Von den Gesunden und dem Virus

Von den Gesunden und dem Virus

Mitarbeiterdatenschutz Teil 3

10.08.2022

Nachdem es in den ersten beiden Beiträgen zum Mitarbeiterdatenschutz um Fotos auf Bewerbungen und der Homepage ging, wird es heute ernst. Ein großes Thema nicht nur den letzten zwei Jahren ist der Gesundheitsdatenschutz. Arbeitgeber verarbeiten Daten ihrer Mitarbeiter zu aktuellen Erkrankungen, aber auch zur Vorsorgemaßnahmen, wie dem Impfen. Krankheitsnachweise oder Gesundheitsnachweise wurden in den letzten Monaten gefordert.

1. § 26 BDSG 

In den letzten beiden Beiträgen habe ich § 26 BDSG bereits erwähnt. Er soll auch heute nicht fehlen. Nach § 26 Abs. 3 BDSG ist die Verarbeitung von besonderen Kategorien personenbezogener Daten nur zulässig, wenn diese Verarbeitung zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass die schutzwürdigen Rechte der betroffenen Personen überwiegen. Das bedeutet, dass Daten zur Schwerbehinderung eines Mitarbeiters verarbeitet werden dürfen und müssen, aber auch Daten zu Krankschreibungen und ähnlichem. Bei der Verarbeitung dieser Daten ist aber besondere Sorgfalt geboten. 

2. Wenn ein Mitarbeiter sich krank meldet 

Wenn ein Mitarbeiter sich krankmeldet und einen Krankenschein vorlegt, erfährt der oder die Arbeitgeber*in bzw. der oder die Personalverantwortliche nicht, um welche Krankheit es sich handelt. Bekannt wird aber, welcher Arzt die Arbeitsunfähigkeit attestiert hat (Bsp: Die 26-jährige Mitarbeiterin war beim Gynäkologen oder die Krankschreibung erfolgte durch einen Psychiater). Findige Mitarbeiter schlussfolgern hier auf mögliche Krankheiten und es kann zu Gerede kommen, sei es positiv oder negativ. Dem muss sich kein Arbeitnehmer aussetzen, egal ob gesund oder krank. 

Daher ist es bei der Verarbeitung dieser Daten besonders wichtig, dass diese ausschließlich zweckgebunden verarbeitet werden, dass die Daten nur einem beschränkten Personenkreis zugänglich gemacht werden. Sie müssen gegen eine zufällige Kenntnisnahme durch andere Personen geschützt werden (z.B. abgeschlossener Aktenschrank, zu dem der Arbeitgeber und der Personalverantwortliche den Schlüssel hat oder verschlüsselte Ablage in der EDV). Das Bundesarbeitsgericht hat hier entschieden, dass diese getrennt von der allgemeinen Personalakte, etwa in einer separaten (und gesondert gelagerten) Beiakte oder (dann als Teil der allgemeinen Personalakte) in einem verschlossenen Umschlag (BAG, NZA 2007, 269) aufbewahrt werden müssen. Wenn der Arbeitgeber die sensiblen Gesundheitsdaten dagegen ungeschützt bzw. in der allgemeinen Personalakte aufbewahrt, so verletzt er das grundrechtlich geschützte allgemeine Persönlichkeitsrecht des Mitarbeiters. 

3. Wenn ein Mitarbeiter sich wieder und wieder krank meldet 

Die Daten dürfen nicht länger als erforderlich gespeichert werden. Die Speicherung der Daten zur krankheitsbedingten Arbeitsunfähigkeit des Arbeitnehmers ist zunächst nur bis zu einer Dauer von 12 Monaten nach Beginn der ersten Arbeitsunfähigkeit erforderlich, denn nur bis dahin ist der Arbeitgeber von der Pflicht befreit, erneut Entgeltfortzahlung bis zu sechs Wochen zu leisten (§  3 Abs. 1 S. 2 Nr. 2 EFZG).
  
Eine längere Speicherung der krankheitsbedingten Fehlzeiten könnte im betrieblichen Eingliederungsmanagement oder wegen der Vorbereitung einer krankheitsbedingten Kündigung des Arbeitnehmers zulässig sein. Im letzteren Fall können Daten über Fehlzeiten aufgrund von Arbeitsunfähigkeit bis zu fünf Jahren aufbewahrt werden. Die Gründe der längeren Verarbeitung der Daten sind zu dokumentieren (Art. 5 DS-GVO). 

Hier ein TIPP: Bei der Erstellung des Löschkonzepts für Ihr Unternehmen ist auch hierauf zu achten. Löschen Sie die Daten, die Sie nicht mehr brauchen! Dies gilt nicht nur für die Krankschreibungen Ihrer Mitarbeiter, sondern für alle Daten! 

4. Wenn ein Mitarbeiter eine ansteckende Krankheit hat 

Der Arbeitgeber hat keinen Anspruch auf Mitteilung des Befundes oder Mitteilung der Art der Krankheit.  

Etwas Anderes kann gelten, wenn es sich um eine ansteckende Krankheit handelt, denn den Arbeitgeber trifft hier eine Fürsorgepflicht für die anderen Arbeitnehmer. Wenn also ein Mitarbeiter unter einer ansteckenden Krankheit leidet, ist er verpflichtet, dies dem Arbeitgeber mitzuteilen, damit er entsprechende innerbetriebliche Vorkehrungen treffen kann. So teilte der Bundesdatenschutzbeauftragte auf seiner Website Folgendes mit: „Auch wenn eine Verarbeitung von Gesundheitsdaten grundsätzlich nur restriktiv möglich ist, können für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern datenschutzkonform Daten erhoben und verwendet werden. Dabei ist der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage stets zu beachten.“ 

Dies gilt selbstverständlich nicht nur für COVID-19, sondern für jede ansteckende Krankheit. Wenn ein Arbeitnehmer eine ansteckende Krankheit hat und eine Ansteckung anderer möglich erscheint, wie auch bei einer Influenza, ist er verpflichtet, dies mitzuteilen. Bei den meisten ansteckenden Erkrankungen in unseren Breiten gilt allerdings, dass Ansteckungsgefahr erst besteht, wenn die Person bereits Symptome hat. Dann sollten Arbeitnehmer zu Hause bleiben. Dies hat nur Vorteile: die Mitarbeiter werden schneller gesund, andere Mitarbeiter stecken sich nicht an und Arbeitgeber haben weniger Datenschutzprobleme.
 
Daher noch ein TIPP: Bekämpfen Sie den Präsentantismus in Ihrem Unternehmen! 

5. Wenn die nächste Pandemie kommt 

In den Zeiten der COVID-19-Pandemie galten besondere Vorschriften auch in Bezug auf die Datenverarbeitung von Gesundheitsdaten durch die Arbeitgeber. So durften und mussten Arbeitgeber den Impfstatus ihrer Mitarbeiter erfassen bzw. testen, ob eine Infektion vorliegt. Das war datenschutzrechtlich gerechtfertigt, ist es nun aber nicht mehr.
 
Daten zum Impfstatus oder zu den Testungen dürfen nicht mehr verarbeitet werden. Diese sind aus den entsprechenden Dateisystemen zu entfernen und zu löschen.
 
Wenn aber wirklich eine nächste Pandemie oder auch nur eine Welle kommt, könnten hier neue rechtliche Grundlagen für derartige Datenerhebungen geschaffen werden. Es ist aber nicht die Zeit für einen vorauseilenden Gehorsam. Eine solche Gesetzesänderung ist abzuwarten, höchstvorsorgliche Datenverarbeitungen haben eben keine Rechtsgrundlage – eben auch weil es sich um besonders sensible Daten handelt.  

Fazit: 

Beschränken Sie das Einsichtsrecht in die Personalakten auf die wirklich notwendigen Personen – den Arbeitgeber und den Personalverantwortlichen! Behandeln Sie Gesundheitsdaten besonders vorsichtig und vertraulich und löschen Sie diese, wenn Sie Sie nicht mehr brauchen! 

Autor: Katharina Gündel; GROSS Rechtsanwaltsgesellschaft mbH

Bildnachweis: Pixabay


Muster und Vorlagen

Webinare

Aktuelle Themen