Kategorie: DSGVO

LG München: Einsatz von Google Fonts ohne Einwilligung rechtswidrig

4. März 2022

Das Landgericht München hat in einem Urteil vom 20.01.2022 entschieden, dass der Einsatz von Google Fonts auf Webseiten nicht mehr auf die berechtigten Interessen des Webseitenbetreibers gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann. Nunmehr ist stets eine Einwilligung des Nutzers erforderlich. Webseitenbetreiber können bei Verstoß auf Unterlassung und Schadensersatz verklagt werden.

Hintergrund

Google Fonts setzt zwar keine Cookies. Wenn aber eine von Googles Schriftarten (= englisch Font) vom Browser des Besuchers bei dem Besuch der Webseite angefordert wird, wird dessen IP-Adresse von Google erfasst und für Analysezwecke verwendet. Diesen Prozess beschreibt Google auch in den Google AGB zur Google Fonts API. Bei den so erhobenen dynamischen IP-Adressen handele es sich um personenbezogene Daten, da es dem Webseitenbetreiber über eine zuständige Behörde und den Internetzugangsanbieter abstrakt möglich sei, die betreffende Person zu identifizieren, so das Urteil.

Vor dem Urteil des Landgerichts München konnte man – unter Inkaufnahme eines gewissen unternehmerischen Risikos – den Einsatz von Google Fonts auf Art. 6 Abs. 1 S.1 lit. f DSGVO, die berechtigten Interessen, stützen. Nun kann der Einsatz von Schriftartendiensten wie Google Fonts nicht mehr auf Art. 6 Abs. 1 S.1 lit. f DSGVO gestützt werden, da kein berechtigtes Interesse des Webseitenbetreibers bestehe, die Schriftart über externe Google-Server einzubinden. Schließlich könne man anstattdessen die Google Fonts auch herunterladen und vom eigenen Server lokal ausliefern, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss.

Der Beklagte hatte außerdem zudem eingewandt, dass der Besucher der Webseite auch seine IP-Adresse etwa durch Nutzung eines VPN verschleiern könnte. Diesen Einwand lehnte das Landgericht München jedoch ab und bestätigte insoweit ein Urteil des Landgerichts Dresden aus dem Jahr 2019. Dem Webseitenbesucher dies abzuverlangen, würde den Zweck des Datenschutzrechtes, welches in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt, gar umkehren, da durch eine solche Verpflichtung der Rechteinhaber bei der Ausübung seiner schützenswerten Rechte eingeschränkt werden würde.

Konsequenz für Webseitenbetreiber

Die einzig rechtssichere Möglichkeit der Einbindung von Google Fonts über die Google Server ist nach dem Urteil des Landgerichts München nun die Einwilligung des Webseitenbesuchers.

Für eine DSGVO-konforme Einwilligung ist es allerdings notwendig, dass der Nutzer informiert und nach seiner Einwilligung gefragt wird, bevor ein URL Call von Google Fonts zur Google Fonts API stattfindet, also bevor Google Fonts ausgespielt und die Verbindung zu den Google Servern hergestellt wird. Ein Eintrag in den Datenschutzbestimmungen kann das nicht leisten. Ähnlich wie bei den Cookies müsste also ein Banner ausgespielt werden, vergleichbar dem Cookie Banner. Solange keine Einwilligung seitens des Besuchers vorliegt, wird dann die über Google Fonts eingebundene Schriftart nicht geladen.

Vor diesem Hintergrund erscheint es einfacher und rechtssicherer, die Möglichkeit zu nutzen, Google Fonts lokal einzubinden. Dabei werden die Schriften heruntergeladen und für den Besucher vom eigenen Server und nicht von den Google-Servern geladen. Hierbei werden keine Daten an Google als Drittanbieter gesendet.

Rechtsgrundlage für Datenschutz-Bußgelder

16. Februar 2022

Die Frage, ob Führungskräfte in Unternehmen schuldhaft handeln müssen oder ob ein objektiver Pflichtverstoß für die Verhängung eines Bußgeldes nach der DSGVO gegen das Unternehmen ausreicht, ist im Datenschutzrecht sehr umstritten. Das Kammergericht Berlin (Az. 3 Ws 250/21) hat dem EuGH hierzu Fragen zur Vorabentscheidung vorgelegt.

Rechtsträger- oder Funktionsträgerprinzip?

Stein des Anstoßes ist die Frage, ob §30 Ordnungswidrigkeitengesetz (OWiG) und damit das deutsche Haftungskonzept für Unternehmen (Rechtsträgerprinzip) anwendbar ist. Dem Unternehmen kann ein Bußgeld nur dann auferlegt werden, wenn eine Führungskraft eine (vorsätzliche oder fahrlässige) Tat begangen hat, die dem Unternehmen zurechenbar ist. Das LG Berlin vertritt diese Auffassung und hat ein Bußgeldverfahren gegen die Deutsche Wohnen SE eingestellt. Für die Verhängung eines Bußgeldes müsse ein der juristischen Person zurechenbarer Pflichtverstoß vorliegen, der durch die Datenschutz-Aufsichtsbehörde nachgewiesen werden muss. Eben dieser Nachweis sei nicht gelungen, der Bußgeld-Bescheid enthalte keine entsprechenden Angaben.

Das LG Bonn (Urt. v. 11.11.2020 – 29 OWi 1/20) hält §30 OWiG für nicht anwendbar (Funktionsträgerprinzip). Das hätte zur Folge, dass das sog. supranationale Kartellsanktionsrecht greift. Dann reicht ein objektiver (Datenschutz-)Verstoß eines Unternehmens aus, um es mit einem Bußgeld zu belegen. Eine Anweisung zu oder auch nur Kenntnis der Leitungsorgane des Unternehmens von Datenschutzverstößen sind dann nicht erforderlich. Das datenschutzrechtliche Bußgeld finde seine Rechtsgrundlage vielmehr unmittelbar in Art. 83 DSGVO, so das LG Bonn. Dafür sprechen der Anwendungsvorrang der DSGVO im Allgemeinen sowie der Wirksamkeitsgrundsatz des Europarechts, der ausgehöhlt würde, wenn nationale Haftungsregeln die Sanktionsmöglichkeiten europarechtlicher Vorschriften einschränken würden. Dann wäre nicht mehr europaweit sichergestellt, dass dieselben Bußgeldregelungen gelten, was dem Verordnungscharakter der DSGVO zuwiderliefe.

Der EuGH hat die Chance zur Klarstellung

Somit bestehen Zweifel über die Auslegung des Art. 83 DSGVO und die Zuständigkeit des EuGH ist im Vorabentscheidungsverfahren (Art. 267 AUEV) eröffnet. Das KG erwartet vom EuGH eine Klarstellung, ob die (strengeren) Vorgaben des deutschen Ordnungswidrigkeitenrechts gelten oder ob ein objektiver Pflichtverstoß eines Unternehmens ausreicht, um ein Bußgeld zu verhängen. Das KG selbst scheint übrigens von einer direkten Unternehmenshaftung ohne Anwendung des §30 OWiG auszugehen.

Französische Datenschutzbehörde CNIL hält Google Analytics für unvereinbar mit der DSGVO

14. Februar 2022

Die französische Datenschutzbehörde CNIL hat am 10.02.22 eine Stellungnahme veröffentlicht, dass Webseiten mit europäischen Besuchern auf den Einsatz von Google Analytics verzichten sollen. Dies sei nämlich nicht mit der DSGVO vereinbar. Zwar habe Google Schutzmaßnahmen getroffen, diese reichen aber nicht aus, um den Zugriff von US-Geheimdiensten auf Daten ganz auszuschließen. Die Daten von europäischen Webseiten-Besuchern seien dementsprechend nicht ausreichend geschützt. Im konkreten Fall hat der französische Webseiten-Betreiber einen Monat Zeit bekommen, um seine Webseite in Einklang mit der DSGVO zu bringen.

Der Einsatz von Google Analytics, ein weitvebreitetes Analysetool auf Webseiten, ist nach dem Schrems-II-Urteil schon länger umstritten. Die Entscheidung der CNIL kommt nur zwei Wochen nachdem die österreichische Datenschutzbehörde entschieden hatte, dass der Einsatz von Google Analytics auf österreichischen Webseiten gegen die DSGVO verstößt.

Auch die CNIL hatte zuvor Beschwerden von NOYB, der von Max Schrems gegeründeteten Organisation, zu dem Einsatz von Google Analytics erhalten. NOYB äußerte sich zu der Entscheidung der CNIL damit, dass sie weitere, ähnliche Entscheidungen von anderen Datenschutzbehörden erwarten. NOYB hatte bei Datenschutzbehörden in fast allen EU-Staaten Beschwerde eingelegt.

Google betont währenddessen ausdrücklich die Notwendigkeit eines Privacy-Shield-Nachfolgers. Nur so könnten die genutzten Google-Services weiterhin rechtskonform genutzt werden.

Europol kommt Löschpflicht nicht nach

10. Februar 2022

Die Europäische Strafverfolgungsbehörde Europol muss personenbezogene Daten von Verdächtigen, welchen eine Verbindung zu Straftaten nicht nachgewiesen werden kann, nach sechs Monaten löschen. Laut einer Pressemitteilung des Europäischen Datenschutzbeauftragten (EDPS) kam Europol dieser Verpflichtung nicht nach.

Der europäische Datenschutzbeauftragte Wiewiórowski hat Europol aufgefordert Daten von Verdächtigen in großem Umfang zu löschen. Konkret betroffen seien Datensätze, welche Europol von den Ermittlungsbehörden der EU-Staaten übermittelt wurden. Aufgrund der Masse an übermittelten Daten dauere der Prozess der Analyse bei Europol jedoch meist Jahre. Hinsichtlich der Speicherfristen entspräche die Behörde jedoch nicht ihren eigenen Regelungen. Diese bestimmen die Löschung personenbezogener Daten von Verdächtigen nach spätestens sechs Monaten, sofern den Betroffenen keine Verbindung zu einer kriminellen Aktivität nachgewiesen werden kann.

Auf die Strafverfolgungsbehörde warten arbeitsintensive zwölf Monate. Zunächst soll die Behörde innerhalb von sechs Monaten eine Voranalyse und Filterung der gespeicherten Datensätze vornehmen. Mit diesem Vorgehen werden zugleich „die Risiken für die Rechte und Freiheiten von Personen auf ein Minimum reduziert“. In den nachfolgenden sechs Monaten soll dann die Umsetzung der Löschpflicht zu einer Vereinbarkeit mit den datenschutzrechtlichen Regularien folgen.

Europol kritisierte die Anordnung des EDPS in einer Pressemitteilung, da die Behörde durch den Beschluss des EDPS in der Fähigkeit beeinträchtigt werde, große und komplexe Datensätze auszuwerten. Gerade in Fällen mit komplexen und umfangreichen Datensätzen nehme dies oftmals mehr als sechs Monate in Anspruch.

Die Entscheidung des EDPS war für Europol jedoch bereits absehbar. Bereits im September 2020 verwarnte der Datenschutzbeauftragte die Behörde aufgrund ihres Umgangs mit der Speicherung personenbezogener Daten.

Österreich: Einsatz von Google Analytics rechtswidrig

4. Februar 2022

Die österreichische Datenschutzbehörde hat entschieden, dass der Einsatz von Google Analytics auf österreichischen Webseiten gegen die DSGVO verstößt. Die Entscheidung könnte wegweisend für weitere europäische Länder und damit auch entscheidend für deutsche Webseitenbetreiber sein.

Gründe für die Entscheidung

Google Analytics erhebt personenbezogene Daten, überträgt diese an Google – und Google unterliegt nach US-Recht der Überwachung durch US-Geheimdienste. Die von Google ins Feld geführten Standardvertragsklauseln helfen dem mangelden Datenschutzniveau bei Google nicht ab, wie 2020 der Europäische Gerichtshof (EuGH) mit seinem Schrems II-Urteil erkannt hat. Nach Auffassung der österreichischen Datenschutzbehörde können nun auch die zusätzlich zu den Standardvertragsklauseln getroffenen Maßnahmen von Google schlussendlich kein angemessenes Schutzniveau für die Datenübermittlung nach Artikel 44 DSGVO bieten. Damit gilt: wenn ein österreichischer Webseitenbetreiber Google Analytics einsetzt, legt er Google rechtswidrigerweise Daten offen. Konsequenz kann sein, dass die Webseite wegen rechtswidrigen Verhaltens eingestellt werden muss.

Konsequenz für deutsche Webseitenbetreiber?

Die Entscheidung hat für deutsche Webseitenbetreiber zunächst keine direkten Auswirkungen. Anlass für die Entscheidung war eine Beschwerde der Datenschutzorganisation NOYB. NOYB hatte 101 Beschwerden gegen die Nutzung von Google Analytics und Facebook Connect auf europäischen Webseiten in fast allen EU-Ländern eingelegt, darunter auch bei fünf deutschen Landesdatenschutzaufsichtsbehörden, nachdem der EuGH mit dem Schrems II-Urteil den Privacy Shield aufgehoben hatte.

Der Europäische Datenschutzausschuss (EDSA) hat daraufhin eine Task Force zur europaweit einheitlichen Bearbeitung der Beschwerden gegründet. In der ersten Beschwerde hat die österreichische Datenschutzbehörde nun entschieden. Auch die niederländische Datenschutzbehörde prüft aktuell, ob die Verwendung von Google Analytics zulässig ist: Sie hat in einen Leitfaden zur Nutzung von Google Analytics die Warnung aufgenommen, dass die Verwendung Google Analytics „möglicherweise bald nicht mehr erlaubt“ sei. Anfang 2022 sei dann auch von ihr eine Entscheidung zu erwarten.

Aufgrund des Zusammenschlusses in der Taskforce ist es allerdings möglich, dass vergleichbare Entscheidungen in sämtlichen EU-Mitgliedstaaten fallen. Max Schrems von NOYB sieht ein Indiz dafür auch darin, dass der EU-Datenschutzbeauftragte die Covid-19-Test-Webseite des Europäischen Parlaments wegen der Einbindung von Google Analytics auf eine Beschwerde von NOYB hin verwarnt hat.

Datenschutzkonferenz empfiehlt die Corona- Warn- App als datenschutzfreundlichere Alternative zur Kontakterfassung

1. Februar 2022

Am 27.01.2022 fand die erste Zwischenkonferenz der Datenschutzbeauftragten des Bundes und der Länder im neuen Jahr 2022 statt. In diesem Rahmen wurden aktuelle datenschutzrechtliche Fragen und Themen neu evaluiert und erörtert. Dabei soll die Sicherstellung des Grundrechts auf informationelle Selbstbestimmung gewährleistet werden.

Unter dem Vorsitz des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Herrn Prof. Ulrich Kelber wurden auch die grundrechtlichen Bedenken bei der Kontaktdatenerfassung in der Corona- Pandemie durch die Gesundheitsämter neu thematisiert.

Dabei merkte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit an, dass die Sammlung von Kontaktdaten bei aktuell sehr hohen Infektionszahlen ihren notwendigen Zweck nicht erfüllen, weil sie von den überlasteten Gesundheitsämtern nur noch wenig genutzt werden. Auch bei niedrigen Infektionszahlen sieht der Bundesbeauftragte dahingehend ein Problem, dass ein unverhältnismäßiger Eingriff in das Grundrecht auf informationelle Selbstbestimmung der betroffenen Personen vorliegt

Im Rahmen der Datenschutzkonferenz wurde auf Grundlage dessen eine Forderung formuliert, die Möglichkeiten der Corona-Warn App zu nutzen, anstatt weiterhin umfassend Kontaktdaten zu sammeln, welche in diesem Kontext sensible Gesundheitsdaten im Sinne des Art. 9 DSGVO darstellen. „Die App warnt schnell über mögliche Risikokontakte und ist dank der dezentralen Struktur besonders sicher“.

Die DSK sieht eine Realisierung der Forderung auch darin, dass im Landesrecht Regelungen für die Corona-Warn-App vorgesehen werden, um dann besser von den Landesregierungen als sicher beworben und bekannt gemacht werden zu können.

Weitere aktuelle Informationen zur Datenschutzkonferenz finden Sie hier.

Bundesdatenschutzbeauftragter erneuert Kritik an der Nutzung Sozialer Netzwerke durch Bundesbehörden

21. Januar 2022

In einem Interview gegenüber dem Handelsblatt äußerte sich der Bundesdatenschutzbeauftragte Ulrich Kelber erneut zur Nutzung von Sozialen Netzwerken durch die öffentliche Verwaltung – dabei geht es vor allem um Facebook, Instagram, Tiktok und Clubhouse. Technische Überprüfungen dieser Netzwerke und deren Nutzung auf den Geräten der Bundesbehörden und ihrer Mitarbeiterinnen und Mitarbeiter, die Kelber derzeit gemeinsam mit dem BSI durchführe, wiesen auf „datenschutzrechtliche Probleme“ hin. Ein finales Ergebnis gäbe es derzeit jedoch noch nicht.

Im Zusammenhang mit den Äußerungen gegenüber dem Handelsblatt kritisierte Kelber darüber hinaus auch den Betrieb sog. Facebook-Fanpages durch die Bundesbehörden. Aufgrund der „unklaren geteilten datenschutzrechtlichen Verantwortung zwischen Facebook und dem Betreiber der Seite“ könne die Fanpage „nach wie vor nicht rechtskonform betrieben werden“. Bereits letztes Jahr hatte der Bundesdatenschutzbeauftragte daher die Bundesregierung und die obersten Bundesbehörden aufgefordert, den Betrieb dieser Fanpages bis Ende 2021 einzustellen – bislang noch ohne Erfolg. Kelber betonte aber auch, dass er durch die Aufforderung nicht „zwingend die Abschaltung von Facebook-Fanseiten“ erreichen, sondern lediglich eine „datenschutzkonforme Kommunikation zwischen der Bundesregierung und der Bürgerinnen und Bürgern“ ermöglichen wolle. Ziel sei es daher, dass Facebook den Betrieb aller Fanpages an europäische Datenschutzvorgaben anpasse. Laut Kelber haben hierzu erneut Gespräche mit der Bundesregierung und Facebook stattgefunden.

Klarnas neue „Super-App“ in der Kritik

6. Januar 2022

Der Online-Bezahldienstleister Klarna sieht sich einiger Kritik bezüglich des Datenschutzes in seiner „Super-App“ ausgesetzt. In den vergangenen Wochen sind bei der Berliner Datenschutz-Aufsichtsbehörde einige Beschwerden von Nutzerinnen und Nutzern eingegangen.

Klarnas noch recht neue App vereint die bereits bekannte Zahlmöglichkeit direkt mit dem Online-Shopping. Viele Händler wurden bereits in die App integriert, sodass eine separate Anmeldung bei den einzelnen Online-Shops nicht mehr notwendig ist. Sogar der Versand und das Paket-Tracking sind in der App möglich. Dadurch erhält Klarna neben den Bezahldaten auch alle anderen Informationen zu Bestellungen und Kaufverhalten der Nutzer, anhand derer personalisierte Angebote und Werbung generiert und an die Nutzerinnen und Nutzer ausgespielt werden können.

Rund die Hälfte der Beschwerden bezieht sich auf die Rechte der Nutzerinnen und Nutzer auf Auskunft oder Löschung ihrer Daten. Ein weiteres großes Problem ist die Datenschutzerklärung, die etwa 14.000 Wörter lang ist. Art. 12 DSGVO verlangt jedoch, dass die Informationen in „präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache“ zur Verfügung gestellt werden. Auch inhaltlich könne die Datenschutzerklärung nicht überzeugen, sondern sei vielmehr eine „grandiose Nebelmaschine“.

Der neue § 7a UWG und die Einwilligung in Telefonwerbung

4. Januar 2022

Am 1. Oktober 2021 ist der neue § 7a UWG (Gesetz gegen den unlauteren Wettbewerb) zur erforderlichen Einwilligung in Telefonwerbung gegenüber Verbrauchern in Kraft getreten. Der neue § 7a UWG dient mit seinen Dokumentations- und Aufbewahrungspflichten der effizienteren Gestaltung der Sanktionierung von unerlaubter Telefonwerbung. Die praktischen Auswirkungen des neuen § 7a UWG dürften in der Praxis für die meisten werbetreibenden Unternehmen eher gering sein. Schon vor den Neuerungen bestand aufgrund der DSGVO und des UWG die (faktische) Pflicht, eine Einwilligung nachzuweisen. So musste bereits nach Art. 7 Abs. 1 DSGVO der Unternehmer die Einwilligung des Verbrauchers in die Telefonwerbung aufzeigen.

Einwilligung dokumentieren

Der Unternehmer hat die Einwilligung des Verbrauchers zunächst einzuholen, eine Formvorschrift gibt es hierfür nicht, jedoch muss der Unternehmer diese „in angemessener Form“ dokumentieren. Aus der Dokumentation muss zwingend hervorgehen, dass die personenbezogenen Daten und die entsprechende Einwilligung zur werblichen Verwendung über den behaupteten Weg eingeholt wurden und die Person, deren personenbezogene Daten in der Einwilligung genannt werden, diese auch abgegeben hat. Als Beispiel für eine zulässige Form nennt die Gesetzesbegründung die Dokumentation der mündlichen Einwilligung im Wege der Tonaufzeichnung. Zur Notwendigkeit der Einwilligung des Betroffenen in die Tonaufzeichnung selbst sagt die Gesetzesbegründung an dieser Stelle jedoch nichts. Ohne Einwilligung ist die Aufzeichnung von Tonaufnahmen grundsätzlich strafbar und ein Datenschutzverstoß. Folglich müsste der Betroffene praktisch gesehen zweifach einwilligen: zum einen in die Aufzeichnung seiner Einwilligung und des Weiteren darin, dass er mit Werbeanrufen einverstanden ist.

Die Aufbewahrungspflicht der Einwilligung

Sodann ist der Unternehmer zur Aufbewahrung der Einwilligung für fünf Jahre ab deren Erteilung sowie nach jeder Verwendung der Einwilligung verpflichtet. Diese Verpflichtung, die Einwilligungserklärungen 5 Jahre aufzubewahren, gab es bislang so nicht. Der Unternehmer muss auf Verlangen der Bundesnetzagentur als zuständige Behörde die Einwilligung unverzüglich vorlegen. Die Löschfrist ist sehr gewissenhaft einzuhalten und gleichzeitig ist Art. 5 DSGVO hinsichtlich der Datenminimierung und Datensparsamkeit zu berücksichtigen.

Ein Verstoß gegen die Dokumentations- oder Aufbewahrungspflicht kann mit einer Geldbuße bis zu 50.000 Euro geahndet werden. Ein Werbeanruf gänzlich ohne Einwilligung des Verbrauchers kann hingegen bis zu 300.000 Euro kosten.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

Datenschutz in Coronazeiten – eine Zusammenfassung

30. Dezember 2021

Seit Anbeginn der Coronapandemie wurde vielfach darüber diskutiert, ob und wie vonseiten der Arbeitgeber Gesundheitsdaten verarbeitet werden dürfen. Seit der nun bestehenden Präventionsmöglichkeit durch einen Impfschutz, konkretisiert sich die Diskussion hin zur Abfrage des Impfstatus durch den Arbeitgeber im Betrieb.

1. Verarbeitung von Gesundheitsdaten im Betrieb

Die Verarbeitung von Gesundheitsdaten im Beschäftigtenverhältnis kann mit Blick auf die arbeitgeberseitige Fürsorgepflicht gemäß §§ 611 a, 241 II BGB und nach § 167 II SGB IX  geboten und erforderlich sein. Ferner ist für Beschäftigte eine Verpflichtung vorgesehen, welche besagt, dass diese bei „begründeter Veranlassung“ zu einer ärztlichen Untersuchung der Arbeitsfähigkeit verpflichtet werden können.

2. Besondere Kategorien personenbezogener Daten nach der DSGVO

Art. 9 Abs. 1 DSGVO stuft Gesundheitsdaten als besondere Kategorie personenbezogener Daten und damit als besonders schützenswert ein. Art. 9 Abs. 1 DSGVO normiert für diese sensiblen Daten ein restriktives Verarbeitungsverbot, wonach diese nur in den abschließend geregelten Ausnahmefällen des Art. 9 Abs. 2 DSGVO verarbeitet werden dürfen. Bei der Verarbeitung von Gesundheitsdaten im Betrieb ist stets eine besondere Vorsicht geboten, da diese oftmals das Risiko mit sich bringt, dass einmal zugänglich gemachte Informationen zur Begründung einer negativen Gesundheitsprognose im Rahmen einer krankheitsbedingten Kündigung zweckentfremdend genutzt werden können.  

3. Präventionsmaßnahmen während der Pandemie

Den Arbeitgebern standen mehrere optionale Präventionsmaßnahmen zur Verfügung. So hatten zu Beginn der Pandemie Arbeitgeber gegenüber den Beschäftigten ein Fragerecht bei Rückkehr aus dem Urlaub hinsichtlich des Aufenthaltorts und, ob es sich bei diesem um ein Risikogebiet handelte. Außerdem stand dem Arbeitgeber auch zu, von dem Beschäftigten die Information zu erlangen, ob dieser in einer ebenfalls näher durch das RKI beschriebenen Weise, in direktem und ansteckungsrelevanten Kontakt mit einer infizierten Person stand. Ferner wurde auch über die Anwendung von Wärmebildkameras diskutiert, mit Hilfe derer man die Körpertemperatur eines Beschäftigten ermitteln wollte. Jedoch hielt die DSK den Einsatz vor dem Hintergrund des Erforderlichkeitsvorbehalts überwiegend für ungeeignet, da „eine erhöhte Körpertemperatur nicht zwangsläufig als symptomatisch für eine SARS-CoV-2-Infektion angesehen werden kann“.

4. Verarbeitung des Impfstatus im Betrieb

Grundrechte wurden in der Krisenzeit eingeschränkt und auch vorbehaltslos gewährleistete Grundrechte fanden im kollidierenden Verfassungsrecht eine Schranke. Diese Beschränkungen finden ihre Grundlage aber nicht in betrieblichen Regelungen oder Weisungen der Arbeitgeberseite, sondern bedürfen einer normklaren gesetzlichen Rechtsgrundlage, etwa durch den Bundesgesetzgeber im IfSG.

a. Rechtsgrundlage für Datenverarbeitung

Im Zuge der Entwicklung von Impfstoffen wurde die Debatte darüber, inwiefern der Impfstatus im Beschäftigtenkontext erhoben und verarbeitet, insbesondere gespeichert werden darf, immer lauter. Letztendlich hat sich ein gewisser Konsens dahingehend gebildet, dass eine Verarbeitung des Impfstatus an sich ausgeschlossen ist und nur in besonders vulnerablen Branchen, namentlich bei Heil-/Pflegeberufen erforderlich ist. Hintergrund ist auch, dass zumindest nach dem Leitbild des Gesetzgebers in §§ 23, 23 a des Infektionsschutzgesetzes eine Befugnisnorm für dort näher bezeichnete Arbeitgeber der Heil- und Pflegebranche normiert ist, den Impfstatus der Beschäftigten zu verarbeiten. Darüber hinaus bestehen in den deutschen Ländern Sonderregelungen, in Baden-Württemberg etwa die „CoronaVO Krankenhäuser und Pflegeeinrichtungen“, welche ebenfalls nähere Regelungen zur Abfrage des Immunisierungsstatus enthalten. Eine generelle Verarbeitungsgrundlage für die Abfrage des Impfstatus durch den Arbeitgeber ist bisher gesetzlich jedenfalls nicht normiert.

b. Lohnfortzahlung nach § 56 I IfSG

Auf Grund des jüngsten Beschlusses der Gesundheitsministerkonferenz vom 22.9.2021 wird zunehmend diskutiert, ob zumindest in den Fällen, in denen Beschäftigte gegenüber ihrem Arbeitgeber einen Anspruch auf Geldentschädigung nach § 56 I IfSG geltend machen, eine Abfrage des Impfstatus zulässig erfolgen kann. Kommt es zu einer so genannten Absonderungsverpflichtung eines Beschäftigten und zahlt der Arbeitgeber den Lohn des Beschäftigten weiter, so kann er sich den für die Dauer dieser Absonderung ansonsten entstandenen Verdienstausfall bei der zuständigen Behörde erstatten lassen. Der Arbeitgeber geht insoweit in Vorleistung und übernimmt die Auszahlung zunächst „stellvertretend als Zahlstelle für die zuständige Behörde“. Zu einer derartigen Erstattung kommt es jedoch nicht in Fällen, in denen die Quarantäne durch „Inanspruchnahme einer Schutzimpfung“ hätte vermieden werden können. Hierzu wird nun vertreten, dass in diesen Konstellationen die Abfrage und Nutzung des Impfstatus in Einklang mit 26 III BDSG, Art. 9 II Buchst. b DS-GVO erfolgt.

c. Keine Auskunftspflicht des Beschäftigten

Der Arbeitgeber darf den Impfstatus des Beschäftigten zwar durchaus erfragen, wenn er „stellvertretend“ die Entschädigung nach § 56 I IfSG für die zuständige Behörde ausbezahlt. Allerdings trifft den Beschäftigten insoweit keine Verpflichtung, dem Arbeitgeber den Impfstatus oder andere Gesundheitsdaten, etwa chronische Vorerkrankungen oder Umstände wie eine Schwangerschaft, zu offenbaren. Eine solche Verpflichtung ergibt sich weder aus dem IfSG noch aus dem BDSG, als grundrechtsrelevante und damit wesentliche Pflicht des Beschäftigten hätte insoweit eine normenklare, eindeutige Gesetzesgrundlage geschaffen werden müssen. Auch lässt sich eine vertragliche Pflicht des Beschäftigten, den Arbeitgeber im Rahmen seiner Bemühungen um eine Erstattung der verauslagten Lohnkosten zu unterstützen schon deswegen nicht begründen, weil mit Blick auf die Sensibilität der hierzu benötigten Daten eine solche Verpflichtung ihm nicht zumutbar wäre. Somit ist vielmehr von einer bloßen Obliegenheit des Beschäftigten auszugehen, wonach dieser ohne Auskunftserteilung zwar keine Rechtspflicht verletzt, aber möglicherweise tatsächliche Nachteile (wie eine Beendigung der Lohnweiterzahlung) zu erwarten hätte.

Fazit

Hinzuweisen ist hierbei noch auf den § 28b Abs. 1 IfSG. Nach dem § 28b Abs.1 IfSG dürfen Arbeitgeber und Beschäftigte in Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können, nur betreten, wenn sie geimpfte, genesene oder getestete Personen sind und einen Impf-, Genesenen- oder Testnachweis mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben.

Die Debatte um die Geltendmachung der Entschädigungsansprüche nach § 56 IfSG zeigt offensichtlich, warum die Verarbeitung von sensiblen Gesundheitsdaten außerhalb der betrieblichen Sphäre liegen sollte. Auch in der Praxis der Aufsichtsbehörde wird deutlich: Viele Beschäftigte und Betriebe sind verunsichert, die Rechtslage ist unklar und umstritten. Von Seiten der Aufsichtsbehörden werden ebenfalls unterschiedliche Ansichten vertreten, eine einheitlich Linie gemeinsam mit dem Bundesgesundheitsministerium, wäre wünschenswert. Es liegt nun also am Gesetzgeber, in diesem sensiblen Feld für Klarheit und Rechtsfrieden zu sorgen.

1 2 3 4 5 25