Datenschutz innerhalb der eigenen Organisation.

 Anforderungen an den Datenschutz aus Art. 6 und 9 DSGVO.

Datenschutz innerhalb der eigenen Organisation.

Zugang zu sensiblen Daten sollte nur haben, wer ihn zur Erfüllung seiner Aufgabe braucht – auch innerhalb des eigenen Unternehmens.

Sachverhalt

Der beim beklagten Medizinischen Dienst beschäftigte Kläger war seit dem 22.11.2017 ununterbrochen arbeitsunfähig erkrankt. Seit dem 24.05.2018 bezog er Krankengeld. Am 06.06.2018 beauftragte dessen Krankenkasse den Beklagten mit einer gutachtlichen Stellungnahme, um Zweifel an der Arbeitsunfähigkeit des Klägers auszuräumen. Dem kam der Beklagte nach.
Der Kläger fordert vom Beklagten die Zahlung einer Entschädigung von 20.000 €. Der Anspruch bestehe u.a. deshalb, weil eine Ärztin zur Erstellung der gutachtlichen Stellungnahme vom behandelnden Arzt des Klägers telefonisch und ohne dessen vorherige Zustimmung Auskunft erhalten hatte.

Urteil

Die Klage ist laut LAG Düsseldorf 12 Sa 186/19 unbegründet. Es bestehe kein Anspruch aus Art. 82 Abs. 1 DSGVO oder § 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1, Art. 1 Abs. 1 GG.
Auf Verlangen einer Krankenkasse sei der Medizinische Dienst der Krankenkasse (MDK) berechtigt, durch eine beim MDK angestellte Ärztin ein Gutachten über die Arbeitsunfähigkeit eines versicherten Mitglieds zu erstellen. Das gelte auch, wenn dieses von der Krankenkasse Krankengeld erhalte und Arbeitnehmer des MDK sei.
Die Verarbeitung der personenbezogenen Daten des Klägers im Zusammenhang mit der Erstellung des Gutachtens sei zur Erfüllung einer rechtlichen Verpflichtung i.S.v. Art. 6 Abs. 1 S. 1 lit. c DSGVO erforderlich gewesen. Diese ergebe sich aus § 275 Abs. 1 S. Nr. 3 lit. b SGB V.

Schutz des Sozialgeheimnisses auch intern erforderlich

Nach § 276 Abs. 2 S. 7 SGB V ist durch technische und organisatorische Maßnahmen sicherzustellen, dass die Sozialdaten nur solchen Personen zugänglich sind, die sie zur Erfüllung ihrer Aufgaben benötigen. Diese spezifische Bestimmung zum Schutz des Sozialgeheimnisses umfasst die Verpflichtung, auch innerhalb des Leistungsträgers sicherzustellen, dass die Sozialdaten nur Befugten zugänglich sind oder nur an diese weitergegeben werden. Sie verlangt eine mitarbeiterbezogene Betrachtung. Der Medizinische Dienst der Krankenkasse ist keine datenschutzrechtliche „Kompetenzeinheit“, sondern mitarbeiterbezogen differenziert zu betrachten.

Konsequenzen für die Praxis

Die Ausführungen des Urteils hinsichtlich des Zugriffskonzepts lassen sich auf Krankenhäuser, Pflegeeinrichtungen oder andere Einrichtungen im Gesundheitssektor übertragen. Das Urteil gibt Aufschluss über die einzuhaltenden Sicherheitsvorkehrungen. Der besonderen Vertraulichkeit der Gesundheitsdaten muss durch organisatorische Maßnahmen Rechnung getragen werden.