Unsere Gesundheit ist uns wichtig und auch die DSGVO unterstreicht mit den besonderen Kategorien die besondere Bedeutung. Doch manchmal werden wir auch krank und dieser Umstand allein ist schon unerfreulich genug. Aber worum es sich dabei jeweils handelt, muss und braucht nicht jeder wissen.
Krankheitsbedingt geschlossen
Wenn Personal aufgrund kurzfristiger Abwesenheit durch eine Erkrankung fehlt, führt dieses auf Kundenseite zu Unannehmlichkeiten und stellt Arbeitgeber in dem jeweils betroffenen Bereich ggf. eine ebenso große Herausforderung in der Planung dar, um den Betrieb aufrechtzuerhalten. Der Geschäftsführer eines Lebensmittelgeschäfts in Brandenburg hatte genug davon und führte den Mitarbeiter:innen des bereits in die wirtschaftliche Schieflage geratenen Geschäftes vor Augen, dass der hohe Krankenstand kaum noch zu tragen ist und stellte diese daher an den Pranger. Er hängte in Absprache mit der Inhaberin im Pausenraum eine Liste mit den Krankheitstagen von den 50 namentlich genannten Beschäftigten für das Jahr 2022 aus. Gut sichtbar für die Belegschaft und Dritte wie Lieferanten. Doch es ging noch weiter, klargestellt wurde auch, ob es sich um eigene Krankheit oder Kinderkrankentage handelt und ob die Beschäftigten sich im sog. Hamburger Modell – der stufenweisen Wiedereingliederung nach längerer Krankheit – befinden. Von insgesamt 40 Personen aus der Belegschaft wurden die Abwesenheitsgründe genannt. Das eigentlich geplante Schwärzen der Namen wurde im Eifer des Gefechts jedoch vergessen.
Die Aufsichtsbehörde
Die Landesbeauftragte für Datenschutz und Akteneinsicht (LDA) Brandenburg berichtete über den Fall in ihrem Tätigkeitsbericht für das Jahr 2023 (S. 55 f.) und setzte ein Bußgeld in fünfstelliger Höhe für den Datenschutzverstoß fest, denn der Aushang der Liste stellte eine unrechtmäßige Verarbeitung von Gesundheitsdaten dar. Die Angabe des Abwesenheitsgrundes „krank“ stellt ein Gesundheitsdatum im Sinne des Art. 9 Abs. 1 DSGVO dar und fällt damit unter die besonderen Kategorien von Daten, für deren Verarbeitung erhöhte Anforderungen gelten. Auch eine Schwärzung der Namen hätte, wie die LDA Brandenburg weiter ausführt, in diesem Fall keine Abhilfe geschaffen. Da aufgrund der Verteilung der einzelnen Fehltage für die Beschäftigten untereinander zumindest teilweise weiterhin rekonstruierbar gewesen wäre, wem welche Fehltage zuzuordnen sind, hätte sich durch die Schwärzung keine Anonymisierung der Daten ergeben, sondern lediglich eine Pseudonymisierung. Auch pseudonymisierte Daten dürfen aber nur bei Vorliegen einer Rechtsgrundlage verarbeitet werden, die hier wie beschrieben nicht vorlag. Somit hätte trotz Unkenntlichmachung eine Datenschutzverletzung vorgelegen.
Gesundheitsdaten
Bei der Verarbeitung von Gesundheitsdaten ist aufgrund ihrer Sensibilität ein hohes Schutzniveau sicherzustellen. Denn es handelt sich immerhin um Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Zudem ist bei solchen besonderen Kategorien von Daten sehr streng zu prüfen, dass nur Personen Zugriff auf diese erhalten, die diesen für die Erfüllung ihrer Aufgaben benötigen. Im Normalfall dürfen nur die Führungskraft und die zuständige Personalsachbearbeitung, die das Zeitwirtschaftssystem pflegt, Kenntnis über Krankheitstage haben. Dieses ist insbesondere beim Aushang von Personaleinsatzplänen bzw. Dienstplänen zu beachten. Auch hier ist keinesfalls zu vermerken, wann ein Beschäftigter krank ist. Solche Einträge bzgl. „Urlaub“ oder „Krankheit“ sind mit „abwesend“ einzutragen.
Schadensersatz
Ob die Beschäftigten im oben geschilderten Fall möglicherweise Schadensersatzansprüche nach Art. 82 Abs. 1 DSGVO gegen ihren Arbeitgeber geltend machen können, wird von der LDA Brandenburg nicht thematisiert. Dies wäre jedoch zumindest vorstellbar. Denn ein immaterieller Schaden könnte durch die halb-öffentliche „Anprangerung“ und die Offenlegung der sensiblen Gesundheitsdaten durchaus gegeben sein und das Verhalten des Arbeitgebers als Verantwortlichem stellte zweifellos einen Verstoß gegen die DSGVO dar.
Arbeitgeber sollten sich daher generell bewusst sein, dass Gesundheitsdaten unter einem besonderen Schutz stehen und sicherstellen, dass eine Rechtsgrundlage für die Verarbeitung vorliegt und die notwendigen technischen und organisatorischen Maßnahmen ergriffen wurden, um den Schutz der Daten zu gewährleisten.
Also lassen Sie sich gut beraten.