Vorsicht bei der Verarbeitung sensibler personenbezogener Daten der Arbeitnehmer gemäß DSGVO

Schaffer News

Die neue Datenschutzgrundverordnung (DSGVO) enthält sinngemäß wie das bisherige Datenschutzgesetz die rechtliche Regelung der Verarbeitung sog. sensibler Daten. Die Verordnung bezeichnet sie mit dem Begriff der besonderen Kategorie personenbezogener Daten, die Daten umfassen, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu Gewerkschaften hervorgehen, und genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

 

Sensible Gesundheitsdaten der Arbeitnehmer:

Typischerweise könnten sensible personenbezogene Daten im Zusammenhang mit der vorübergehenden Arbeitsunfähigkeit des Arbeitnehmers verarbeitet werden. Wenn der Arbeitnehmer als Nachweis seiner Arbeitsunfähigkeit dem Arbeitgeber eine übliche „Krankschreibung“ vorlegt, so ist dieses Vorgehen aus Sicht der rechtlichen Regelung vollkommen in Ordnung. Die Bestätigung der vorübergehenden Arbeitsunfähigkeit des Arbeitnehmers enthält nur die Information hierüber, aber keine konkreten Informationen über den Gesundheitszustand des Arbeitnehmers. Nur die Information, dass der Arbeitnehmer arbeitsunfähig ist, ist im Sinne der DSGVO keine Information über den Gesundheitszustand und somit auch keine sensible Angabe. Anders gestaltet sich die Situation allerdings, wenn der Arbeitnehmer dem Arbeitgeber einen ärztlichen Bericht oder andere Unterlagen vom Arzt vorlegt, die seine Diagnose und weitere Informationen über seinen Gesundheitszustand enthalten. Diese Informationen sind bereits sensible personenbezogene Gesundheitsdaten des Arbeitnehmers.

Will der Arbeitgeber sensible personenbezogene Daten enthaltende ärztliche Berichte verarbeiten, so muss er die gesetzlichen Voraussetzungen hierfür erfüllen. Da das Gesetz die Verarbeitung dieser Daten (d.h. Daten über den konkreten Gesundheitszustand) nicht verlangt, wird der Arbeitgeber allgemein keine gesetzliche Grundlage zu dieser Verarbeitung haben. Will der Arbeitgeber diese Situation durch Einholung einer Einwilligung lösen, die zudem ausdrücklich zur Verarbeitung sensibler Daten zu erteilen ist, wird diese Einwilligung nicht für gültig befunden werden. Laut den aktuellen Stellungnahmen der Arbeitsgruppe WP 29 ist die Verarbeitung personenbezogener Daten im Rahmen von arbeitsrechtlichen Beziehungen aufgrund einer Einwilligung des Arbeitnehmers allgemein eher ausgeschlossen. Angesichts der spezifischen, auf einer gewissen Abhängigkeit basierenden Stellung des Arbeitnehmers gegenüber dem Arbeitgeber werden hier immer Zweifel daran bestehen, ob der Arbeitnehmer seine Einwilligung freiwillig erteilt.

Angesichts des Vorstehenden kann Arbeitgebern nur empfohlen werden, als Nachweis der Arbeitsunfähigkeit nur Standardbestätigungen über die vorübergehende Arbeitsunfähigkeit zu akzeptieren, die keine konkreten Informationen über den Gesundheitszustand des Arbeitnehmers enthalten. Bei Akzeptierung von Dokumenten mit konkreter Diagnose können Arbeitgeber Verwaltungsdelikte im Bereich der Verarbeitung personenbezogener Daten begehen. Eine Ausnahme, die den Arbeitgeber zur Verarbeitung von Dokumenten mit konkreter Diagnose berechtigt, ist die Erfassung von Arbeitsunfällen und Berufskrankheiten.

 

Verarbeitung biometrischer Daten im Zusammenhang mit der Arbeitszeiterfassung:

Zahlreiche Arbeitgeber nutzen in der heutigen Zeit ein Arbeitszeiterfassungssystem, das die Anwesenheit der Arbeitnehmer am Arbeitsplatz durch ihre Fingerabdrücke erfasst. Die Mehrzahl dieser Systeme arbeitet auf dem Prinzip der Kodierung der Fingerabdrücke, d.h. dass das Fingerabdrucksystem den Abdruck auf eine solche Weise kodiert und chiffriert, dass aus dem System selbst durch Rückentschlüsselung dieser Fingerabdruck nicht gewonnen werden kann. Diese Form der Einbahn-Kodierung war laut bisherigem Datenschutzgesetz und Stellungnahme des Amts für Datenschutz eine personenbezogene Angabe des Arbeitnehmers. Somit lag keine Verarbeitung sensibler Daten vor.

Im Zusammenhang mit der neuen DSGVO ändert sich zum Teil auch die Betrachtung der Fingerabdrücke als biometrische Daten und deren Verarbeitung. Laut aktueller Auffassung des Amts gilt der Standpunkt, dass die Verarbeitung der Fingerabdrücke aufgrund ihrer Kodierung keine Verarbeitung sensibler Daten ist, nicht mehr. Da die DSGVO biometrischen Daten größeren Schutz zuerkennt, handelt es sich somit auch im Falle der Einbahn-Kodierung der Fingerabdrücke um eine Verarbeitung personenbezogener Daten besonderer Kategorie (sensibler personenbezogener Daten).

Angesichts dieses aktuellen Urteils des Amts werden Arbeitgeber von ihren Arbeitnehmern eine ausdrückliche Einwilligung in die Verarbeitung sensibler personenbezogener Daten (der Fingerabdrücke) benötigen. Anderenfalls wird ein Verstoß gegen das Verbot der Verarbeitung sensibler personenbezogener Daten vorliegen, da der Arbeitgeber keine der Voraussetzungen erfüllt, nach denen er sensible personenbezogene Daten verarbeiten darf. Wir verweisen darauf, dass es sich um die gegenwärtig vertretene Auffassung des Amtes handelt, die sich natürlich in der Zukunft ändern kann.

 

Weitere sensible personenbezogene Daten:

Was weitere sensible personenbezogene Daten anbelangt, wie z. B. Informationen über die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu Gewerkschaften, so gilt ein vollständiges Verbot ihrer Verarbeitung in arbeitsrechtlichen Beziehungen. Dieses Verbot schlägt sich im Arbeitsgesetzbuch nieder, das dem Arbeitgeber untersagt, diese Informationen von seinen Arbeitnehmern zu verlangen, auch von Bewerbern.