Skip to content Skip to footer
Lese­dau­er 4 Minu­ten

Unse­re Gesund­heit ist uns wich­tig und auch die DSGVO unter­streicht mit den beson­de­ren Kate­go­rien die beson­de­re Bedeu­tung. Doch manch­mal wer­den wir auch krank und die­ser Umstand allein ist schon uner­freu­lich genug. Aber wor­um es sich dabei jeweils han­delt, muss und braucht nicht jeder wissen.

Krank­heits­be­dingt geschlossen

Wenn Per­so­nal auf­grund kurz­fris­ti­ger Abwe­sen­heit durch eine Erkran­kung fehlt, führt die­ses auf Kun­den­sei­te zu Unan­nehm­lich­kei­ten und stellt Arbeit­ge­ber in dem jeweils betrof­fe­nen Bereich ggf. eine eben­so gro­ße Her­aus­for­de­rung in der Pla­nung dar, um den Betrieb auf­recht­zu­er­hal­ten. Der Geschäfts­füh­rer eines Lebens­mit­tel­ge­schäfts in Bran­den­burg hat­te genug davon und führ­te den Mitarbeiter:innen des bereits in die wirt­schaft­li­che Schief­la­ge gera­te­nen Geschäf­tes vor Augen, dass der hohe Kran­ken­stand kaum noch zu tra­gen ist und stell­te die­se daher an den Pran­ger. Er häng­te in Abspra­che mit der Inha­be­rin im Pau­sen­raum eine Lis­te mit den Krank­heits­ta­gen von den 50 nament­lich genann­ten Beschäf­tig­ten für das Jahr 2022 aus. Gut sicht­bar für die Beleg­schaft und Drit­te wie Lie­fe­ran­ten. Doch es ging noch wei­ter, klar­ge­stellt wur­de auch, ob es sich um eige­ne Krank­heit oder Kin­der­kran­ken­ta­ge han­delt und ob die Beschäf­tig­ten sich im sog. Ham­bur­ger Modell – der stu­fen­wei­sen Wie­der­ein­glie­de­rung nach län­ge­rer Krank­heit – befin­den. Von ins­ge­samt 40 Per­so­nen aus der Beleg­schaft wur­den die Abwe­sen­heits­grün­de genannt. Das eigent­lich geplan­te Schwär­zen der Namen wur­de im Eifer des Gefechts jedoch vergessen.

Die Auf­sichts­be­hör­de

Die Lan­des­be­auf­trag­te für Daten­schutz und Akten­ein­sicht (LDA) Bran­den­burg berich­te­te über den Fall in ihrem Tätig­keits­be­richt für das Jahr 2023 (S. 55 f.) und setz­te ein Buß­geld in fünf­stel­li­ger Höhe für den Daten­schutz­ver­stoß fest, denn der Aus­hang der Lis­te stell­te eine unrecht­mä­ßi­ge Ver­ar­bei­tung von Gesund­heits­da­ten dar. Die Anga­be des Abwe­sen­heits­grun­des „krank“ stellt ein Gesund­heits­da­tum im Sin­ne des Art. 9 Abs. 1 DSGVO dar und fällt damit unter die beson­de­ren Kate­go­rien von Daten, für deren Ver­ar­bei­tung erhöh­te Anfor­de­run­gen gel­ten. Auch eine Schwär­zung der Namen hät­te, wie die LDA Bran­den­burg wei­ter aus­führt, in die­sem Fall kei­ne Abhil­fe geschaf­fen. Da auf­grund der Ver­tei­lung der ein­zel­nen Fehl­ta­ge für die Beschäf­tig­ten unter­ein­an­der zumin­dest teil­wei­se wei­ter­hin rekon­stru­ier­bar gewe­sen wäre, wem wel­che Fehl­ta­ge zuzu­ord­nen sind, hät­te sich durch die Schwär­zung kei­ne Anony­mi­sie­rung der Daten erge­ben, son­dern ledig­lich eine Pseud­ony­mi­sie­rung. Auch pseud­ony­mi­sier­te Daten dür­fen aber nur bei Vor­lie­gen einer Rechts­grund­la­ge ver­ar­bei­tet wer­den, die hier wie beschrie­ben nicht vor­lag. Somit hät­te trotz Unkennt­lich­ma­chung eine Daten­schutz­ver­let­zung vorgelegen.

Gesund­heits­da­ten

Bei der Ver­ar­bei­tung von Gesund­heits­da­ten ist auf­grund ihrer Sen­si­bi­li­tät ein hohes Schutz­ni­veau sicher­zu­stel­len. Denn es han­delt sich immer­hin um Daten, die sich auf die kör­per­li­che oder geis­ti­ge Gesund­heit einer natür­li­chen Per­son, ein­schließ­lich der Erbrin­gung von Gesund­heits­dienst­leis­tun­gen, bezie­hen und aus denen Infor­ma­tio­nen über deren Gesund­heits­zu­stand her­vor­ge­hen. Zudem ist bei sol­chen beson­de­ren Kate­go­rien von Daten sehr streng zu prü­fen, dass nur Per­so­nen Zugriff auf die­se erhal­ten, die die­sen für die Erfül­lung ihrer Auf­ga­ben benö­ti­gen. Im Nor­mal­fall dür­fen nur die Füh­rungs­kraft und die zustän­di­ge Per­so­nal­sach­be­ar­bei­tung, die das Zeit­wirt­schafts­sys­tem pflegt, Kennt­nis über Krank­heits­ta­ge haben. Die­ses ist ins­be­son­de­re beim Aus­hang von Per­so­nal­ein­satz­plä­nen bzw. Dienst­plä­nen zu beach­ten. Auch hier ist kei­nes­falls zu ver­mer­ken, wann ein Beschäf­tig­ter krank ist. Sol­che Ein­trä­ge bzgl. „Urlaub“ oder „Krank­heit“ sind mit „abwe­send“ einzutragen.

Scha­dens­er­satz

Ob die Beschäf­tig­ten im oben geschil­der­ten Fall mög­li­cher­wei­se Scha­dens­er­satz­an­sprü­che nach Art. 82 Abs. 1 DSGVO gegen ihren Arbeit­ge­ber gel­tend machen kön­nen, wird von der LDA Bran­den­burg nicht the­ma­ti­siert. Dies wäre jedoch zumin­dest vor­stell­bar. Denn ein imma­te­ri­el­ler Scha­den könn­te durch die halb-öffent­li­che „Anpran­ge­rung“ und die Offen­le­gung der sen­si­blen Gesund­heits­da­ten durch­aus gege­ben sein und das Ver­hal­ten des Arbeit­ge­bers als Ver­ant­wort­li­chem stell­te zwei­fel­los einen Ver­stoß gegen die DSGVO dar.

Arbeit­ge­ber soll­ten sich daher gene­rell bewusst sein, dass Gesund­heits­da­ten unter einem beson­de­ren Schutz ste­hen und sicher­stel­len, dass eine Rechts­grund­la­ge für die Ver­ar­bei­tung vor­liegt und die not­wen­di­gen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men ergrif­fen wur­den, um den Schutz der Daten zu gewährleisten.

Also las­sen Sie sich gut beraten.

Kommentar

Nach oben