Es lässt sich mit Sicherheit sehr gut vertreten, dass im Datenschutz zunehmend eine Verrechtlichung stattfindet. Immer neue gesetzliche Anforderungen treten in Kraft und die Rechtsprechung beschäftigt sich mit allerlei Rechtsfragen. Insbesondere der Europäische Gerichtshof (EuGH) war in den letzten Wochen und Monaten fleißig und hat sich mit einer Reihe umstrittener Punkte auseinandergesetzt. Der heutige Beitrag soll einen Überblick über zwei dieser Urteile aus den letzten Wochen verschaffen.

Und täglich grüßt das Murmeltier – Max Schrems vs. Meta

Am 4. Oktober 2024 stand – mal wieder könnte man meinen – eine Entscheidung zwischen dem Datenschutzaktivisten Max Schrems und Meta Platforms, Inc. an. Im Kern behandelt die Rechtssache C-446/21 den Aspekt, dass nicht sämtliche personenbezogene Daten zeitlich unbegrenzt und ohne Unterscheidung nach Ihrer Art verwendet werden dürfen. Konkret hatte Facebook personenbezogene Daten, die sie ursprünglich für Zwecke der zielgerichteten Werbung erhoben hatten, in einem Werbeprofil verwendet. Es handelte sich hierbei um Aussagen einer Person über die eigene sexuelle Orientierung, mithin also um ein besonders schützenswertes Datum Im Sinne des Art. 9 DS-GVO.

Der EuGH urteilte wie folgt: „Als Zweites ist zur zeitlichen Begrenzung einer Verarbeitung personenbezogener Daten wie der Verarbeitung, um die es im Ausgangsverfahren geht, darauf hinzuweisen, dass der Gerichtshof bereits entschieden hat, dass der Verantwortliche unter Berücksichtigung des Grundsatzes der Datenminimierung verpflichtet ist, den Zeitraum der Erhebung der betreffenden personenbezogenen Daten auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken.“ „Die Folgen für die Interessen und das Privatleben der betroffenen Person sind nämlich umso schwerer und die Anforderungen an die Rechtmäßigkeit der Speicherung der betreffenden Daten sind umso höher, je länger diese gespeichert werden“

Und weiter: „Des Weiteren ist darauf hinzuweisen, dass gemäß Art. 5 Abs. 1 Buchst. e DSGVO die personenbezogenen Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.  Somit ist diesem Artikel eindeutig zu entnehmen, dass der in ihm verankerte Grundsatz der „Speicherbegrenzung“ verlangt, dass der Verantwortliche in der Lage ist, gemäß dem Grundsatz der Rechenschaftspflicht, […] nachzuweisen, dass die personenbezogenen Daten nur so lange gespeichert werden, wie es für die Erreichung der Zwecke, für die sie erhoben oder weiterverarbeitet wurden, erforderlich ist.“

Deshalb: „Daraus ergibt sich, wie der Gerichtshof bereits entschieden hat, dass selbst eine ursprünglich zulässige Verarbeitung von Daten im Lauf der Zeit gegen die DSGVO verstoßen kann, wenn diese Daten für die Erreichung der Zwecke, für die sie erhoben oder später verarbeitet wurden, nicht mehr erforderlich sind, und dass diese Daten gelöscht werden müssen, wenn diese Zwecke erreicht sind.“ Es lässt sich demnach festhalten, dass der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c) DS-GVO einer zeitlich unbegrenzten und nicht nach der Art der Daten unterscheidenden (Weiter-)Verarbeitung entgegensteht. Kritik am Urteil gibt es bereits.

Wenn sich zwei streiten – der Fall „Lindenapotheke“

In der Rechtssache C-21/23 – ebenfalls vom 4. Oktober 2024 – geht der EuGH nicht nur einer, sondern gleich zwei spannenden Fragen des Datenschutzrechts nach.

Zum einen setzt sich der Gerichtshof mit der Bestimmung des Begriffes der Gesundheitsdaten im Sinne des Art. 4 Nr. 15, Art. 9 DS-GVO auseinander. Im Ergebnis bestätigt der EuGH seine Ansicht aus vorangegangenen Urteilen und kommt zu einer weiten Auslegung des Begriffs. Zunächst einmal sind Gesundheitsdaten nach Art. 4 Nr. 15 DS-GVO „[…]  personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.

Der EuGH kommt zu dem Schluss, dass Kundendaten im Zusammenhang mit apothekenpflichtigen Arzneimitteln, die über eine Onlineplattform vertrieben werden und die Kunden bei der Onlinebestellung dieser Arzneimittel eingeben müssen, Gesundheitsdaten im Sinne dieser Bestimmung darstellen. Dies gelte auch dann, wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf. Dies wird damit begründet, dass aus den Daten zum Erwerb von Arzneimitteln Rückschlüsse auf den Gesundheitszustand einer identifizierten oder identifizierbaren Person gezogen werden können. Ziel der DS-GVO sei es ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres Privatlebens – bei der Verarbeitung sie betreffender personenbezogener Daten zu gewährleisten. Aus diesem Grunde sei auch eine weite Auslegung des Begriffs der Gesundheitsdaten geboten.

Außerdem beschäftigt sich der Gerichtshof mit dem Verhältnis von Datenschutz- und Wettbewerbsrecht. Eine seit 2018 in der datenschutzrechtlichen Welt mal mehr, mal weniger diskutierte Frage betraf im Kern die Überlegung, ob die Regelung der DS-GVO – insbesondere die Regelungen des Kapitels VIII – das nationale Wettbewerbsrecht sperren. In der Rechtssache lag ursprünglich ein Streit zwischen zwei Wettbewerben, konkret zwei Apothekern, zu Grunde. Der EuGH kommt zu dem Ergebnis, dass nationale Regelungen zum Wettbewerbsrecht, die es Mitbewerben ermöglichen gegen die Verletzung von Vorschriften zum Schutz personenbezogener Daten unter Gesichtspunkten der Vornahme unlauterer Geschäftspraktiken zu klagen, nicht durch die DS-GVO gesperrt werden.

Der Gerichtshof differenziert zwischen den jeweiligen Schutzrichtungen: „Vorab ist darauf hinzuweisen, dass Kapitel VIII DSGVO u. a. die Rechtsbehelfe regelt, mit denen die Rechte der betroffenen Person geschützt werden können, wenn die sie betreffenden personenbezogenen Daten Gegenstand einer Verarbeitung gewesen sind, die mutmaßlich gegen die Bestimmungen dieser Verordnung verstößt.“

Und weiter: „Zum Wortlaut der Bestimmungen des Kapitels VIII DSGVO ist festzustellen, dass in keiner dieser Bestimmungen ausdrücklich ausgeschlossen wird, dass ein Mitbewerber eines Unternehmens unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken wegen eines angeblichen Verstoßes dieses Unternehmens gegen die in der DSGVO vorgesehenen Pflichten bei den Zivilgerichten Klage gegen dieses Unternehmen erheben kann […] Dass Kapitel VIII DSGVO keine Bestimmungen enthält, die vorsehen, dass Mitbewerber eines Unternehmens, das gegen diese materiellen Bestimmungen verstoßen haben soll, Klage auf Unterlassung dieser Verstöße erheben können, geht darauf zurück, dass – …]  – nur betroffene Personen, nicht aber diese Mitbewerber Adressaten des durch diese Verordnung gewährleisteten Schutzes personenbezogener Daten sind.“

Zusammengefasst: „Die Möglichkeit für den Mitbewerber eines Unternehmens, unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken bei den Zivilgerichten Klage auf Unterlassung eines von diesem Unternehmen angeblich begangenen Verstoßes gegen die materiellen Bestimmungen der DSGVO zu erheben, lässt diese Ziele nicht nur unberührt, sondern kann die praktische Wirksamkeit dieser Bestimmungen sogar verstärken und damit das mit dieser Verordnung angestrebte hohe Schutzniveau der betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten verbessern.“

Mit diesem Urteil schriebt der EuGH seine bisherige Linie zur Anwendung von Art. 9 DS-GVO und einer anzuwendenden weiten Auslegung fort. Dies wird mit Sicherheit zu einigen Unsicherheiten und neuen Anwendungsfragen führen. Erfreulich hingegen kann die Klärung des Verhältnisses zwischen Datenschutz- und Wettbewerbsrecht aufgefasst werden.

Fazit

Das Rad in der Datenschutzwelt steht nicht still. Unaufhaltsam geht die Entwicklung in Gesetzgebung, Rechtsprechung und behördlicher Praxis voran. Insbesondere Datenschutzbeauftragte in Unternehmen und Behörden sind also stets gut beraten, sich auf dem Laufenden zu halten.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Vor den erholsamen Wegstrecken bei Artikeln 10 und 11 wird der Ausflug nun sehr beschwerlich:

Artikel 9 regelt ein „Sonderthema“ im Datenschutz, nämlich den Umgang mit besonders sensiblen Daten. Und sensibel meint hier: Solche Informationen, aus deren Missbrauch sich große Risiken für die Betroffenen ergeben können, insbesondere Risiken einer Schlechterbehandlung, also Diskriminierung.Kürzer und präziser könnte der Titel von Artikel 9 deshalb – anstelle Verarbeitung besonderer Kategorien personenbezogener Daten – auch lauten Sensible Daten. Das Konzept des Gesetzgebers ist: In Absatz 1 werden die besonderen Kategorien definiert und ihre Verarbeitung wird untersagt. Der lange Absatz 2 enthält dann viele Ausnahmen mit teils furchtbar komplizierten Details. Und die Absätze 3 sowie 4 sind überflüssig, aber dazu später mehr…

Absatz 1

Der erste Absatz listet die besonderen Kategorien auf – wir schreiben ihn nicht ab, sondern bitten wie üblich darum, die DS-GVO selbst zu lesen. Für die meisten Kategorien (zum Beispiel Herkunft, politische Meinung, religiöse Überzeugung) liegt das Diskriminierungsrisiko nach traurigen historischen Erfahrungen auf der Hand.

Allerdings ist die Mehtode der DS-GVO zum Schutz dieser Daten nicht alternativlos. Anstelle des von zahlreichen Ausnahmen durchlöcherten Verbots wäre beispielsweise auch denkbar, bei jeder Verarbeitung dieser Daten eine Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) zu verlangen oder ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO) anzuordnen – und ansonsten darauf zu verzichten. Diese und andere Wege würden einerseits durch erhöhten Verarbeitungsaufwand bei den Verantwortlichen dazu führen, die Verarbeitung einzuschränken und sich mit den Risiken auseinanderzusetzen. Außerdem bliebe uns

Absatz 2

erspart. Er gehört tatsächlich zu den Schlimmsten der DS-GVO. Bestaunen wir ihn buchstabenweise:

Buchstabe (a) erlaubt die Verarbeitung der sensiblen Daten, wenn die betroffene Person „für […] festgelegte Zwecke ausdrücklich eingewilligt“ hat. Manchmal wird die Zweckfestlegung und die Ausdrücklichkeit der Einwilligung als Unterschied zur „normalen“ Einwilligung nach Art. 7 und Art. 6 Abs. 1 Satz lit. a) DS-GVO genannt, aber zu Unrecht: Auch die „normale“ Einwilligung muss sich ja auf einen bestimmten Verarbeitungszweck beziehen und ausdrücklich erklärt werden. Das heißt nicht unbedingt schriftlich oder sonstwie formal; Kopfnicken genügt bei Artikel 6 und bei Artikel 9 – nur muss man es in beiden Fällen nachweisen können.

Bei der Einwilligung gibt es also – wenn man genau hinschaut – keinen Unterschied zwischen normalen und sensiblen Daten. Oder vielleicht doch – einen besonders merkwürdigen: Die Einwilligung bei den sensiblen Daten kann durch nationales oder EU-Recht ausgeschlossen werden. Also: Der Staat darf gesetzlich festlegen, dass beispielsweise Daten zur Religion in bestimmten Fällen nicht aufgrund einer Einwilligung verarbeitet werden können. Ist das sinnvoll? Und wenn ja, wann? Und ist es noch Datenschutz, wenn die Selbstbestimmung verloren geht?

Bei Buchstaben (b), (h) und (i) geht es überwiegend um Gesundheit. Neben der unnötig komplizierten Struktur – zu Buchstaben h gehört auch noch Absatz 3 – ist vor allem seltsam: Es genügt nicht, dass die Datenverarbeitungen für die jeweils genannten Zwecke erforderlich sind und durch Gesetze verlangt werden. Die Gesetze müssen auch noch „geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person“ vorsehen. Daraus ergeben sich schwierige Fragen, zum Beispiel: Ergeben sich diese „geeigneten Garantien“ nicht aus der DS-GVO? Wofür ist sie sonst da? Und was soll der Verantwortliche tun, wenn ihn ein Gesetz zur Datenverarbeitung verpflichtet, das keine geeigneten Garantien enthält? Das Gesetz missachten? Muss der Verantwortliche selbst entscheiden, ob die Garantien des jeweiligen Gesetzes geeignet sind?

Buchstabe (c) am Fallbeispiel: Person A ist lebensnotwendig auf eine Bluttransfusion angewiesen. Verfügbar sind Blutkonserven von B, C und D; alle drei weigern sich jedoch, die Untersuchung der Konserven auf Krankheitserreger zu erlauben. Darf untersucht werden? Wohl nicht. Wenn B, C und D bewusstlos wären, wohl ja.

Buchstabe (d) ist eine Privilegierung für gemeinnützige Verantwortliche, die entweder zu weit geht, oder gar keinen Inhalt besitzt: Soll eine Gewerkschaft Gesundheitsdaten ihrer Mitglieder leichter verarbeiten dürfen, als ein Unternehmen? Dann wäre die Privilegierung zu weitgehend. Oder bedeutet „geeignete Garantien“ und „im Rahmen ihrer rechtmäßigen Tätigkeit“, dass die üblichen Regeln eingehalten werden müssen? Dann besitzt die Norm keinen Inhalt.

Buchstabe (e) verträgt sich schlecht mit Buchstaben (a): Trotz gesetzlichen Verbots der Einwilligung kann man als Betroffener die Verarbeitung sensibler Daten ermöglichen – aber dann muss man sie veröffentlichen? Ist das sinnvoll?

Buchstabe (f) ist recht klar. Man kann natürlich immer darüber streiten, was im Gerichtsverfahren erforderlich ist. Lesenswert dazu: VG Wiesbaden, Urteil vom 19. Januar 2022, Az. 6 K 361/21.WI.

Die Buchstaben (g) und (j) gehören zusammen; (h) und (i) wurden vom Gesetzgeber wohl nur dazwischengeschoben, um zu zeigen, wie man Datenschutzregeln nicht abfassen sollte: Unübersichtlich. Ganz Mutige dürfen jetzt schon kurz von (j) nach Art. 89 Abs. 1 DS-GVO hüpfen und versuchen, dort die Sätze 3 sowie 4 zu verstehen… Aber dann wieder zurückkommen!

Absatz 3

Der dritte Absatz, der besser in Absatz 2 Buchstabe (h) untergebracht wäre, bedeutet: Die Datenverarbeitung nach Buchstabe (h) darf nur durch Personen erfolgen, die einer Geheimhaltungspflicht unterliegen (nach EU-Recht oder nationalem Recht; schweizerisches Recht genügt nicht). Und dies würde wiederum bewirken, dass Datenverarbeitungen nach Buchstabe (h) nicht in Drittstaaten verlegt werden dürfen. Problemfall: Patientin A wird in Deutschland für Diagnosezwecke untersucht; das Bildmaterial erhält anschließend zur Auswertung die Ärztin B in Großbritannien (USA, Schweiz…). Soll dies unzulässig sein?

Absatz 4

Nach Absatz 4 können Mitgliedstaaten die Verarbeitung genetischer, biometrischer und von Gesundheitsdaten weiter einschränken. Ja, so einfach und kurz könnte man es formulieren… . Das heißt – weil Absatz 1 die Verarbeitung gänzlich verbietet – die Mitgliedstaaten können die Verbotsausnahmen in Absatz 2 für die benannten Datenkategorien begrenzen/verkleinern. Sehr wichtig ist Absatz 4 nicht, weil schon im Absatz 2 sehr viele Ausnahmen vom nationalen Recht abhängig sind (Buchstaben a, b und g-j). Sucht man in der Kommentarliteratur nach Anwendungsfällen für Absatz 4, findet man einiges – zum Beispiel Verweise auf § 8 Abs. 1 GenDG und § 7 TPG – merkt aber bei Prüfung, dass all diese Normen schon nach Absatz 2 zulässig sind. Oder haben Sie einen Anwendungsfall für Absatz 4?

Artikel 9 ist ganz sicher ein guter Kandidat für Text-Verbesserungen; momentan ist ein Spaziergang hier besonders holprig und rutschig. Aber wir haben es geschafft – also halten wir uns nicht weiter auf. Frohgemut zu den kurzen Wegstücken Nr. 10 und 11!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Seit dem 1. Januar 2023 ist in § 5 des Entgeltfortzahlungsgesetzes (EntgFG) zur Regelung der Anzeige- und Nachweispflichten bei Eintritt von Arbeitsunfähigkeiten eine – auch für den Datenschutz – nicht unbedeutende gesetzliche Änderung in Kraft getreten. Mit Blick auf die möglichen datenschutzrechtlichen Aspekte der Gesetzesänderung hat die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) Hinweise zu Datenverarbeitungen im Zusammenhang mit der Vorlage von Arbeitsunfähigkeitsbescheinigungen sowie Entgeltfortzahlungen im Krankheitsfall veröffentlicht. Hierauf soll im nachfolgenden Beitrag näher eingegangen werden. 

Was hat sich geändert?

Zuvorderst ist festzuhalten, dass die bisherige Regelung des § 5 Abs. 1 EntgFG in seiner Fassung bestehen bleibt:

„Der Arbeitnehmer ist verpflichtet, dem Arbeitgeber die Arbeitsunfähigkeit und deren voraussichtliche Dauer unverzüglich mitzuteilen. Dauert die Arbeitsunfähigkeit länger als drei Kalendertage, hat der Arbeitnehmer eine ärztliche Bescheinigung über das Bestehen der Arbeitsunfähigkeit sowie deren voraussichtliche Dauer spätestens an dem darauffolgenden Arbeitstag vorzulegen. Der Arbeitgeber ist berechtigt, die Vorlage der ärztlichen Bescheinigung früher zu verlangen. Dauert die Arbeitsunfähigkeit länger als in der Bescheinigung angegeben, ist der Arbeitnehmer verpflichtet, eine neue ärztliche Bescheinigung vorzulegen. Ist der Arbeitnehmer Mitglied einer gesetzlichen Krankenkasse, muss die ärztliche Bescheinigung einen Vermerk des behandelnden Arztes darüber enthalten, dass der Krankenkasse unverzüglich eine Bescheinigung über die Arbeitsunfähigkeit mit Angaben über den Befund und die voraussichtliche Dauer der Arbeitsunfähigkeit übersandt wird.“

Daneben ist jedoch § 5 Abs. 1a EntgFG neu eingeführt wurden:

„Absatz 1 Satz 2 bis 5 gilt nicht für Arbeitnehmer, die Versicherte einer gesetzlichen Krankenkasse sind. Diese sind verpflichtet, zu den in Absatz 1 Satz 2 bis 4 genannten Zeitpunkten das Bestehen einer Arbeitsunfähigkeit sowie deren voraussichtliche Dauer feststellen und sich eine ärztliche Bescheinigung nach Absatz 1 Satz 2 oder 4 aushändigen zu lassen. Die Sätze 1 und 2 gelten nicht

1. für Personen, die eine geringfügige Beschäftigung in Privathaushalten ausüben (§ 8a des Vierten Buches Sozialgesetzbuch), und
2. in Fällen der Feststellung der Arbeitsunfähigkeit durch einen Arzt, der nicht an der vertragsärztlichen Versorgung teilnimmt.“

Aus den Regelungen wird deutlich, dass Beschäftigte im Krankheitsfall weiterhin verpflichtet bleiben, dem Arbeitgeber eine bestehende Arbeitsunfähigkeit und deren voraussichtliche Dauer unverzüglich mitzuteilen. Jedoch besteht die Verpflichtung künftig (zunächst) für Beschäftigte, welche in einer gesetzlichen Krankenkasse versichert sind, lediglich dahingehend, die Arbeitsunfähigkeit und deren Dauer feststellen und sich selbst eine ärztliche Bescheinigung aushändigen zu lassen. Insbesondere aufgrund des nunmehr erfolgenden Ablaufs wird die Umstellung von einigen Stimmen als Belastung für Unternehmen empfunden.

Im Wesentlichen erfolgt ein dreistufiges Vorgehen: (1) Meldung der Arbeitsunfähigkeit der beschäftigten Person nach Feststellung durch die Arztpraxis bzw. das Krankenhaus an die Krankenkasse. Der Arbeitnehmende erhält dabei wie gewohnt einen Durchschlag in Papierform. (2) Anschließend meldet sich die beschäftigte Person wie bisher unverzüglich bei seiner zuständigen Führungskraft unter Angabe der voraussichtlichen Dauer arbeitsunfähig. (3) Da nun die Pflicht zur Vorlage der Bescheinigung seitens der Arbeitnehmenden entfällt, darf der Arbeitgeber nun nach erfolgter Information eine Abfrage bei der zuständigen Krankenkasse einholen. Eine automatische Übermittlung erfolgt dagegen nicht.

Was bedeuten die Änderungen für den Datenschutz?

Bei der Feststellung der Arbeitsunfähigkeit der betroffenen Beschäftigten kommt es unstreitig zur Verarbeitung personenbezogener Daten. Dies trifft jedenfalls auf Namen und Vornamen, Kontaktdaten und näheren Informationen zur jeweiligen Krankenkasse zu. Darüber hinaus liegt eine Verarbeitung von Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DS-GVO vor, z.B. die Feststellung und voraussichtliche Dauer der Arbeitsunfähigkeit, die Information ob es sich um eine Neuerkrankung oder um eine Wiederholungserkrankung, konkret um die Fortdauer einer Arbeitsunfähigkeit oder eine erneute Arbeitsunfähigkeit beruhend auf derselben Krankheit handelt und die Angabe, ob Anhaltspunkte dafür vorliegen, dass die Arbeitsunfähigkeit auf einem Arbeitsunfall oder sonstigen Unfall bzw. einer Berufskrankheit oder auf den Folgen eines Arbeitsunfalls oder sonstigen Unfalls beruht. Gesundheitsdaten sind als besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DS-GVO zu qualifizieren.

Aus den Hinweisen geht zunächst hervor, dass bei nicht-öffentlichen Stellen die Verarbeitungen der Beschäftigtendaten im Zusammenhang mit dem gesetzlich vorgesehenen Abrufverfahren für die eAU auf Grundlage von § 26 Abs. 1 und Abs. 3 BDSG in Verbindung mit den Regelungen zum EntgFG zum Zwecke der Durchführung des Beschäftigungsverhältnisses erfolgt (am Rande sei erwähnt, dass die Hinweise weitere Ausführungen für öffentliche Stellen in Niedersachsen enthalten, auf welche im Folgenden jedoch nicht näher eingegangenen werden soll). Ein Abruf einer eAU ist zur Erfüllung arbeitsrechtlicher Pflichten seitens des Arbeitgebers erforderlich, konkret zur Erfüllung der Verpflichtung zur Entgeltfortzahlung im Krankheitsfall aus § 3 EntgFG. Hervorgehoben wird noch, dass „ein Abruf nur dann erforderlich ist, wenn der oder die Beschäftigte zu diesem Zeitpunkt bereits verpflichtet ist, eine Arbeitsunfähigkeit durch eine Ärztin oder einen Arzt feststellen zu lassen.“

Die Möglichkeit zum Abruf der eAU folgt aus § 109 Abs. 1 Viertes Buch Sozialgesetzbuch. Diese Meldung enthält den Namen des Beschäftigten, den Beginn und das Ende der Arbeitsunfähigkeit, das Datum der ärztlichen Feststellung der Arbeitsunfähigkeit, die Kennzeichnung als Erst- oder Folgemeldung und die Angabe, ob Anhaltspunkte dafür vorliegen, dass die Arbeitsunfähigkeit auf einem Arbeitsunfall oder sonstigen Unfall oder auf den Folgen eines Arbeitsunfalls oder sonstigen Unfalls beruht.

Gesetzliche Krankenkassen sind gemäß § 69 Abs. 4 Zehntes Buch Sozialgesetzbuch befugt, den Arbeitgebern die erforderlichen Daten zu übermitteln. Dies betrifft die Fortdauer einer Arbeitsunfähigkeit oder ob eine erneute Arbeitsunfähigkeit eines Arbeitnehmers auf derselben Krankheit beruht. Nicht erforderlich ist jedoch die Übermittlung von Diagnosedaten. Weitergehende Datenverarbeitungen, z.B. Direktabfragen bei den behandelnden Ärzten, sind dagegen nur mit Einwilligung der betroffenen Beschäftigten möglich.

Fazit

Die grundsätzlichen Datenverarbeitungen im Zusammenhang mit der Einführung der elektronischen Arbeitsunfähigkeitsbescheinigung dürften für die datenschutzrechtlich Verantwortlichen nur wenig Probleme ergeben. Allerdings sind noch weitere Verpflichtungen zu beachten. Zuvorderst sind die Grundsätze der Datenminimierung (Art. 5 Abs. 1 lit. c) DS-GVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DS-GVO) zu beachten. Der Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit hat in Ziff. 4.25 in seinem Tätigkeitsbericht 2020 eine entsprechende Empfehlung für die Aufbewahrungsdauer von Arbeitsunfähigkeitsbescheinigungen gegeben.

Weiterhin muss der Verantwortliche z.B. sicherstellen, dass bei der Verarbeitung der Beschäftigtendaten der Grundsatz der Sicherheit der Verarbeitung gemäß Art. 5 Abs. 1 lit. f) DS-GVO gewahrt wird. Dies bedeutet u.a., dass nur denjenigen Personen Zugang zu den Daten gewährt wird, als dies zur Aufgabenerfüllung erforderlich ist. Die Daten sind gleichwohl durch geeignete technische und organisatorische Maßnahmen nach Art. 25 und Art. 32 DS-GVO vor dem Zugriff von Unbefugten zu schützen. Schließlich ist die Erfüllung der Informationspflichten seitens der Arbeitgeber nach den Vorgaben des Art. 14 DS-GVO erforderlich, da die betroffenen personenbezogenen Daten nicht bei der betroffenen Person selbst, sondern bei den Krankenkassen erhoben werden.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wer ist eigentlich für die Datenverarbeitungen verantwortlich? Diese, dem Grunde nach so einfach lautende Frage stellt Datenschützende nicht selten vor Schwierigkeiten. In der Praxis lässt sich auf den ersten Blick gar nicht so leicht beantworten wer sich für eine konkrete Verarbeitung personenbezogener Daten verantwortlich zeichnet und bedarf daher unter Umständen einer vertieften Prüfung. Das längst nicht alle datenschutzrechtlichen Verantwortlichkeiten klar sind zeigt auch das Urteil des Verwaltungsgerichts Wiesbaden vom 19.1.2022 – Az.: 6 K 361/21.WI. Das Gericht hat sich mit der Frage der datenschutzrechtlichen Zulässigkeit bei der Verwendung von Gesundheitsdaten im Rahmen der Vorträge von Rechtsanwältinnen und Rechtsanwälten in Gerichtsverfahren auseinandersetzen müssen.  Mit dem Inhalt des Urteils, den Entscheidungsgründen und der Bedeutung für die Praxis beschäftigt sich der nachfolgende Beitrag.  

Worum geht es?

Ursprünglich stritten die Parteien über arbeitsrechtliche Fragestellungen. Im Verlauf der Auseinandersetzung wurde zudem eine datenschutzrechtliche Komponente eingestreut, da die Arbeitnehmerseite die Ansicht vertrat, dass die prozessführende Rechtsanwältin des Arbeitgebers nicht zur Verwendung der Gesundheitsdaten des Arbeitnehmers im Prozess berechtigt gewesen sei. Konkrete hatte das Verfahren die Verwertung von vertraulichen Informationen aus einem Gespräch des betrieblichen Eingliederungsmanagements (beM) nach § 167 SGB IX zum Gegenstand. In dem arbeitsgerichtlichen Verfahren trug die Rechtsanwältin des Arbeitgebers unter anderem vor, dass im Rahmen des beM-Gesprächs eine mögliche Wiedereingliederung des Klägers, die Wiederaufnahme seiner Beschäftigung, ein ärztliches Attest und die Möglichkeit der Einrichtung eines Telearbeitsplatzes besprochen worden seien. Das Arbeitsgericht wies die Klage ab. Der Kläger legte anschließend Berufung ein und wandte sich zudem mit einer Beschwerde gegen die Verstöße der Rechtsanwältin durch den Vortrag der Gesundheitsdaten aus dem Arbeitsgerichtsprozess an die zuständige Datenschutzaufsichtsbehörde des Landes Niedersachsen.

Gegenstand der Beschwerde war die unbefugte Erhebung, Speicherung und Verwendung von höchstpersönlichen personenbezogenen, insbesondere gesundheitlichen und seine Schwerbehinderung betreffenden Daten. Die Rechtsanwältin habe sowohl mündlich in den Gerichtsterminen als auch in den eingereichten Schriftsätzen an das Arbeitsgericht mehrfach und umfangreich ohne die Zustimmung des Klägers aus dem beM- Gespräch zitiert. Die Aufsichtsbehörde folgte den Ausführungen nicht und teilte dem Kläger mit, dass die Verarbeitung personenbezogener Daten durch die Rechtsanwältin aus datenschutzrechtlicher Sicht nicht zu beanstanden sei. Weiter heißt es, die Verarbeitung personenbezogener Daten müsse nicht zwangsläufig auf die Einwilligung der betroffenen Person gestützt werden. Es solle durch den Datenschutz nicht bezweckt werden, dass die Rechtspflege zum Erliegen komme. Der Kläger habe selbst entsprechende personenbezogene Daten in den arbeitsgerichtlichen Prozess eingeführt, gegen die sich die Arbeitgeberin zu verteidigen habe. Dies begründe die Erforderlichkeit, konkrete Gesundheitsdaten zu verarbeiten, da sich andernfalls das Risiko, den Prozess zu verlieren, signifikant erhöhe. Gegen den Bescheid erhob der Kläger schließlich Klage vor dem VG Wiesbaden.

Was hat das Gericht entschieden?

Das VG Wiesbaden wies die Klage ab. Die Datenverarbeitung durch die Rechtsanwältin war und ist rechtmäßig zulässig. Nach Ansicht des Gerichtes sind Rechtsanwältinnen und Rechtsanwälte hinsichtlich ihres Vortrages in Gerichtsverfahren Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO. Hiernach ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]. Rechtsanwälte sind nach § 1 Bundesrechtsanwaltsordnung (BRAO) unabhängige Organe der Rechtspflege. Der Rechtsanwalt ist gemäß § 3 Abs. 1 BRAO der berufene unabhängige Berater und Vertreter in allen Rechtsangelegenheiten. In dieser Eigenschaft verarbeitet er regelmäßig personenbezogene Daten im Rahmen des Mandats. Es handelt sich hierbei um eine berufsständisch verankerten unabhängige Tätigkeit. Rechtsanwältinnen und Rechtsanwälte sind daher datenschutzrechtlich selbst als Verantwortliche einzuordnen. Rechtsanwältinnen und Rechtsanwälte tragen selbst die Verantwortung für den Inhalt der Schriftsätze hinsichtlich Gestaltung und Haftung. Mithin entscheiden sie auch über den Zweck der Datenverarbeitung beim Inhalt des Vortrages.

Darüber hinaus war die gegenständliche Datenverarbeitung nach Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO i.V.m. Art. 9 Abs. 2 lit. f) DS-GVO auch rechtmäßig. Dies ist der Fall, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. In Betracht kommen hierbei rechtliche, wirtschaftliche oder ideelle Interessen. Im vorliegenden Fall liegt das Interesse der Rechtsanwältin laut Gericht darin, die vertragliche Verpflichtung mit ihrem Mandanten, der Arbeitgeberin, zu erfüllen. Dies umfasst die Prozessvertretung im arbeitsgerichtlichen Verfahren sowie entsprechende Vorträge. Die Rechtsanwältin erklärte sich zudem nicht im eigenen Namen über die Daten des Klägers, sondern als Vertreterin und im Namen der Partei über die ihr vom Mandanten zugetragenen Tatsachen. Bei den Äußerungen einer Rechtsanwältin oder eines Rechtsanwaltes im Prozess handelt es sich um Parteivortrag. Die Tätigkeit wäre unmöglich, wenn er nicht grundsätzlich das vortragen dürfte, was der Mandant mitteilt. Es besteht vielmehr sogar die Gefahr der Anwaltshaftung, wenn entgegen § 138 Abs. 2, Abs. 3 Zivilprozessordnung nicht der Vortrag der gegnerischen Partei bestritten und der Sachverhalt aus der Perspektive des Mandanten darstellt wird.

Auch die im Rahmen des Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO vorzunehmende Interessenabwägung zwischen dem berechtigten Interesse des Verantwortlichen bzw. einem Dritten (hier der Mandantschaft) an der Verarbeitung und dem Interesse des Klägers an der Vertraulichkeit seiner Daten geht nach Ansicht des VG Wiesbaden zu Gunsten der Rechtsanwältin aus. Die von der Rechtsanwältin verwendeten Daten sind weder falsch noch durch diese in rechtswidriger Weise beschafft. Gleiches gilt für die Gesundheitsdaten des Klägers, deren Verarbeitung nach Art. 9 Abs. 1 DS-GVO grundsätzlich untersagt ist. Nach Art. 9 Abs. 2 lit. f) DS-GVO gilt das Verbot dann nicht, wenn die Verarbeitung […] zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich [ist]. Diese Norm dient der Sicherung des Justizgewährleistungsanspruchs. Lässt sich ein rechtlicher Anspruch nur unter Verarbeitung besonderer Kategorien personenbezogener Daten, hier sensitiver Gesundheitsdaten, durchsetzen, so soll es hieran nicht scheitern. Das Datenschutzrecht soll die Durchsetzung von Rechten nicht unmöglich machen. Gleiches gilt vor dem Hintergrund der Waffengleichheit und des effektiven Rechtschutzes auch für die Abwehr von Ansprüchen.

FAZIT

Der Entscheidung des VG Wiesbaden kommt auf den ersten Blick unscheinbar daher, besonders für Rechtsanwältinnen und Rechtsanwälte dürfte sich allerdings eine hohe Praxisrelevanz entfalten. Zum einen führt das VG Wiesbaden in klarer Anwendung des Art. 4 Nr. 7 DS-GVO die Bestimmung des datenschutzrechtlich Verantwortlichen durch. Dieser kann mit Blick auf die Inhalte der Schriftsätze und Vorträge im Rahmen gerichtlicher Verfahren nur die prozessführende Rechtsanwältin bzw. der prozessführende Rechtsanwalt sein.

Darüber hinaus wird für Klarheit hinsichtlich der gegebenenfalls erforderlichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DS-GVO der Gegenseite gesorgt. Das Datenschutzrecht kann und will in diesen Konstellationen kein Hindernis für die legitime Rechtsdurchsetzung sein. Dieses Ergebnis muss insofern zwingend sein, als dass die Anwaltschaft ihre Stellung als unabhängiges Organ der Rechtspflege einnehmen kann. Im Rahmen einer möglicherweise erforderlichen Interesseabwägung bei der Datenverarbeitung ist jedoch stets auf die Eingriffsintensität und die Sensibilität der konkret zu verarbeitenden Daten zu achten. Von der Datenverarbeitung dürften nur solche personenbezogenen Daten erfasst werden, deren Vortrag für die gerichtliche Entscheidung letztendlich inhaltlich erforderlich sind. Zu berücksichtigen wird auch sein, ob der Betroffene vielleicht selbst die Daten in den Prozess eingebracht hat.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Zahlreiche Unternehmen setzen bei der Suche nach neuen Mitarbeitern auf die Ergebnisse von psychologischen Testverfahren. Aus gutem Grund, denn Ergebnisse aus psychologischen Einschätzungen können bei der Wahl des Interessenten das Risiko minimieren, sich für die falsche Person zu entscheiden. In Teil I haben wir ausführlich die Frage diskutiert, ob die Durchführung von psychologischen Testverfahren datenschutzrechtlich in den Definitionsbereich des Profilings fällt. Nach eingehender Analyse sind wir auf das Ergebnis gekommen, dass die Voraussetzungen des Profilingbegriffs zutreffen.

Allerdings werfen solche Testverfahren bei näherer Betrachtung weitere Fragen auf, beispielsweise wie die hierbei entstehenden Informationen zu kategorisieren sind. Diese Frage gewinnt weiter an Brisanz, wenn klar wird, dass es sich um besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DS-GVO handeln könnte. Sollten diese Informationen tatsächlich besondere Kategorien von Daten darstellen, entstehen Unternehmen während und nach der Bewerbungsphase besonders strenge Pflichten beim Umgang mit den Daten der Bewerber:innen.

BESONDERE KATEGORIEN VON DATEN?

Psychologische Testverfahren analysieren teilnehmende Personen in verschieden Aspekten ihrer Persönlichkeit und erstellen daraus Persönlichkeitsprofile. Es gibt einige verbreitete und anerkannte psychologische Testverfahren, die jeweils verschiedene Werkzeuge nutzen, um die Persönlichkeit von Teilnehmern darzustellen. In den meisten Fällen nutzen sie Fragebögen, welche von den Teilnehmer:innen beantwortet werden müssen. Anhand der Art und Weise, wie die Teilnehmer:innen diese Fragen beantworten, kann die Persönlichkeit zumindest in einigen relevanten Aspekten ermittelt und in für Dritte verständliche Profile dargestellt werden. In solchen Testverfahren werden zumeist Fragen zur Motivation, psychischen Stärke, Teamfähigkeit, Belastbarkeit und Verhalten etc. gestellt.

Es besteht Grund zur Annahme, dass psychologische Gutachten als besondere Kategorien von Daten einzustufen sind. Um das herauszufinden, muss zunächst geklärt werden, ob Daten, welche mithilfe von psychologischen Testverfahren und deren Auswertung Informationen über die Gesundheit und „Arbeitsfähigkeit“ einer Person preisgeben und somit unter das Schutzregime des Art. 9 Abs. 1 DS-GVO fallen. Es stellt sich somit die Frage, ob ein psychologisches Gutachten als Gesundheitsdatum zu werten ist. Über die ausdrücklich im Katalog des Abs. 1 genannten Daten hinaus werden auch mittelbare Hinweise auf diese Merkmale besonders geschützt. Hieraus wird ersichtlich, dass es bei der Einstufung als besondere Kategorien von Daten auf den vermittelten Informationsgehalt ankommt, nicht auf die Art- und Weise der Darstellung und Bezeichnung.

Der in Art. 9 Abs. 1 DS-GVO enthaltene Katalog von besonderen Kategorien personenbezogener Daten ist zwar abschließend, aber teils sehr weit gefasst. Die genaue Definition von Gesundheitsdaten ist in Art. 4 Nr. 15 DS-GVO geregelt. Demnach umfasst der Begriff Informationen über die körperliche und physische Gesundheit von (natürlichen) Personen. Hierzu gehören auch Daten, die durch Erbringung von Gesundheitsdienstleistungen entstehen, und Informationen, aus denen der Gesundheitszustand von Personen hervorgeht. Erwägungsgrund 35 Satz 1 DS-GVO geht noch einen Schritt weiter und schließt darüber hinaus sämtliche Daten aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen, können in den Definitionsbereich mit ein. Dabei spielt die Herkunft der Daten zur Einordnung als Gesundheitsdatum gemäß Erwägungsgrund 35 Satz 1 keine Rolle. So macht es keinen Unterschied, ob die Datei von einem Arzt, oder sonstigen im Gesundheitswesen beschäftigten Person oder Einrichtung stammt. Hierzu gehören folglich auch Gesundheitsdaten, die von einem Medizinprodukt generiert wurden. Selbst aus Fotografien können Gesundheitsdaten entstehen, etwa wenn eine fotografierte Person eine Brille trägt. Zudem können verschiedene Daten, die keine Gesundheitsdaten darstellen, wie zum Beispiel Größe, Gewicht und Alter, durch ihre Verknüpfung zu Gesundheitsdaten zusammengeführt werden. In diesem Sinne sind selbst Sportuhren und Fitnesstracker dazu geeignet, Gesundheitsdaten zu verarbeiten und wahrscheinlich sogar zu generieren.

ERGEBNIS

Nach den oben genannten Überlegungen steht fest, dass nicht nur ausgewiesene Medizinprodukte und im Gesundheitswesen agierende Personen im Stande sind Gesundheitsdaten herzustellen. In anderen Worten: Solche Informationen können nicht nur durch einen Arzt oder einer Ärztin entstehen und es bedarf auch keines medizinischen Produkts, welches von ihnen verschrieben wurde. Sie lassen ferner den Schluss zu, dass auch Informationen aus psychologischen Testverfahren als besondere Kategorien von personenbezogenen Daten einzustufen sind. Die DS-GVO definiert Gesundheitsdaten sehr weitläufig und lässt in ihrer Anwendung sehr viel Auslegungsspielraum. Der Gesetzgeber hat dadurch, wie an den vorangegangenen Beispielen deutlich gemacht wurde, den Maßstab zur Einstufung personenbezogener Daten als Gesundheitsdaten offenbar eher niedrig angesetzt hat. Frei nach dem Motto: Lieber zu viel als zu wenig. Haben Sie sich in Ihrem Betrieb dazu entschieden, Ergebnisse psychologischer Testverfahren für die Auswahl Ihrer Bewerber einzubeziehen, raten wir diese Daten zur Sicherheit nach den Regelungen des Art. 9 DS-GVO zu behandeln. In der Praxis kann dies allerdings mit großem Aufwand verbunden sein, da sie weitere, strengere Maßnahmen zum Umgang mit diesen Daten umsetzen müssen.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WAS WIRD GEREGELT?

Die wesentliche Norm zur Abfrage des Test-, Genesenen- oder Impfstatus von Beschäftigten ist der Norm des § 28b Abs. 3 IfSG zu entnehmen. Darin heißt es im Wesentlichen:

„Alle Arbeitgeber sowie die Leitungen der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen sind verpflichtet, die Einhaltung der Verpflichtungen nach Absatz 1 Satz 1 und Absatz 2 Satz 1 durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren. Alle Arbeitgeber und jeder Beschäftigte sowie Besucher der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen sind verpflichtet, einen entsprechenden Nachweis auf Verlangen vorzulegen. Soweit es zur Erfüllung der Pflichten aus Satz 1 erforderlich ist, darf der Arbeitgeber sowie die Leitung der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen zu diesem Zweck personenbezogene Daten einschließlich Daten zum Impf-, Sero- (Genesenen-) [Anmerkung des Autors] und Teststatus in Bezug auf die Coronavirus-Krankheit-2019 (COVID-19) verarbeiten. Die Daten dürfen auch zur Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß den §§ 5 und 6 des Arbeitsschutzgesetzes verwendet werden, soweit dies erforderlich ist. § 22 Absatz 2 des Bundesdatenschutzgesetzes gilt entsprechend. […]. Die nach Satz 3 und nach Satz 8 erhobenen Daten sind spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen; die Bestimmungen des allgemeinen Datenschutzrechts bleiben unberührt.“

Weiterhin enthält die Regelung weitere Verpflichtungen für „in Absatz 2 Satz 1 genannte Einrichtungen.“ Hierunter zählen grundsätzlich Einrichtungen des Gesundheitswesens (§ 23 Abs. 3 Satz 1 IfSG), Pflegeeinrichtungen (§ 36 Abs. 1 Nr. 2 IfSG) sowie ambulante Pflegedienste (§ 36 Abs. 1 Nr. 7 IfSG). Derartige Einrichtungen müssen in Ergänzung zu den oben genannten Anforderungen, an die zuständigen Behörden in anonymisierter Form Angaben zu den durchgeführten Testungen sowie Angaben zum Anteil der geimpften Personen übermitteln.

Die Änderungen des Infektionsschutzgesetzes wurden am 23. November 2021 im Bundesgesetzblatt verkündet und sind zum 24. November 2021 in Kraft getreten.

WAS BEDEUTET DAS NUN DATENSCHUTZRECHTLICH?

Zunächst stellt die Regelung des § 28b Abs. 3 IfSG nun die einheitliche Rechtsgrundlage zur Verarbeitung des Test-, Genesenen- und Impfstatus der Beschäftigten dar. Da es sich bei diesen Angaben grundsätzlich um Gesundheitsdaten und damit um besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) handelt, ist die Datenverarbeitung auf Grundlage des Art. 9 Abs. 2 lit. i) DS-GVO in Verbindung mit § 28b Abs. 3 IfSG durchzuführen. Dabei ist grundsätzlich zu beachten, dass Aufgrund der Verpflichtung zur Durchführung und Dokumentation des Arbeitgebers ebenfalls eine Verpflichtung der Arbeitnehmer besteht, die entsprechenden Nachweise vorzulegen.

Die Verarbeitung der besonderen Kategorien personenbezogener Daten hat den datenschutzrechtlichen Grundsätzen gemäß Art. 5 Abs. 1 DS-GVO zu entsprechen. Das heißt beispielsweise, dass die Gesundheitsdaten ausschließlich für die im Infektionsschutzgesetz festgelegten Zwecke verarbeitet werden dürfen, die zu verarbeitenden personenbezogenen Daten auf das für den Zweck der Datenverarbeitung erforderliche Minimum reduziert sein müssen und ausschließlich so lange verarbeitet werden dürfen, wie es für den Zweck der Datenverarbeitung zwingend erforderlich ist. Das Infektionsschutzgesetz sieht hierbei eine maximale Aufbewahrung bis zum Ende des sechsten Monats nach der Erhebung vor.

Unter Beachtung der dargelegten Anforderungen ist es grundsätzlich möglich, das Vorliegen eines entsprechenden Nachweises bei Geimpften und Genesenen zunächst einmalig zu überprüfen, zu vermerken und bei Genesenen zusätzlich das Enddatum des Genesenenstatus zu dokumentieren. In der Praxis kann eine Zutrittskontrolle dann beispielsweise über die Vergabe gleich aussehender Passierscheine erfolgen, auf denen das jeweilige Enddatum (bei Getesteten für den aktuellen Tag, bei Genesenen für maximal sechs Monate, bei Geimpften zunächst unbegrenzt) vermerkt wird.

Darüber hinaus ist zu berücksichtigen, dass die personenbezogenen Daten aufgrund Ihrer besonderen Schutzbedürftigkeit seitens des Arbeitgebers sicher zu verarbeiten sind. Das heißt beispielsweise, dass eine Aufbewahrung ausschließlich in verschlossenen Aktenschränken oder auf verschlüsselten Datenträgern erfolgen darf sowie die mit der Verarbeitung betrauten Beschäftigten auf die besondere Schutzbedürftigkeit der Daten hinzuweisen und dementsprechend zu sensibilisieren sind.

WAS GILT ES NOCH ZU BEACHTEN?

Grundsätzlich wird die Regelung des § 28b Abs. 3 IfSG als Zutrittskontrollmaßnahme zu verstehen sein, das heißt der entsprechende Nachweis ist mit Zutritt zur Einrichtung des Arbeitsgebers vorzulegen. Hingegen nicht umfasst sein dürfte eine Verpflichtung der Beschäftigten zur Vorab-Information per E-Mail. Insbesondere auch aufgrund der besonderen Schutzbedürftigkeit der Gesundheitsdaten scheidet die Übermittlung per E-Mail aufgrund der meist fehlenden Ende-zu-Ende-Verschlüsselung sowie aufgrund der automatisierten Archivierung des E-Mail-Posteingangs in der Regel aus. Auch eine Anforderung einer Kopie des entsprechenden Nachweises zum Verbleib beim Arbeitgeber ist von der Regelung des § 28b Abs. 3 IfSG ausdrücklich nicht umfasst.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit begrüßt grundsätzlich das Vorliegen einer einheitlichen Rechtsgrundlage zur Verarbeitung des Test-, Genesenen- und Impfstatus der Beschäftigten. Im Rahmen einer Pressemitteilung stellte er jedoch klar, dass er hinsichtlich der konkreten Verarbeitung sowie hinsichtlich der Speicherdauer Verbesserungspotential bezüglich der gesetzlichen Normierung sieht. Dementsprechend sind die weiteren Entwicklungen im Blick zu behalten.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

LOHNFORTZAHLUNG IM QUARANTÄNEFALL

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) beschäftigt sich in seiner Veröffentlichung der Frage nach einem Auskunftsanspruchs des Arbeitgebers gegenüber Beschäftigten im Rahmen der Lohnfortzahlung bei behördlicher angeordneter Quarantäne oder des Eingreifens anderweitiger Absonderungspflichten. In den vorbezeichneten Fällen ist der Arbeitgeber regelmäßig nach § 56 Abs. 1, Abs. 3,
Abs. 5 IfSG zur Verdienstausfallentschädigung für den Zeitraum von sechs Wochen verpflichtet. Der Arbeitgeber wiederrum kann von der zuständigen Behörde Erstattung verlangen, § 56 Abs. 5 Satz 3 IfSG. Ausgeschlossen ist die Ausfallentschädigung gemäß § 56 Abs. 1 Satz 4 und 5 IfSG jedoch in den Fällen, in denen der Beschäftigte durch Inanspruchnahme einer Schutzimpfung oder durch Nichtantritt einer vermeidbaren Reise in ein Risikogebiet diese Quarantäne hätte vermeiden können. In diesem Zusammenhang stellt sich trefflich die Frage, ob und bejahendenfalls in welchem Umfang der Arbeitgeber zu Geltendmachung der Erstattungsansprüche gegenüber der zuständigen Behörde, den Impfstatus der betroffenen Beschäftigten erfragen darf. Der LfDI kommt zu dem Ergebnis, dass der Arbeitgeber aufgrund der Entschädigung i.R.d. § 56 IfSG den Impfstatus der Beschäftigten erheben darf, diese allerdings nicht zur Offenbarung verpflichtet sind.  Dies ist dem Umstand geschuldet, dass das IfSG keine ausdrückliche Bestimmung zur Auskunftspflicht vorsieht, um den Vorgaben des Vorbehaltes des Gesetzes gerecht zu werden. Allerdings geht der LfDI wohl zutreffender Weise von einer entsprechenden Obliegenheit des Beschäftigten gegenüber dem Arbeitgeber aus:

„Er kann zwar frei entscheiden, ob er dem Arbeitgeber die persönlichen Informationen zur Geltendmachung des Erstattungsanspruchs nach § 56 Abs. 5 Satz 3 IfSG beisteuern will, läuft insofern jedoch das Risiko, mangels Mitwirkung Nachteile zu erleiden. Sollte der Arbeitgeber etwa nicht bereits aus § 616 BGB zur Fortzahlung des Lohns verpflichtet sein oder dem Beschäftigten kein Anspruch auf Entgeltfortzahlung im Krankheitsfall zustehen, könnte der Beschäftigte sich Ansprüchen des Arbeitgebers auf Rückzahlung des Lohns für die Zeit der Quarantäne ausgesetzt sehen bzw. keinen Lohn erhalten.“

Zusammengefasst: Sofern der Beschäftigte die Angaben verweigert, kann er mangels Mitwirkung auch Nachteile erleiden, also keine Lohnfortzahlung erhalten bzw. Rückzahlungsansprüche des Arbeitgebers ausgesetzt sein. Bemerkenswert ist, dass der LfDI im Zusammenhang mit § 56 Abs. 5 Satz 3 IfSG die Einwilligung als einschlägige Rechtsgrundlage und das Merkmal der Freiwilligkeit bereits in dem Moment als erfüllt ansieht, wenn „der Arbeitgeber dem Beschäftigten jederzeit die Wahl lässt, die erforderlichen Angaben ihm gegenüber zu machen oder nicht.“ Dies dürfte nach Auffassung des LfDI stringent sein, da dem Beschäftigten die Möglichkeit verbleibt gemäß § 56 Abs. 5 Satz 4 IfSG die Entschädigung selbst bei der zuständigen Behörde zu beantragen, ohne dass der Arbeitgeber in diesen Fällen den Impfstatus erfahren würde. 

FRAGERECHT DES ARBEITGEBERS IM RAHMEN DES SOGENANNTEN 2G-OPTIONSMODELLS?

Der Sächsische Datenschutzbeauftragte (SächsDSB) befasst sich in einer Stellungnahme mit der Frage, ob Arbeitgeber im Rahmen des sog. 2G-Optionsmodells der Sächsischen Corona-Schutz-Verordnung (SächsCoronaSchVO). Bei dem 2G-Optionsmodell können gemäß § 6a SächsCoronaSchVO in bestimmten Bereichen Angebote für geimpfte oder genesenen Personen ohne Pflicht zum Tragen einer Mund-Nasen-Bedeckung, ohne Pflicht zur Einhaltung des Abstandgebotes und ohne Beschränkung hinsichtlich der Auslastung der Höchstkapazität ermöglicht werden. Im Zusammenhang mit dem 2G-Optionsmodell sich unter Berücksichtigung der Voraussetzung, dass alle Anwesenden Personen über einen Impf- oder Genesenennachweis verfügen müssen, sogleich die Frage, ob der Arbeitgeber die Offenbarung des Impf- und Genesenenstatus oder die Offenbarung des Ergebnisses eines Tests (§ 6a Abs. 1 Satz 2 SächsCoronaSchVO sieht Ausnahmen für Beschäftigte vom Impf- oder Genesenennachweis vor, sofern diese über einen Testnachweis verfügen und einen medizinische Mund-Nasen-Bedeckung tragen) auf das Nichtvorliegen einer Infektion mit SARS-CoV-2 von seinen Beschäftigten verlangen darf.

Der SächsDSB lehnt ein entsprechendes Fragerecht des Arbeitgebers ab. Abgesehen von den Ausnahmebereichen der §§ 23a Satz 1, 23 Abs. 3 und § 36 Abs. 3 IfSG sieht die Aufsichtsbehörde keine einschlägige belastbare gesetzliche Rechtsgrundlage. Eine Negierung der Anspruchsgrundlage erfolgt ebenfalls für die Abfrage mittels Einwilligung des Beschäftigten, wobei hier nur ein pauschaler Hinweis auf das häufige Fehlen des Tatbestandsmerkmales der Freiwilligkeit ergeht, und keine vertiefte Auseinandersetzung erfolgt. Gleiches gilt für die Verarbeitung aufgrund von Kollektivvereinbarungen. Die streitgegenständliche Norm § 6a SächsCoronaSchVO scheitert im Ergebnis gleichermaßen, hier jedoch aufgrund der fehlenden Regelungskompetenz des sächsischen Verordnungsgebers für eine Rechtsgrundlage zur Abfrage des Impf- oder Genesenenstatus nach § 32 Satz 1 i. V. m. § 28 Absatz 1 Satz 1 und 2, § 28a Absatz 1, Abs. 2 Satz 1, Abs. 3 und Abs. 6 IfSG. Darüber hinaus sei der Arbeitgeber ebenfalls nicht berechtigt das Ergebnis eines Corona-Testes auf das Nichtvorliegen einer Infektion mit SARS-Cov2 von seinen Beschäftigten zu verarbeiten. Die Begründung hierfür wird Wortlaut der Norm bzw. der Systematik der SächsCoronaSchVO festgemacht: § 6a SächsCoronaSchVO sieht lediglich vor, dass der Beschäftigte über einen Testnachweis verfügen muss, eine Pflicht zur Vorlage wurde (beispielsweise abweichend zur Testpflicht für Urlaubsrückkehrer), explizit nicht geregelt.

DOKUMENTATION DES IMPFSTATUS BEI „FREIWILLIGER“ MITTEILUNG DER BESCHÄFTIGTEN

Auch der Landesbeauftragte für den Datenschutz Sachsen-Anhalt hat sich zur Thematik der Abfrage des Impfstatus durch den Arbeitgeber entsprechend geäußert. Zunächst wird herausgesellt, dass ein Zugang des Arbeitgebers zu den Daten über den Impfstatus von Beschäftigten nur sehr begrenzt, gegeben sein wird (z.B. § 24 Abs. 2 Gesetz über den öffentlichen Gesundheitsdienst und die Berufsausbildung im Gesundheitswesen im Land Sachsen-Anhalt). Neben diesen spezialgesetzlichen Normen und dem Verweis auf die bekannten Regelungen aus dem IfSG werden die übrigen Rechtsgrundlagen aus § 26 Abs. 3 BDSG (bzw. § 84 Beamtengesetz des Landes Sachsen-Anhalt), Arbeitsschutzgesetz, SARS-CoV-2-Arbeitsschutzverordnung sowie § 2a Abs. 3, 4 und 14 SARS-Cov2 Eindämmungsverordnung abgelehnt. Zur Begründung wird u.a. angeführt, dass neben der Abfrage des Status der Beschäftigten andere mildere technische und organisatorische Maßnahmen wie bspw. Umsetzung der AHA+L-Regeln, Ablauforganisation, Hygienekonzepte, Homeoffice etc. zur Verfügung stehen und daher im Zweifel keine Erforderlichkeit der Datenverarbeitung anzunehmen sei. Dies gilt auch da durch die Antwort des Beschäftigten auf die Abfrage Rückschlüsse auf dessen Stellung zur (Coronaschutz-)Impfung möglich sind und so Stigmatisierung und sozialer Druck die Folge sein können.

Gleichfalls schließt die Aufsichtsbehörde die Abfrage auf Basis einer Einwilligung des Beschäftigten in den meisten Fällen aufgrund der wohl fehlenden Freiwilligkeit aus. Wiederrum wird aber die Möglichkeit bejaht, dass der Arbeitgeber den Impfstatus verarbeiten darf (Speichern zur Dokumentation, nicht erfragen), wenn dieser von Beschäftigten freiwillig angegeben wird, z.B. um sich von einer Testpflicht zu befreien. In dieser Richtung äußerten sich bereits schon der Hessische Datenschutzbeauftragte in seiner Handreichung sowie das Bayrische Landesamt für Datenschutzaufsicht in einer entsprechenden Mitteilung. Dieses Ergebnis in den Fällen der „aufgedrängten Verarbeitung“ dürfte insbesondere mit Blick auf die derzeitige Praxis interessengerecht sein.

FAZIT

Zusammenfassend lässt sich festhalten, dass ein Fragerecht des Arbeitgebers nach dem Impf- bzw. dem Genesenenstatus weiterhin nur aufgrund einer ausdrücklichen gesetzlichen Normierung gestattet werden kann. Zwar lassen die Aufsichtsbehörden die Einwilligungserklärung prinzipiell offen, diese dürfte jedoch in den meisten Fällen am Tatbestandsmerkmal der Freiwilligkeit scheitern. Etwas anderes gilt nach nunmehr klarerer Tendenz unter den Aufsichtsbehörden lediglich für die Fälle, in denen die Beschäftigten dem Arbeitgeber ihren Impfstatus freiwillig mitteilen, ohne dass dem eine Abfrage seitens des Arbeitgebers vorangegangen wäre.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WO BEGINNT DAS PROBLEM?

Ausgangspunkt der rechtlichen Betrachtung ist der Umstand, dass es sich bei den Daten zum Impfstatus um Gesundheitsdaten im Sinne des (i.S.d.) Art. 4 Nr. 15 DS-GVO und mithin um besondere Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DS-GVO handelt. Gleichwohl ist die Verarbeitung dieser Kategorien personenbezogener Daten grundsätzlich untersagt, es sei denn es ergibt sich aus Art. 9 Abs. 2, Abs. 3 DS-GVO etwas anderes.  Genau an diesem Punkt knüpfen auch die tatsächlichen Schwierigkeiten an: Es gelten für geimpfte und genesene Personen nach § 28c Infektionsschutzgesetz (IfSG) in Verbindung mit (i.V.m.) der Verordnung zur Regelung von Erleichterung und Ausnahmen von Schutzmaßnahmen zur Verhinderung der Verbreitung von COVID-19 (COVID-19-Schutzmaßnahmen-Ausnahmenverordnung – SchAusnahmV) einige Ausnahmen wie bspw. von der Beschränkung privater Zusammenkünfte (§ 4), von der Beschränkung des Aufenthalts außerhalb einer Wohnung oder einer Unterkunft (§ 5) oder von der Absonderungspflicht (§ 10). Diese Gesamtschau lässt erkennen, dass auch der Arbeitgeber ein gewisses Interesse an der Abfrage des Impf- bzw. Genesenenstatus seiner Beschäftigten haben kann. Die einfache, wie zutreffende Frage ist: Darf er das?

WELCHE RECHTSGRUNDLAGEN KOMMEN IN BETRACHT?

Als belastbare Rechtsgrundlagen werden seitens der Datenschutz-Aufsichtsbehörden in den allermeisten Stellungnahmen bzw. Mitteilungen häufig Art. 9 Abs. 2 lit. h) bzw. lit. i) DS-GVO i.V.m. §§ 23a Satz 1, 23 Abs. 3 IfSG, Art. 9 Abs. 2 lit. b) DS-GVO i.V.m. dem Arbeitsschutzgesetz, der SARS-CoV-2-Arbeitsschutzverordnung, der Coronavirus-Schutzverordnung oder der Verordnung zur arbeitsmedizinischen Vorsorge herangezogen. Sämtlich scheitern diese Grundlagen jedoch (in den meisten Fällen) bereitsauf Tatbestandebene, da keine ausdrücklich normierte gesetzliche Rechtsgrundlage zur Verarbeitung des Impfstatus der Beschäftigten besteht. Ausnahmen bestehen hier für die in § 23 Abs. 3 IfSG genannten Arbeitgeber. Diese scheint deshalb zwingend, da insofern derzeit auch keine allgemeine gesetzlich normierte Impfpflicht hinsichtlich des Coronavirus besteht. Gegenwärtig gibt es keine gesicherten Erkenntnisse darüber, über welchen Zeitraum eine geimpfte Person vor einer COVID-19-Erkrankung geschützt ist, d. h. wie lange der Impfschutz besteht.

Abgestellt wird zudem häufig auf Art. 9 Abs. 2 lit. b) DS-GVO i.V.m. § 26 Abs. 3 BDSG. Hier kann man sich – wie in der Handreichung der Hessischen Datenschutzbeauftragten dargelegt – trefflich darüber streiten, ob § 26 Abs. 3 BDSG eine gesetzliche Grundlage voraussetzt oder aber ob hiernach etwa eine rechtliche Pflicht aus dem Arbeitsvertrag die Verarbeitung rechtfertigen kann. Unabhängig davon wird in der Regel keine rechtliche Pflicht aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und Sozialrecht einschlägig sein. Die Erforderlichkeit richtet sich nach Ansicht der Landesbeauftragen für Datenschutz und Informationsfreiheit Nordrhein-Westfalen jedenfalls wohl nicht nach der Fürsorge- und Schutzpflicht des Arbeitgebers vor potentiellen Ansteckungsrisiken der Beschäftigten oder der Kundschaft.

KANN DER BESCHÄFTIGTE NICHT EINWILLIGEN?

In der Praxis wird häufig als naheliegende Lösungsmöglichkeit die Einwilligung des Betroffenen, hier also der Beschäftigten in Betracht gezogen. Dieser Ansatz ist jedoch nicht immer zutreffend und die Einwilligung nicht die „ultimative“ Rechtsgrundlage für die sie gehalten wird. Im Normgenese des Art. 9 Abs. 2 DS-GVO wird hingegen unter lit. a) die ausdrückliche Einwilligung als Ausnahmetatbestand des Art. 9 Abs. 1 DS-GVO normiert. Im Beschäftigtenverhältnis sind über dies gemäß Art. 88 Abs. 1 DS-GVO in Verbindung mit § 26 Abs. 2 Satz 1 BDSG gesonderte Anforderungen zu berücksichtigen: Das Hauptaugenmerk liegt hier unstreitig auf dem sog. Freiwilligkeitsvorbehalt. Im Beschäftigtenverhältnis ergibt sich die besondere Situation eines Über-/Unterordnungsverhältnis zwischen Arbeitgeber und Beschäftigten, weshalb die Beschäftigten in einem Abhängigkeitsverhältnis zu ihrem Arbeitgeber stehen und daher bei der Abgabe einer Erklärung nur selten frei von Drucksituationen bzw. Zwängen sein können. Die Freiwilligkeit kann gemäß § 26 Abs. 2 Satz 2 BDSG insbesondere dann angenommen werden, wenn für die beschäftigten Personen ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz äußerte sich diesbezüglich, Abfragen des Impfstatus durch Arbeitgeber – und sei es auch nur durch freiwillige Angabe der Beschäftigten – als Teil eines Hygienekonzepts, aufgrund des dadurch für die Beschäftigten entstehenden sozialen Drucks und die Angst vor Repressalien dazu führen, dass ein indirekter Impfzwang entsteht. As diesem Grunde könne eine Einwilligung nicht als Grundlage für eine solche Datenerhebung herangezogen werden.

Die Hessische Datenschutzbeauftragte geht in ihrer Handreichung davon aus, dass die Verarbeitung des Impfstatus durch den Arbeitgeber auf Basis einer Einwilligung etwa dann möglich ist, wenn dies im Zusammenhang mit einem Anreizprogramm für die Beschäftigten erfolgt da der Arbeitgeber insoweit ein wirtschaftliches Interesse haben kann, dass krankheits- oder quarantänebedingte Ausfälle verhindert werden und so gleichfalls Anreize für die Impfung zu setzen. Beispiele für derartige Anreize sind demnach eine Freistellung von der Arbeit für eine Schutzimpfung durch den Betriebsarzt, Sachgeschenk oder finanzielle Anreize („Impf-Bonus“). Zudem wird die Freiwilligkeit nach der Handreichung für die Fälle angenommen, in denen eine Testpflicht besteht und er der Beschäftigt sich der Beschäftigte von dieser Testpflicht durch die Mitteilung befreien kann. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)  merkt in diesem Zusammenhang an, dass allerdings keine Verpflichtung der Beschäftigten besteht, den Impfstatus anzugeben. Entscheiden sich Beschäftigte, den Impfstatus nicht anzugeben, müssen sie sich stattdessen testen lassen.

Für das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) kommt laut entsprechender Mitteilung auf der Basis einer Einwilligung eine Abfrage des Impfstatus grundsätzlich nicht in Betracht. Einwilligungen müssten den Anforderungen des Art. 7 und der Erwägungsgründe 32, 42 und 43 DS-GVO genügen (insbes. Freiwilligkeit). Dies ist infolge der Abhängigkeiten im Beschäftigungsverhältnis in der Regel nicht gegeben (Ausnahmen im Sinne des § 26 Abs. 2 BDSG dürften in der Regel nicht vorliegen). Unabhängig davon ist ein Arbeitgeber aber befugt, den Impfstatus zumindest zu erheben bzw. zur Kenntnis zu nehmen, wenn er vom Beschäftigten freiwillig angegeben wird, um sich gemäß geltenden landesrechtlichen Vorschriften zur Pandemieeindämmung von einer gesetzlich geregelten Pflicht zur Testung zu befreien.

FAZIT

Im „rechtlichen“ Ergebnis wird es wohl derweil darauf hinauslaufen, dass im Detail zu unterscheiden sein wird, zwischen der „Abfrage“ seitens des Arbeitgebers und der „aufgedrängten“ Information durch die Beschäftigten durch die freiwillige Bekanntgabe des Impfstatus. Die Hessische Datenschutzbeauftragte weist im Zusammenhang mit der Einwilligung noch darauf hin, dass die Einwilligung des Beschäftigten in die Verarbeitung nicht automatisch auch die dauerhafte Speicherung des Impfstatus oder die Verarbeitung zusätzlicher Daten rechtfertigt. Der HmbBfDI teilt in seinen FAQ mit, dass soweit der Arbeitgeber den Impfstatus der Beschäftigten verarbeitet, zu beachten ist, dass lediglich ein Vermerk über das Vorliegen des Impfnachweises und den bestehenden Impfschutz in die Personalakte aufgenommen wird. Eine Kopie des Impfausweises ist nicht erforderlich und folglich datenschutzrechtlich unzulässig. In eine ähnliche Richtung ist die Aussage des BayLDA zu verstehen, dass eine Befugnis zur Speicherung der vorgelegten Nachweise in den bislang existierenden Vorschriften (Anm.: landesrechtlichen Vorschriften) dieser Art nicht geregelt ist und sich somit daraus nicht ableiten lässt. Mit Spannung wird daher zu erwarten sein, ob es zu der vom BfDI geforderten einheitlichen Regelung zur Abfrage des Impf- bzw. Genesenenstatus kommen der der Flickenteppich an Rechtsgrundlagen entstehen wird.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.