Bundesarbeitsgericht, EuGH-Vorlage vom 26.08.2021, Az. 8 AZR 253/20 (A)

Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 9 Abs. 1, Art. 9 Abs. 2 Buchstaben b und h, Art. 9 Abs. 3, Art. 6 Abs. 1 sowie von Art. 82 Abs. 1 [X.].

Das Vorabentscheidungsersuchen ergeht im Rahmen eines Rechtsstreits zwischen dem Kläger und seinem Arbeitgeber, einem Medizinischen Dienst einer Krankenversicherung (im Folgenden [X.]r bzw. beklagter [X.]). Die Parteien streiten darüber, ob der [X.] verpflichtet ist, dem Kläger materiellen und immateriellen Schadenersatz wegen Verletzung datenschutzrechtlicher Bestimmungen im Arbeitsverhältnis zu zahlen.

Soweit hier die Auslegung von Art. 82 Abs. 1 [X.] betroffen ist, weist der [X.] vorab darauf hin, dass dem Gerichtshof zu dieser Bestimmung bereits ein Vorabentscheidungsersuchen des Obersten Gerichtshofs ([X.]) (- [X.]/21 -) vorliegt und dass die vom [X.] insoweit gestellten Vorlagefragen mit den vom Obersten Gerichtshof ([X.]) gestellten Fragen im Zusammenhang stehen.

Der beklagte [X.] ist eine Körperschaft des öffentlichen Rechts. Nach § 278 Abs. 1 Satz 1 Sozialgesetzbuch Fünftes Buch (im Folgenden [X.]) wird in jedem Bundesland der [X.] ein Medizinischer Dienst als Körperschaft des öffentlichen Rechts errichtet. Nach den gesetzlichen Bestimmungen untersteht der Medizinische Dienst der Aufsicht der für die Sozialversicherung zuständigen obersten Verwaltungsbehörde des Bundeslandes, in dem er seinen Sitz hat. Seine Aufgaben sind ihm durch Gesetz und Satzung zugewiesen. Für die gesetzliche Krankenversicherung als Teil der Sozialversicherung sind die Leistungspflichten und Aufgaben der Medizinischen Dienste in den §§ 275 ff. [X.] festgelegt. Hierzu gehört auch die Erstellung von gutachtlichen Stellungnahmen zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit von Versicherten. Nach § 275 Abs. 1 Satz 1 Nr. 3 Buchstabe b [X.] sind die gesetzlichen Krankenkassen verpflichtet, in gesetzlich bestimmten Fällen oder wenn es nach Art, Schwere, Dauer oder Häufigkeit der Erkrankung oder nach dem Krankheitsverlauf erforderlich ist, bei ärztlich bescheinigter Arbeitsunfähigkeit eines/einer Versicherten bei dem Medizinischen Dienst der Krankenversicherung eine gutachtliche Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit einzuholen. Nach § 275 Abs. 1a Satz 3 [X.] kann der Arbeitgeber verlangen, dass die Krankenkasse eine solche gutachtliche Stellungnahme des [X.] einholt.

Der beklagte [X.] führte seine Aufgaben im [X.] an acht Standorten mit ca. 1.000 Beschäftigten durch.

Der Kläger ist seit 1991 bei dem [X.]n als Arbeitnehmer tätig, zuletzt am Standort A. in der IT-Abteilung als Systemadministrator und Mitarbeiter [X.]. Der [X.] erstellt in seiner Eigenschaft als Medizinischer Dienst für die gesetzlichen Krankenkassen gutachtliche Stellungnahmen zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit von Versicherten auch in den Fällen, in denen seine eigenen Beschäftigten betroffen sind. Für einen solchen Fall - bei dem beklagten [X.] „Spezialfall“ genannt - gibt es bei ihm eine „Organisationseinheit Spezialfall“ sowie spezielle Regelungen. Zu diesen Regelungen gehört die „Dienstanweisung zum Schutz der [X.] der Beschäftigten des [X.] (…) und ihrer Angehörigen“ (im Folgenden Dienstanweisung [X.]). Danach sollen [X.] von Beschäftigten nicht am Dienstort des Beschäftigten erhoben und gespeichert werden. Zudem dürfen [X.] der Beschäftigten, die anfallen, wenn der beklagte [X.] von der jeweils zuständigen Krankenkasse mit einer Begutachtung beauftragt wird, nicht mit „‚Mitarbeiterdaten‘ verwechselt werden“, die im Rahmen eines Arbeits- oder Dienstverhältnisses entstehen oder verarbeitet werden. [X.] für den „Spezialfall“ sind nur bestimmte Beschäftigte der jeweiligen „Teilbereiche“ des [X.]n. Ausweislich einer zur Gerichtsakte gereichten „Übersicht“ ([X.]. 307 f. Akten der Vorinstanz) gibt es bei dem beklagten [X.] vier sog. Teilbereiche. In den beiden Teilbereichen „Ambulante Versorgung“ und „Stationäre Versorgung“ sind zugriffsberechtigt insgesamt 24 Beschäftigte, die entweder am Standort [X.] oder am Standort A. des beklagten [X.] als Arzt/Ärztin bzw. als Assistenz- oder Kodierfachkraft tätig sind. Der Teilbereich „Behandlungsfehler“ mit drei zugriffsberechtigten Sekretariatskräften ist am Standort [X.] angesiedelt und der Teilbereich „IT Abteilung“ mit neun zugriffsberechtigten Beschäftigten - darunter auch der Kläger - bei der Zentrale am Standort A.

Die Datenverarbeitung erfolgt bei dem beklagten [X.] durch das „Informationssystem der Medizinischen Dienste der Krankenversicherung“ (im Folgenden [X.]). Der [X.] und der bei ihm errichtete [X.]alrat haben im April 2015 eine „Dienstvereinbarung zum Einsatz von [X.] 3“ geschlossen. Danach erfolgt der Zugriff auf die Software [X.] 3 durch den Einsatz eines Softzertifikats. Die Zugriffsrechte werden in [X.] 3 über die Vergabe von Rechten und Rollen festgelegt. Für die Organisationseinheit „Spezialfall“ enthält die Dienstanweisung [X.] besondere Verfahrensvorgaben unter der Software [X.] 3. Dazu gehört es unter anderem, dass die eingehenden Fälle, die eigene Beschäftigte betreffen, bei der Erfassung als „Spezialfall“ gekennzeichnet und ausschließlich durch die Mitarbeiter der Organisationseinheit „Spezialfall“ bearbeitet werden. Dafür wurde in [X.] 3 eine virtuelle Organisationseinheit für Spezialfälle eingerichtet, zu der nur die Beschäftigten der Organisationseinheit „Spezialfall“ Zugang haben. Nach Abschluss des [X.] werden der Auftrag sowie die gutachtliche Stellungnahme einschließlich der verbleibenden elektronischen medizinischen Unterlagen im elektronischen Archiv des beklagten [X.] hinterlegt. Dort werden die Auftragsdaten zusammen mit den Stammdaten und getrennt von den Begutachtungsdaten in zwei Datenbanken gespeichert. Eine Zuordnung zu einzelnen [X.]en ist nur über einen in einer [X.] hinterlegten Schlüssel möglich. Innerhalb des [X.] wird zuvor die Zugriffsberechtigung technisch geprüft. Jedenfalls den neun Beschäftigten des Teilbereichs „IT Abteilung“ der Organisationseinheit „Spezialfall“ ist nach Archivierung der Zugriff auch auf all die Gutachten möglich, die aufgrund eines [X.] erstellt wurden, der eigene Beschäftigte des beklagten [X.] betrifft.

In der Dienstanweisung [X.] ist ferner bestimmt, dass im Fall von Begutachtungsaufträgen, die eine körperliche Untersuchung eines Beschäftigten des beklagten [X.] erfordern, die Organisationseinheit „Spezialfall“ die Begutachtung dem [X.] der „[X.]“ übergibt. Unter dieser Bezeichnung tritt seit 2002 die [X.] als einer der Träger der gesetzlichen Krankenversicherung auf. Auch in einem solchen Fall wird das - fertig erstellte - Gutachten sodann durch die [X.] der Organisationseinheit „Spezialfall“ in der elektronischen Archivierung zum Auftrag hinzugefügt. Für den Fall, dass der [X.] in seiner Eigenschaft als Arbeitgeber selbst Zweifel an der Arbeitsunfähigkeit eines seiner Beschäftigten hat, steht es ihm - wie in § 275 Abs. 1a Satz 3 [X.] für alle Arbeitgeber vorgesehen (vgl. Rn. 4) - frei zu verlangen, dass die Krankenkasse eine entsprechende gutachtliche Stellungnahme des [X.] einholt. Auch in einem solchen Fall schließt die Dienstanweisung [X.] die Bearbeitung und Archivierung durch den beklagten [X.] nicht aus. Allerdings erfolgt auch insoweit eine körperliche Untersuchung durch andere Dienste, und zwar entweder durch zwei Medizinische Dienste aus anderen Bundesländern oder durch den [X.] der [X.]. Ausnahmen von diesen Verfahrensvorschriften sind nur nach Absprache mit der Geschäftsführung zulässig. Die Beschäftigten des [X.] werden in der Dienstanweisung [X.] aufgefordert, soweit sie Leistungen der Krankenkasse in Anspruch nehmen, die eine Begutachtung erfordern, durch die Benutzung spezieller Briefumschläge dazu beizutragen, dass der Begutachtungsauftrag bei der Erfassung als „Spezialfall“ erkannt und der Organisationseinheit „Spezialfall“ zur Bearbeitung zugewiesen wird. Soweit sich nachträglich herausstellt, dass [X.] eines Beschäftigten im nicht gesondert gesperrten Bereich von [X.] 3 abgelegt und somit für „unberechtigte Mitarbeiter“, also Beschäftigte außerhalb der Organisationseinheit „Spezialfall“, zugänglich sind, werden diese Daten nachträglich „vom Bereich IT“ gesperrt, soweit der betroffene Beschäftigte dies beantragt.

Der Kläger war seit dem 22. November 2017 ununterbrochen arbeitsunfähig erkrankt. Nach dem (gesetzlich bestimmten) Ende der Entgeltfortzahlung durch den [X.]n, das heißt seit dem 24. Mai 2018 bezog der Kläger Krankengeld von seiner Krankenkasse. Am 6. Juni 2018 beauftragte die Krankenkasse des [X.] den beklagten [X.] auf der Grundlage von § 275 Abs. 1 Satz 1 Nr. 3 Buchstabe b [X.], zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des [X.] eine gutachtliche Stellungnahme zu erstellen. Der beklagte [X.] übernahm den [X.]. Ein Sachbearbeiter ordnete den Auftrag der „Organisationseinheit Spezialfall“ zu. Eine bei dem beklagten [X.] angestellte Ärztin, die der „Organisationseinheit Spezialfall“ angehörte, erstellte am 22. Juni 2018 ein Gutachten. Dieses enthielt die Diagnose der Krankheit des [X.]. Zur Erstellung dieses Gutachtens hatte die Ärztin unter anderem mit dem behandelnden Arzt des [X.] telefoniert und von diesem Auskünfte eingeholt. Das Gutachten vom 22. Juni 2018 wurde bei dem beklagten [X.] elektronisch archiviert. Es enthielt unter anderem die Angabe „Diagnose(n): F32.2 - Schwere depressive Episode ohne psychotische Symptome“.

Der Kläger erfuhr durch seinen behandelnden Arzt von dem Anruf der Ärztin des beklagten [X.] zwecks Gutachtenerstellung. Am 1. August 2018 rief der Kläger eine Kollegin der IT-Abteilung des [X.]n an und fragte sie, ob ein Gutachten über ihn gespeichert sei. Nach einer Recherche im Archiv bejahte die Kollegin diese Frage. Auf Bitte des [X.] fotografierte die Kollegin das Gutachten und sandte die Aufnahmen an den Kläger, der später im Klageverfahren einen Ausdruck zu den Gerichtsakten reichte.

Mit Schreiben vom 15. August 2018 forderte der Kläger von dem [X.]n erfolglos die Zahlung einer Entschädigung in Höhe von 20.000,00 Euro. Mit seiner am 17. Oktober 2018 bei dem örtlichen Arbeitsgericht eingegangenen Klage verfolgte er den Anspruch weiter und forderte im weiteren Verfahren zudem materiellen Schadenersatz in Höhe ihm entgangener Verdienste. Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 [X.] bzw. nach Vorschriften des nationalen Rechts (zB § 823 Abs. 1 BGB sowie § 823 Abs. 1 BGB iVm. Art. 2 Abs. 1, Art. 1 Abs. 1 GG) materieller und immaterieller Schadenersatz zu. Dem beklagten [X.] sei es vor dem Hintergrund des mit ihm bestehenden Arbeitsverhältnisses nicht erlaubt gewesen, in seinem Fall die Aufgaben eines [X.] nach § 275 Abs. 1 Satz 1 Nr. 3 Buchstabe b [X.] auszuüben. Mit der Erstellung eines Gutachtens zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Beschäftigten sei regelmäßig die Verarbeitung von solchen Gesundheitsdaten - einschließlich der konkreten Diagnose - verbunden, die im Arbeitsverhältnis nicht verarbeitet werden dürften. Der beklagte [X.] habe deshalb den [X.] von vornherein nicht annehmen und schon gar nicht bearbeiten und das Gutachten nicht speichern dürfen. Durch die unzulässige Datenverarbeitung sei er, der Kläger, schwerwiegend in seinem Persönlichkeitsrecht verletzt worden. Seine Kollegen und Kolleg[X.]en hätten das Gutachten bearbeitet und so entgegen den datenschutzrechtlichen Vorgaben von seinen Gesundheitsdaten einschließlich der Diagnose des behandelnden Arztes Kenntnis erlangt. Infolge der Archivierung des Gutachtens könnten sie auch weiterhin Einblick nehmen. Da solche Daten im Arbeitsverhältnis grundsätzlich nicht verarbeitet werden dürften, dürfe es keine Identität zwischen Arbeitgeber und [X.] Dienst geben. Der [X.] hätte deshalb von einem der anderen Medizinischen Dienste bearbeitet werden müssen. Überdies habe der [X.] bei der Speicherung des Gutachtens nur unzureichende Vorkehrungen zum Datenschutz getroffen. Der [X.] schulde ihm auch materiellen Schadenersatz; dieser habe den finanziellen Schaden zu ersetzen, der ihm dadurch entstanden sei, dass er an Stelle der Arbeitsvergütung ein niedrigeres Krankengeld erhalten habe. Ohne die Datenschutzverstöße hätte er seine Tätigkeit bei dem beklagten [X.] ab Dezember 2018 wieder aufnehmen können, jedenfalls wäre er im Spätsommer 2018 für die ihm vom [X.]n angebotene stufenweise Wiedereingliederung (mit der es arbeitsunfähigen Beschäftigten ermöglicht werden soll, sich schrittweise wieder an die bisherige Arbeitsbelastung zu gewöhnen) ausreichend psychisch belastbar gewesen.

Im Laufe des gerichtlichen Verfahrens kündigte der beklagte [X.] sowohl das Arbeitsverhältnis der unter Rn. 10 erwähnten Kollegin als auch das Arbeitsverhältnis des [X.], und zwar letzteres fristlos am 5. Dezember 2019 sowie am 12. Dezember 2019. In der „Anhörung zur außerordentlichen fristlosen … Kündigung“ vom 27. November 2019 hatte sich der [X.] zur Begründung unter anderem auf die „massiven Vorwürfe“ gestützt, die der Kläger im Rahmen des Rechtsstreits gegen ihn erhoben habe. Die Vorwürfe entsprächen nicht den Tatsachen, der Kläger wolle dem [X.]n vielmehr einen Schaden zufügen und habe dafür auch Kolleg([X.])en instrumentalisiert.

Der [X.] hat die Auffassung vertreten, nicht gegen datenschutzrechtliche Bestimmungen verstoßen zu haben. Er habe die ihm als [X.] Dienst nach dem [X.] zugewiesene Aufgabe der Begutachtung der Arbeitsunfähigkeit auch im Fall des [X.] wahrnehmen dürfen, obgleich er dessen Arbeitgeber sei. Zudem sei die tatsächliche Bearbeitung stets im Einklang mit den datenschutzrechtlichen Vorgaben erfolgt. Auch im Fall des [X.] habe die bearbeitende Ärztin telefonisch Kontakt zu dessen behandelndem Arzt aufnehmen dürfen. Sie habe im Übrigen nur Daten erhoben, die für die Begutachtung erforderlich gewesen seien. Die ihm durch die Anfrage der Krankenkasse und vom behandelnden Arzt mitgeteilten Gesundheitsdaten des [X.] seien stets ausreichend geschützt gewesen. Er habe mit der Bearbeitung durch die „Organisationseinheit Spezialfall“ und die dafür bei ihm geltenden speziellen Regelungen hinreichend Vorsorge zum Schutz der Gesundheitsdaten seiner Beschäftigten getroffen. Nur ein kleiner Kreis von Beschäftigten, die grundsätzlich nicht am selben Standort wie der betroffene Beschäftigte tätig seien, sei überhaupt zugriffsberechtigt gewesen. Auch soweit direkte Kollegen/Kolleg[X.]en des [X.] aus der IT-Abteilung zugriffsberechtigt gewesen seien, bestehe kein [X.]. Bei normalem Datenverkehr werde kein/e IT-Mitarbeiter/in tätig. Diese würden nur bei Fehlermeldungen hinzugezogen. Dabei sei eine inhaltliche Kenntnisnahme des Gutachtens für eine Fehlerbehebung weder erforderlich noch erlaubt. Tatsächlich liefen mehrere 100.000 Gutachten durch das System, ohne dass ein/e IT-Mitarbeiter/in eingreifen müsse. Im Übrigen unterlägen alle zugriffsberechtigten Beschäftigten dem [X.] nach § 35 Sozialgesetzbuch [X.] (im Folgenden [X.]), wonach jeder Anspruch darauf hat, dass die ihn betreffenden [X.] von den Leistungsträgern nicht unbefugt verarbeitet werden. Darüber hinaus gelte für die ärztlichen Beschäftigten die ärztliche Schweigepflicht. Auch seien die Daten des [X.] entsprechend § 35 Abs. 1 Satz 3 [X.] nicht zugänglich für Beschäftigte des [X.], die [X.]alentscheidungen treffen oder daran mitwirken können; an diese [X.]en seien von den [X.]en auch keine Gesundheitsdaten des [X.] weitergegeben worden.

Die [X.] lautet auszugsweise:

Der [X.] geht davon aus, dass im Ausgangsverfahren im Rahmen der vom [X.]n in seiner Eigenschaft als Medizinischer Dienst nach § 275 [X.] erstellten gutachtlichen Stellungnahme „personenbezogene Daten“ (Art. 4 Nr. 1 [X.]) des [X.] „verarbeitet“ (Art. 4 Nr. 2 [X.]) worden sind und dass es sich bei diesen Daten um „Gesundheitsdaten“ (35. Erwägungsgrund der [X.], Art. 4 Nr. 15 [X.]) handelt. Die hier in Rede stehende Verarbeitung fällt auch in den sachlichen Anwendungsbereich der [X.], wie er in ihrem Art. 2 Abs. 1 definiert ist. Die für die Erstellung einer gutachtlichen Stellungnahme nach § 275 [X.] regelmäßig erforderliche Verarbeitung besteht im Erheben, Ordnen, Speichern und Abfragen der Daten im S[X.]e der Begriffsbestimmung der [X.].

Weiter geht der [X.] davon aus, dass der beklagte [X.] „Verantwortlicher“ im S[X.]e von Art. 4 Nr. 7 [X.] ist, denn er hat, indem er über die Frage entschieden hat, ob er den [X.] betreffend den Kläger selbst ausführt und wie er die Gesundheitsdaten des [X.] verarbeitet, selbst über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (im S[X.]e der weiten Bestimmung des Begriffs des Verantwortlichen nach [X.] 13. Mai 2014 - [X.]/12, [X.]:[X.] - [[X.] und [X.]] Rn. 34 zu der Vorgängerbestimmung in Art. 2 Buchstabe d der Richtlinie 95/46/[X.]) entschieden. Die dafür bestehende Dienstanweisung [X.] stammt von ihm; die „Dienstvereinbarung zum Einsatz von [X.] 3“ hat der [X.] mit dem [X.]alrat abgeschlossen.

Der [X.] weist zudem darauf hin, dass sich im vorliegenden Fall die Frage, ob die insoweit einschlägigen Bestimmungen der [X.] auf einer ausreichenden Ermächtigungsgrundlage beruhen, nicht stellt (vgl. anders in den Fällen der Vorabentscheidungsersuchen des [X.] vom 30. Juli 2020 - 2 [X.]/20 (A) -, - [X.]/20 - und vom 27. April 2021 - 9 [X.] (A) -, - [X.]/21 -). Der vorliegende Fall betrifft den Schutz natürlicher [X.]en bei der Verarbeitung personenbezogener Daten durch eine Körperschaft des öffentlichen Rechts, die unter der Aufsicht der für die Sozialversicherung zuständigen obersten Verwaltungsbehörde des [X.] Nordrhein-Westfalen steht.

Soweit der [X.] den folgenden Ausführungen eine bestimmte Auslegung der Bestimmungen der [X.] zugrunde legt, wird der Gerichtshof, sofern diese Auslegung unzutreffend sein sollte, über die Beantwortung der Vorlagefragen hinaus um einen entsprechenden Hinweis gebeten.

Mit seiner ersten Vorlagefrage möchte der [X.] wissen, ob Art. 9 Abs. 2 Buchstabe h [X.] dahin auszulegen ist, dass es einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten.

Da es sich bei den von dem beklagten [X.] verarbeiteten Daten um Gesundheitsdaten im S[X.]e von Art. 9 Abs. 1 [X.] handelt, geht der [X.] davon aus, dass zunächst zu prüfen ist, ob die mit der Gutachtenerstellung und -speicherung vorgenommene Datenverarbeitung bereits nach Art. 9 Abs. 1 [X.] untersagt ist. Dies wäre der Fall, wenn keiner der in Art. 9 Abs. 2 [X.] aufgeführten Ausnahmetatbestände vorliegen würde. Dabei können hier nach den Umständen des [X.] allein Art. 9 Abs. 2 Buchstabe b und Buchstabe h [X.] als Ausnahmen von dem grundsätzlichen Verarbeitungsverbot in Art. 9 Abs. 1 [X.] in Betracht gezogen werden.

Nach Auffassung des [X.]s kann sich der beklagte [X.] - in seiner Eigenschaft als Arbeitgeber des [X.] - nicht auf den Ausnahmetatbestand des Art. 9 Abs. 2 Buchstabe b [X.] berufen. Nach dieser Bestimmung muss die Verarbeitung erforderlich sein, damit der Verantwortliche oder die betroffene [X.] die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der [X.] Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach [X.]srecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen [X.] vorsieht, zulässig ist. Im Ausgangsverfahren war die Verarbeitung der Gesundheitsdaten des [X.], die im Zusammenhang mit der Erstellung der gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des [X.] anfielen, für den beklagten [X.] in seiner Eigenschaft als Arbeitgeber nicht erforderlich, um seine oben genannten Rechte ausüben und seinen diesbezüglichen Pflichten nachkommen zu können. Dabei geht der [X.] davon aus, dass es sich in den Fällen, in denen „Verantwortlicher“ ein Arbeitgeber und „betroffene [X.]“ ein Arbeitnehmer sind, bei den Rechten und Pflichten aus dem Arbeitsrecht und dem Recht der [X.] Sicherheit und des Sozialschutzes um solche handeln muss, die dem Verantwortlichen und der betroffenen [X.] in ihrer Eigenschaft als Arbeitsvertragsparteien zustehen bzw. diese treffen. Die Rechte und Pflichten im S[X.]e von Art. 9 Abs. 2 Buchstabe b [X.] müssen demnach - nach Auffassung des [X.]s - unmittelbar aus dem diesen Arbeitgeber und diesen Arbeitnehmer verbindenden Arbeitsverhältnis resultieren. Danach war die Verarbeitung der Gesundheitsdaten des [X.] durch den [X.]n unter keinem der in Art. 9 Abs. 2 Buchstabe b [X.] genannten Gesichtspunkte erforderlich. Zum einen hatte der beklagte [X.] selbst keine Zweifel an der ärztlich bescheinigten Arbeitsunfähigkeit des [X.], für ihn stellte sich nicht die Frage, ob er dem Kläger zur Fortzahlung des Entgelts im Krankheitsfall verpflichtet war. Vielmehr ist der beklagte [X.] nach Ablauf des Entgeltfortzahlungszeitraums auf Veranlassung der Krankenkasse des [X.], die an diesen Krankengeld leistete, tätig geworden, weil diese Zweifel an der Arbeitsunfähigkeit des [X.] hatte. Zum anderen ist es nach nationalem Recht aus Gründen des Datenschutzes ausgeschlossen, dass ein Arbeitgeber im Fall einer ärztlich attestierten Arbeitsunfähigkeit des Arbeitnehmers mehr erfährt als den Umstand, dass eine Arbeitsunfähigkeit vorliegt und wie lange diese voraussichtlich andauern wird. Weitere Gesundheitsdaten - insbesondere die Krankheitsdiagnose(n) - darf der Arbeitgeber nicht erfahren. Dies gilt unabhängig davon, ob ein Medizinischer Dienst von der Krankenkasse mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Arbeitnehmers beauftragt wurde oder ob der Arbeitgeber selbst Zweifel an der Arbeitsunfähigkeit seines Arbeitnehmers hat und deshalb nach § 275 Abs. 1a Satz 3 SGB V von der Krankenkasse verlangt, dass diese eine gutachtliche Stellungnahme des [X.] einholt. Zwar kann die Krankenkasse nach § 277 Abs. 2 [X.] im Einzelfall verpflichtet sein, dem Arbeitgeber und dem Versicherten das Ergebnis des Gutachtens des [X.] über die Arbeitsunfähigkeit mitzuteilen; jedoch darf die Mitteilung keine Angaben über die Krankheit des Versicherten enthalten.

Der [X.] kann allerdings nicht beurteilen, ob sich der beklagte [X.] für die Verarbeitung der Gesundheitsdaten des [X.] im Zusammenhang mit der Erstellung der gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des [X.] auf den Ausnahmetatbestand des Art. 9 Abs. 2 Buchstabe h [X.] berufen kann. Nach dieser Bestimmung muss die Verarbeitung unter anderem für die Beurteilung der Arbeitsfähigkeit des Beschäftigten auf der Grundlage des [X.]srechts oder des Rechts eines Mitgliedstaats und vorbehaltlich der in Absatz 3 genannten Bedingungen erforderlich sein. Wie unter Rn. 9 ausgeführt, hat der [X.] nach § 275 Abs. 1 Satz 1 Nr. 3 Buchstabe b [X.] auf Veranlassung der Krankenkasse des [X.], die an diesen Krankengeld leistete und Zweifel an dessen Arbeitsunfähigkeit hatte, eine gutachtliche Stellungnahme zur Beseitigung dieser Zweifel erstellt. Damit könnte die Verarbeitung der Gesundheitsdaten des [X.] im Zusammenhang mit der Erstellung einer solchen gutachtlichen Stellungnahme gegebenenfalls für die Beurteilung der Arbeitsfähigkeit des [X.] im S[X.]e von Art. 9 Abs. 2 Buchstabe h [X.] erforderlich gewesen sein. Allerdings hat der [X.] erhebliche Bedenken, ob der [X.] sich in einer Situation wie hier überhaupt auf diese Bestimmung berufen kann. Eine Anwendbarkeit von Art. 9 Abs. 2 Buchstabe h [X.] im Ausgangsfall würde nämlich dazu führen, dass dem [X.]n, der sich - nach Auffassung des [X.]s - in seiner Eigenschaft als Arbeitgeber des [X.] für eine Verarbeitung der im Rahmen der gutachtlichen Stellungnahme anfallenden Gesundheitsdaten des [X.] nicht auf Art. 9 Abs. 2 Buchstabe b [X.] berufen kann, entgegen dieser Bestimmung wegen seiner Doppelfunktion als Arbeitgeber und als Medizinischer Dienst der Krankenkasse des [X.] eine weitergehende Datenverarbeitung erlaubt wäre. Im Übrigen spricht nach Auffassung des [X.]s alles dafür, dass die in Art. 9 Abs. 2 Buchstabe h [X.] geregelte Verarbeitung von Gesundheitsdaten eines Betroffenen durch eine neutrale Stelle und nicht durch den Arbeitgeber erfolgt. Der [X.] geht deshalb davon aus, dass ein Medizinischer Dienst im Fall seiner eigenen Beschäftigten von der Krankenkasse nicht mit der Erstellung einer gutachtlichen Stellungahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit dieser Beschäftigten beauftragt werden darf und dass er einen solchen Auftrag auch nicht annehmen darf. Vor diesem Hintergrund nimmt der [X.] an, dass Art. 9 Abs. 2 Buchstabe h [X.] dahin auszulegen sein könnte, dass es unter Umständen wie denen des [X.] einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten.

Insoweit ist im Übrigen anzumerken, dass im Ausgangsfall keine gravierend negativen praktischen Auswirkungen zu erwarten sind, wenn der [X.] - soweit seine eigenen Beschäftigten betroffen sind - nicht selbst die Aufgaben eines [X.] wahrnehmen darf. Wie bereits für körperliche Untersuchungen vom beklagten [X.] praktiziert, kann der gesamte Begutachtungsauftrag der Krankenkasse unproblematisch einem anderen Medizinischen Dienst bzw. dem [X.] der [X.] überlassen werden. Vorzugsweise sollte dies durch einen elektronischen Abgleich von Gutachtenaufträgen mit dem Verzeichnis der Beschäftigten sichergestellt werden. Nach Auffassung des [X.]s muss es nämlich bereits ausgeschlossen sein, dass eine bei dem [X.]n beschäftigte [X.] - ein Kollege bzw. eine Kollegin des [X.] - mit der Gutachtenanfrage und -ausführung einschließlich der damit verbundenen Datenverarbeitung befasst ist, und sei es auch nur in einer Eingangs- bzw. Auffangzuständigkeit. Angesichts der bei dem beklagten [X.] teilweise praktizierten standortübergreifenden Aufgabenwahrnehmung, insbesondere im Bereich der IT, geht der [X.] zudem davon aus, dass der Umstand, dass der beklagte [X.] verschiedene Standorte unterhält und eine „Organisationseinheit Spezialfall“ eingerichtet hat, nicht zu einer anderen Beurteilung führt.

Die zweite Vorlagefrage stellt sich nur dann, wenn der Gerichtshof die erste Frage verneint. Wenn Art. 9 Abs. 2 Buchstabe h [X.] unter Umständen wie denen des [X.] einem Medizinischen Dienst einer Krankenkasse nicht untersagen würde, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten, müsste nämlich geklärt werden, welche Anforderungen bei der Datenverarbeitung an den Datenschutz zu stellen sind.

Insoweit geht der [X.] davon aus, dass es nicht ausreichen würde, nur die in Art. 9 Abs. 3 [X.] bestimmten Maßgaben zu beachten. Es würde demnach nicht genügen, wenn die Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem [X.]srecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere [X.] erfolgt, die ebenfalls nach dem [X.]srecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt. Aus Sicht des [X.]s würde es zudem nicht ausreichen, wenn - wie im [X.] Recht durch § 35 Abs. 1 Satz 3 [X.] geregelt - Beschäftigte eines [X.] der Krankenversicherung, die [X.]alentscheidungen treffen oder daran mitwirken können, keinen Zugang zu den Daten des Beschäftigten haben dürfen, dessen Arbeitsunfähigkeit begutachtet wird. Vielmehr wäre aus Sicht des [X.]s sicherzustellen, dass von der für ein solches Gutachten erforderlichen Datenverarbeitung alle Beschäftigten ausgeschlossen sind, mit denen ein beruflicher Kontakt besteht bzw. bestehen kann. Bei einem Arbeitgeber mit mehreren Standorten - wie hier - wäre es bei einer strikten Standorttrennung - die hier nach den Umständen des Falls nicht gegeben ist - denkbar, dass mindestens zwei voneinander unabhängige „Organisationseinheiten Spezialfall“ eingerichtet sind, von denen jeweils diejenige Einheit zum Einsatz kommt, welcher der Beschäftigte, dessen Arbeitsunfähigkeit begutachtet wird, nicht angehört. Das würde in einem Fall wie hier voraussetzen, dass es auch getrennte IT-Abteilungen gäbe, was im Ausgangsfall nicht zutrifft. Eine Situation wie hier, in der Kollegen und Kolleg[X.]en der IT-Abteilung, in der auch der Kläger tätig ist, letztlich - berechtigt oder unberechtigt - Zugriff auf seine Gesundheitsdaten nehmen können, und es zudem nicht ausgeschlossen ist, dass der Kläger als Beschäftigter in einer standortübergreifenden IT-Abteilung zu einem späteren Zeitpunkt mit der seine Arbeits(un)fähigkeit begutachtenden Ärztin kollegial zusammenarbeiten muss, ist aus Sicht des [X.]s aus Gründen des Datenschutzes nicht h[X.]ehmbar. Daten, die sich auf den Gesundheitszustand einer betroffenen [X.] beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen [X.] hervorgehen (35. Erwägungsgrund der [X.]), verdienen nach der [X.] einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können (51. Erwägungsgrund der [X.]) und das Erreichen des Zwecks der Verarbeitung unter besonderen Anforderungen der Erforderlichkeit steht (53. Erwägungsgrund der [X.]). Eine Verletzung des Schutzes personenbezogener Gesundheitsdaten kann in einer Situation wie der vorliegenden unter anderem einen materiellen oder immateriellen Schaden für natürliche [X.]en nach sich ziehen, wie etwa den Verlust der Kontrolle über die eigenen personenbezogenen Daten, Diskriminierung und Rufschädigung (75. Erwägungsgrund der [X.]).

Aus Sicht des [X.]s können in einer kollegialen Situation wie hier insbesondere Sicherungsmaßnahmen nicht ausreichen, die die in die Datenverarbeitung einbezogenen Kollegen und Kolleg[X.]en lediglich zum Schweigen verpflichten. Deshalb reichen weder die ärztliche Schweigepflicht noch das sogenannte [X.] (§ 35 [X.]) aus, das vor unbefugter Datenverarbeitung durch die Leistungsträger schützt und die Verpflichtung umfasst, auch [X.]erhalb des Leistungsträgers sicherzustellen, dass die [X.] nur Befugten zugänglich sind oder nur an diese weitergegeben werden. Sicherungsmaßnahmen wie diese sind allein darauf gerichtet, die Weitergabe von Daten zu verhindern. Sie können jedoch nicht dem Risiko begegnen, dass das betroffene kollegiale Verhältnis durch die Kenntnisnahme von sensiblen, nicht freiwillig preisgegebenen Gesundheitsdaten negativ beeinflusst wird. Risiken sind unter anderem, dass - je nach Art der Krankheit - der Ruf geschädigt wird, das Ansehen bzw. die Reputation leidet und/oder dass die begutachtete [X.] für sie peinlichen Situationen ausgesetzt ist bzw. dies so empfindet. Insbesondere im Ausgangsfall ist nicht nur zu bedenken, dass Depressionen in der [X.] nicht selten als „heikles Thema“ bzw. „Tabuthema“ angesehen werden und damit auch Annahmen anderer über die Leistungsfähigkeit verbunden sein können. Darüber hinaus ist allein schon der Umstand einer gutachtlichen Überprüfung wegen Zweifeln an einer Arbeitsunfähigkeit eine sensible Information, da damit auch die Möglichkeit der Vortäuschung einer Arbeitsunfähigkeit assoziiert werden kann.

Aus Sicht des [X.]s ist es deshalb erforderlich, durch technische und organisatorische Maßnahmen sicherzustellen, dass keine bei einem Medizinischen Dienst beschäftigte [X.] - auch nicht Beschäftigte mit Eingangs- bzw. Auffangzuständigkeit beispielsweise in einer Poststelle - Zugang zu den hier in Rede stehenden Gesundheitsdaten von Kollegen oder Kolleg[X.]en haben. Dazu gehört es auch, dass der bloße Umstand einer anstehenden Überprüfung einer Arbeitsunfähigkeit keiner bei dem jeweiligen Medizinischen Dienst beschäftigten [X.] bekannt werden darf. Der beklagte [X.] wäre deshalb aus Sicht des [X.]s verpflichtet gewesen sicherzustellen, dass Aufträge der Krankenkasse, die eigene Beschäftigte betreffen, von vornherein - etwa durch einen automatisierten softwarebasierten Abgleich von eingehenden Aufträgen mit dem Beschäftigtenverzeichnis - nicht angenommen werden. Darüber hinaus ist der [X.] im Übrigen der Auffassung, dass die Systeme der Datenverarbeitung für sensible Gesundheitsdaten durch höchste Standards vor Angriffen jeglicher Art von [X.]en und außen zu schützen sind, um eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten (vgl. etwa Art. 5 Abs. 1 Buchstabe f [X.]).

Auch die dritte Vorlagefrage stellt sich nur dann, wenn der Gerichtshof die erste Frage verneint. Wenn Art. 9 Abs. 2 Buchstabe h [X.] unter Umständen wie denen des [X.] einem Medizinischen Dienst einer Krankenkasse nicht untersagen würde, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten, dann müsste auch geklärt werden, ob die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon abhängt, dass mindestens eine der in Art. 6 Abs. 1 [X.] genannten Voraussetzungen erfüllt ist.

Der [X.] geht für den Fall, dass keine Ausnahme nach Art. 9 Abs. 2 [X.] von dem in Art. 9 Abs. 1 [X.] bestimmten Verbot der Verarbeitung von Gesundheitsdaten des [X.] besteht, davon aus, dass die Datenverarbeitung untersagt ist und auch nicht nach Art. 6 Abs. 1 [X.] „erlaubt“ werden kann. Nicht geklärt ist allerdings bislang, ob in dem Fall, dass einer der Tatbestände des Art. 9 Abs. 2 [X.] erfüllt ist, die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon abhängt, dass mindestens eine der in Art. 6 Abs. 1 [X.] genannten Voraussetzungen erfüllt ist. Für diesen Fall weist der [X.] auf Folgendes hin:

Im Ausgangsfall liegt weder eine Einwilligung des [X.] als betroffener [X.] zu der Verarbeitung seiner Gesundheitsdaten vor (Art. 6 Abs. 1 Buchstabe a [X.]), noch ist die Verarbeitung der in Rede stehenden Gesundheitsdaten des [X.] für die Erfüllung des Arbeitsvertrags der Parteien des Ausgangsrechtsstreits erforderlich (Art. 6 Abs. 1 Buchstabe b [X.]). Von den weiteren in Art. 6 Abs. 1 [X.] abschließend aufgeführten Voraussetzungen kommen zwei, nämlich die in Art. 6 Abs. 1 Buchstaben d und f [X.] aufgeführten, von vornherein nicht in Betracht.

Die übrigen zwei in Art. 6 Abs. 1 [X.] aufgeführten Tatbestände könnten zwar womöglich grundsätzlich anwendbar sein. Danach muss die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich sein, der der Verantwortliche unterliegt (Art. 6 Abs. 1 Buchstabe c [X.]) oder sie muss für die Wahrnehmung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt und die dem Verantwortlichen übertragen worden ist (Art. 6 Abs. 1 Buchstabe e [X.]). Allerdings spricht aus Sicht des [X.]s viel dafür, dass es in beiden Fällen an der Erforderlichkeit der Datenverarbeitung durch den [X.]n fehlt. Das Ziel, mittels einer gutachtlichen Stellungnahme Zweifel an der Arbeitsunfähigkeit eines Beschäftigten auszuräumen, kann nämlich ebenso gut durch das Tätigwerden eines anderen [X.] oder des [X.]es der [X.] erreicht werden. Deren Befassung mit der hier streitgegenständlichen Datenverarbeitung hätte den Vorteil, dass nicht der eigene Arbeitgeber unter Einbeziehung von Kollegen und Kolleg[X.]en sensible Gesundheitsdaten verarbeitet, zu denen der jeweilige Medizinische Dienst in seiner Eigenschaft als Arbeitgeber keinen Zugang hat. Da somit das angestrebte Ziel auch auf einem anderen Weg erreicht werden kann, der den Schutz der sensiblen Gesundheitsdaten besser gewährleistet, ginge die bei dem beklagten [X.] erfolgte Verarbeitung der Gesundheitsdaten des [X.] über das hinaus, was erforderlich ist. Zudem könnte der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c [X.]) berührt sein.

Sofern sich auf der Grundlage der Antworten des Gerichtshofs auf die ersten drei Fragen ergeben sollte, dass im Ausgangsfall ein Verstoß, gegebenenfalls sogar mehrere Verstöße gegen die [X.] im S[X.]e von Art. 82 Abs. 1 [X.] festzustellen ist/sind - wobei fraglich sein könnte, nach welchen Kriterien solche gegebenenfalls im S[X.]e der [X.] abzugrenzen wären -, wäre davon auszugehen, dass der Kläger dem Grunde nach einen Anspruch gegen den [X.]n auf Schadenersatz nach Art. 82 Abs. 1 [X.] hätte.

Insoweit geht der [X.] in Kenntnis des Vorabentscheidungsersuchens des Obersten Gerichtshofs ([X.]) (- [X.]/21 -) davon aus, dass Art. 82 Abs. 1 [X.] ein Recht auf Schadenersatz nur für [X.]en vorsieht, die selbst wegen der Verletzung einer oder mehrerer Bestimmungen der [X.] bei der Verarbeitung „ihrer“ personenbezogenen Daten (vgl. 2. Erwägungsgrund der [X.]) in ihren (subjektiven) Rechten verletzt worden sind, die also selbst Opfer eines Verstoßes bzw. mehrerer Verstöße gegen die [X.] geworden sind. Ferner geht der [X.] davon aus, dass der Rechtsanspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 [X.] über eine solche Verletzung der [X.] hinaus nicht zusätzlich erfordert, dass die verletzte [X.] einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Sie muss also aus Sicht des [X.]s keine „Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht“ (vgl. dazu jedoch die dritte Vorlagefrage des Vorabentscheidungsersuchens des Obersten Gerichtshofs ([X.]) - [X.]/21 -) darlegen. Nach Auffassung des [X.]s führt demnach bereits die Verletzung der [X.] selbst zu einem auszugleichenden immateriellen Schaden.

Unabhängig davon hängt die Entscheidung des vorliegenden Rechtsstreits nach Auffassung des [X.]s nicht davon ab, wie der Gerichtshof die dritte Vorlagefrage des Vorabentscheidungsersuchens des Obersten Gerichtshofs ([X.]) (- [X.]/21 -) beantwortet. Selbst wenn der Gerichtshof zu dem Ergebnis käme, dass ein Anspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 [X.] voraussetzt, dass „eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht“, wenn also eine Verletzung des Anspruchstellers von einigem Gewicht gegeben sein bzw. eine Verletzung eine gewisse Erheblichkeitsschwelle überschritten haben müsste, stünde dies einem Schadenersatzanspruch des [X.] nicht entgegen. Insoweit geht der [X.] nämlich davon aus, dass im vorliegenden Fall die Grenze einer erheblichen Rechtsverletzung (weit) überschritten ist.

Mit seiner vierten Vorlagefrage möchte der [X.] wissen, ob Art. 82 Abs. 1 [X.] neben seiner Ausgleichsfunktion zudem spezial- bzw. general-präventiven Charakter hat und ob der [X.] dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 [X.] zulasten des Verantwortlichen (bzw. Auftragsverarbeiters) zu berücksichtigen hat.

Nach dem 146. Erwägungsgrund der [X.] sollen die betroffenen [X.]en einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Dabei geht der [X.] davon aus, dass bei der Bemessung des immateriellen Schadenersatzes durch das Gericht alle Umstände des Einzelfalls zu berücksichtigen sind - hier gegebenenfalls auch die spätere Kündigung des Arbeitsverhältnisses des [X.] - und dass ein tatsächlicher und wirksamer rechtlicher Schutz der aus der [X.] hergeleiteten Rechte gewährleistet werden soll. Deshalb könnte es darauf ankommen, dass - wie in anderen Bereichen des [X.]srechts - die Höhe eines immateriellen Schadenersatzes der Schwere des mit ihm geahndeten Verstoßes gegen die [X.] entspricht, wobei vermutlich eine wirklich abschreckende Wirkung - gegebenenfalls mit spezial- bzw. generalpräventivem Charakter - zu gewährleisten, zugleich aber der allgemeine Grundsatz der Verhältnismäßigkeit zu wahren wäre (vgl. zu anderen Bereichen des [X.]srechts etwa: [X.] 15. April 2021 - [X.]/19, [X.]:[X.] - [Braathens Regional Aviation] Rn. 38; 25. April 2013 - C-81/12, [X.]:C:2013:275 - [[X.]] Rn. 63).

Neben dem damit unter anderem angesprochenen Grundsatz der Effektivität könnte bei der Höhe eines immateriellen Schadenersatzes zudem der Grundsatz der Äquivalenz zu berücksichtigen sein. Dabei geht der [X.] zwar davon aus, dass Art. 82 [X.] keine Verweisung auf das Recht der Mitgliedstaaten der [X.] enthält und in der gesamten [X.] eine autonome und einheitliche Auslegung erfahren muss. Gleichwohl könnten angesichts womöglich in der Praxis unterschiedlich hoher Entschädigungsbeträge in den Mitgliedstaaten in vergleichbaren Fällen bei der Höhe eines immateriellen Schadenersatzes Gesichtspunkte der Äquivalenz zu berücksichtigen sein (vgl. insoweit auch zur Befugnis der Mitgliedstaaten, entsprechende Kriterien zur Staatshaftung für Schäden, die Einzelnen durch Verstöße gegen das [X.]srecht verursacht werden, zu bestimmen: ua. [X.] 19. November 1991 - [X.]/90 und [X.], [X.]:[X.] - [[X.] ua.] Rn. 42 f.; 5. März 1996 - [X.]/93 und [X.]/93, [X.]:[X.] - [Brasserie du pêcheur und Factortame] Rn. 67).

Mit seiner fünften Vorlagefrage möchte der [X.] wissen, ob es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 [X.] auf den Grad des Verschuldens des Verantwortlichen (bzw. Auftragsverarbeiters) ankommt. In diesem Zusammenhang ist insbesondere fraglich, ob ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen (bzw. Auftragsverarbeiters) zu dessen Gunsten berücksichtigt werden darf.

Diese Frage stellt sich für den [X.] insbesondere vor dem Hintergrund des [X.] Zivilrechts, in dem es neben verschuldensunabhängigen [X.] auch verschuldensabhängige gibt, wobei das Verschulden im nationalen allgemeinen Schuldrecht mit „Vertretenmüssen“ bezeichnet wird. Insoweit ist in § 276 Abs. 1 Satz 1 BGB geregelt, dass der Schuldner in der Regel Vorsatz und Fahrlässigkeit zu vertreten hat, wenn nicht eine strengere oder mildere Haftung bestimmt ist. Würde für Art. 82 Abs. 1 [X.] ähnliches gelten, müsste für eine Haftung zu dem bloßen Verstoß gegen die [X.] etwas Weiteres hinzutreten, nämlich die subjektive [X.] wegen Vorsatz oder Fahrlässigkeit. Der [X.] nimmt allerdings an, dass die Haftung des Verantwortlichen (bzw. Auftragsverarbeiters) nach Art. 82 Abs. 1 [X.] verschuldensunabhängig ist, also diese Bestimmung die Haftung des Urhebers eines Verstoßes keineswegs vom Vorliegen oder dem Nachweis eines Verschuldens abhängig macht (vgl. zu anderen Bereichen des [X.]srechts etwa: [X.] 22. April 1997 - [X.]/95, [X.]:C:1997:208 - [[X.]] Rn. 17; 8. November 1990 - [X.]/88, [X.]:C:1990:383 - [[X.]] Rn. 22). Wie unter Rn. 33 ausgeführt, geht der [X.] davon aus, dass bereits die Verletzung der [X.] als solche für einen Anspruch nach Art. 82 Abs. 1 [X.] ausreicht.

Schließlich ist der [X.] der Auffassung, dass sich insoweit aus Art. 82 Abs. 3 [X.] nichts Abweichendes ergibt. Die darin enthaltene Bestimmung, wonach bei Nachweis der Nichtverantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist, eine Befreiung von der Haftung eintritt, betrifft nach Auffassung des [X.]s nicht das Verschulden im S[X.]e eines „[X.]“. Art. 82 Abs. 3 [X.] betrifft vielmehr lediglich die Frage nach einer „Beteiligung“ (im S[X.]e von: „beteiligt“ oder „nicht beteiligt“) - etwa in von außen schwer durchschaubaren Datenverarbeitungszusammenhängen mit mehreren potentiellen Beteiligten - bzw. die Frage nach der Urheberschaft im S[X.]e der Kausalität. Letzteres kann beispielsweise anzunehmen sein, wenn der haftungsbegründende Umstand auf einem unzulässigen Zugriff eines [X.] beruht, der trotz aller gebotenen Sicherheitsmaßnahmen Erfolg hatte ([X.] in [X.]/[X.]/[X.]/Sommer [X.]-[X.] und BDSG 2. Aufl. [X.] Art. 82 Rn. 24 mwN).