DSGVO: Schadenersatz beim Datenschutz – Auftritt des Bundesarbeitsgerichts

Diesmal hat das Bundesarbeitsgericht BAG zum Schadenersatz zugeschlagen.
Schadenersatz soll nach dem BAG schon geben, wenn einfach eine Verletzung der DSGVO erfolgt ist.

Im konkreten Fall geht es um die Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis und einen daraus resultierenden Schadenersatz. 
Allerdings scheint sich das BAG darüber im Klaren zu sind, dass seine Auffassung “reine Datenschutzverletzung reicht für Schadenersatz” schon problematisch sein könnte.

Aus diesem Grund wird der Fall dem Gerichtshof der Europäischen Union (EUGH) vorgelegt.

Folgende Fragen stellt das BAG an den EuGH:

1. Ist Art. 9 Abs. 2 Buchstabe h der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) dahin auszulegen, dass es einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten?

2. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 Buchstabe h DSGVO eine Ausnahme von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Sind in einem Fall wie hier über die in Art. 9 Abs. 3 DSGVO bestimmten Maßgaben hinaus weitere, gegebenenfalls welche Datenschutzvorgaben zu beachten?

3. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 Buchstabe h DSGVO eine Ausnahme von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Hängt in einem Fall wie hier die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon ab, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist?

4. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?

5. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

 

Der Rechtsstreit ist zwischen dem Kläger als Arbeitnehmer und seinem Arbeitgeber, hier der Medizinischen Dienst einer Krankenversicherung (im Folgenden Beklagter bzw. MDK).

Es wird darüber gestritten, ob der MDK verpflichtet ist, dem Kläger materiellen und immateriellen Schadenersatz wegen Verletzung datenschutzrechtlicher Bestimmungen im Arbeitsverhältnis zu zahlen.

Der Fall

Der Fall ist etwas kompliziert. Ich versuche ihn simpel zu erklären.

1. Der MDK ist der Arbeitgeber des Klägers.
2. Die zuständige Krankenkasse des Klägers beantragt im Rahmen einer Lohnfortzahlung im Krankheitsfall bei dem MDK ein Gutachten.
3. In einer Betriebsvereinbarung regelt den Fall eines Gutachtens eines Arbeitnehmers des MDK so, dass dann die Begutachtung ein anderer MDK in einem anderen Bundesland vornimmt.
4. Dies ist aber nicht passiert. Der MDK hat den Fall der Begutachtung angenommen und durchgeführt. Obwohl es sich um einen Arbeitnehmer handelte.
5. Dies wurde dem Kläger bekannt und er verklagte den MDK als Arbeitgeber auf Schadenersatz nach Artikel 82 DSGVO.
6. Der Arbeitgeber – also der MDK – verweigert dies und es kam zur Klage vor dem Arbeitsgericht.
7. Weiter kündigte der MDK das Arbeitsverhältnis fristlos, weil der Kläger im Gerichtsverfahren „massiven Vorwürfe“ gemacht hatte die nicht den Tatsachen entsprechen. Weiter wolle er nur dem Arbeitgeber schaden.

 

Artikel 82 DSGVO sagt aus, dass….

(1)     Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

         …      

(3)     Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“

Das BAG vertritt in der Randnotiz 33 die Ansicht, dass

Rn 33 Nach Auffassung des Senats führt demnach bereits die Verletzung der DSGVO selbst zu einem auszugleichenden immateriellen Schaden.

Heißt: es reicht nach dem BAG aus, wenn eine Datenschutzverletzung entstanden ist.

Ähnliche Argumentation und Fragen in Österreich

Eine ähnliche Fragestellung hat der Obersten Gerichtshof (Österreich) (- C-300/21 -) dem EuGH als Vorabentscheidungsersuchen am 12. Mai 2021 — UI gegen Österreichische Post AG – (Rechtssache C-300/21) (2021/C 320/24) vorgelegt.

Hier lauteten die Fragen an den EuGH:

1.Erfordert der Zuspruch von Schadenersatz nach Art. 82 der Verordnung (EU) 2016/679 (DSGVO) neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?

2.Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?

3.Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?

Resümee

Es besteht nun die Gefahr einer Änderung der Rechtsprechung in Deutschland dergestalt, dass es Schadenersatz nach DSGVO bei einer Datenschutzverletzung unabhängig von einer nachweisbaren Schadenhöhe geben könnte.

Sollte der EuGH in diesem Sinne entscheiden, wird es teuer werden für die Unternehmen.

 

Verfahrensgang des BAG 8 AZR 253/20 (A)

• vorgehend ArbG Düsseldorf, 22. Februar 2019, Az: 4 Ca 6116/18
• vorgehend Landesarbeitsgericht Düsseldorf, 11. März 2020, Az: 12 Sa 186/19

Links

• Aktenzeichen 8 AZR 253/20 (A) https://www.bundesarbeitsgericht.de/entscheidung/8-azr-253-20-a/
• Entscheidung als PDF https://www.bundesarbeitsgericht.de/wp-content/uploads/2021/11/8-AZR-253-20–A.pdf
• Vorlage des Obersten Gerichtshof (Österreich) (- C-300/21 -) als PDF

 

---

Sie benötigen Hilfe beim Datenschutz in Ihrem Unternehmen? Wir beraten pragmatisch ohne Firelfanz und stellen den Datenschutzbeauftragten im Raum Frankfurt am Main, Offenbach am Main, Wiesbaden, Darmstadt, Mainz, Rhein-Main, Rhein-Main-Neckar, Hessen, Bayern, Rheinland-Pfalz, Baden-Württemberg, RheinMain oder in ganz Deutschland. Nehmen Sie einfach Kontakt mit uns auf. Hinweis Die Informationen auf unserer Webseite dienen ausschließlich zu Informationszwecken. Bei der Darbringung der Informationen achten wir darauf, dass diese genau und aktuell sind. Aber beachten Sie, die Inhalte stellen keine Datenschutzberatung da. Bei Datenschutzfragen ist jeweils der Einzelfall zu betrachten. Bitte haben Sie Verständnis, dass wir jegliche Haftung für Inhalte Dritter, die über unsere Website aufgerufen werden können, ablehnen.