff auf diese Daten hat (vgl. EuGH 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 59 ff.). Diese Vorgaben verlangen aber keine abstrakt-generelle Regelung durch den Gesetzgeber. Sie richten sich an den Verantwortlichen und sind deshalb bei der Beurteilung zu berücksichtigen, ob konkret getroffene Schutzvorkehrungen den sich aus den Grundsätzen der Integrität und Vertraulichkeit ergebenden Pflichten genügen.

71

(c) Die beim Beklagten im Zusammenhang mit der medizinischen Stellungnahme vom 22. Juni 2018 durchgeführten einzelnen Verarbeitungstätigkeiten entsprechen den Vorgaben in § 276 Abs. 2 Satz 1 und Satz 3 SGB V. Sie waren damit zugleich in ihrer konkreten Durchführung iSv. Art. 9 Abs. 2 Buchst. h DSGVO zur Beurteilung der Arbeits(un)fähigkeit des Klägers und iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO zur Erfüllung einer den Beklagten dahin gehend treffenden rechtlichen Verpflichtung erforderlich. Insbesondere ist kein Verstoß gegen die Datenschutz-Grundverordnung aufgrund des Verhaltens der befassten Ärztin zu erkennen.

72

(aa) Auf der Grundlage der vom Landesarbeitsgericht getroffenen Feststellungen ergeben sich keine Anhaltspunkte dafür, dass der Beklagte Gesundheitsdaten des Klägers zu anderen Zwecken als zum Zweck der Erstellung einer medizinischen Stellungnahme über die Arbeitsunfähigkeit des Klägers verarbeitet hat, oder dass die Verarbeitung im Hinblick auf das konkret befasste Personal nicht den Garantien iSv. Art. 9 Abs. 2 Buchst. h iVm. Art. 9 Abs. 3 DSGVO entsprach.

73

(bb) Die Datenverarbeitung war auch insoweit rechtmäßig als die Gutachterin telefonische Auskünfte über den Gesundheitszustand des Klägers bei dessen behandelndem Arzt eingeholt hat.

74

(aaa) Nach § 276 Abs. 2 Satz 2 SGB V sind die Leistungserbringer, wozu ua. die niedergelassenen (Vertrags-)Ärzte zählen, auf Anforderung des Medizinischen Dienstes und soweit diese Anforderung unter Nennung des Begutachtungszwecks erfolgt, verpflichtet, versichertenbezogene Daten unmittelbar an den Medizinischen Dienst zu übermitteln. Dies impliziert die Befugnis der Gutachter eines Medizinischen Dienstes, Daten unmittelbar beim behandelnden Arzt zu erheben. Eine Vorgabe, wonach Datenabfrage und -übermittlung ausschließlich schriftlich erfolgen dürften, ist dem Gesetz für die Fallbearbeitung durch den Medizinischen Dienst nicht zu entnehmen (vgl. Krauskopf/Knittel Stand Februar 2024 SGB V § 276 Rn. 10; Spickhoff/Nebendahl 4. Aufl. SGB V § 276 Rn. 6). Eine telefonische Anfrage ist, da sie der zügigen Erledigung der Stellungnahme dient, auch grundsätzlich erforderlich. Da die Datenübermittlung durch einen Leistungserbringer an den Medizinischen Dienst keiner Einwilligung des Versicherten bedarf (vgl. BT-Drs. 19/8351 S. 212; Becker/Kingreen/Seifert 8. Aufl. SGB V § 276 Rn. 4), war eine solche auch für die hier erfolgte telefonische Auskunft nicht erforderlich.

75

(bbb) Entsprechend sahen die im Zeitpunkt des Telefonats geltenden BGA-AU 2017 eine telefonische Datenerhebung ausdrücklich vor. Dort heißt es zu Nr. 3.1.7 („Ergänzende Instrumente der SFB“ Informationsbeschaffung) unter dem Punkt „Telefonisches MDK-Vertragsarztgespräch“: „Ein Telefonat zwischen MDK/Vertragsarzt u. a. zur Klärung der funktionellen Schädigungen, Beeinträchtigungen von Aktivitäten bzw. der Teilhabe am Arbeitsleben oder auch der individuellen Prognose des weiteren Verlaufes ist sinnvoll. … Der Vertragsarzt ist jedoch nicht verpflichtet, am Telefon Auskunft zu geben.“ Danach stellen die einschlägigen Begutachtungsrichtlinien die Entscheidung, ob Informationen beim Vertragsarzt telefonisch eingeholt werden, in das pflichtgemäße Ermessen des Gutachters. Dies entspricht dem erkennbaren und sowohl im (öffentlichen) Interesse der Leistungsträger als auch im Interesse des Versicherten liegenden Zweck der Richtlinienbestimmung, das Vorliegen von Arbeitsunfähigkeit in geeigneten Fällen möglichst zügig zu klären. Durch die Berechtigung des Vertragsarztes, die Auskunft am Telefon abzulehnen, werden die Belange des Betroffenen angemessen gewahrt.

76

(ccc) Soweit der Kläger im Zusammenhang mit seiner Rüge, die Ärztin habe die Auskünfte schriftlich einholen müssen, auf ein anzuwendendes Umschlagverfahren verweist, galt – jedenfalls im Streitzeitraum – dieses Verfahren zwingend nur für Datenerhebungen durch die Krankenkassen bei den Leistungserbringern, wie wiederum aus den Vorgaben der BGA-AU 2017 (Nr. 3.1.4 unter Punkt „Einleitung der sozialmedizinischen Fallberatung [SFB] durch die Krankenkasse“) hervorgeht.

77

(ddd) Nach den Dokumentationen in dem Gutachten vom 22. Juni 2018 hatte das „Behandlertelefonat“ vom 21. Juni 2018 die Frage zum Gegenstand, wann mit einer Rückkehr des Klägers an seinen Arbeitsplatz gerechnet werden kann. Die Datenabfrage diente damit jedenfalls der Klärung der voraussichtlichen Dauer der Arbeitsunfähigkeit und erfolgte damit zu dem Zweck der Erstellung der medizinischen Stellungnahme. Irgendeinen Anhaltspunkt dafür, dass in dem Telefonat Daten erfragt wurden, die außerhalb des Zwecks der Erstellung der gutachtlichen Stellungnahme lagen, hat der Kläger nicht aufgezeigt. Er hat lediglich – gänzlich unsubstantiierte – Befürchtungen hinsichtlich einer überschießenden Informationsbeschaffung geäußert. Damit ist er, soweit er seinen Schadenersatzanspruch auf das Telefonat stützt, der ihn treffenden Last zur Darlegung eines Verstoßes gegen die Datenschutz-Grundverordnung nicht nachgekommen. Der Kläger hat nicht behauptet, dass er über den Inhalt des Telefonats – etwa durch Nachfrage bei seinem behandelnden Arzt – keine näheren Informationen hätte erlangen können.

78

(cc) Es kann dahinstehen, ob ein Verstoß gegen die Datenschutz-Grundverordnung vorliegt, soweit die Krankenkasse den ursprünglichen Gutachtenauftrag an den Beklagten außerhalb eines eigentlich vorgesehenen Umschlagverfahrens übermittelt hat. Insoweit ist der Beklagte jedenfalls nicht Verantwortlicher iSv. Art. 4 Nr. 7 DSGVO.

79

(d) Die Datenverarbeitung beim Beklagten genügt auch unter dem Gesichtspunkt erforderlicher Schutzvorkehrungen den Anforderungen, die an eine rechtmäßige und nach Treu und Glauben erfolgende Verarbeitung zu stellen sind.

80

(aa) Maßgeblich sind insoweit die in § 276 Abs. 2 Sätze 6 bis 9 SGB V getroffenen Regelungen. Da es sich um besondere Vorkehrungen zum Datenschutz beim Medizinischen Dienst handelt (vgl. Becker/Kingreen/Seifert 8. Aufl. SGB V § 276 Rn. 12), finden ergänzend die allgemeinen Bestimmungen in § 67a (Erhebung von Sozialdaten) und § 67b SGB X (Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung) (jeweils idF des Art. 24 BVGÄndG) Anwendung, wobei diese ausdrücklich auch die Verarbeitung der in Art. 9 Abs. 1 DSGVO genannten Daten, also ua. Gesundheitsdaten erfassen (§ 67a Abs. 1 Satz 2 und § 67b Abs. 1 Satz 2 SGB X). Soweit § 22 Abs. 2 BDSG nach § 67a Abs. 1 Satz 3 und § 67b Abs. 1 Satz 4 SGB X „entsprechend“ gilt, gelten die dortigen Vorgaben auch für Verarbeitungen beim Medizinischen Dienst. Im Übrigen gehen allerdings die Datenschutzregelungen des Sozialgesetzbuches den Regelungen des Bundesdatenschutzgesetzes vor (vgl.
Sydow/Marsch DS-GVO/BDSG/Kampert 3. Aufl. DS GVO Art. 9 Rn. 75).

81

(aaa) Nach § 276 Abs. 2 SGB V hat der Medizinische Dienst Sozialdaten zur Identifikation des Versicherten getrennt von den medizinischen Sozialdaten des Versicherten zu speichern (Satz 6). Durch technische und organisatorische Maßnahmen ist sicherzustellen, dass die Sozialdaten nur den Personen zugänglich sind, die sie für ihre Aufgaben benötigen (Satz 7). Der Schlüssel für die Zusammenführung der Daten ist vom Beauftragten für den Datenschutz des Medizinischen Dienstes aufzubewahren und darf anderen Personen nicht zugänglich gemacht werden (Satz 8). Darüber hinaus ist jede Zusammenführung zu protokollieren (Satz 9).

82

(bbb) Nach § 22 Abs. 2 Satz 1 BDSG (idF des Art. 1 des Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU vom 30. Juni 2017 – DSAnpUG-EU, BGBl. I S. 2097), sind in den Fällen des Abs. 1, dh. in den Fällen der Verarbeitung besonderer Kategorien personenbezogener Daten wie der hier verarbeiteten Gesundheitsdaten, angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen gehören dazu die in § 22 Abs. 2 Satz 2 BDSG am Ende katalogartig aufgeführten Maßnahmen. Dazu zählen ua. technisch organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Datenschutz-Grundverordnung erfolgt (Nr. 1), Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind (Nr. 2), Sensibilisierung der an Verarbeitungsvorgängen Beteiligten (Nr. 3), Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern (Nr. 5), Pseudonymisierung personenbezogener Daten (Nr. 6) und Verschlüsselung personenbezogener Daten (Nr. 7).

83

(ccc) § 22 Abs. 2 BDSG benennt die möglichen Maßnahmen nur beispielhaft. Deshalb muss es sich bei den vom Medizinischen Dienst zu treffenden Schutzvorkehrungen nicht um die ausdrücklich benannten Maßnahmen handeln. Soweit der Verantwortliche anderweitige Schutzvorkehrungen trifft, müssen sie aber das Vertraulichkeitsinteresse der Betroffenen strikt achten und bei wertender Betrachtung den in § 22 Abs. 2 BDSG aufgelisteten Kriterien entsprechen (BAG 9. Mai 2023 – 1 ABR 14/22 – Rn. 76 mwN). Darüber hinaus sind die in § 276 Abs. 2 SGB V aufgeführten besonderen Schutzvorkehrungen, wie sich aus der Formulierung „hat“ ergibt, zwingend.

84

(bb) Die vorbezeichneten Bestimmungen des nationalen Rechts sind anwendbar. Sie enthalten spezifische Regelungen iSv. Art. 6 Abs. 2 und Abs. 3 Satz 3 DSGVO, und – soweit Gesundheitsdaten betroffen sind – auch iSv. Art. 9 Abs. 4 DSGVO, und achten das unionsrechtliche Normwiederholungsverbot (dazu EuGH 30. März 2023 – C-34/21 – [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 67, zur Öffnungsklausel des Art. 88 DSGVO; BAG 9. Mai 2023
– 1 ABR 14/22 – Rn. 50, zu § 26 Abs. 3 BDSG). Das gilt auch für die einbezogenen Vorgaben in § 22 Abs. 2 BDSG. Auch diese beschränken sich nicht auf eine bloße Wiedergabe von Verpflichtungen, die nach der Datenschutz-Grundverordnung ohnehin gelten. Insbesondere gehen die in § 22 Abs. 2 Satz 2 BDSG beispielhaft angegebenen Maßnahmen über die allgemeinen, in Art. 5 DSGVO verankerten Grundsätze für die Verarbeitung personenbezogener Daten hinaus (vgl. BAG 9. Mai 2023 – 1 ABR 14/22 – Rn. 71).

85

(cc) Bei den Begriffen der „technischen und organisatorischen Maßnahmen“ und der „angemessenen und spezifischen Maßnahmen“ iSv. § 276 Abs. 2 Satz 7 SGB V bzw. § 22 Abs. 2 BDSG handelt es sich um einen unbestimmten Rechtsbegriff. Ob die im Einzelfall getroffenen Vorkehrungen datenschutzrechtlich ausreichend sind, unterliegt deshalb der – revisionsrechtlich nur eingeschränkt überprüfbaren – Würdigung der Tatsachengerichte (BAG 9. Mai 2023 – 1 ABR 14/22 – Rn. 72 mwN).

86

Im Ergebnis kommt es hierauf nicht an. Die Würdigung des Landesarbeitsgerichts, die vom Beklagten getroffenen Maßnahmen seien ausreichend, hält selbst einer uneingeschränkten revisionsrechtlichen Überprüfung stand. Das gilt auch unter Berücksichtigung dessen, dass den Verantwortlichen hinsichtlich der Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze der Integrität und Vertraulichkeit gemäß dem in Art. 5 Abs. 2 DSGVO verankerten Grundsatz der „Rechenschaftspflicht“ grundsätzlich die Beweislast trifft (vgl. EuGH 4. Mai 2023 – C-60/22 – Rn. 53 mwN). Auf der Grundlage der vom Landesarbeitsgericht getroffenen Feststellungen ist dieser Nachweis geführt.

87

(aaa) Das deutsche Recht stellt, soweit es den Verantwortlichen zu angemessenen Schutzvorkehrungen verpflichtet, keine geringeren Anforderungen als das Unionsrecht. Insbesondere gelten für die Maßstäbe, anhand derer sich die Erfüllung der diesbezüglichen Pflichten beurteilt, keine vom Unionsrecht abweichenden Maßstäbe. Bei der Prüfung ist deshalb grundsätzlich von den in der Rechtsprechung des Gerichtshofs zu Art. 5 Abs. 1 DSGVO entwickelten Grundsätzen (dazu EuGH 21. Dezember 2023 – C-667/21 – [Krankenversicherung Nordrhein] Rn. 68; 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 41 ff.) auszugehen.

88

(bbb) Die hier einschlägigen nationalen Bestimmungen verlangen – ebenso wie Art. 5 Abs. 1 iVm. Art. 32 Abs. 1 DSGVO – dass der Verantwortliche, je nach Sachverhalt, geeignete technische und organisatorische Maßnahmen trifft, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei sind unter Berücksichtigung der im nationalen Recht ua. in § 276 Abs. 2 SGB V und § 35 Abs. 1 SGB I zwingend gestellten Anforderungen die in § 67a Abs. 1 und § 67b SGB X iVm. § 22 Abs. 2 BDSG nicht abschließend aufgezählten Kriterien zu berücksichtigen.

89

Auf dieser Grundlage ist die Geeignetheit der technischen und organisatorischen Maßnahmen in zwei Schritten zu beurteilen. Zum einen sind die von der betreffenden Verarbeitung ausgehenden Risiken einer Verletzung des Schutzes personenbezogener Daten und ihre möglichen Folgen für die Rechte und Freiheiten natürlicher Personen zu ermitteln. Diese Beurteilung muss konkret unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere der ermittelten Risiken erfolgen. Zum anderen ist zu prüfen, ob die vom Verantwortlichen getroffenen Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke dieser Verarbeitung diesen Risiken angemessen sind, wobei zu berücksichtigen ist, dass der Verantwortliche bei der Festlegung der Maßnahmen über einen gewissen Entscheidungsspielraum verfügt (vgl. EuGH 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 41 ff.).

90

(ccc) Im Rahmen dieser Prüfung ist zunächst festzustellen, dass Beschäftigte des Beklagten, die von einer Stellungnahme wie hier betroffen sind, berechtigterweise erwarten dürfen, dass ihre Gesundheitsdaten gegenüber dem Arbeitgeber und im Kollegenkreis geheim bleiben. Werden solche Daten offengelegt, besteht das Risiko, Nachteile bei Personalentscheidungen oder eine Stigmatisierung im Kreis der Mitarbeiter zu erfahren. Dieses Risiko wird allerdings durch gesetzliche Regelungen bereits dadurch begrenzt, dass nach § 35 Abs. 1 SGB I Personalverantwortliche und an Personalentscheidungen Mitwirkende keinen Zugriff auf solche Daten haben dürfen. Zum anderen wird es durch die in § 276 Abs. 2 Satz 6 bis Satz 9 SGB V enthaltenen Vorgaben begrenzt. Diesen Vorgaben ist der Beklagte mit der erlassenen Dienstanweisung und der mit dem Personalrat getroffenen Dienstvereinbarung nachgekommen, wobei die dortigen Weisungen bzw. Regelungen jeweils darauf beruhen, dass die Verarbeitung der Gesundheitsdaten Betroffener beim Beklagten unter Einsatz von ISmed erfolgt. Nach der Dienstvereinbarung erfolgte der Zugriff auf die Software ISmed 3 durch den Einsatz eines Softzertifikats. Die Zugriffsrechte wurden in ISmed 3 über die Vergabe von Rechten und Rollen festgelegt, die sicherstellten, dass nur solche Mitarbeiter Zugriff auf Sozialdaten eines Betroffenen haben, die nach vorab getroffenen Festlegungen intern für die Bearbeitung des Auftrags zuständig sind. Systemisch wurde bei jedem Vorgang vorab die Zugriffsberechtigung technisch geprüft. Für die Erledigung von Aufgaben nach § 275 Abs. 1 SGB V, die ua. eigene Beschäftigte des Beklagten betreffen, wurde innerhalb von ISmed 3 eine (virtuelle) Organisationseinheit „Spezialfall“ gebildet, zu der aufgrund technischer Beschränkungen nur die der Einheit zugehörigen – insgesamt 36 der mehr als 1.000 – Mitarbeiter des Beklagten Zugriff hatten. Zudem führte innerhalb dieser Einheit ein entwickeltes Rollenkonzept dazu, dass die betreffenden Gutachtenaufträge nicht durch Mitarbeiter bearbeitet wurden, die mit dem Betroffenen in einer Dienststelle zusammenarbeiten, was ebenfalls technisch abgesichert wurde. Nach Abschluss des Begutachtungsauftrags wurden der Auftrag sowie die gutachtliche Stellungnahme einschließlich der verbleibenden elektronischen medizinischen Unterlagen im elektronischen Archiv von ISmed 3 hinterlegt. Dort wurden die Auftragsdaten zusammen mit den Stammdaten und getrennt von den Begutachtungsdaten in zwei Datenbanken gespeichert. Eine Zusammenführung war nur noch über einen in einer Oracle Verschlüsselungsbibliothek hinterlegten Schlüssel möglich. Jedenfalls den neun Beschäftigten des Teilbereichs „IT Abteilung“ der Organisationseinheit „Spezialfall“ war nach Archivierung technisch der Zugriff auf sämtliche innerhalb dieser Einheit erstellten Gutachten weiterhin möglich. Dass der Beklagte die Vorgaben hinsichtlich des Datenschutzbeauftragten beachtet hat, steht zwischen den Parteien nicht im Streit. Zudem hat der Beklagte sämtliche Mitarbeiter im Rahmen der Dienstanweisung auf das Sozialgeheimnis nach § 35 SGB I hingewiesen und diese Belehrung in regelmäßigen Abständen erneuert.

91

(ddd) Die Würdigung des Landesarbeitsgerichts, hiervon ausgehend seien die Schutzvorkehrungen des Beklagten für ausreichend zu erachten, ist zutreffend.

92

(aaaa) Die Vorkehrungen waren – jedenfalls unter Beachtung der bestehenden Garantien iSv. Art. 9 Abs. 3 DSGVO, dh. der bestehenden (strafbewehrten) Berufsgeheimnisse und die aus der Verpflichtung des Beklagten auf das Sozialgeheimnis abgeleitete (ebenfalls strafbewehrte) Geheimhaltungspflicht – geeignet, die Möglichkeit einer Verwirklichung der mit der Verarbeitung von Gesundheitsdaten Beschäftigter verbundenen Risiken grundsätzlich auszuschließen. Der Beklagte hat durch organisatorische Regelungen und mit Blick darauf, dass es sich bei der Organisationseinheit „Spezialfall“ um eine rein virtuelle Struktur handelt, sichergestellt, dass die stets notwendigen Verarbeitungen im Zusammenhang mit einer medizinischen Stellungnahme nur von Personen durchgeführt werden, die nicht am gleichen Arbeitsort wie ein betroffener Beschäftigter, sondern an einem anderen, auch räumlich entfernten Standort tätig sind. Von solchen Personen ging kein wesentliches Risiko einer Beeinträchtigung der Integrität des Klägers, insbesondere nicht das Risiko aus, aufgrund einer persönlichen Bekanntheit Nachteile zu erfahren. Soweit sich ein solches Risiko bei einer körperlichen Untersuchung eher hätte verwirklichen können, ist der Beklagte dem durch die Weisung begegnet, medizinische Stellungnahmen, die eine solche Begutachtung erfordern, der Knappschaft zu übertragen. Zwar ist dem Kläger zuzugeben, dass all diese Maßnahmen die Möglichkeit der Kenntniserlangung durch einen unmittelbaren Kollegen der IT-Abteilung im Rahmen seiner beruflichen Aufgaben nicht vollständig ausgeschlossen haben. Insoweit ist aber zu bedenken, dass IT-Mitarbeiter zwar technisch Zugriff auf Gutachten haben, ihre Aufgaben es aber nach dem unwidersprochenen Vorbringen des Beklagten typischerweise nicht mit sich bringen, den Inhalt von Gutachten zur Kenntnis zu nehmen. Tun sie es dennoch, geschieht dies unbefugt und kann erhebliche arbeitsrechtliche Konsequenzen nach sich ziehen.

93

(bbbb) Der Umstand, dass es – zumal auf seine eigene Veranlassung und unter Verstoß gegen die Dienstanweisung des Beklagten – im Fall des Klägers zu einem Zugriff auf das archivierte Gutachten durch eine unmittelbare Kollegin des Klägers gekommen ist, reicht für die Annahme unzureichender Schutzvorkehrungen nicht aus. Insoweit ist nämlich zu berücksichtigen, dass der Unionsgesetzgeber, wie durch den Erwägungsgrund 83 der Datenschutz-Grundverordnung bestätigt, im Rahmen geforderter Maßnahmen das Ziel verfolgt, die Risiken einer Verletzung des Schutzes personenbezogener Daten „einzudämmen“, ohne zu behaupten, dass sie beseitigt werden könnten (vgl. EuGH 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 38 f.). Diese Absicht des Unionsgesetzgebers ist gleichermaßen relevant, soweit es um die Frage geht, ob der Beklagte seinen im nationalen Recht verankerten Pflichten zur Wahrung der Grundsätze der Integrität und Vertraulichkeit nachgekommen ist.

94

Diese Frage ist unter Berücksichtigung aller Umstände des vorliegenden Falls zu bejahen. Der Beklagte hat grundsätzlich für den normalen Verwaltungsablauf geeignete Schutzvorkehrungen getroffen. Zwar muss ein Verantwortlicher immer von einem gewissen Risiko ausgehen, dass Mitarbeiter Anweisungen oder sonstige allgemeine Vorgaben nicht beachten. Der Entscheidungsspielraum des Beklagten, dem Risiko mit den getroffenen Maßnahmen zu begegnen, wäre aber allenfalls überschritten, wenn unbefugte Zugriffe häufiger aufgetreten wären. So liegt es nach den – wiederum unbestrittenen – Darlegungen des Beklagten hier aber nicht. Jedenfalls unter dieser Prämisse war es insbesondere nicht geboten, für medizinische Stellungnahmen, die eigene Beschäftigte betreffen, ausnahmslos einen anderen Dienst einzuschalten, etwa wie bei einer gebotenen körperlichen Untersuchung die Knappschaft. Dabei kann auch nicht unberücksichtigt bleiben, dass ein solcher, regelhafter Prozess, schon wegen eines zusätzlich erforderlichen Datenaustauschs, wiederum eigene Risiken mit sich brächte. Zum anderen änderte eine solche regelhafte „externe“ Beauftragung nichts an dem Umstand, dass der Beklagte im Verhältnis zur beauftragenden Krankenkasse zur Erstellung einer gutachtlichen Stellungnahme verpflichtet ist. Auch unter der Prämisse einer vollständigen „externen“ Vergabe der gutachtlichen Stellungnahme bliebe es dabei, dass das Ergebnis dieser Begutachtung durch den Beklagten zur Übermittlung an die beauftragende Krankenkasse weiterverarbeitet und zu diesem Zweck eine Speicherung in dem vorgehaltenen System ISmed 3 als erforderlich angesehen werden müsste. Schließlich kommt hinzu, dass die Einschaltung eines anderen Dienstes, wie bereits im Rahmen der oben angestellten Verhältnismäßigkeitsprüfung erörtert (vgl. Rn. 63 ff.), nicht gleichsam effektiv und wirtschaftlich wäre.

95

(3) Da nach alledem ein Verstoß gegen die Datenschutz-Grundverordnung nicht zu erkennen ist, kann offenbleiben, ob das Vorbringen des Klägers zu den weiteren Voraussetzungen eines Anspruchs auf Schadenersatz nach Art. 82 Abs. 1 DSGVO schlüssig ist, insbesondere ob nach den Anforderungen dieser Bestimmung ein Schaden hinreichend dargetan ist.

96

c) Die Voraussetzungen eines Schadenersatzanspruchs aufgrund anderer in Betracht kommender Anspruchsgrundlagen liegen ebenfalls nicht vor. Insbesondere rechtfertigt sich der mit dem Hauptantrag zu 1. verfolgte Anspruch auf immateriellen Schadenersatz nicht aus § 823 Abs. 1 BGB iVm. Art. 2 Abs. 1, Art. 1 Abs. 1 GG. Ist – wie hier – eine Datenverarbeitung nach den Regelungen der Datenschutz-Grundverordnung und den nationalen Vorgaben zulässig, ist das Recht des von der Datenverarbeitung betroffenen Arbeitnehmers auf informationelle Selbstbestimmung gewahrt (vgl. BAG 9. April 2019 – 1 ABR 51/17 – Rn. 51 mwN, BAGE 166, 269).

97

II. Die Klage hat auch im Übrigen keinen Erfolg. Die Hauptanträge zu 2. und 4., mit denen der Kläger Ansprüche auf materiellen Schadenersatz verfolgt bzw. dahin gehende Feststellung begehrt, sind unbegründet. Der Hilfsfeststellungsantrag zu 3. ist dem Senat nicht zur Entscheidung angefallen.

98

1. Der Hauptantrag zu 2. ist als bezifferter Leistungsantrag ohne Weiteres zulässig. Der Antrag zu 4. begegnet zwar hinsichtlich eines bestehenden Feststellungsinteresses Zulässigkeitsbedenken. Er ist aber jedenfalls unbegründet.

99

a) Der Antrag zu 4. ist ausreichend bestimmt, bedarf insoweit aber der Auslegung.

100

aa) Der Antrag ist „für den Zeitraum ab November 2019“ auf die Feststellung einer Verpflichtung des Beklagten gerichtet, dem Kläger den materiellen Schaden zu ersetzen, der ihm „aus der mit der Klage geltend gemachten Verletzung seines Persönlichkeitsrechts entstanden ist und/oder noch entstehen wird“. Wörtlich genommen wäre der Antrag unzulässig, weil er dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 ZPO nicht genügt. Bei einem Feststellungsantrag muss das Rechtsverhältnis, das festgestellt werden soll, im Antrag so genau bezeichnet werden, dass über den Umfang der Rechtskraft keine Zweifel bestehen (vgl. BAG 7. April 2004 – 7 ABR 35/03 – zu B II 3 c der Gründe, BAGE 110, 146).

101

bb) Für das Verständnis eines Klageantrags ist jedoch nicht an dem buchstäblichen Wortlaut der Antragsfassung zu haften. Vielmehr hat das Gericht den erklärten Willen zu erforschen, wie er aus der Klagebegründung, dem Prozessziel und der Interessenlage hervorgeht. Für die Auslegung sind die für Willenserklärungen geltenden Auslegungsregeln (§§ 133, 157 BGB) heranzuziehen. Auch das Revisionsgericht ist zur Auslegung von Klageanträgen befugt (vgl. BAG 16. März 2010 – 3 AZR 744/08 – Rn. 19; 23. Januar 2007 – 9 AZR 557/06 – Rn. 20 mwN).

102

cc) Nach seinem Sinn ist der Antrag auf die Feststellung einer Verpflichtung des Beklagten gerichtet, dem Kläger den Erwerbsschaden zu ersetzen, der ihm in der Zeit seit dem 1. November 2019 aus dem vermeintlich unberechtigten Telefonat zwischen der Gutachterin des Beklagten und seinem behandelnden Arzt im Zusammenhang mit der Erstellung eines sozialmedizinischen Gutachtens vom 22. Juni 2018 bereits entstanden ist und künftig entsteht. Dies berücksichtigt zum einen, dass der Kläger seinen Anspruch auf materiellen Schadenersatz zuletzt zweitinstanzlich ausschließlich auf das vorbezeichnete Telefonat gestützt hat. Zum anderen macht der Kläger wegen dieser Pflichtverletzung mit seinem Leistungsantrag zu 2. ausschließlich einen – insoweit bezifferten – Erwerbsschaden für den Zeitraum vor dem 1. November 2019 geltend. Es liegt auf der Hand, dass sich der Feststellungsantrag auf eine Verpflichtung zum Ersatz eines entsprechenden Schadens für den nachfolgenden Zeitraum beziehen soll.

103

In dieser Auslegung wird der Antrag den Anforderungen des § 253 Abs. 2 Nr. 2 ZPO gerecht.

104

b) Ob der Kläger ein rechtliches Interesse an der begehrten Feststellung hat (§ 256 Abs. 1 ZPO), kann dahinstehen.

105

aa) Allerdings ist das bisherige Vorbringen zu den Voraussetzungen des § 256 Abs. 1 ZPO unzureichend (vgl. zum Feststellungsinteresse bei einer Klage auf Feststellung der Schadenersatzpflicht BGH 5. Oktober 2021 – VI ZR 136/20 – Rn. 16 ff. mwN). Der Kläger hat zwar in der mündlichen Verhandlung vor dem Landesarbeitsgericht behauptet, über den 31. Oktober 2019 hinaus weiterhin arbeitsunfähig gewesen zu sein. Zu den Ursachen dieser weiteren Erkrankung hat er indes keinen Vortrag geleistet und damit schon die bloße Möglichkeit eines weiteren Schadenseintritts aufgrund des Mitte 2018 geführten Telefonats nicht hinreichend aufgezeigt. Schon deshalb steht das Feststellungsinteresse in Frage.

106

bb) Im Ergebnis kommt es hierauf für die Zulässigkeit der Klage nicht an. Denn das Feststellungsinteresse ist echte Prozessvoraussetzung nur für das stattgebende Urteil (BAG 18. Oktober 2023 – 5 AZR 22/23 – Rn. 13 mwN).

107

2. Die Anträge zu 2. und 4. sind (jedenfalls) unbegründet. Der Kläger begehrt insoweit materiellen Schadenersatz aus Art. 82 Abs. 1 DSGVO und aus § 823 Abs. 1 BGB iVm. Art. 2 Abs. 1, Art. 1 Abs. 1 GG. Zur Begründung hat er sich auf eine Unzulässigkeit der Verarbeitung seiner Daten aufgrund der behaupteten Tatsache berufen, dass die Gutachterin des Beklagten nicht berechtigt gewesen wäre, telefonisch Auskünfte bei seinem behandelnden Arzt einzuholen. In dem Verhalten der Ärztin liegt aber, wie bereits zum Antrag zu 1. ausgeführt, keine unzulässige Verarbeitung der Gesundheitsdaten des Klägers und damit auch kein unzulässiger Eingriff in sein allgemeines Persönlichkeitsrecht. Damit fehlt es auch für einen Anspruch auf materiellen Schadenersatz insgesamt an einem haftungsbegründenden Tatbestand.

108

3. Der Hilfsantrag zu 3. ist nach der Klagebegründung nur für den Fall der Unzulässigkeit des Antrags zu 2. gestellt. Diese innerprozessuale Bedingung ist nicht eingetreten.

109

III. Die Kostenentscheidung folgt aus § 97 Abs. 1 ZPO.

        

    Spinner    

        

    Krumbiegel    

        

    Berger    

        

        

        

    Langner    

        

    Lange