Seit Bürger die Möglichkeit haben, sich gegen das Coronavirus impfen zu lassen, stellt sich häufig die Frage, ob der Arbeitgeber den Impfstatus der Beschäftigten erfragen darf.
In der Vergangenheit wurde hier gerne mit dem Arbeitsschutz und der allgemeinen Fürsorgepflicht der Arbeitgeber gegenüber den Arbeitnehmern argumentiert. Die Diskussion ist auch den Aufsichtsbehörden nicht entgangen, sodass nun Informationen hierzu veröffentlicht wurden.
Abfrage des Impfstatus nur unter strengen Voraussetzungen
Arbeitgeber haben grundsätzlich kein Fragerecht bzgl. des Impfstatus zu Coronaimpfungen, wenn die Arbeitgeber nicht unter die speziellen Voraussetzungen der §23a Infektionsschutzgesetz (IfSG) oder § 36 Abs. 3 IfSG fallen (Beispiel: Arztpraxen, Pflegeeinrichtungen).
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat zudem klargestellt, dass weder das Arbeitsschutzgesetz noch die Fürsorgepflicht gegenüber den Arbeitnehmern eine Rechtsgrundlage für das Fragerecht bieten, da in den einschlägigen Gesetzen gerade keine Pflicht der Arbeitnehmer festgelegt wurde, über Impfungen oder Genesungen Auskunft geben zu müssen.
Auch eine Einwilligung scheidet laut BayLDA in der Regeln mangels Freiwilligkeit aus.
Prüfpflichten von Arbeitgebern
Unterliegen Arbeitgeber gemäß landesspezifischer Regelungen zum Infektionsgeschehen speziellen Prüfpflichten, dürfen diese natürlich weiterhin wahrgenommen werden, sodass die Kenntnisnahme des Impfstatus grundsätzlich möglich ist. Die Prüfpflichten des Arbeitgebers stellen jedoch keine Rechtsgrundlage für die Speicherung des Impfstatus dar.
Abfrage Impfstatus bzgl. Entschädigungszahlung
Bisher konnten Arbeitgeber die Lohnfortzahlung, die während einer behördlich angeordneten Quarantäne angefallen sind, im Rahmen einer Entschädigung nach dem IfSG zurückfordern. Arbeitgeber sind daher bisher in Vorleistung gegangen.
Ab dem 01.11.2021 sollen Ungeimpfte diese Entschädigung jedoch nicht mehr erhalten. Für Arbeitgeber stellt sich daher die Frage, inwiefern diese vorab prüfen müssen oder dürfen, ob eine Impfung vorliegt.
Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDi) Baden-Württemberg hat sich in seinem Positionspapier nun wie folgt geäußert:
„Der Arbeitgeber darf den Impfstatus der Beschäftigten erfragen, wenn er die Entschädigung nach § 56 IfSG für die Behörde auszahlt.
Grundsätzlich ist dem Arbeitgeber bereits die Frage nach privaten oder besonders geschützten Daten nach Art. 9 DS-GVO (Gesundheitsdaten, Gewerkschaftszugehörigkeit etc.) verboten. Im Zusammenhang mit der Auszahlung einer Entschädigung nach § 56 IfSG liegen jedoch genügend gesetzliche Hinweise vor, dass dem Arbeitgeber hierbei eine Rolle zugewiesen wird, die eine solche Frage rechtfertigen kann.“
Eine Auskunftspflicht für Arbeitnehmer ist dem Infektionsschutzgesetz jedoch nicht zu entnehmen. Das bedeutet Arbeitnehmer können sich weigern, die Auskunft zu erteilen.
Fazit
Verantwortliche sind gut damit beraten, genau zu prüfen, ob der Impfstatus der Mitarbeiter verarbeitet werden darf. Ansonsten drohen vor dem Hintergrund, dass es sich um so genannte Gesundheitsdaten (=besondere Kategorie personenbezogener Daten) handelt entsprechend hohe Geldbußen.
Laura Piater
Consultant für Datenschutz
Volljuristin
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, hat am 3. April 2020 ihren Jahresbericht für das Jahr 2019 vorgelegt.
Besonders erwähnenswert ist in diesem Zusammenhang das bisher höchste Bußgeld in der Bundesrepublik Deutschland unter der DSGVO. Dieses wurde wegen Verstößen im Zeitraum Mai 2018 bis März 2019 gegen die Deutsche Wohnen SE verhängt. Sie hatte umfangreiche Datensätze mit sensiblen Dokumenten wie Ausweiskopien oder Arbeitsverträgen entgegen der gesetzlichen Verpflichtung nicht gelöscht und war auch einer diesbezüglichen Aufforderung der Aufsichtsbehörde aus dem Jahr 2017 nicht nachgekommen. Die Höhe des verhängten Bußgeldes beträgt stolze 14,5 Millionen Euro. Der gesamte mögliche Bußgeldrahmen von 28 Millionen Euro wurde allerdings nicht ausgeschöpft. Die Deutsche Wohnen hat Einspruch gegen den Bußgeldbescheid eingelegt. Eine endgültige Entscheidung der Aufsichtsbehörde bzw. die mögliche gerichtliche Klärung stehen noch aus.
Die dienstliche Nutzung von Messenger-Apps ist immer noch ein Thema. Hier sollte die Bereitstellung eines dienstlichen Messengers erwogen werden, um Probleme zu vermeiden. Das automatische Auslesen des gesamten Adressbuchs ist nach wie vor ein Problem bei WhatsApp (Facebook). Vor allem sollten niemals vertrauliche Dokumente in WhatsApp-Gruppen geteilt werden.
Künstliche Intelligenz bzw. maschinelles Lernen birgt Risiken für die Persönlichkeitsrechte. Diese Risiken bestehen insbesondere in der systematischen Diskriminierung von Bevölkerungsgruppen im Rahmen intransparenter und voreingenommener Entscheidungsprozesse ohne menschliche Eingriffsmöglichkeit. Dahingehende Bemühungen von Unternehmen sind also unbedingt frühzeitig durch die Verantwortlichen mit dem Datenschutzbeauftragten abzustimmen.
Die Anfertigung von Fotos für den Zutritt zu Coworking-Spaces lässt sich nicht allein zur Gefahrenabwehr und Beweissicherung rechtfertigen. Wenn mildere Mittel wie das Erfassen der Personalien mittels einer Besucherliste zur Verfügung stehen, ist ein solches Vorgehen unzulässig.
Nach Beendigung des Beschäftigungsverhältnisses sind personenbezogene Daten zu löschen, wenn dem keine zwingenden Aufbewahrungspflichten entgegenstehen. Insbesondere bei auf der Homepage eingestellten Fotos und Informationen zum persönlichen Werdegang ist erhöhte Aufmerksamkeit geboten!
Bei Betroffenenanfragen muss der jeweils Verantwortliche - also das Unternehmen - sicherstellen, dass diese weitergeleitet und beantwortet werden. Die Aufsichtsbehörde stellt klar, dass mangelnde interne Organisation keinen Entschuldigungsgrund darstellt.
Gesundheits-Apps verarbeiten regelmäßig besonders sensible personenbezogene Daten. Speziell bei cloud-basierter Verarbeitung dieser Daten wird sich die Berliner Datenschutzbeauftragte künftig genaue Konzepte zu den technischen Schutzmechanismen vorlegen lassen.
Sobald die Übergangsphase für den Brexit endet (voraussichtlich mit Ablauf des Monats Dezember 2020), sind Datenflüsse in das Vereinigte Königreich vertraglich neu abzusichern. Eine Möglichkeit sind z.B. die von der EU-Kommission bereitgestellten Standardvertragsklauseln.
Wir werden unseren Kunden hierzu noch ein ausführlicheres Merkblatt zur Verfügung stellen. Bleiben sie gesund und achten Sie auf Ihre personenbezogenen Daten!
Florian S.
Justiziar | M.A.
Consultant für Datenschutz
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat ein Bußgeld in bis zu zweistelliger Millionenhöhe wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) angekündigt. Aus rechtlichen Gründen im laufenden Verfahren konnte die Sprecherin der Berliner Datenschutzbeauftragten jedoch nicht sagen, um welches Unternehmen es sich handelt.
Erst kürzlich hat die Berliner Datenschutzbeauftragte gegen ein ebenfalls nicht genanntes Unternehmen zwei Bußgelder in Höhe von insgesamt 200.000 Euro verhängt.
Bislang wurden durch die Datenschutzbeauftragten der Länder deutlich geringere Bußgelder erlassen. Die bislang höchsten Bußgelder wurden in Baden-Württemberg (80.000 Euro) und Berlin (50.000 Euro) verhängt. In Baden-Württemberg waren Gesundheitsdaten betroffen, in Berlin hatte eine Online-Bank unbefugt Daten ehemaliger Kunden verarbeitet.
Vielen Unternehmen ist gar nicht klar, welche Verstöße gegen die DSGVO überhaupt bußgeldbewehrt sind. Dies ist im Bußgeldkatalog der Art. 83 Abs. 4-6 DSGVO geregelt.
Art. 83 Abs. 4 DSGVO sieht ein Bußgeld in Höhe von bis zu 10 Millionen Euro oder 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens vor. Entscheidend ist dabei der höhere von beiden Beträgen. Ein solches Bußgeld kommt u.a. bei den folgenden Verstößen in Betracht:
- Nichtvorhandensein datenschutzfreundlicher Technikgestaltung und Voreinstellungen
- Fehlen von Joint-Control- oder Auftragsverarbeitungsverträgen
- Fehlendes Verzeichnis von Verarbeitungstätigkeiten
- Mangelnde Zusammenarbeit mit der Aufsichtsbehörde
- Unzureichende technische und organisatorische Maßnahmen
- Unterlassene Meldungen von Datenschutzverletzungen
- Nicht durchgeführte Datenschutz-Folgenabschätzung
- Fehlende Bennenung eines Datenschutzbeauftragten und fehlende Veröffentlichung der Kontaktdaten und Meldung an die Aufsichtsbehörde
Art. 83 Abs. 5 DSGVO gibt einen Bußgeldrahmen von bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens vor, wobei auch hier der höhere Betrag entscheidend ist. Ein solches Bußgeld kommt u.a. bei den folgenden Verstößen in Betracht:
- Nichteinhaltung der Grundsätze der Verarbeitung (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Datenrichtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit)
- Nichteinholen einer erforderlichen Einwilligung
- Verstoß gegen die Rechte der betroffenen Personen (Informationspflichten, Recht auf Auskunft, Datenübertragung, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht)
- Übermittlung personenbezogener Daten an Empfänger in Drittländer
- Nichtbefolgung einer Anweisung der Aufsichtsbehörde
Die Höhe des Bußgeldes orientiert sich u.a. nach den folgenden Kriterien:
- Art, Schwere und Dauer des Verstoßes (berücksichtigt wird Art, Umfang oder Zweck der Verarbeitung, Zahl der betroffenen Personen, Ausmaß des erlittenen Schadens)
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
- Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
- Grad der Verantwortlichkeit unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen
- Frühere Verstöße
- Umfang der Zusammenarbeit mit der Aufsichtsbehörde
- Kategorieren betroffenener personenbezogener Daten
- Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde
- Einhaltung der in Bezug auf denselben Gegenstand bereits angeordneten Maßnahmen
Die Einhaltung der Vorschriften der DSGVO ist daher zur Vermeidung von Bußgeldern unerlässlich.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz