Corona killt den Datenschutz — dies war und ist eine breite Wahrnehmung.
Zumindest wird der Umgang mit personenbezogenen Daten während der Pandemiebekämpfung in den deutschen Unternehmen viele Scherben hinterlassen.
Natürlich kann und darf von der DSGVO gehalten werden was man will.
Doch sie stellt geltendes Recht dar.
Viele Datenschutzbeauftragte sind bemüht, die Umsetzung der Regeln ohne allzu große Einschnitte im Alltag zu begleiten.
Dabei kann man sich schon verwundert die Augen reiben, welche Stilblüten dieses europaweit gültige Gesetz in Deutschland zunehmend treibt.
Insbesondere das Bundesgesundheitsministerium unter der Leitung von Jens Spahn fällt hier seit Jahren unrühmlich auf.
Sei es die elektronische Patientenakte mit ihren vielen Mängeln oder die beabsichtigte Schaffung eines DNA-Registers der deutschen Bevölkerung.
Dann noch die Umtriebe der Gematik und damit verbundener Ignoranz des Datenschutzes.
Ja, Datenschützer:innen sehen in personenbezogenen Daten ein heiliges Gut. Diese gehören unabdingbar zur jeweiligen, natürlichen Person und werden jedem Datenverarbeiter nur treuhänderisch überlassen.
Über meine Daten bestimme nur ich und niemand anderes!
Sind (personenbezogene) Daten erst einmal in die Welt entlassen, ist es nahezu unmöglich, diese wieder einzufangen und endgültig zu löschen.
Insbesondere wenn es sich dann auch noch um Daten der besonderen Kategorie handelt.
Wer kennt diesen Satz nicht: Das Internet vergisst nichts und niemanden!
Der Grundsatz der sogenannten informationellen Selbstbestimmung trägt viel Gutes in sich.
Dementsprechend überträgt jede Datenverarbeitung eine hohe Verantwortung auf die jeweiligen Verarbeiter:innen.
Mit dem Einzug der Pandemie wurde Datenschutz nebensächlich, denn Corona killt den Datenschutz.
Der Grundidee einer Datenverarbeitung nach Treu und Glauben folgt die DSGVO. Und gerade Gesundheitsdaten bergen ein enormes Risiko, sofern sie in unbefugte Hände gelangen.
Mit dem Einzug einer Pandemie namens SARS-CoV‑2 / Covid-19 wurde alles dem Kampf gegen das Virus untergeordnet. Datenschutz wurde dabei ebenso nebensächlich wie im weiteren Verlauf unsere Grundrechte.
Im Zuge der Einschränkungen von Grundrechten und der regelmäßigen Überarbeitung des Infektionsschutzgesetzes ist der Datenschutz unter die Räder gekommen.
Die derzeit geführte Debatte, ob Arbeitgeber:innen den Impfstatus ihrer Mitarbeiter:innen abfragen dürfen, entpuppt sich als medienwirksames Scheingefecht.
Die Realität bietet leider ein gänzlich anderes Bild.
Zumal auch die Herstellung einer Rechtmäßigkeit zur Abfrage des Impfstatus in diesem Punkt nicht einfach werden wird.
Ob das Infektionsschutzgesetz diese Lücken wird schließen können, darf im Moment doch sehr angezweifelt werden.
Weder Hubertus Heil noch Jens Spahn oder einer der 16 Landesdatenschutzbeauftragten legen aktuell die Regeln für die Übermittlung von Gesundheitsdaten fest.
Es sind die Corona-Schutzverordnungen der jeweiligen Länder, Bundeserlasse und die gelebte Realität in der deutschen Unternehmenslandschaft, die dem Datenschutz gehörig den Marsch blasen.
Dann ist da ja noch:
In NRW müssen Urlaubsrückkehrer:innen nach einer Abwesenheit, die länger als fünf Tage andauert, einen negativen Test vorweisen, bevor sie die Arbeitsstätte betreten dürfen.
Diese Regel gilt nicht bei krankheitsbedingtem Ausfall.
Jedoch nur, wenn sie nicht vollständig geimpft oder genesen sind, mithin als immunisiert nach der Regel „2 G“ gelten.
Verweigert der oder die Beschäftigte den Test, weil er ja immunisiert ist und ihm die Infektionsschutzverordnung dieses Recht einräumt, stehen Arbeitgeber:innen vor der Wahl:
Entweder der oder die Beschäftigte teilt sodann den eigenen „G“ Status mit, oder die Arbeitgeber:in muss den Zutritt verweigern, bis der Test negativ „bestanden“ ist.
Für Arbeitgeber:innen gibt es rechtlich gesehen keinen Ausweg aus diesem Dilemma.
Die Konsequenz daraus lautet, entweder keinen Lohn für diesen Zeitraum zu zahlen, oder eben für eine nicht erbrachte Arbeitsleistung zahlen zu müssen.
Das darf er oder sie sich aussuchen, mit möglichen wirtschaftlichen oder rechtlichen Folgen im Nachgang.
Wie wahrscheinlich ist es, dass ein Mitarbeiter, der unter die „2 G“ Regel (also Geimpft oder Genesen) fällt, den Test doch macht, um seinen „G“ Status eben nicht preiszugeben?
Realistisch betrachtet ist es sehr unwahrscheinlich!
Ein weiteres Beispiel vom Bund:
Mit der Corona Arbeitsschutzverordnung aus dem Hause des Bundesarbeitsministers Hubertus Heil wird festgelegt, dass die Arbeitgeber:in ihren oder seinen Beschäftigten die Wahrnehmung eines Impftermins zur SARS-CoV-2-Immunisierung während der Arbeitszeit ermöglichen muss.
Daraus folgt im Umkehrschluss, dass diese Abwesenheitszeit von Arbeitgeber:innen zu zahlen ist.
Wie wahrscheinlich es sein wird, dass eine Arbeitgeber:in ihre bzw. seine Beschäftigten für zwei oder drei Stunden entgeltlich von der Arbeitsleistung befreit, ist unklar.
Und als Grund „Bin mal kurz weg“ akzeptiert, wo die Verordnung doch auf die SARS-CoV-2-Impfung abzielt?
Erst die Preisgabe der relevanten Information wird den Betriebsfrieden wahren und sicherstellen, dass es keinen Arbeitsgerichtsprozess gibt, bei dem der Richter nur dann zugunsten des Beschäftigten entscheiden wird, nämlich Lohnfortzahlung, wenn er spätestens dort den Vorhang der Wahrheit lüften (müssen) wird.
Ein Desaster bahnt sich an.
Der unüberschaubare Berg an Regeln, der sich aus 16 unterschiedlichen Corona-Schutzverordnungen ergibt, erfordert eine ausgeprägte Lust am lesen, um diese zu verstehen und rechtskonform umzusetzen. Von Kohärenz, also Abstimmung der zuständigen Behörden, kann nicht die Rede sein.
Bei den Landesdatenschutzbehörden gibt es dazu sogar eine eigene Regelung (Artikel 63) in der DSGVO, die einen Wildwuchs in der Gesetzesauslegung unterbinden soll.
In der Realität kommt zudem noch ein weiterer Punkt hinzu, über dessen Konsequenzen vielfach nicht weiter nachgedacht wurde.
Der Flurfunk, also das informelle Gespräch der Mitarbeiter:innen bei einer Tasse Kaffee, hat den Status der einzelnen „G”s bereits über die Unternehmen verteilt, und das mit zunehmend verheerenden Konsequenzen.
Sie spaltet die Belegschaften längst in „2 G“ und „1 G“ auf, operiert häufig schon weit im Raum des Mobbings und führt den Unternehmer:innen und Geschäftsführer:innen den Impfstatus ungefragt zu.
Das Argument des Datenschutzes versagt hier, denn zumeist ergibt sich das „einfach so“.
Und leider wird diese Kenntnis von Verantwortlichen nur zu gerne genutzt, um Druck auf Beschäftigte auszuüben.
Nun werden Datenschützer:innen feststellen, dass dieser Flurfunk mit der Einwilligung zur Datenweitergabe gleichzusetzen ist, dahingehend eine gebilligte Datenverarbeitung stattfindet, wenn auch oft nicht schriftlich dokumentiert oder in der EDV auf einem Server abgelegt.
Die Datenschützer:innen sprechen hier nämlich nicht von einer Verarbeitung im Sinne der DSGVO, solange die Daten unstrukturiert vorliegen.
Eine mündliche Übermittlung und Kenntnisnahme berührt die Datenschutzgrundverordnung nicht.
Dabei erkennen die Betroffenen zu spät, welche Sprengkraft hinter diesen Daten steckt.
Überwiegend sind es nämlich die Mitarbeiter:innen mit dem Status „2 G“, die bereitwillig ihren Status preisgeben.
Damit bringen sie die bis dato Ungeimpften, bewusst oder unbewusst, in eine missliche Lage.
Wenn 20 Menschen in einem Unternehmen beschäftigt sind und von 17 Beschäftigten der Status „2 G“ bekannt ist, sind die restlichen drei, die dem „1 G“ unterliegen, rasch identifiziert.
Insofern ist die Diskussion über datenschutzrechtliche Fragestellungen absolut angebracht.
Aber vielfach ist die behördlich oder betrieblich Diskussion soweit ausgehebelt, dass sich den Datenschützer:innen die Nackenhaare sträuben.
Was zudem noch alles an neuen bzw. veränderten Regelungen kommen wird, bleibt abzuwarten.
Also lassen Sie sich gut beraten.
1 Kommentar