Veröffentlichung von Impfdaten in sozialen Netzwerken
Es besteht die Gefahr, dass Verantwortliche gegen die Bestimmungen des Datenschutzrechts verstoßen, wenn sie im Zusammenhang mit der Corona-Pandemie Informationen zum Gesundheitsstatus ihrer Beschäftigten in sozialen Netzwerken veröffentlichen.
Die Datenschutzbehörde erreichte eine Beschwerde, bei der es um einen Beitrag (sog. Post) in einer regionalen Chatgruppe ging. In dem Post hatte die Geschäftsführung eines Unternehmens verkündet, dass alle Beschäftigten gegen Covid-19 geimpft seien. Die Geschäftsführung benannte zwar keinen der Beschäftigten namentlich. Aufgrund des regionalen Bezugs war es aber ohne größeren Aufwand möglich, Rückschlüsse auf die Identität der Beschäftigten des Unternehmens zu ziehen. Die Beschwerde wurde zum Anlass genommen, den Verantwortlichen zu dem Vorgang anzuhören. Er nahm dies zum Anlass, den entsprechenden Post zu löschen. Zur Verarbeitung des Impfstatus der betroffenen Beschäftigten gab er an, dass für die Covid-19-Schutzimpfung eine Arbeitszeitbefreiung gewährt worden sei, so dass die Beschäftigten durch die Wahrnehmung der Arbeitszeitbefreiung freiwillig den Impfstatus offengelegt hätten. Die Beschäftigten seien über den beabsichtigten Post informiert worden und hätten hierzu mündlich ihr Einverständnis erklärt.
Mit Blick auf den geschilderten Fall ist zu berücksichtigen, dass zwei Datenverarbeitungsvorgänge voneinander zu unterscheiden sind: Zum einen stellt sich die Frage der Rechtmäßigkeit der Erhebung der Impfdaten durch den Arbeitgeber (Abfragen des Impfstatus), zum anderen ist die Offenlegung des Impfstatus der Beschäftigten in einem sozialen Netzwerk (Posten des Impfstatus) zu bewerten. Bei dem Abfragen des Impfstatus der Beschäftigten handelt es sich um eine „Verarbeitung personenbezogener Daten“. Die Begriffe „personenbezogene Daten“ und „Verarbeitung“ sind in Art. 4 Nr. 1 und 2 DSGVO definiert. Die mündliche Abfrage des Impfstatus liegt gemäß Art. 2 Abs. 1 DSGVO grundsätzlich außerhalb des Anwendungsbereichs der DSGVO, da insoweit weder eine dateigebundene noch eine automatisierte Verarbeitung erfolgt ist. Im Beschäftigungsverhältnis ist jedoch die Regelung des § 26 Abs. 7 BDSG zu berücksichtigen. Die Vorschrift weitet die Regelungen des Beschäftigtendatenschutzes auf jede Form der Verarbeitung personenbezogener Daten aus. Auch die mündliche Abfrage des Impf- oder Genesenenstatus durch den Arbeitgeber stellt daher eine Verarbeitung dar, die den Anforderungen des Datenschutzrechts genügen muss. Zu berücksichtigen ist weiterhin, dass es sich bei Informationen zu einer in Anspruch genommenen Schutzimpfung gegen Covid-19 um Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DSGVO und damit um besondere Kategorien personenbezogener Daten im Sinn des Art. 9 Abs. 1 DSGVO handelt. Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nach dem Wortlaut des Art. 9 Abs. 1 DSGVO untersagt. Art. 9 Abs. 2 DSGVO sieht von diesem Grundsatz Ausnahmen in den abschließend definierten Fällen der lit.a bis j vor. In Betracht kommt hier insbesondere Art. 9 Abs. 2 lit.b DSGVO i.V.m. § 26 Abs. 3 BDSG.
Auch der Post „alle Beschäftigten sind gegen Covid-19 geimpft“ erfüllt die Begriffe „personenbezogene Daten“ und „Verarbeitung“. Obwohl der Arbeitgeber in dem Post keine Beschäftigten namentlich benannte, handelt es sich um personenbezogene Daten im Sinn der DSGVO. Wie zuvor dargestellt, sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Da über die Daten des Arbeitgebers eine Identifizierung der Beschäftigten möglich war, handelte es sich daher um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO. Auch die Voraussetzungen des Art. 4 Nr. 2 DSGVO waren erfüllt, da unter den Begriff der Verarbeitung auch die Offenlegung personenbezogener Daten fällt. Offenlegung ist hierbei so zu verstehen, dass Dritten die Möglichkeit verschafft wird, die personenbezogenen Daten betroffener Personen zur Kenntnis zu nehmen. Die regionale Gruppe, in der der Post veröffentlicht wurde, hatte zum Zeitpunkt der Veröffentlichung des Posts rund 12.500 Mitglieder. In die Verarbeitung ihrer Impfdaten können Beschäftigte nur freiwillig einwilligen. Bei Beachtung der Voraussetzungen des § 26 Abs. 2 BDSG können Beschäftigte in die Verarbeitung ihrer personenbezogenen Daten einwilligen. Dies gilt nach § 26 Abs. 3 Satz 2 BDSG auch für die Verarbeitung besonderer Kategorien personenbezogener Daten. Die Voraussetzungen für eine rechtswirksame Einwilligung zur Datenverarbeitung im Beschäftigungsverhältnis sind in § 26 Abs. 2 BDSG geregelt.
Entscheidend für die Frage, ob die Einwilligung rechtmäßig war, ist demnach, dass die Beschäftigten freiwillig in die zuvor beschriebenen Datenverarbeitungsvorgänge (Abfragen und Post des Impfstatus) eingewilligt haben. Zu berücksichtigen ist dabei das im Beschäftigungsverhältnis bestehende Über- und Unterordnungsverhältnis zwischen Arbeitgeber und Beschäftigen. Bei Bestehen eines rechtlichen oder wirtschaftlichen Vorteils für die Beschäftigten kann gemäß § 26 Abs. 2 Satz 3 BDSG von der Freiwilligkeit der Einwilligung ausgegangen werden. Da den Beschäftigten für die Wahrnehmung der Impftermine eine Arbeitsfreistellung gewährt wurde, war von der Einholung einer wirksamen Einwilligungserklärung für die Erhebung des Impfstatus auszugehen.
Abweichend war allerdings die Veröffentlichung des Posts in dem sozialen Netzwerk zu bewerten. Hier konnte der Verantwortliche nicht glaubhaft darstellen, dass die Beschäftigten ihre Einwilligung in die Offenlegung der besonderen Kategorien personenbezogener Daten – insbesondere freiwillig – erteilt hatten. Auch waren mit der Offenlegung – im Gegensatz zur ersten Fallkonstellation – keine wirtschaftlichen oder rechtlichen Vorteile für die Beschäftigten verbunden. Die Voraussetzungen einer wirksamen Einwilligung lagen somit nicht vor. Das Posten der Impfdaten von Beschäftigten verstieß gegen die DSGVO. Soweit besondere Kategorien personenbezogener Daten in einem sozialen Netzwerk gepostet wurden, ohne dass hierfür eine Rechtsgrundlage im Sinn des Art. 9 Abs. 2 lit.b bis j DSGVO oder eine wirksame Einwilligungserklärung nach Art. 9 Abs. 2 lit.a oder § 26 Abs. 3 Satz 2 i.V.m. Abs. 2 BDSG vorgelegen hat, verstieß dies gegen den Grundsatz der Rechtmäßigkeit nach Art. 5 Abs. 1 lit.a DSGVO i.V.m. Art. 9 Abs. 1 DSGVO.
Quelle: HBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks