DATENSCHUTZ IM BETRIEBSRAT

Gegenwärtig finden in zahlreichen Unternehmen die Betriebsratswahlen statt. Dies nehmen wir zum Anlass, um im Rahmen unseres aktuellen Blog-Beitrages einen Überblick über datenschutzrechtliche Themen mit Bezug zur Betriebsratstätigkeit zu geben. Gerade aufgrund der besonderen Stellung und der damit einhergehenden Vertrauensposition des Betriebsrates, ist es für alle Angehörigen des Betriebsrates wichtig, sowohl die datenschutzrechtlichen Rechte und Pflichten als auch die jeweiligen Grenzen der jeweiligen Datenverarbeitungen zu kennen.


WER IST DATENSCHUTZRECHTLICH VERANTWORTLICH?

Für die Gewährleistung der Einhaltung der datenschutzrechtlichen Normierungen ist grundsätzlich die verantwortliche Stelle im Sinne des Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO) zuständig. Als verantwortliche Stelle versteht die DS-GVO jene Stelle, welche über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Lange Zeit war umstritten, ob der Betriebsrat nach dieser Definition eine eigene verantwortliche Stelle bildet. Klarstellung erfolgte im Jahr 2021 durch den § 79a Betriebsverfassungsgesetz (BetrVG). In der Norm heißt es: „Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“


WELCHE DATENSCHUTZRECHTLICHEN MITWIRKUNGSPFLICHTEN BESTEHEN?

Auch wenn der Arbeitgeber zunächst als verantwortliche Stelle zu bezeichnen ist, treffen den Betriebsrat Mitwirkungspflichten. Einerseits hat sich der Betriebsrat gemäß § 79a Satz 1 BetrVG an die jeweils geltenden datenschutzrechtlichen Normen zu halten. Andererseits besteht gemäß § 79a Satz 3 BetrVG die Pflicht zur gegenseitigen Unterstützung zwischen Arbeitgeber und Betriebsrat. Eine solche Unterstützung kann durch den Betriebsrat beispielsweise im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO erfolgen: Der Betriebsrat fertigt eine entsprechende Dokumentation der – aus Sicht des Betriebsverfassungsgesetztes – in seiner Verantwortung liegenden Verarbeitungstätigkeiten an. Der Arbeitgeber unterstützt den Betriebsrat beispielsweise wiederum in der Schaffung ausreichend technischer und organisatorischer Maßnahmen, z.B. die Bereitstellung abschließbarer Schränke. Darüber ist es ratsam auch bei der Umsetzung der datenschutzrechtlichen Anforderungen eine vertrauensvolle Zusammenarbeit im Sinne des § 2 Abs. 1 BetrVG zu wahren.


IST DER DATENSCHUTZBEAUFTRAGTE DES UNTERNEHMENS AUCH FÜR DEN BETRIEBSRAT ZUSTÄNDIG?

Die Aufgabe des Datenschutzbeauftragten umfasst, insbesondere hinsichtlich Art. 39 Abs. 1 lit. a) DS-GVO, ebenfalls die Unterrichtung und Beratung des Betriebsrates. Dabei ist die besondere Verschwiegenheitsverpflichtung gemäß § 79a Satz 4 BetrVG gegenüber dem Arbeitgeber zu beachten. Diese umfasst sämtliche Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrates zulassen. Ergänzend hierzu gelten § 6 Abs. 5 Satz 2 Bundesdatenschutzgesetz (BDSG) sowie § 38 Abs. 2 BDSG im Verhältnis zwischen Datenschutzbeauftragten und Arbeitgeber. Der Datenschutzbeauftragte des Unternehmens kann somit auch durch den Betriebsrat in Anspruch genommen werden.


KÖNNEN ANGEHÖRIGE DES BETRIEBSRATES DATENSCHUTZBEAUFTRAGTE SEIN?

Dem Datenschutzbeauftragten obliegen die Überwachung und Kontrolle der Einhaltung des Datenschutzrechts innerhalb der verantwortlichen Stelle. Wie bereits dargestellt, umfasst dies neben der Beratung aller Beschäftigten ebenfalls der Beratung des Betriebsrates. Hierin wird teilweise eine Interessenkollision gesehen, wenn eine Person zugleich die Positionen des Datenschutzbeauftragten und des Betriebsratsmitgliedes innehat. Während das Bundearbeitsgericht im Jahr 2011 (Urteil vom 23. März 2011 – AZR 562/09) eine solche Interessenkollision verneinte, wurde in einem aktuellen Verfahren des Bundesarbeitsgerichts dem Europäischen Gerichtshof unter anderem die Frage vorgelegt, ob die gleichzeitige Ausübung der Position des Datenschutzbeauftragten und des Betriebsratsmitglieds zu einer Interessenkollision führen können. Eine rechtssichere Beantwortung der Frage ist demnach erst nach einer Entscheidung des Europäischen Gerichtshof möglich.


MUSS DER BETRIEBSRAT GESONDERT ZUR VERSCHWIEGENHEIT VERPFLICHTET WERDEN?

Zwar ergibt sich nicht direkt aus den Normen der DS-GVO die Pflicht zur Verpflichtung von Beschäftigten auf Verschwiegenheit, jedoch kann eine solche mittelbar aus Art. 5 DS-GVO (Grundsätze für die Verarbeitung personenbezogener Daten) sowie Art. 29 DS-GVO (Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters) herausgelesen werden. Darüber hinaus gilt für Angehörige des Betriebsrates eine gesetzliche Verschwiegenheitsverpflichtung aus § 79 Abs. 1 BetrVG sowie aus § 79a BetrVG. Einer zusätzlichen Verpflichtung bedarf es darüber hinaus nicht zwingend. Zu empfehlen ist jedoch die Sensibilisierung der Angehörigen des Betriebsrates mittels Sensibilisierungen und Schulungen zum Thema Datenschutz im Betriebsrat.


WELCHE PERSONENBEZOGENEN DATEN DÜRFEN DURCH DEN BETRIEBSRAT VERARBEITET WERDEN?

Grundsätzlich dürfen durch den Betriebsrat all diejenigen personenbezogenen Daten verarbeitet werden, welche zur Wahrnehmung der Aufgaben des Betriebsrates zwingend benötigt werden, vgl. § 26 Abs. 1 Satz 1 BDSG. Erforderlich ist hierbei jedoch, dass die Aufgabenzuweisung an den Betriebsrat einen konkreten Informationsfluss zu Gegenstand hat, z.B. § 80 Abs. 2 Satz 2 Hs. 2 BetrVG oder § 102 Abs. 1 BetrVG. In diesem Zusammenhang sind insbesondere der Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b) DS-GVO), der Datenminimierung (Art. 5 Abs. 1 lit. c) DS-GVO sowie der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DS-GVO) zu beachten. Nicht immer ist es zwingend erforderlich, dass der Betriebsrat zur Wahrnehmung seiner Aufgaben personenbezogene Daten erhält. Beispielsweise im Rahmen der Überprüfung von Arbeitszeiten sind im ersten Schritt Übersichten ohne Personenbezug ausreichend. Sollten daraufhin Abweichungen oder Gesetzesverstöße festgestellt werden, kann der Betriebsrat im zweiten Schritt eine personenbezogene Arbeitszeitübersicht der betreffenden Abteilung erhalten. Außerdem besteht im Rahmen des § 26 Abs. 4 BDSG die Möglichkeit, dass zur Verarbeitung personenbezogener Daten von Beschäftigten Betriebsvereinbarungen zwischen Arbeitgeber und Betriebsrat geschlossen werden.


WELCHE AUFBEWAHRUNGSFRISTEN GELTEN FÜR UNTERLAGEN DES BETRIEBSRATES?

Zunächst ist festzuhalten, dass keine spezialgesetzlich vordefinierten Aufbewahrungsfristen für Betriebsratsunterlagen bestehen. Die Handhabung richtet sich somit nach den allgemeinen datenschutzrechtlichen Bestimmungen und ist hinsichtlich des jeweiligen Einzelfalls entsprechend auszulegen. Anzuführen sind hierbei insbesondere die Grundsätze für die Verarbeitung personenbezogenen Daten gemäß Art. 5 Abs. 1 DS-GVO sowie das Recht auf Löschung gemäß Art. 17 Abs. 1 DS-GVO. Betriebsräte dürfen damit personenbezogene Daten so lange verarbeiten, wie es zwingend erforderlich ist. Anschließend besteht eine rechtliche Verpflichtung zur Löschung (Art. 17 Abs. 1 lit. a) DS-GVO), sofern nicht gesetzliche Aufbewahrungsfristen einer Löschung entgegenstehen (Art. 17 Abs. 3 lit. b) DS-GVO). Konkret kann damit beispielsweise Folgendes argumentiert werden:

– Wahlunterlagen sind bis zum Ende der jeweiligen Amtsperiode aufzubewahren.

– Protokolle sind aufzubewahren, solange sie eine rechtliche Bedeutung besitzen (z.B. Betriebsvereinbarungen). Im Rahmen von Protokollen sollten möglichst wenig personenbezogene Daten angegeben werden. Dementsprechend kann somit auch eine Übergabe an den nachfolgenden Betriebsrat argumentiert werden. Gegebenenfalls hat der neue Betriebsrat zu überprüfen, ob eine weitere Aufbewahrung erforderlich ist.

– Dokumentationen zu Maßnahmen sind in der Regeln nach Beendigung der Maßnahmen zu löschen, sofern diese nicht gegebenenfalls im Rahmen einer Beweisführung mit hoher Wahrscheinlichkeit voraussichtlich benötigt werden (Art. 17 Abs. 3 lit. e) DS-GVO) oder eine gesetzliche Aufbewahrungspflicht besteht. Nur dann kann eine Weitergabe an den neuen Betriebsrat im Einklang mit den datenschutzrechtlichen Bestimmungen erfolgen.

Sofern Unterlagen (z.B. zu abgeschlossenen Maßnahmen) aufbewahrt werden müssen, sind diese getrennt von aktuellen Unterlagen (z.B. laufender Maßnahmen) aufzubewahren (sogenannte „Einschränkung der Verarbeitung“, auch „Archivierung“). Eine Vernichtung von personenbezogenen Unterlagen darf ausschließlich über ein Entsorgungsunternehmen oder eigenständig mittels eines Aktenvernichters (Schutzstufe P-4) erfolgen.


WELCHE TECHNISCHEN UND ORGANISATORISCHEN MAßNAHMEN SIND UMZUSETZEN?

Art. 32 DS-GVO fordert eine der Datenverarbeitung sowie der damit einhergehenden Risiken angemessene Sicherheit der Verarbeitung. Da die im Rahmen der Betriebsratstätigkeit verarbeiteten personenbezogenen Daten in der Regel als besonders schützenswert anzusehen sind, sind diese bestmöglich vor einer Zugriffsmöglichkeit Unbefugter zu sichern. Dies umfasst beispielsweise die Nutzung abschließbarer Räumlichkeiten, die Verwahrung von Unterlagen in abschließbaren Schränken sowie die Verwendung gesonderter, zugriffsgeschützter Laufwerke. Der Betriebsrat als Gremium sollte über ein gesondertes E-Mail-Funktionspostfach verfügen, die Übermittlung von Unterlagen per E-Mail sollte zumindest in Form passwortgeschützter Anlagen erfolgen, wobei die Passwörter nicht über das gleiche Medium zu übermitteln sind. Die Bereitstellung ausreichender technischer und organisatorischer Maßnahmen obliegt der Verantwortung des Arbeitgebers, die entsprechende Handhabung der Verantwortung des Betriebsrates.


FAZIT

Mit der Tätigkeit im Betriebsrat geht auch im Rahmen des Datenschutzrechts eine besondere Verantwortung einher. Das jeweilige Unternehmen und der Betriebsrat haben sich bei der Einhaltung des Datenschutzrechts gegenseitig zu unterstützen, hierbei wird auch der Datenschutzbeauftragte des Unternehmens tätig. Zur Gewährleistung der jeweiligen Anforderungen ist eine spezielle Schulung der Betriebsratsmitglieder zu empfehlen. Sie wünschen sich eine Beratung oder Schulung zum Thema Datenschutz im Betriebsrat? Sprechen Sie uns gerne an!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.


TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Wir sehen es als unsere Aufgabe an, möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 14. Juni 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Beschäftigtendatenschutz
  • Betriebsrat
  • Betriebsverfassungsgesetz
  • Datenschutzbeauftragter
  • Verantwortlichkeit
Lesen

WHISTLE-BLOWING-RICHTLINIE

Die „Whistleblowing-Richtlinie“ – Richtlinie (EU) 2019/1937 des Europäischen Parlamentes und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden – dient einerseits dem Schutz von Hinweisgebenden, die Verstöße gegen EU-Recht melden wollen und verpflichten andererseits öffentliche und private Organisationen sowie Behörden dazu, sichere Kanäle für die Meldung von Missständen einzurichten. Die Vorgaben der EU-Richtlinie sowie die datenschutzrechtlichen Implikationen soll der nachfolgende Beitrag aufzeigen.


INHALTE DER RICHTLINIE

Unternehmen mit mehr als 50 Beschäftigten müssen interne Meldekanäle einrichten. Das Meldeverfahren lässt sich im Wesentlichen in drei Stufen unterteilen:

(1) Interne Meldung,
(2) Meldung an die zuständige Behörde,
(3) Meldung an die Öffentlichkeit.

Gemäß Art. 9 RL-EU 2019/1937 müssen die Meldekanäle eine Meldung in schriftlicher, mündlicher oder persönlicher Form ermöglichen. Jegliche übermittelte Information bedarf der Dokumentation in schriftlicher Form oder durch die Erstellung einer Tonaufzeichnung in dauerhafter und abrufbarer Form, jedoch muss nicht befugten Beschäftigten der Zugriff darauf verwehrt bleiben. Von besonderer Bedeutung ist der Schutz der Vertraulichkeit der Identität des Meldenden.

Das Unternehmen soll den Hinweisgebenden innerhalb von 3 Monaten nach Meldung umfassend unterrichten, wie mit dem Hinweis verfahren wurde und welche Folgemaßnahmen das Unternehmen geplant und ergriffen hat. Weiterhin besteht ein umfangreiches Verbot von Repressalien (z. B. Suspendierung, Kündigung, Herabstufung oder Versagung einer Beförderung, Nötigung, Einschüchterung, Mobbing oder Ausgrenzung, aber auch Nichtverlängerung befristeter Arbeitsverträge, Rufschädigung etc.). Auch gilt nunmehr eine Beweislastumkehr: Bisher mussten Hinweisgebende den Zusammenhang zwischen Meldung und Benachteiligung im Streitfall nachweisen. Nun muss Arbeitgeber bzw. das Unternehmen den (abweichenden) Grund für eine vermeintliche Benachteiligung darlegen und gegebenenfalls beweisen. Weiterhin ist kein Vorrang des internen vor dem externen Whistleblowing mehr vorgesehen, d.h. der Hinweisgebende muss den Hinweis nicht erst an das Unternehmen geben, sondern kann sich unmittelbar an externe Stellen wenden. Dabei sind die Motive des Hinweisgebenden irrelevant, d. h. selbst Hinweisgebende, die nur in der Absicht handeln, das Unternehmen zu schädigen, sind geschützt.

Vorgesehen sind Sanktionen für Unternehmen, die Meldungen behindern oder dies zumindest versuchen, Repressalien ergreifen oder die Identität des Hinweisgebenden unberechtigt preisgeben. Darüber hinaus wird ein Schadensersatzanspruch des Hinweisgebenden geschaffen.


DATENSCHUTZRECHTLICHE IMPLIKATIONEN

Die Meldung von Missständen birgt ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen. Nach Auffassung der Datenschutzkonferenz (DSK) lässt sich ein Whistleblowing-Meldeverfahren unter besonderer Berücksichtigung des von dem Unternehmen verfolgten Zwecks und der Einrichtungsmodalitäten datenschutzgerecht gestalten und betreiben (vgl. dazu „Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotline: Firmeninterne Warnsysteme und Beschäftigtendatenschutz“ Stand 14. November 2018). Da es sich bei Whistleblowing-Systemen um Verfahren nach Art. 38 Abs. 1 DS-GVO handelt, ist der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden.

Bekanntlich sind EU-Richtlinien in nationales Recht umzusetzen. Das ist hinsichtlich der Whistleblowing-Richtlinie in Deutschland bislang nicht erfolgt. Die Richtlinie hätte bis 17.12.2021 in nationales Recht umgesetzt werden müssen. Die neue Bundesregierung ist sich ihrer Umsetzungspflicht bewusst, ein konkreter Umsetzungszeitraum wird in dem Koalitionsvertrag allerdings nicht genannt. Mithin stellt sich die Frage, welche Wirkung die Whistleblower-Richtlinie bis zur Verabschiedung eines Umsetzungsgesetzes entfaltet. Grundsätzlich gilt, dass EU-Richtlinien keine unmittelbare Wirkung entfalten, sondern eines nationalen Umsetzungsaktes bedürfen. Daraus folgt für die Privatwirtschaft eine eindeutige Rechtslage im Hinblick auf die verpflichtende Einrichtung interner Hinweisgeber-Systeme: Unter Zugrundelegung der ständigen Rechtsprechung des Europäischen Gerichtshofs (EuGH) führt die Whistleblower-Richtlinie zu keiner unmittelbaren Einrichtungspflicht für natürliche und juristische Personen des Privatrechts.

Anders beurteilt sich die Lage für juristische Personen des öffentlichen Rechts. In Abgrenzung zu Privatpersonen nimmt der Unionsgesetzgeber mit der Einrichtungspflicht für den öffentlichen Bereich staatliche Akteure bzw. mit staatlichen Aufgaben betraute Stellen/Einrichtungen in die Pflicht. Für diese ist eine unmittelbare Wirkung von Richtlinienvorgaben nicht ausgeschlossen. Zudem normiert Art. 9 RL-EU 2019/ 1937 weitestgehend konkrete und inhaltlich unbedingte Vorgaben für die Gestaltung interner Hinweisgeber-Systeme. Die Einrichtungspflicht für juristische Personen des öffentlichen Rechts wirkt daher seit dem 18.12.2021 unmittelbar.

Für Unternehmen bleibt es auch 2022 wichtig, die Gesetzgebung im Auge zu behalten. Das deutsche Hinweisgeberschutzgesetz wird kommen. Die wesentlichen Anforderungen an Unternehmen und Behörden können der EU-Whistleblower-Richtlinie bereits entnommen werden. Prüfen Sie, welche der genannten Meldewege am praktikabelsten ins Unternehmen passen und bereiten Sie sich frühzeitig auf die Umsetzung unter Berücksichtigung datenschutzrechtlicher Anforderungen vor.

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie/Handel/Dienstleistung, spezialisiert Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Wir sehen es als unsere Aufgabe an, möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 05. April 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Beschäftigtendatenschutz
  • Datenschutzkonferenz
  • Hinweisgeber
  • Whistleblowing
  • Whistleblowing-Richtlinie
Lesen

WIR SUCHEN DICH! – ABER NUR MIT EINEM PSYCHOLOGISCHEN TEST (2)

Zahlreiche Unternehmen setzen bei der Suche nach neuen Mitarbeitern auf die Ergebnisse von psychologischen Testverfahren. Aus gutem Grund, denn Ergebnisse aus psychologischen Einschätzungen können bei der Wahl des Interessenten das Risiko minimieren, sich für die falsche Person zu entscheiden. In Teil I haben wir ausführlich die Frage diskutiert, ob die Durchführung von psychologischen Testverfahren datenschutzrechtlich in den Definitionsbereich des Profilings fällt. Nach eingehender Analyse sind wir auf das Ergebnis gekommen, dass die Voraussetzungen des Profilingbegriffs zutreffen.

Allerdings werfen solche Testverfahren bei näherer Betrachtung weitere Fragen auf, beispielsweise wie die hierbei entstehenden Informationen zu kategorisieren sind. Diese Frage gewinnt weiter an Brisanz, wenn klar wird, dass es sich um besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DS-GVO handeln könnte. Sollten diese Informationen tatsächlich besondere Kategorien von Daten darstellen, entstehen Unternehmen während und nach der Bewerbungsphase besonders strenge Pflichten beim Umgang mit den Daten der Bewerber:innen.


BESONDERE KATEGORIEN VON DATEN?

Psychologische Testverfahren analysieren teilnehmende Personen in verschieden Aspekten ihrer Persönlichkeit und erstellen daraus Persönlichkeitsprofile. Es gibt einige verbreitete und anerkannte psychologische Testverfahren, die jeweils verschiedene Werkzeuge nutzen, um die Persönlichkeit von Teilnehmern darzustellen. In den meisten Fällen nutzen sie Fragebögen, welche von den Teilnehmer:innen beantwortet werden müssen. Anhand der Art und Weise, wie die Teilnehmer:innen diese Fragen beantworten, kann die Persönlichkeit zumindest in einigen relevanten Aspekten ermittelt und in für Dritte verständliche Profile dargestellt werden. In solchen Testverfahren werden zumeist Fragen zur Motivation, psychischen Stärke, Teamfähigkeit, Belastbarkeit und Verhalten etc. gestellt.

Es besteht Grund zur Annahme, dass psychologische Gutachten als besondere Kategorien von Daten einzustufen sind. Um das herauszufinden, muss zunächst geklärt werden, ob Daten, welche mithilfe von psychologischen Testverfahren und deren Auswertung Informationen über die Gesundheit und „Arbeitsfähigkeit“ einer Person preisgeben und somit unter das Schutzregime des Art. 9 Abs. 1 DS-GVO fallen. Es stellt sich somit die Frage, ob ein psychologisches Gutachten als Gesundheitsdatum zu werten ist. Über die ausdrücklich im Katalog des Abs. 1 genannten Daten hinaus werden auch mittelbare Hinweise auf diese Merkmale besonders geschützt. Hieraus wird ersichtlich, dass es bei der Einstufung als besondere Kategorien von Daten auf den vermittelten Informationsgehalt ankommt, nicht auf die Art- und Weise der Darstellung und Bezeichnung.

Der in Art. 9 Abs. 1 DS-GVO enthaltene Katalog von besonderen Kategorien personenbezogener Daten ist zwar abschließend, aber teils sehr weit gefasst. Die genaue Definition von Gesundheitsdaten ist in Art. 4 Nr. 15 DS-GVO geregelt. Demnach umfasst der Begriff Informationen über die körperliche und physische Gesundheit von (natürlichen) Personen. Hierzu gehören auch Daten, die durch Erbringung von Gesundheitsdienstleistungen entstehen, und Informationen, aus denen der Gesundheitszustand von Personen hervorgeht. Erwägungsgrund 35 Satz 1 DS-GVO geht noch einen Schritt weiter und schließt darüber hinaus sämtliche Daten aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen, können in den Definitionsbereich mit ein. Dabei spielt die Herkunft der Daten zur Einordnung als Gesundheitsdatum gemäß Erwägungsgrund 35 Satz 1 keine Rolle. So macht es keinen Unterschied, ob die Datei von einem Arzt, oder sonstigen im Gesundheitswesen beschäftigten Person oder Einrichtung stammt. Hierzu gehören folglich auch Gesundheitsdaten, die von einem Medizinprodukt generiert wurden. Selbst aus Fotografien können Gesundheitsdaten entstehen, etwa wenn eine fotografierte Person eine Brille trägt. Zudem können verschiedene Daten, die keine Gesundheitsdaten darstellen, wie zum Beispiel Größe, Gewicht und Alter, durch ihre Verknüpfung zu Gesundheitsdaten zusammengeführt werden. In diesem Sinne sind selbst Sportuhren und Fitnesstracker dazu geeignet, Gesundheitsdaten zu verarbeiten und wahrscheinlich sogar zu generieren.


ERGEBNIS

Nach den oben genannten Überlegungen steht fest, dass nicht nur ausgewiesene Medizinprodukte und im Gesundheitswesen agierende Personen im Stande sind Gesundheitsdaten herzustellen. In anderen Worten: Solche Informationen können nicht nur durch einen Arzt oder einer Ärztin entstehen und es bedarf auch keines medizinischen Produkts, welches von ihnen verschrieben wurde. Sie lassen ferner den Schluss zu, dass auch Informationen aus psychologischen Testverfahren als besondere Kategorien von personenbezogenen Daten einzustufen sind. Die DS-GVO definiert Gesundheitsdaten sehr weitläufig und lässt in ihrer Anwendung sehr viel Auslegungsspielraum. Der Gesetzgeber hat dadurch, wie an den vorangegangenen Beispielen deutlich gemacht wurde, den Maßstab zur Einstufung personenbezogener Daten als Gesundheitsdaten offenbar eher niedrig angesetzt hat. Frei nach dem Motto: Lieber zu viel als zu wenig. Haben Sie sich in Ihrem Betrieb dazu entschieden, Ergebnisse psychologischer Testverfahren für die Auswahl Ihrer Bewerber einzubeziehen, raten wir diese Daten zur Sicherheit nach den Regelungen des Art. 9 DS-GVO zu behandeln. In der Praxis kann dies allerdings mit großem Aufwand verbunden sein, da sie weitere, strengere Maßnahmen zum Umgang mit diesen Daten umsetzen müssen.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Wir sehen es als unsere Aufgabe an, möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 05. April 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Beschäftigtendatenschutz
  • besondere Kategorien von personenbezogenen Daten
  • Bewerbermanagement
  • Gesundheitsdaten
  • Gutachten
Lesen

WIR SUCHEN DICH! – ABER NUR MIT EINEM PSYCHOLOGISCHEN TEST (1)

Unternehmen stehen im betrieblichen Alltag vor einer zunehmenden Anzahl an Einzelentscheidungen. Jede dieser Entscheidung ist wichtig und muss getroffen werden, um den Betrieb aufrecht zu erhalten. Ein Bereich, welcher Unternehmen sehr viel Zeit, Personal und damit Ressourcen kostet, ist die Suche nach geeigneten Mitarbeiter:innen. Auf eine Stellenanzeige treffen teilweise Tausende Bewerbungen ein. In solchen Fällen ist es wohl keinem Unternehmen möglich, sämtliche Bewerbungen einzeln und individuell gründlich zu sichten. Selbst wenn die Auswahl geeigneter Bewerber:innen getroffen ist, bleiben sogar bei den aussagekräftigsten Bewerbungsunterlagen viele Fragen offen: Ist die Person wirklich stressresistent? Stimmen die Angaben bezüglich der Zuverlässigkeit? Passt die Person charakterlich ins Team? Um diese Ungewissheiten zumindest teilweise zu eliminieren, gibt es psychologische Testverfahren, die berufsrelevante Persönlichkeitsmerkmale systematisch und automatisiert erfassen.

Die Nutzung dieser Dienste ist für Unternehmen heute gängig und Jobsuchende nehmen diese regelmäßig unkritisch in Anspruch, um keinen negativen Eindruck im Bewerbungsgeschehen zu hinterlassen. Dennoch gibt es in der Praxis einige datenschutzrechtliche Stolpersteine, über die Unternehmen im Rahmen der Nutzung fallen können. Dieser Beitrag widmet sich der Frage, ob das automatisierte psychologische Testverfahren als Profiling bzw. als automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling zu werten ist.


PROFILING UND AUTOMATISIERTE ENTSCHEIDUNGSFINDUNG?

Eine weitere Fragestellung ergibt sich aus Art. 22 DS-GVO. Dieser regelt das Recht des Betroffenen, keiner ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden. Gemäß Art. 4 Nr. 4 DS-GVO fällt unter den Begriff des Profilings jede automatisierte Verarbeitung personenbezogener Daten zur Bewertung bestimmter persönlicher Aspekte natürlicher Personen. Hierzu gehören Faktoren wie Arbeitsleistung, Gesundheit, Interessen, Zuverlässigkeit, Verhalten usw.

Per Definition umfasst das Profiling lediglich die Datenanalyse einer individuellen Verhaltensbewertung. Als Profiling werden Techniken erfasst, mit deren Hilfe auf Grundlage des analytischen Verhaltens unter Zugrundelegung statistisch-mathematischer Verfahren, Prognosen über das mögliche künftige Verhalten einer Person erstellt werden können. Dies kann eine Vielzahl verschiedener Prognosen sein, wie beispielsweise und in diesem Kontext besonders relevant, Einschätzungen von Fehler- und Ermüdungsrisiken im Zusammenhang mit der Bedienung komplexer Maschinen. Die Funktionsweise psychologischer Testverfahren entspricht somit der Definition des Profilings. Das bedeutet jedoch nur, dass keine automatische Entscheidung ausschließlich auf Basis der Ergebnisse automatisierter psychologischer Testverfahren gefällt werden darf. In der Praxis bedeutet das, dass wenn Sie eine Software für psychologische Gutachten im Bewerbungsmanagement einsetzen, Sie den Prozess insgesamt so gestalten sollten, dass Sie Bewerber:innen nicht allein aufgrund des psychologischen Gutachtens „herausfiltern“.

Art. 22 Abs. 2 kennt drei Ausnahmetatbestände. Relevant könnte zum einen Abs. 2 lit. a sein, wenn die Entscheidung für den Abschluss oder Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist. Ob dieser Ausnahmetatbestand greift, ist hinsichtlich der Vielzahl an Stadien eines Bewerbungsprozesses fraglich. Unklar bleibt, ob die Ausnahme des Abs. 2 lit. a einschlägig ist, wenn ein derart generiertes psychologisches Gutachten in die Entscheidung einbezogen wird, einen Bewerber lediglich zu einem Bewerbungsgespräch einzuladen. Es handelt sich nur um eine Einladung zum Gespräch, auf dessen Basis die finale Entscheidung getroffen werden soll. Demnach könnte man argumentieren, dass der Bewerber keiner auf einer automatischen Verarbeitung beruhenden Entscheidung unterworfen war, sondern auf eine von Menschen getroffene Einzelentscheidung, beruhend auf das Bewerbungsgespräch. Dem steht jedoch das im Schrifttum häufig aufgeführte Argument entgegen, dass eine (negative) rechtliche Wirkung oder sonstige ähnliche, erhebliche Beeinträchtigung ausreicht, um den Tatbestand des Art. 22 Abs. 1 DS-GVO auszulösen. Demzufolge, so die Argumentation, reicht es aus Bewerber nicht zum Bewerbungsgespräch einzuladen, um eine rechtliche Wirkung zu entfalten. Der Bewerber hätte im persönlichen Gespräch vielleicht doch überzeugen können.

Einzige weitere Ausnahme findet sich in lit. c. Demnach wäre die automatische Entscheidung basierend auf den Ergebnissen des psychologischen Testverfahrens mit einer ausdrücklichen Einwilligung der betroffenen Person zulässig. Doch auch diese Variante ist problematisch, da die Einwilligung gemäß § 26 Abs. 2 S. 1 BDSG freiwillig erfolgen muss. Eine rechtsgültige Einwilligung der Bewerber:innen wäre allerdings kaum durchsetzbar, denn es gibt keine „echte Wahl“. Bei Widerruf oder Verweigerung wäre die logische Konsequenz, dass die Bewerber:innen aus dem Verfahren ausgeschlossen werden. Das führte das Bewerbungsverfahren ad absurdum.

Die Art. 29 Datenschutzgruppe sieht eine rein maschinelle Entscheidung als erforderlich an, wenn auf eine Stellenanzeige derartig viele Bewerbungen eingeschickt werden, dass die manuelle Sichtung und die darauf basierende Entscheidung für das Unternehmen nicht tragbar ist. Da die Durchsicht der Bewerbungen für Unternehmen bei einer derart hohen Zahl nicht zumutbar ist, muss die Auslese folglich durch automatisierte Prozesse erfolgen, um einen Überblick über die am meisten infrage kommenden Bewerber zu erlangen.


ERGEBNIS

Unternehmen haben ein Interesse daran, den Bewerbungsprozess so zu gestalten, dass die finale Entscheidung, wen sie einstellen, einerseits mit einem möglichst geringen Risiko behaftet ist, andererseits sollte die Entscheidungsphase schnell und kostengünstig vonstattengehen. Psychologische Gutachten minimieren das Risiko eines „Fehlgriffs“ bei der Auswahl. Automatische Entscheidungsprozesse, die die Ergebnisse solcher Gutachten mit einbeziehen, können das Verfahren enorm beschleunigen.

Für die Praxis können wir in diesem Kontext folgenden Raten geben: Nutzen Sie die Gutachten solcher Testverfahren grundsätzlich nur bei einer eher überschaubaren Anzahl von Bewerber:innen und allein zur Risikominimierung. So ist es im Notfall einfacher nachzuweisen, dass Ihre Entscheidung ausschließlich von Menschen getroffen wurde und das Gutachten hierbei eine rein unterstützende Funktion hatte. Die rechtssichere Einbeziehung solcher Testverfahren ist schwierig, da die Ausnahmen des Art. 22 Abs. 2 lit. a und c möglicherweise nicht einschlägig sind. Insbesondere wird es, aufgrund der wahrscheinlichen Konsequenzen bei Widerspruch, kaum möglich sein, Bewerber:innen freiwillig einwilligen zu lassen.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • automatisierte Entscheidung
  • Beschäftigtendatenschutz
  • Bewerbermanagement
  • Gutachten
  • Profiling
Lesen

BRINGT DAS TTDSG ÄNDERUNGEN FÜR DIE PRIVATNUTZUNG BETRIEBLICHER INFORMATIONS- UND KOMMUNIKATIONSTECHNIK?

Nun ist es (endlich) so weit: Seit dem 1. Dezember 2021 ist das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Über die Entwicklung und den Weg des TTDSG haben wir bereits früher berichtet (hier, hier und hier). Grob lässt sich zusammenfassen, dass das Gesetzgebungsverfahren, sagen wir recht zügig sein Ende fand. Eventuell lässt sich hierin der Auslöser entdecken, dass die Diskussionen über etliche rechtlichen und praktischen Fragestellungen, die das TTDSG mit sich bringt, an Fahrt aufgenommen haben.

Neben dem offensichtlichen Anwendungsfall für Internetseiten, zu denen die Landesaufsichtsbehörden zum einen verstärkte Kontrollen und zum anderen eine überarbeitete Orientierungshilfe in Aussicht gestellt haben, ergeben sich eine Reihe weitere Fragen. Eine neue rechtliche Betrachtung bedarf künftig unter anderem der Einsatz von Videokonferenzdienste, da diese als Telekommunikationsdienste im Sinne des TTDSG anzusehen sind. Hierüber haben wir ebenfalls bereits berichtet.

Eine weitere Problematik stellt sich mit Blick auf die Beschäftigtenverhältnisse. Die Rede ist von der Privatnutzung betrieblicher Informations- und Kommunikationstechnik (IuK) durch Beschäftigte, genauer gesagt die damit einhergehenden Kontroll- und Einsichtsrechte seitens der Arbeitgeber. Den Auslöser und die Behandlung der erneuten Dynamik dieser Problematik soll der nachfolgende Beitrag näher beleuchten.


WORUM GEHT ES EIGENTLICH?

Im Mittelpunkt der Diskussion steht die Frage, ob und inwiefern der Arbeitgeber seinen Beschäftigten die Privatnutzung betrieblicher IuK gestattet hat und ob er in diesen Fällen das Fernmeldegeheimnis zu wahren hat. Zunächst lohnt hierzu der Blick auf § 3 Abs. 1 TTDSG, welcher das vormals in § 88 TKG a.F. anzutreffende Fernmeldegeheimnis regelt:

„Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.“

Wer zur Wahrung des Fernmeldegeheimnis nach Abs. 1 verpflichtet ist, regelt § 3 Abs. 2 TTDSG:

„Zur Wahrung des Fernmeldegeheimnisses sind verpflichtet

1. Anbieter von öffentlich zugänglichen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken,

2. Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken,

3. Betreiber öffentlicher Telekommunikationsnetze und

4. Betreiber von Telekommunikationsanlagen, mit denen geschäftsmäßig Telekommunikationsdienste erbracht werden.

Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist.“

Wesentlich für die Betrachtung der Privatnutzungsproblematik sind die Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten nach § 3 Abs. 2 Satz 1 Nr. 2 TTDSG. Nach § 88 Abs. 2 Satz 1 TKG a.F. waren bisher zu Wahrung des Fernmeldegeheimnisses Diensteanbieter verpflichtet. Diensteanbieter war nach der Legaldefinition des § 3 Nr. 6 TKG a.F. jeder, der ganz oder teilweise geschäftsmäßig Telekommunikationsdienste erbringt (lit. a)) oder an der Erbringung solcher Dienste mitwirkt (lit. b)). Unter Geschäftsmäßigkeit verstand man mit § 3 Nr. 10 TKG a.F. das nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht. Nach der herrschenden Meinung zur bisher geltenden Rechtslage wurde ein Arbeitgeber, der den Beschäftigten seines Betriebes die Privatnutzung der betrieblichen IuK gestattet hatte, als ein solcher geschäftsmäßiger Diensteanbieter qualifiziert, da die Nutzung nachhaltig für private Zwecke erlaubt wurde. Dieser Ansicht folgten insoweit ebenfalls die Datenschutz-Aufsichtsbehörden.

Wie der Kollege Hansen-Oest in seinem Beitrag bereits treffend dargestellt hat, wäre die gesamte Situation vermeidbar gewesen, hätte denn der Gesetzgeber entsprechend den kritischen Stimmen aus der Fachwelt gelauscht, die bereits frühzeitig auf die Problematik hingewiesen haben.


WIESO IST DAS PROBLEMATISCH?

Die Entwurfsbegründung zum TTDSG ist zu § 3 zu entnehmen: „§ 3 enthält die derzeit in § 88 TKG enthaltene Regelung zum Fernmeldegeheimnis, die bis auf redaktionelle Anpassungen unverändert übernommen wird. Die Regelung setzt Artikel 5 Absatz 1 der E-Privacy-Richtlinie um.“ Und hier offenbart sich die tatsächliche Problemstellung: Art. 95 DS-GVO eröffnet das Verhältnis zwischen Datenschutz-Grundverordnung und ePrivacy-Richtlinie „nur“ für öffentlich zugängliche Kommunikationsdienste. Darüber hinaus bezieht sich Art. 3 Abs. 1 ePrivacy-RL auf die „Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen“. Der in der Entwurfsbegründung in Bezug genommene Art. 5 Abs. 1 ePrivacy-RL verpflichtet seinerseits die Mitgliedstaaten zur Sicherstellung der Vertraulichkeit der mit öffentlichen Kommunikationsnetzen und öffentlich zugänglichen Kommunikationsdiensten übertragenen Nachrichten und der damit verbundenen Verkehrsdaten. Für die in Rede stehenden geschäftsmäßigen angebotenen Telekommunikationsdienste findet sich insoweit kein Regelungsspielraum. Dies tritt noch deutlicher hervor, da in der vorbezeichneten Entwurfsbegründung offenkundig zwischen öffentlich zugänglichen und geschäftsmäßig angebotene Kommunikationsdiensten differenziert wird. Erschwerend tritt hinzu, dass mit Wirkung zum 1. Dezember 2021 die Regelungen des § 3 Nr. 6 und Nr. 10 TKG a.F., welche wie dargestellt Definitionen zu Diensteanbietern und Geschäftsmäßigkeit enthielten, entfallen. Das TTDSG definiert die Begrifflichkeiten nicht.

Es darf mithin bezweifelt werden, dass zur Regelung des Adressatenkreises unter Einbeziehung der Anbieter von geschäftsmäßig angebotenen Telekommunikationsdiensten und zur Anwendung des Telekommunikationsdatenschutzes auf diese Art von Anbieter seitens des deutschen Gesetzgebers ein entsprechender Regelungsspielraum bestand. Dogmatisches Ergebnis wäre eine Verdrängung der Regelungen durch die Datenschutz-Grundverordnung und eine Anwendung selbiger, insbesondere bei Datenverarbeitung im Rahmen von Kontrollrechten seitens des Arbeitgebers bei Fragen der Privatnutzung betrieblicher IuK.


WELCHE AUSWIRKUNGEN HÄTTE EINE ANWENDUNG DER DS-GVO AUF DIE PRIVATNUTZUNGSFÄLLE?

Argumentiert wird diesbezüglich, dass die betroffenen Beschäftigten bei einer Nichtanwendung des Fernmeldegeheimnisses keines Weges schutzlos gestellt würden. Unter anderem käme zum Tragen, dass bei den entsprechenden Datenverarbeitungen die Vorgaben der Datenschutz-Grundverordnung (und des Bundesdatenschutzgesetzes), insbesondere der Art. 5 und Art. 32 DS-GVO zu wahren wären. Bei einer Nichtbeachtung drohen gleichfalls empfindliche Strafen im Rahmen des Art. 83 DS-GVO.


FAZIT

Für die Praxis dürfte der dogmatische Streit vorerst weniger Auswirkungen haben, da die Regelungen des TTDSG und mithin auch § 3 zunächst einmal in Kraft sind und ihre Wirkung entfalten. Mit Blick auf die Brisanz der Thematik der Privatnutzung betrieblicher IuK erscheint es ratsam eine ausdrückliche Regelung zu treffen, um die Privatnutzung nicht zu dulden und mithin zu gestatten. Insofern die unternehmerische Entscheidung pro erlaubte Privatnutzung ausfällt sind gleichfalls Erlaubnisrahmen und Kontrollmöglichkeiten entsprechend zu regeln. Unter Beachtung datenschutzrechtlicher Gesichtspunkte erscheint es ferner ratsam die Privatnutzung (zumindest des betrieblichen E-Mail-Accounts) zu untersagen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • ePrivacy
  • Privatnutzung
  • Telemedien
  • TTDSG
Lesen

UPDATE: ABFRAGE DES IMPFSTATUS VON BESCHÄFTIGTEN DURCH DEN ARBEITGEBER

Bereits in unseren Blog-Beiträgen aus September und Oktober 2021 haben wir uns ausführlich mit den Problematiken im Zusammenhang mit der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber auseinandergesetzt. Mit den rasant steigenden Infektionszahlen wurden vermehrt die Rufe nach einer einheitlichen Rechtsgrundlage zur Verarbeitung des Test-, Genesenen- oder Impfstatus der Beschäftigten laut. Abhilfe schaffen nun die neuen Regelungen des Infektionsschutzgesetzes (IfSG), insbesondere des § 28b Abs. 3 IfSG, deren Inhalt dieser Beitrag datenschutzrechtlich umreißen soll.


WAS WIRD GEREGELT?

Die wesentliche Norm zur Abfrage des Test-, Genesenen- oder Impfstatus von Beschäftigten ist der Norm des § 28b Abs. 3 IfSG zu entnehmen. Darin heißt es im Wesentlichen:

„Alle Arbeitgeber sowie die Leitungen der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen sind verpflichtet, die Einhaltung der Verpflichtungen nach Absatz 1 Satz 1 und Absatz 2 Satz 1 durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren. Alle Arbeitgeber und jeder Beschäftigte sowie Besucher der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen sind verpflichtet, einen entsprechenden Nachweis auf Verlangen vorzulegen. Soweit es zur Erfüllung der Pflichten aus Satz 1 erforderlich ist, darf der Arbeitgeber sowie die Leitung der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen zu diesem Zweck personenbezogene Daten einschließlich Daten zum Impf-, Sero- (Genesenen-) [Anmerkung des Autors] und Teststatus in Bezug auf die Coronavirus-Krankheit-2019 (COVID-19) verarbeiten. Die Daten dürfen auch zur Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß den §§ 5 und 6 des Arbeitsschutzgesetzes verwendet werden, soweit dies erforderlich ist. § 22 Absatz 2 des Bundesdatenschutzgesetzes gilt entsprechend. […]. Die nach Satz 3 und nach Satz 8 erhobenen Daten sind spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen; die Bestimmungen des allgemeinen Datenschutzrechts bleiben unberührt.“

Weiterhin enthält die Regelung weitere Verpflichtungen für „in Absatz 2 Satz 1 genannte Einrichtungen.“ Hierunter zählen grundsätzlich Einrichtungen des Gesundheitswesens (§ 23 Abs. 3 Satz 1 IfSG), Pflegeeinrichtungen (§ 36 Abs. 1 Nr. 2 IfSG) sowie ambulante Pflegedienste (§ 36 Abs. 1 Nr. 7 IfSG). Derartige Einrichtungen müssen in Ergänzung zu den oben genannten Anforderungen, an die zuständigen Behörden in anonymisierter Form Angaben zu den durchgeführten Testungen sowie Angaben zum Anteil der geimpften Personen übermitteln.

Die Änderungen des Infektionsschutzgesetzes wurden am 23. November 2021 im Bundesgesetzblatt verkündet und sind zum 24. November 2021 in Kraft getreten.


WAS BEDEUTET DAS NUN DATENSCHUTZRECHTLICH?

Zunächst stellt die Regelung des § 28b Abs. 3 IfSG nun die einheitliche Rechtsgrundlage zur Verarbeitung des Test-, Genesenen- und Impfstatus der Beschäftigten dar. Da es sich bei diesen Angaben grundsätzlich um Gesundheitsdaten und damit um besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) handelt, ist die Datenverarbeitung auf Grundlage des Art. 9 Abs. 2 lit. i) DS-GVO in Verbindung mit § 28b Abs. 3 IfSG durchzuführen. Dabei ist grundsätzlich zu beachten, dass Aufgrund der Verpflichtung zur Durchführung und Dokumentation des Arbeitgebers ebenfalls eine Verpflichtung der Arbeitnehmer besteht, die entsprechenden Nachweise vorzulegen.

Die Verarbeitung der besonderen Kategorien personenbezogener Daten hat den datenschutzrechtlichen Grundsätzen gemäß Art. 5 Abs. 1 DS-GVO zu entsprechen. Das heißt beispielsweise, dass die Gesundheitsdaten ausschließlich für die im Infektionsschutzgesetz festgelegten Zwecke verarbeitet werden dürfen, die zu verarbeitenden personenbezogenen Daten auf das für den Zweck der Datenverarbeitung erforderliche Minimum reduziert sein müssen und ausschließlich so lange verarbeitet werden dürfen, wie es für den Zweck der Datenverarbeitung zwingend erforderlich ist. Das Infektionsschutzgesetz sieht hierbei eine maximale Aufbewahrung bis zum Ende des sechsten Monats nach der Erhebung vor.

Unter Beachtung der dargelegten Anforderungen ist es grundsätzlich möglich, das Vorliegen eines entsprechenden Nachweises bei Geimpften und Genesenen zunächst einmalig zu überprüfen, zu vermerken und bei Genesenen zusätzlich das Enddatum des Genesenenstatus zu dokumentieren. In der Praxis kann eine Zutrittskontrolle dann beispielsweise über die Vergabe gleich aussehender Passierscheine erfolgen, auf denen das jeweilige Enddatum (bei Getesteten für den aktuellen Tag, bei Genesenen für maximal sechs Monate, bei Geimpften zunächst unbegrenzt) vermerkt wird.

Darüber hinaus ist zu berücksichtigen, dass die personenbezogenen Daten aufgrund Ihrer besonderen Schutzbedürftigkeit seitens des Arbeitgebers sicher zu verarbeiten sind. Das heißt beispielsweise, dass eine Aufbewahrung ausschließlich in verschlossenen Aktenschränken oder auf verschlüsselten Datenträgern erfolgen darf sowie die mit der Verarbeitung betrauten Beschäftigten auf die besondere Schutzbedürftigkeit der Daten hinzuweisen und dementsprechend zu sensibilisieren sind.


WAS GILT ES NOCH ZU BEACHTEN?

Grundsätzlich wird die Regelung des § 28b Abs. 3 IfSG als Zutrittskontrollmaßnahme zu verstehen sein, das heißt der entsprechende Nachweis ist mit Zutritt zur Einrichtung des Arbeitsgebers vorzulegen. Hingegen nicht umfasst sein dürfte eine Verpflichtung der Beschäftigten zur Vorab-Information per E-Mail. Insbesondere auch aufgrund der besonderen Schutzbedürftigkeit der Gesundheitsdaten scheidet die Übermittlung per E-Mail aufgrund der meist fehlenden Ende-zu-Ende-Verschlüsselung sowie aufgrund der automatisierten Archivierung des E-Mail-Posteingangs in der Regel aus. Auch eine Anforderung einer Kopie des entsprechenden Nachweises zum Verbleib beim Arbeitgeber ist von der Regelung des § 28b Abs. 3 IfSG ausdrücklich nicht umfasst.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit begrüßt grundsätzlich das Vorliegen einer einheitlichen Rechtsgrundlage zur Verarbeitung des Test-, Genesenen- und Impfstatus der Beschäftigten. Im Rahmen einer Pressemitteilung stellte er jedoch klar, dass er hinsichtlich der konkreten Verarbeitung sowie hinsichtlich der Speicherdauer Verbesserungspotential bezüglich der gesetzlichen Normierung sieht. Dementsprechend sind die weiteren Entwicklungen im Blick zu behalten.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Corona-Pandemie
  • Gesundheitsdaten
  • Impfstatus
  • Infektionsschutzgesetz
Lesen

DATENSCHUTZ IN DER KINDERTAGESSTÄTTE

Personenbezogene Daten von Kindern sind nach den Regelungen der Datenschutz-Grundverordnung (DS-GVO) besonders schutzwürdig. Dies geht insbesondere aus Art. 8 DS-GVO sowie dem entsprechenden Erwägungsgrund 38 hervor: „Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind.“ Ein besonderes Augenmerk ist dementsprechend auf die Datenverarbeitung in Kindertagesstätten zu legen, wo die Verarbeitung von Kinderdaten wie bei kaum einer anderen Stelle zum Alltag gehört. Der Beitrag soll Praxisfragen klären und mit Missverständnissen aufräumen.


WER IST FÜR DIE DATENVERARBEITUNG IN DER KINDERTAGESSTÄTTE VERANTWORTLICH?

Wie bereits in unserem Blog-Beitrag „Reichweite der datenschutzrechtlichen Verantwortlichkeit bei Kommunen“ dargestellt, ist für die Beantwortung der Frage der datenschutzrechtlichen Verantwortlichkeit die jeweilige Trägerschaft entscheidend: Sofern sich eine Kindertagesstätte in der Trägerschaft einer Kommune befindet, ist diese für die Zwecke und Mittel der Datenverarbeitungen verantwortlich. Etwas anderes gilt dann, sofern sich eine Kindertagesstätte in freier Trägerschaft befindet: Die datenschutzrechtliche Verantwortlichkeit für Datenverarbeitungen im Alltag der Kinder liegt dann beim jeweiligen Träger. Für die Vergabe der Kindertagesstättenplätze verbleibt jedoch in der Regel die Kommune als verantwortliche Stelle.


WELCHE DATEN DÜRFEN IM RAHMEN DES BETREUUNGSVERTRAGES VERARBEITET WERDEN?

Für die Anbahnung und den Abschluss des Betreuungsvertrages sowie zur Sicherstellung der Betreuung dürfen grundsätzlich diejenigen personenbezogenen Daten von Kindern, Sorgeberechtigten und Dritten (z.B. Abholberechtigten) verarbeitet werden, die zur Durchführung der Betreuung zwingend erforderlich sind. Die Rechtsgrundlage hierfür bildet das Vertragsverhältnis gemäß Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO. Dementsprechend können auch Angaben zu Krankheiten oder Allergien verarbeitet werden, um den Erzieher:innen im Notfall eine angemessene Reaktion ermöglichen zu können. Weiterhin können auch Angaben bezüglich notwendiger Schutzimpfungen (z.B. Masernschutzimpfung) verarbeitet werden, da für die Einrichtungen eine entsprechende Verpflichtung zur Kontrolle besteht.


DÜRFEN KINDERNAMEN AN GARDEROBEN, BILDERN ODER BASTELEIEN ANGEBRACHT WERDEN?

Diese Frage wurde insbesondere um Mai 2018 herum kontrovers diskutiert. Abhilfe schaffte hierbei jedoch recht zeitnah das Bayerische Landesamt für Datenschutzaufsicht mit einer praxisnahen Stellungnahme im Rahmen des 8. Tätigkeitsberichtes 2017/2018: Grundsätzlich dürfen Namensschilder an Garderoben angebracht sowie Bilder und Basteleien mit den Namen der Kinder versehen werden. Das Bayerische Landesamt für Datenschutzaufsicht sieht hierbei den Betreuungsvertrag (Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO) beziehungsweise das berechtige Interesse der Einrichtung (Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO) an der Organisation des Kita-Alltags als einschlägige Rechtsgrundlage an.


DÜRFEN ANWESENHEITS-, ALLERGIE- UND NOTFALLKONTAKTLISTEN ANGEFERTIGT WERDEN?

Grundsätzlich dient die Anfertigung solcher Listen der Durchführung des Betreuungsvertrages und kann dementsprechend vorgenommen werden. Derartige Listen sollten jedoch ausschließlich an geeigneten Orten ausgehangen werden, die nicht für jedermann zugänglich sind. In der Bestimmung eines geeigneten Ortes sind die jeweiligen Verwendungszwecke zu berücksichtigen und die zugriffsberechtigten Personen zu erörtern: Wer muss wissen, welche Kinder anwesend sind? Wer muss die Allergien eines Kindes einsehen können? Wer muss auf die Notfallkontakte zugreifen können?


DARF MIT ELTERN PER E-MAIL ODER ÜBER GÄNGIGE MESSENGER-DIENSTE KOMMUNIZIERT WERDEN?

Auf die datenschutzrechtliche Problematik im Zusammenhang mit gängigen Messenger-Diensten wie zum Beispiel WhatsApp oder Telegram haben wir bereits in unserem Blog-Beitrag „Messenger-Dienste und Datenschutz – „Würde ich selbst wollen, dass …?“ hingewiesen. Derartige Messenger-Dienste sind oftmals nicht datenschutzkonform einsetzbar, sodass auch die datenschutzrechtlichen Aufsichtsbehörden beispielsweise einen Einsatz von WhatsApp als nicht zulässig erachten. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz führt in den FAQ zu „Datenschutz in der Kita“ aus: „Sofern es als notwendig erachtet wird, über Messenger mit Eltern zu kommunizieren, kommen nur europäische Anbieter, die eine Ende-zu-Ende-Verschlüsselung anbieten, in Betracht.“ Als Beispiel ist in diesem Zusammenhang der Messenger-Dienst Threema zu nennen.

Auch der Versand von E-Mails bietet meist ein nur geringes Schutzniveau. Dieses wird oftmals in Vergleich mit dem Schutzniveau einer Postkarte gesetzt. Dementsprechend können allgemein gehaltene Hinweise oder Einladungen zu Veranstaltungen per E-Mail versendet werden. Der Versand von personenbezogenen Daten von Kindern sollte jedoch grundsätzlich nicht per E-Mail erfolgen.


DÜRFEN DURCH KINDERTAGESSTÄTTEN FOTOGRAFIEN VON KINDERN ANGEFERTIGT UND VERÖFFENTLICHT WERDEN?

Werden Fotografien von Kindern oder anderen Personen angefertigt und sind diese auf den Aufnahmen zu identifizieren, so bedarf es grundsätzlich der Einwilligung der betroffenen Personen beziehungsweise der Sorgeberechtigten. Die Anzahl der aufgenommenen Personen (z.B. bei Gruppenaufnahmen) ist hierbei unerheblich (OVG Lüneburg, Beschl. v. 19.1.2021 – 11 LA 16/20). Bei Einwilligungen hinsichtlich der Verarbeitung von personenbezogenen Daten von Kindern ist dabei zwingend zu berücksichtigen, dass es in der Regel der Einwilligung aller Sorgeberechtigten bedarf (OLG Düsseldorf, Beschl. v. 20.7.2021 – 1 UF 74/21). Weiterhin ist im Zusammenhang mit der Einwilligungserklärung zu berücksichtigen, dass sich diese zwingend auf die jeweiligen Verarbeitungszwecke und Veröffentlichungsmedien beziehen muss.

Zur Anfertigung von Fotografien durch die Kindertagesstätte dürfen keine privaten Endgeräte oder Speichermedien der Erzieher:innen verwendet werden.


DÜRFEN ELTERN INNERHALB DER KINDERTAGESSTÄTTE FOTOGRAFIEN VON IHREN EIGENEN KINDERN ANFERTIGEN?

Werden innerhalb der Kindertagesstätte durch die Eltern Fotografien von Kindern angefertigt, ist die jeweilige Kindertagesstätte für diese Datenverarbeitung nicht verantwortlich. Solange die Eltern die Aufnahmen ausschließlich für ihre privaten und familiären Zwecke anfertigen und nicht auf einschlägigen sozialen Netzwerken oder Cloud-Diensten hochladen, finden die Regelungen der DS-GVO zudem keine Anwendung (Art. 2 Abs. 2 lit. c DS-GVO). Im Zweifel lässt sich für die Erzieher:innen jedoch nicht erkennen, ob gegebenenfalls auch weitere Kinder aufgenommen werden und zu welchen Zwecken eine solche Aufnahme erfolgt. Daher steht es den Einrichtungen im Rahmen ihres Hausrechts grundsätzlich frei, ein Verbot von Fotoaufnahmen durch Eltern auszusprechen.


DÜRFEN DIE DIENSTPLÄNE DER ERZIEHER:INNEN AUSGEHANGEN WERDEN?

Auch wenn diese in der Praxis häufig gestellten Frage nicht den Schutz personenbezogener Daten von Kindern betrifft, soll sich abschließend dem Datenschutz der Erzieher:innen gewidmet werden. Die aufgeworfene Frage kann insoweit bejaht werden, dass soweit es aus organisatorischen Gründen erforderlich ist, der Aushang des Dienstplans vorgenommen werden kann. Dabei ist jedoch zu berücksichtigen, dass Dienstpläne ausschließlich dort ausgehangen werden, wo ausschließlich die Erzieher:innen und keine Dritte Einsicht nehmen können. Weiterhin ist aus organisatorischen Gründen im Abwesenheitsfall der Vermerk „Abwesend“ oder „A“ ausreichend. Eine Kennzeichnung und Unterscheidung von „Krank“, „Kind-Krank“, „Urlaub“ oder „Kur“ ist für die Organisation des Kita-Alltags nicht erforderlich und die Offenlegung gegenüber sämtlichen Erzieher:innen mithin datenschutzrechtlich unzulässig.


FAZIT

Im Alltag einer Kindertagesstätte ergeben sich viele datenschutzrechtliche Fragestellungen, für die (mittlerweile) jedoch auch praxistaugliche Antworten vorliegen. Insofern Unsicherheiten im Umgang mit personenbezogenen Daten mit Kindern bestehen, sind Erzieher:innen gut beraten den Datenschutzbeauftragten der verantwortlichen Stelle zu Rate zu ziehen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • E-Mail
  • Fotoveröffentlichung
  • Kindertagesstätte
  • Messenger
Lesen

UPDATE: ABFRAGE DES IMPFSTATUS VON BESCHÄFTIGTEN DURCH DEN ARBEITGEBER

Mit dem Einzug des Herbstes wird auch die anhaltende Covid-19-Pandemie wieder zunehmender zum Thema in der Gesellschaft. Damit einhergehen gleichfalls zahlreiche datenschutzrechtliche Fragestellungen. Über die grundlegende Problematik der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber haben wir bereits berichtet. Aufgrund zahlreicher Praxisfälle sowie einer Reihe von Änderungen des Infektionsschutzgesetzes (IfSG) haben nunmehr ergänzend zu den bisherigen Mitteilungen noch die Landesdatenschutzbeauftragten aus Baden-Württemberg, Sachsen und Sachsen-Anhalt zu einigen Problempunkten Stellung bezogen. Die Rechtsansichten der Aufsichtsbehörden zur praxisrelevanten Thematik des bestehen des Fragerechtes des Arbeitgebers nach Impf- bzw. Genesenenstatus sollen Gegenstand des nachfolgenden Beitrages sein.


LOHNFORTZAHLUNG IM QUARANTÄNEFALL

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) beschäftigt sich in seiner Veröffentlichung der Frage nach einem Auskunftsanspruchs des Arbeitgebers gegenüber Beschäftigten im Rahmen der Lohnfortzahlung bei behördlicher angeordneter Quarantäne oder des Eingreifens anderweitiger Absonderungspflichten. In den vorbezeichneten Fällen ist der Arbeitgeber regelmäßig nach § 56 Abs. 1, Abs. 3,
Abs. 5 IfSG zur Verdienstausfallentschädigung für den Zeitraum von sechs Wochen verpflichtet. Der Arbeitgeber wiederrum kann von der zuständigen Behörde Erstattung verlangen, § 56 Abs. 5 Satz 3 IfSG. Ausgeschlossen ist die Ausfallentschädigung gemäß § 56 Abs. 1 Satz 4 und 5 IfSG jedoch in den Fällen, in denen der Beschäftigte durch Inanspruchnahme einer Schutzimpfung oder durch Nichtantritt einer vermeidbaren Reise in ein Risikogebiet diese Quarantäne hätte vermeiden können. In diesem Zusammenhang stellt sich trefflich die Frage, ob und bejahendenfalls in welchem Umfang der Arbeitgeber zu Geltendmachung der Erstattungsansprüche gegenüber der zuständigen Behörde, den Impfstatus der betroffenen Beschäftigten erfragen darf. Der LfDI kommt zu dem Ergebnis, dass der Arbeitgeber aufgrund der Entschädigung i.R.d. § 56 IfSG den Impfstatus der Beschäftigten erheben darf, diese allerdings nicht zur Offenbarung verpflichtet sind.  Dies ist dem Umstand geschuldet, dass das IfSG keine ausdrückliche Bestimmung zur Auskunftspflicht vorsieht, um den Vorgaben des Vorbehaltes des Gesetzes gerecht zu werden. Allerdings geht der LfDI wohl zutreffender Weise von einer entsprechenden Obliegenheit des Beschäftigten gegenüber dem Arbeitgeber aus:

„Er kann zwar frei entscheiden, ob er dem Arbeitgeber die persönlichen Informationen zur Geltendmachung des Erstattungsanspruchs nach § 56 Abs. 5 Satz 3 IfSG beisteuern will, läuft insofern jedoch das Risiko, mangels Mitwirkung Nachteile zu erleiden. Sollte der Arbeitgeber etwa nicht bereits aus § 616 BGB zur Fortzahlung des Lohns verpflichtet sein oder dem Beschäftigten kein Anspruch auf Entgeltfortzahlung im Krankheitsfall zustehen, könnte der Beschäftigte sich Ansprüchen des Arbeitgebers auf Rückzahlung des Lohns für die Zeit der Quarantäne ausgesetzt sehen bzw. keinen Lohn erhalten.“

Zusammengefasst: Sofern der Beschäftigte die Angaben verweigert, kann er mangels Mitwirkung auch Nachteile erleiden, also keine Lohnfortzahlung erhalten bzw. Rückzahlungsansprüche des Arbeitgebers ausgesetzt sein. Bemerkenswert ist, dass der LfDI im Zusammenhang mit § 56 Abs. 5 Satz 3 IfSG die Einwilligung als einschlägige Rechtsgrundlage und das Merkmal der Freiwilligkeit bereits in dem Moment als erfüllt ansieht, wenn „der Arbeitgeber dem Beschäftigten jederzeit die Wahl lässt, die erforderlichen Angaben ihm gegenüber zu machen oder nicht.“ Dies dürfte nach Auffassung des LfDI stringent sein, da dem Beschäftigten die Möglichkeit verbleibt gemäß § 56 Abs. 5 Satz 4 IfSG die Entschädigung selbst bei der zuständigen Behörde zu beantragen, ohne dass der Arbeitgeber in diesen Fällen den Impfstatus erfahren würde. 


FRAGERECHT DES ARBEITGEBERS IM RAHMEN DES SOGENANNTEN 2G-OPTIONSMODELLS?

Der Sächsische Datenschutzbeauftragte (SächsDSB) befasst sich in einer Stellungnahme mit der Frage, ob Arbeitgeber im Rahmen des sog. 2G-Optionsmodells der Sächsischen Corona-Schutz-Verordnung (SächsCoronaSchVO). Bei dem 2G-Optionsmodell können gemäß § 6a SächsCoronaSchVO in bestimmten Bereichen Angebote für geimpfte oder genesenen Personen ohne Pflicht zum Tragen einer Mund-Nasen-Bedeckung, ohne Pflicht zur Einhaltung des Abstandgebotes und ohne Beschränkung hinsichtlich der Auslastung der Höchstkapazität ermöglicht werden. Im Zusammenhang mit dem 2G-Optionsmodell sich unter Berücksichtigung der Voraussetzung, dass alle Anwesenden Personen über einen Impf- oder Genesenennachweis verfügen müssen, sogleich die Frage, ob der Arbeitgeber die Offenbarung des Impf- und Genesenenstatus oder die Offenbarung des Ergebnisses eines Tests (§ 6a Abs. 1 Satz 2 SächsCoronaSchVO sieht Ausnahmen für Beschäftigte vom Impf- oder Genesenennachweis vor, sofern diese über einen Testnachweis verfügen und einen medizinische Mund-Nasen-Bedeckung tragen) auf das Nichtvorliegen einer Infektion mit SARS-CoV-2 von seinen Beschäftigten verlangen darf.

Der SächsDSB lehnt ein entsprechendes Fragerecht des Arbeitgebers ab. Abgesehen von den Ausnahmebereichen der §§ 23a Satz 1, 23 Abs. 3 und § 36 Abs. 3 IfSG sieht die Aufsichtsbehörde keine einschlägige belastbare gesetzliche Rechtsgrundlage. Eine Negierung der Anspruchsgrundlage erfolgt ebenfalls für die Abfrage mittels Einwilligung des Beschäftigten, wobei hier nur ein pauschaler Hinweis auf das häufige Fehlen des Tatbestandsmerkmales der Freiwilligkeit ergeht, und keine vertiefte Auseinandersetzung erfolgt. Gleiches gilt für die Verarbeitung aufgrund von Kollektivvereinbarungen. Die streitgegenständliche Norm § 6a SächsCoronaSchVO scheitert im Ergebnis gleichermaßen, hier jedoch aufgrund der fehlenden Regelungskompetenz des sächsischen Verordnungsgebers für eine Rechtsgrundlage zur Abfrage des Impf- oder Genesenenstatus nach § 32 Satz 1 i. V. m. § 28 Absatz 1 Satz 1 und 2, § 28a Absatz 1, Abs. 2 Satz 1, Abs. 3 und Abs. 6 IfSG. Darüber hinaus sei der Arbeitgeber ebenfalls nicht berechtigt das Ergebnis eines Corona-Testes auf das Nichtvorliegen einer Infektion mit SARS-Cov2 von seinen Beschäftigten zu verarbeiten. Die Begründung hierfür wird Wortlaut der Norm bzw. der Systematik der SächsCoronaSchVO festgemacht: § 6a SächsCoronaSchVO sieht lediglich vor, dass der Beschäftigte über einen Testnachweis verfügen muss, eine Pflicht zur Vorlage wurde (beispielsweise abweichend zur Testpflicht für Urlaubsrückkehrer), explizit nicht geregelt.


DOKUMENTATION DES IMPFSTATUS BEI „FREIWILLIGER“ MITTEILUNG DER BESCHÄFTIGTEN

Auch der Landesbeauftragte für den Datenschutz Sachsen-Anhalt hat sich zur Thematik der Abfrage des Impfstatus durch den Arbeitgeber entsprechend geäußert. Zunächst wird herausgesellt, dass ein Zugang des Arbeitgebers zu den Daten über den Impfstatus von Beschäftigten nur sehr begrenzt, gegeben sein wird (z.B. § 24 Abs. 2 Gesetz über den öffentlichen Gesundheitsdienst und die Berufsausbildung im Gesundheitswesen im Land Sachsen-Anhalt). Neben diesen spezialgesetzlichen Normen und dem Verweis auf die bekannten Regelungen aus dem IfSG werden die übrigen Rechtsgrundlagen aus § 26 Abs. 3 BDSG (bzw. § 84 Beamtengesetz des Landes Sachsen-Anhalt), Arbeitsschutzgesetz, SARS-CoV-2-Arbeitsschutzverordnung sowie § 2a Abs. 3, 4 und 14 SARS-Cov2 Eindämmungsverordnung abgelehnt. Zur Begründung wird u.a. angeführt, dass neben der Abfrage des Status der Beschäftigten andere mildere technische und organisatorische Maßnahmen wie bspw. Umsetzung der AHA+L-Regeln, Ablauforganisation, Hygienekonzepte, Homeoffice etc. zur Verfügung stehen und daher im Zweifel keine Erforderlichkeit der Datenverarbeitung anzunehmen sei. Dies gilt auch da durch die Antwort des Beschäftigten auf die Abfrage Rückschlüsse auf dessen Stellung zur (Coronaschutz-)Impfung möglich sind und so Stigmatisierung und sozialer Druck die Folge sein können.

Gleichfalls schließt die Aufsichtsbehörde die Abfrage auf Basis einer Einwilligung des Beschäftigten in den meisten Fällen aufgrund der wohl fehlenden Freiwilligkeit aus. Wiederrum wird aber die Möglichkeit bejaht, dass der Arbeitgeber den Impfstatus verarbeiten darf (Speichern zur Dokumentation, nicht erfragen), wenn dieser von Beschäftigten freiwillig angegeben wird, z.B. um sich von einer Testpflicht zu befreien. In dieser Richtung äußerten sich bereits schon der Hessische Datenschutzbeauftragte in seiner Handreichung sowie das Bayrische Landesamt für Datenschutzaufsicht in einer entsprechenden Mitteilung. Dieses Ergebnis in den Fällen der „aufgedrängten Verarbeitung“ dürfte insbesondere mit Blick auf die derzeitige Praxis interessengerecht sein.


FAZIT

Zusammenfassend lässt sich festhalten, dass ein Fragerecht des Arbeitgebers nach dem Impf- bzw. dem Genesenenstatus weiterhin nur aufgrund einer ausdrücklichen gesetzlichen Normierung gestattet werden kann. Zwar lassen die Aufsichtsbehörden die Einwilligungserklärung prinzipiell offen, diese dürfte jedoch in den meisten Fällen am Tatbestandsmerkmal der Freiwilligkeit scheitern. Etwas anderes gilt nach nunmehr klarerer Tendenz unter den Aufsichtsbehörden lediglich für die Fälle, in denen die Beschäftigten dem Arbeitgeber ihren Impfstatus freiwillig mitteilen, ohne dass dem eine Abfrage seitens des Arbeitgebers vorangegangen wäre.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Corona-Pandemie
  • Einwilligung
  • Gesundheitsdaten
  • Impfstatus
Lesen

ABFRAGE DES IMPFSTATUS VON BESCHÄFTIGTEN DURCH DEN ARBEITGEBER

Im Zusammenhang mit der COVID-19-Pandemie ergeben sich immer mehr und stetig neue rechtliche Fragestellungen, so auch in datenschutzrechtlicher Hinsicht. Hierrüber haben wir in der Vergangenheit bereits berichtet. Mediale Aufmerksamkeit erlangt derzeit insbesondere die umstrittene Frage nach der Zulässigkeit der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber. Jüngst äußerte sich auch der Bundesbeauftrage für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber und rät für Rechtsklarheit zu einer bundeseinheitlichen Regelung. Der folgende Beitrag befasst sich mit den wesentlichen Punkten der Rechtsfrage, wobei hier insbesondere auf die im August 2021 veröffentlichte Handreichung der Hessischen Beauftragten für Datenschutz und Informationsfreiheit Bezug genommen wird.             


WO BEGINNT DAS PROBLEM?

Ausgangspunkt der rechtlichen Betrachtung ist der Umstand, dass es sich bei den Daten zum Impfstatus um Gesundheitsdaten im Sinne des (i.S.d.) Art. 4 Nr. 15 DS-GVO und mithin um besondere Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DS-GVO handelt. Gleichwohl ist die Verarbeitung dieser Kategorien personenbezogener Daten grundsätzlich untersagt, es sei denn es ergibt sich aus Art. 9 Abs. 2, Abs. 3 DS-GVO etwas anderes.  Genau an diesem Punkt knüpfen auch die tatsächlichen Schwierigkeiten an: Es gelten für geimpfte und genesene Personen nach § 28c Infektionsschutzgesetz (IfSG) in Verbindung mit (i.V.m.) der Verordnung zur Regelung von Erleichterung und Ausnahmen von Schutzmaßnahmen zur Verhinderung der Verbreitung von COVID-19 (COVID-19-Schutzmaßnahmen-Ausnahmenverordnung – SchAusnahmV) einige Ausnahmen wie bspw. von der Beschränkung privater Zusammenkünfte (§ 4), von der Beschränkung des Aufenthalts außerhalb einer Wohnung oder einer Unterkunft (§ 5) oder von der Absonderungspflicht (§ 10). Diese Gesamtschau lässt erkennen, dass auch der Arbeitgeber ein gewisses Interesse an der Abfrage des Impf- bzw. Genesenenstatus seiner Beschäftigten haben kann. Die einfache, wie zutreffende Frage ist: Darf er das?


WELCHE RECHTSGRUNDLAGEN KOMMEN IN BETRACHT?

Als belastbare Rechtsgrundlagen werden seitens der Datenschutz-Aufsichtsbehörden in den allermeisten Stellungnahmen bzw. Mitteilungen häufig Art. 9 Abs. 2 lit. h) bzw. lit. i) DS-GVO i.V.m. §§ 23a Satz 1, 23 Abs. 3 IfSG, Art. 9 Abs. 2 lit. b) DS-GVO i.V.m. dem Arbeitsschutzgesetz, der SARS-CoV-2-Arbeitsschutzverordnung, der Coronavirus-Schutzverordnung oder der Verordnung zur arbeitsmedizinischen Vorsorge herangezogen. Sämtlich scheitern diese Grundlagen jedoch (in den meisten Fällen) bereitsauf Tatbestandebene, da keine ausdrücklich normierte gesetzliche Rechtsgrundlage zur Verarbeitung des Impfstatus der Beschäftigten besteht. Ausnahmen bestehen hier für die in § 23 Abs. 3 IfSG genannten Arbeitgeber. Diese scheint deshalb zwingend, da insofern derzeit auch keine allgemeine gesetzlich normierte Impfpflicht hinsichtlich des Coronavirus besteht. Gegenwärtig gibt es keine gesicherten Erkenntnisse darüber, über welchen Zeitraum eine geimpfte Person vor einer COVID-19-Erkrankung geschützt ist, d. h. wie lange der Impfschutz besteht.

Abgestellt wird zudem häufig auf Art. 9 Abs. 2 lit. b) DS-GVO i.V.m. § 26 Abs. 3 BDSG. Hier kann man sich – wie in der Handreichung der Hessischen Datenschutzbeauftragten dargelegt – trefflich darüber streiten, ob § 26 Abs. 3 BDSG eine gesetzliche Grundlage voraussetzt oder aber ob hiernach etwa eine rechtliche Pflicht aus dem Arbeitsvertrag die Verarbeitung rechtfertigen kann. Unabhängig davon wird in der Regel keine rechtliche Pflicht aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und Sozialrecht einschlägig sein. Die Erforderlichkeit richtet sich nach Ansicht der Landesbeauftragen für Datenschutz und Informationsfreiheit Nordrhein-Westfalen jedenfalls wohl nicht nach der Fürsorge- und Schutzpflicht des Arbeitgebers vor potentiellen Ansteckungsrisiken der Beschäftigten oder der Kundschaft.


KANN DER BESCHÄFTIGTE NICHT EINWILLIGEN?

In der Praxis wird häufig als naheliegende Lösungsmöglichkeit die Einwilligung des Betroffenen, hier also der Beschäftigten in Betracht gezogen. Dieser Ansatz ist jedoch nicht immer zutreffend und die Einwilligung nicht die „ultimative“ Rechtsgrundlage für die sie gehalten wird. Im Normgenese des Art. 9 Abs. 2 DS-GVO wird hingegen unter lit. a) die ausdrückliche Einwilligung als Ausnahmetatbestand des Art. 9 Abs. 1 DS-GVO normiert. Im Beschäftigtenverhältnis sind über dies gemäß Art. 88 Abs. 1 DS-GVO in Verbindung mit § 26 Abs. 2 Satz 1 BDSG gesonderte Anforderungen zu berücksichtigen: Das Hauptaugenmerk liegt hier unstreitig auf dem sog. Freiwilligkeitsvorbehalt. Im Beschäftigtenverhältnis ergibt sich die besondere Situation eines Über-/Unterordnungsverhältnis zwischen Arbeitgeber und Beschäftigten, weshalb die Beschäftigten in einem Abhängigkeitsverhältnis zu ihrem Arbeitgeber stehen und daher bei der Abgabe einer Erklärung nur selten frei von Drucksituationen bzw. Zwängen sein können. Die Freiwilligkeit kann gemäß § 26 Abs. 2 Satz 2 BDSG insbesondere dann angenommen werden, wenn für die beschäftigten Personen ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz äußerte sich diesbezüglich, Abfragen des Impfstatus durch Arbeitgeber – und sei es auch nur durch freiwillige Angabe der Beschäftigten – als Teil eines Hygienekonzepts, aufgrund des dadurch für die Beschäftigten entstehenden sozialen Drucks und die Angst vor Repressalien dazu führen, dass ein indirekter Impfzwang entsteht. As diesem Grunde könne eine Einwilligung nicht als Grundlage für eine solche Datenerhebung herangezogen werden.

Die Hessische Datenschutzbeauftragte geht in ihrer Handreichung davon aus, dass die Verarbeitung des Impfstatus durch den Arbeitgeber auf Basis einer Einwilligung etwa dann möglich ist, wenn dies im Zusammenhang mit einem Anreizprogramm für die Beschäftigten erfolgt da der Arbeitgeber insoweit ein wirtschaftliches Interesse haben kann, dass krankheits- oder quarantänebedingte Ausfälle verhindert werden und so gleichfalls Anreize für die Impfung zu setzen. Beispiele für derartige Anreize sind demnach eine Freistellung von der Arbeit für eine Schutzimpfung durch den Betriebsarzt, Sachgeschenk oder finanzielle Anreize („Impf-Bonus“). Zudem wird die Freiwilligkeit nach der Handreichung für die Fälle angenommen, in denen eine Testpflicht besteht und er der Beschäftigt sich der Beschäftigte von dieser Testpflicht durch die Mitteilung befreien kann. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)  merkt in diesem Zusammenhang an, dass allerdings keine Verpflichtung der Beschäftigten besteht, den Impfstatus anzugeben. Entscheiden sich Beschäftigte, den Impfstatus nicht anzugeben, müssen sie sich stattdessen testen lassen.

Für das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) kommt laut entsprechender Mitteilung auf der Basis einer Einwilligung eine Abfrage des Impfstatus grundsätzlich nicht in Betracht. Einwilligungen müssten den Anforderungen des Art. 7 und der Erwägungsgründe 32, 42 und 43 DS-GVO genügen (insbes. Freiwilligkeit). Dies ist infolge der Abhängigkeiten im Beschäftigungsverhältnis in der Regel nicht gegeben (Ausnahmen im Sinne des § 26 Abs. 2 BDSG dürften in der Regel nicht vorliegen). Unabhängig davon ist ein Arbeitgeber aber befugt, den Impfstatus zumindest zu erheben bzw. zur Kenntnis zu nehmen, wenn er vom Beschäftigten freiwillig angegeben wird, um sich gemäß geltenden landesrechtlichen Vorschriften zur Pandemieeindämmung von einer gesetzlich geregelten Pflicht zur Testung zu befreien.


FAZIT

Im „rechtlichen“ Ergebnis wird es wohl derweil darauf hinauslaufen, dass im Detail zu unterscheiden sein wird, zwischen der „Abfrage“ seitens des Arbeitgebers und der „aufgedrängten“ Information durch die Beschäftigten durch die freiwillige Bekanntgabe des Impfstatus. Die Hessische Datenschutzbeauftragte weist im Zusammenhang mit der Einwilligung noch darauf hin, dass die Einwilligung des Beschäftigten in die Verarbeitung nicht automatisch auch die dauerhafte Speicherung des Impfstatus oder die Verarbeitung zusätzlicher Daten rechtfertigt. Der HmbBfDI teilt in seinen FAQ mit, dass soweit der Arbeitgeber den Impfstatus der Beschäftigten verarbeitet, zu beachten ist, dass lediglich ein Vermerk über das Vorliegen des Impfnachweises und den bestehenden Impfschutz in die Personalakte aufgenommen wird. Eine Kopie des Impfausweises ist nicht erforderlich und folglich datenschutzrechtlich unzulässig. In eine ähnliche Richtung ist die Aussage des BayLDA zu verstehen, dass eine Befugnis zur Speicherung der vorgelegten Nachweise in den bislang existierenden Vorschriften (Anm.: landesrechtlichen Vorschriften) dieser Art nicht geregelt ist und sich somit daraus nicht ableiten lässt. Mit Spannung wird daher zu erwarten sein, ob es zu der vom BfDI geforderten einheitlichen Regelung zur Abfrage des Impf- bzw. Genesenenstatus kommen der der Flickenteppich an Rechtsgrundlagen entstehen wird.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Corona-Pandemie
  • Einwilligung
  • Gesundheitsdaten
  • Impfstatus
Lesen

EINWILLIGUNGEN – WIE? WANN? WOFÜR NICHT?

Die Einwilligung der betroffenen Person wird häufig als die „ultimative“ Rechtsgrundlage zur Verarbeitung personenbezogener Daten missverstanden. An die Einwilligung der betroffenen Person sind eine Vielzahl von Anforderungen geknüpft, sodass sich ein Rückgriff auf diese im Rahmen zahlreicher Verarbeitungssituationen verbietet. Der Beitrag stellt die verschiedenen Anforderungen an eine rechtskonforme Einwilligung dar und zeigt beispielhaft Sachverhalte auf, in denen es für die Verarbeitung personenbezogener Daten keiner gesonderten Einwilligung der betroffenen Person bedarf.


NACHWEIS EINER EINWILLIGUNG

Grundsätzlich fordert die Datenschutz-Grundverordnung (DS-GVO) keine schriftliche Einwilligung der betroffenen Person, sodass eine Datenverarbeitung auch auf eine „konkludente“ (aus dem Verhalten einer betroffenen Person schlüssig ableitbare) Einwilligung gestützt werden kann. Vielfach wird in diesem Zusammenhang beispielhaft angeführt, dass das Posieren einer betroffenen Person vor einer Kamera bereits als konkludente Einwilligung gewertet werden könne. Probleme ergeben sich hierbei jedoch im Rahmen des Nachweises: Art. 7 Abs. 1 DS-GVO fordert seitens des Verantwortlichen, dass dieser die Einwilligung der betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten nachweisen können muss. Gleiches ergibt sich auch aus der Rechenschaftspflicht des Art. 5 Abs. 2 DS-GVO.

Besonderheiten ergeben sich zudem im Rahmen der Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DS-GVO. Die Rechtsgrundlage des Art. 9 Abs. 2 lit. a DS-GVO setzt nach ihrem Wortlaut bereits eine ausdrückliche Einwilligung der betroffenen Person voraus. Das Abstellen auf eine konkludente Einwilligung ist in diesem Rahmen nicht möglich. Erfolgt die Verarbeitung personenbezogener Daten eines Kindes in Bezug auf Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO, bedarf es darüber hinaus der Einwilligung der Träger der elterlichen Verantwortung. Gemäß Art. 8 Abs. 2 DS-GVO hat sich der Verantwortliche mit angemessenen Anstrengungen über die tatsächliche Einwilligung der Träger der elterlichen Verantwortung zu vergewissern. Dies ist im Zweifelsfall nachzuweisen.


FREIWILLIGKEIT, BESTIMMTHEIT, TRANSPARENZ

Eine Einwilligung setzt stets ein aktives Handeln einer betroffenen Person voraus. Dabei ist zu berücksichtigen, dass diese tatsächlich eine freie Wahl über die (Nicht-)Abgabe ihrer Einwilligung besitzt. Nach Erwägungsgrund (ErwGr.) 42  Satz 5 zur DS-GVO muss die betroffene Person insbesondere in der Lage sein, ihre Einwilligung zu verweigern oder zurückzuziehen, ohne hierdurch Nachteile zu erleiden. Dies ist bereits dann nicht anzunehmen, sofern die Erbringung einer Dienstleistung von der Abgabe einer Einwilligung abhängig gemacht wird oder  wenn zu verschiedenen Verarbeitungsvorgängen nicht gesondert eine Einwilligung erteilt werden kann (Art. 7 Abs. 4 DS-GVO, ErwGr. 43 Satz 2 zur DS-GVO). Auch kann dann nicht von einer freiwillig erteilten Einwilligung ausgegangen werden, wenn zwischen Verantwortlichem und betroffener Person ein klares Ungleichgewicht besteht und es im konkreten Fall unwahrscheinlich ist, dass die Einwilligung freiwillig erteilt wurde (ErwGr. 43  Satz 1 zur DS-GVO). Dies kann in bestimmten Fällen beispielsweise bei Behörden oder im Beschäftigungskontext anzunehmen sein.

Ferner bedarf es gegenüber der betroffenen Person einer umfangreichen Information, zumindest über die verantwortliche Stelle sowie die konkreten Zwecke der Verarbeitung (ErwGr. 42 Satz 4 zur DS-GVO). Es empfiehlt sich jedoch die Inhalte der Einwilligungserklärung entsprechend den Anforderungen an Datenschutzinformationen nach Art. 13 DS-GVO zu gestalten, um zugleich dieser datenschutzrechtlichen Verpflichtung nachzukommen. Die Einwilligungserklärung ist in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zur Verfügung zu stellen (ErwGr. 42 Satz 3 zur DS-GVO). Dies umfasst gemäß Art. 7 Abs. 2 DS-GVO auch, dass eine Einwilligungserklärung im Rahmen anderer Erklärungen deutlich als Ersuchen um Einwilligung der betroffenen Person hervorzuheben und von weiteren Sachverhalten deutlich abzutrennen ist.


GELTUNGSDAUER EINER EINWILLIGUNG

Eine zeitlich beschränkte Geltungsdauer der Einwilligung sieht die DS-GVO nicht vor. In Art. 7 Abs. 3 DS-GVO heißt es lediglich, dass die betroffene Person das Recht hat, ihre Einwilligung zu widerrufen, wobei der Widerruf so einfach wie die Erteilung der Einwilligung sein muss.

In der Vergangenheit ging die Rechtsprechung zu Teilen davon aus, dass eine abgegebene Einwilligung nach einer Nichtnutzung von anderthalb bis zwei Jahren erlischt (AG Bonn, Urt. v. 10. Mai 2016 – 104 C 227/15; LG München, Urt. v. 08. April 2010 – 17 HK O 138/10; LG Berlin, Beschl. v. 02. Juli 2004 – 15 O 653/03). Der Bundesgerichtshof (BGH) führte jedoch 2018 in einem Urteil bezugnehmend auf die Werbeeinwilligung nach § 7 UWG (Gesetz gegen den unlauteren Wettbewerb) sowie auf die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) aus, dass eine Einwilligung nicht allein durch Zeitablauf endet (BGH, Urt. v. 01. Februar 2008 – III ZR 196/17). Mit Blick auf Art. 7 Abs. 3 DS-GVO ist für die Einwilligung nach der DS-GVO selbiges anzunehmen.


RECHTSFOLGEN EINER NICHT-KONFORMEN EINWILLIGUNG

Entspricht eine Einwilligungserklärung nicht den dargestellten rechtlichen Anforderungen, so ist diese als unwirksam anzusehen. Die Datenverarbeitung kann dementsprechend nicht auf die Rechtsgrundlage einer Einwilligung gestützt werden. Kann der Verantwortliche die Umsetzung der datenschutzrechtlichen Voraussetzungen an eine Einwilligungserklärung nicht zweifelsfrei nachweisen, ist dies ebenso rechtswidrig.

Verarbeitungen personenbezogener Daten ohne (nachweisbare) einschlägige Rechtsgrundlage stellen grundsätzlich einen Verstoß gegen die datenschutzrechtlichen Grundsätze aus Art. 5 DS-GVO dar und können durch die Aufsichtsbehörden entsprechend (z.B. mit einem Bußgeld und/oder durch Untersagung der jeweiligen Datenverarbeitung) geahndet werden.


BEISPIELE AUS DER PRAXIS

In der Praxis wird sich häufig auf die Einwilligung als Rechtsgrundlage gestützt. Doch nicht immer ist dies auch sinnvoll. Regelmäßig ergeben sich anderweitig einschlägige Rechtsgrundlagen, welche für den konkreten Verarbeitungszweck besser – oder gar ausschließlich – geeignet sind. Einwilligungen können ausschließlich dann als Rechtsgrundlage herangezogen werden, sofern die beabsichtigte Datenverarbeitung nicht zwingend erforderlich ist. Eine Einwilligung der betroffenen Person ist beispielsweise in folgenden Konstellationen nicht erforderlich:

Beschäftigtenverhältnis: Datenverarbeitungen, welche zwingend zur Begründung, Durchführung oder Beendigung des Beschäftigtenverhältnisses erforderlich sind (z.B. Bewerbermanagement, Lohn- und Gehaltsabrechnung), sind auf die Rechtsgrundlage des Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 1 BDSG (Bundesdatenschutzgesetz) zu stützen. Eine Einwilligung von Beschäftigten ist ausschließlich dann erforderlich, sofern darüberhinausgehende Datenverarbeitungen erfolgen sollen. Ein klassisches Beispiel ist die Veröffentlichung von Fotoaufnahmen auf der Internetseite oder in Broschüren. Die Rechtsgrundlage bildet hierfür die Einwilligung gemäß Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 2 BDSG.

Vertragsverhältnis: Sofern die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrages (z.B. Abrechnung) oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (z.B. zur Erstellung eines unverbindlichen Angebotes), bildet Art. 6 Abs. 1 Satz 1 lit. b DS-GVO die einschlägige Rechtsgrundlage. Ein Rückgriff auf die Rechtsgrundlage der Einwilligung verbietet sich hierbei bereits aufgrund der untrennbaren Verknüpfung zwischen (potenziellem) Vertragsverhältnis und Datenverarbeitung.

Rechtliche Verpflichtung: Einer Einwilligung der betroffenen Person bedarf es ferner nicht, falls die verantwortliche Stelle zur Verarbeitung der personenbezogenen Daten verpflichtet ist. Die einschlägige Rechtsgrundlage stellt Art. 6 Abs. 1 Satz 1 lit. c DS-GVO i.V.m. einer spezialgesetzlichen Rechtsvorschrift dar. Eine solche rechtliche Verpflichtung liegt beispielsweise hinsichtlich der Aufbewahrung handels- bzw. steuerrechtlicher Unterlagen vor, welche nach den Regelungen des Handelsgesetzbuches sowie der Abgabenordnung aufzubewahren sind. Derartige spezialgesetzliche Aufbewahrungsfristen gelten vorrangig zur Verpflichtung zur Löschung personenbezogener Daten nach Art. 17 DS-GVO.


FAZIT

Wie der Beitrag aufzeigt, sind im Zusammenhang mit einer Einwilligung zahlreiche Anforderungen, zum Beispiel hinsichtlich der Transparenz und der Freiwilligkeit zu beachten. Weiterhin sollte stets überprüft werden, ob gegebenenfalls alternative Rechtsgrundlagen zur Verarbeitung personenbezogener Daten einschlägig sind. Auf eine Einwilligung sollte sich tatsächlich nur in Ausnahmefällen gestützt werden. Weitergehende Informationen lassen sich auch dem Kurzpapier Nr. 20 „Einwilligung nach der DS-GVO“ der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) entnehmen. Hierzu ist in Kürze auch mit einer überarbeiteten Fassung zu rechnen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Einwilligung
  • Freiwilligkeit
  • Rechenschaftspflicht
  • Rechtsfolgen
Lesen