Die Corona-Pandemie und die regelmäßige Testpflicht für Bürotätige wirft erneut die Frage auf, ob Arbeitgebende die Gesundheitsdaten ihrer Beschäftigten einsehen und verarbeiten dürfen. Die Antwort lautet: Mit einem lapidare Nein und Verweis auf die DSGVO ist es nicht getan.
Dauerkranke kann sich kein Betrieb auf Dauer leisten, ebenso wenig Beschäftigte, die in regelmäßigen Abständen immer wieder vermeintlich „krank feiern“. Aber aus guten Gründen erhalten Arbeitgebende bei einer ärztlichen Krankmeldungen von Mitarbeitenden immer nur eine verkürzte Arbeitsunfähigkeitsbescheinigung ohne die „AU-begründende“ Diagnose. Das ist vom Gesetzgeber so gewollt und soll verhindern, dass Lohnarbeitskräfte wegen ihrer Krankheit Nachteile erleiden und bei versehentlicher oder mutwilliger Weitergabe der Informationen am Ende vielleicht sogar nur schwer eine neue Anstellung finden. Gesundheitsdaten sind auch durch das Recht auf informelle Selbstbestimmung (Art. 1, 2 GG) besonders geschützt. Die Datenschutzgrundverordnung klassifiziert sie auch als „besondere Kategorie“ und somit unterliegen sie laut Art. 9 Abs. 1 DSGVO dem sogenannten Verarbeitungsverbot.
Zweifel an Krankheit landet vor BAG und EuGH
Immer wieder gibt es auch Zweifel an der Krankmeldung von Mitarbeitenden. In einem konkreten Fall wollte der Medizinische Dienst einer Krankenversicherung (MDK) diesen Zweifeln nachgehen. Und so landete der Fall laut dem Human Resources Manager vor dem Bundesarbeitsgericht (BAG), weil die betreffende Person sich gegen Erstellung eines Gutachtens mit Angabe zu seiner Diagnose durch den MDK gewehrt hatte und Entschädigungszahlungen verlangte. Der Kläger war über Monate ununterbrochen arbeitsunfähig gemeldet, so dass seine Krankenkasse den MDK beauftragte, zu prüfen, was dran ist an dem angeblichen Dauerkrankenstand des Betreffenden.
Das BAG berief sich schließlich auf besagten Art. 9 1 DSGVO und hat in dem Beschluss vom 26. August 2021 (8 AZR 253/20 (A)) die Verarbeitung von Gesundheitsdaten eines Mitarbeitenden für unzulässig befunden. Das Gericht stieß sich in dem konkreten Fall unter anderem an der Doppelfunktion des MDK als Einrichtung, die für Krankenkassen Gesundheitsdaten verarbeiten darf und als Arbeitgeber, der besondere Verantwortung für die Daten seiner Beschäftigten hat. Die beklagte Person strengte schließlich ein Revisionsverfahren an, woraufhin das BAG das Verfahren an den Europäischen Gerichtshof (EuGH) weitergereicht hat – mit der Bitte, eine Reihe von Fragen in dem konkreten Fall und bezüglich der DSGVO und Gesundheitsdaten zu klären. Die Entscheidung könnte auch wegweisend für Art. 6 DSGVO, was berechtigte Interessen der Datenverarbeitung angeht, sowie für die Bemessung von Ersatzansprüchen sein.
Offenlegung und Weitergabe strikt verboten
Aber zurück zu der eingangs gestellten Frage: Dürfen Arbeitgebende Gesundheitsdaten einsehen und verarbeiten? Als sensitive Daten sind sie durch das Recht auf „informationelle Selbstbestimmung (Art. 1, 2 GG) in besonderer Weise geschützt, und dieses Grundrecht verbietet Arbeitgebenden auch das Offenlegen jeglicher Gesundheitsdaten ihrer Beschäftigten, heißt es beim Bund-Verlag. Selbst Arbeitgebende oder ihre Personalabteilungen die Daten in zulässiger Weise erlangt haben, dürfen sie nicht ohne Weiteres offengelegt und verarbeitet werden.
So wie Arbeitnehmende gemäß § 5 Abs. 1 Satz 2 EFZG (Entgeltfortsetzungsgesetz) eine AU-Nachweispflicht haben, sind Arbeitgebende verpflichtet, diese AU-Bescheinigungen vertraulich zu behandeln und sie vor unbefugten Zugriffen zu schützen sowie nicht an Dritte weiterzugeben. In Ausnahmefällen wie dem der anhaltenden Pandemie ist zur Abwehr „schwerwiegender Gesundheitsgefahren“ laut Abs. 2i DSGVO das Verarbeitungsverbot im gewissen Maße aufgehoben. Arbeitgebende dürfen in dem Fall den Namen und Krankheitszustand publik machen, um eine Ausbreitung der Pandemie in der Belegschaft zu verhindern. Laut Art. 5 DSGVO gilt das aber nur für diesen bestimmten Zweck. Entfällt der, sind die Daten wieder unverzüglich zu löschen.
… aber gilt das auch für Corona?
Bei Corona beziehungsweise COVID-19 stellt sich natürlich auch die Frage, wie es mit Nachweisen bezüglich Tests, Impf- und Genesenenstatus ist. Denn seit dem 24. November 2021 dürfen laut § 28b Abs. 1 IfSG (Infektionsschutzgesetz) nur noch Geimpfte, Getestete oder Genesene Büros und andere Betriebsstätten betreten, wenn Kontakt zu Kolleginnen und Kollegen beziehungsweise Dritten nicht auszuschließen ist. Ausgenommen von der 3G-Regel und damit verbundenen Zutrittsbeschränkungen sind Betriebe, die ihren Mitarbeitenden selbst mindestens zweimal pro Woche Testangebote machen. Anspruch auf solche Testangebote haben Angestellte nicht. Den Unternehmen ist auch freigestellt, welche Tests sie wie anbieten.
Schnelltests sind nur für 24 Stunden gültig, PCR- und ähnliche Tests 48 Stunden. Bei einem Impfnachweis muss der oder die Arbeitgebende prüfen, ob und wie weit die Schutzimpfung schon gilt. Was den Status von Genesenen angeht, hat die neue Bundesregierung ihnen mit der von sechs auf drei Monate verkürzten Dauer im Januar 2022 ein richtiges Ei gelegt. Und das hat auch bei Nicht-Corona-Leugnern für manches Kopfschütteln gesorgt. Aber auch dem müssen Arbeitgebende beziehungsweise Personalverantwortliche (dann umgehen wir gendern) nun Rechnung tragen. Wie dem auch sei, die Speicherung der Daten über den Impf- oder Genesenenstatus darf auf jeden Fall nur mit der Zustimmung des oder der Betreffenden erfolgen. Und der- oder diejenige muss auch die Möglichkeit haben, die Einwilligung jederzeit zu widerrufen. Darüber hinaus ist bei der Verarbeitung von Gesundheitsdaten immer zu prüfen, ob es nötig ist, eine Datenschutz-Folgenabschätzung durchzuführen, schreiben die Anwältinnen Claudia Knuth und Isabelle Hohl in einem Fachbeitrag für Haufe.
Was in der Personalakte stehen darf oder nicht, beleuchtet ein Interview in Personalwirtschaft. Der Arbeitsrechtler Dr. Lorenz Mitterer sagt da unter anderem, dass Einsicht in die Personalakten neben den Betroffenen selbst nur Personen haben sollten, die Personalentscheidungen treffen oder für die Durchführung des Arbeitsverhältnisses (Geschäftsleitung oder direkt Vorgesetzte) haben sollten. Der Kreis der zugangsberechtigten Personen sei so wie die Daten selbst möglichst klein zu halten. Und grundsätzlich gelte auch, dass Arbeitgebende Informationen aus dem Privatleben ihrer Beschäftigten nicht speichern dürfen. Ausnahme von der Regel sei aber, wenn die Information aus dem Privatleben Einfluss auf das Arbeitsverhältnis hat, zum Beispiel aus einem Social-Media-Post hervorgehe, dass er oder sie „blau macht“ oder auch Gesundheitsdaten. Und damit schließt sich wieder der Kreis. Denn Dummheit schützt vor einer vorgeschobenen Krankheit nicht.
Die DSGVO stellt die Einhaltung der Personal- und besonders der Gesundheitsdaten vor neue Herausforderungen. Mit der analogen Zettelwirtschaft die hier oft noch vorherrscht, sind die Informationen oft schneller herum, als die Unternehmen und Betroffenen sich um umgucken können. Eine moderne HR-Software trägt dem Datenschutz voll und ganz Rechnung und erlaubt, den Beschäftigten über Self-Services selbst Einblicke zu nehmen in ihre Daten einschließlich Fehl- und Urlaubstage, Resturlaub und vielem mehr.
Das könnte Sie auch interessieren:
