Es war eine Zeitlang verpflichtend, dass die Arbeitgeberinnen bzw. der Arbeitgeber den Impfstatus der Mitarbeiter*innen
erfasst und gespeichert hat. Diese gesetzliche Verpflichtung gibt es nun aber bereits seit einigen Wochen nicht mehr. Auch,
wenn dies bei vielen Unternehmen zum Standard geworden ist, so sollten, sofern noch nicht geschehen, die
Geschäftsführungen schnellstmöglich umdenken und handeln.
Warum?
Wir reden hier von Gesundheitsdaten, welche über den physischen oder psychischen Zustand eines Menschen, bspw.
Informationen zum Impfstatus oder auch die Sehstärke, aufzeigen.
Fakt ist, Gesundheitsdaten von Mitarbeiter*innen sind grundsätzlich tabu. Außer, wir haben Erlaubnisse, wie bspw. durch
gesetzliche Anforderungen. In allen anderen Fällen droht ein Bußgeld für das Unternehmen, wenn solche sensiblen
personenbezogenen Daten gemäß Art. 9 DSGVO erfasst und verarbeitet werden. Ziel muss es sein, dass
Gesundheitsdaten nicht zur Eintrittskarte werden für ein Unternehmen werden.
Und nun?
Nach wie vor gibt es noch gesetzliche Anforderungen zur Prüfung des Impfstatus. Sofern dies für Ihr Unternehmen zutrifft
,
können Sie sich ein „wenig“ zurücklehnen. In allen anderen Fällen sollten die Arbeitgeberinnen und Arbeitgeber entweder
nach einer anderen Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO suchen oder, sofern keine weitere Anforderung
dagegenspricht, die erhobenen Daten der Mitarbeiter*innen löschen.
Zeiterfassung im Unternehmen und der liebe Datenschutz
Bereits seit Jahrzehnten erfassen Mitarbeiter*innen ihre Arbeitszeit. Früher noch klassisch mit einer Stechkarte oder auch
manuell in einer Tabelle. Heute im Rahmen der Digitalisierung erfolgt dies elektronisch mit Chip-Karte oder Responder
(RFID-Chip) oder sogar mit dem Daumen (Fingerprint).
In Deutschland ist lediglich die Verpflichtung zur Erfassung von Überstunden nach § 16 Abs. 2 ArbZG geregelt. Aber die
Praxis zeigt, es werden noch eine Menge mehr Daten erfasst. Es erfolgt bei den Mitarbeiter*innen eine sogenannte
systematische Zeiterfassung.
Auch, wenn die „einfachen“ Zeiten vielleicht für den einen oder anderen nicht sofort in die Kategorie „personenbezogenes
Datum“ fallen, so sind sie es dennoch. Durch die Verknüpfung zu dem jeweiligen Namen wird sogar ein Profil gebildet.
Auch, wenn dies nicht unbedingt das erste Ziel ist. Auf jeden Fall findet eine Bewertung von Personen statt.
Zeiterfassung mit Technikunterstützung?
Die Zeit des guten alten Zettels ist in den meisten Unternehmen Geschichte. Verschiedenste Technik unterstützt die
Zeiterfassung und auch Verarbeitung. Hier ist es wichtig, dass das Unternehmen genauer hinschauen lässt. Mit welcher
Technik wird bspw. erfasst? Fingerprint oder auch RFID-Chip? Wir nähern uns dann immer mehr dem Thema
„Datenschutzfolgenabschätzung“. Oder was ist mit cloudbasierten Speicherorten? Und schnell kommt jetzt noch das
Thema „Drittland“ hinzu.
Auf jeden Fall müssen spätestens jetzt die Mitarbeiter*innen informiert werden bzw. sogar einwilligen. Denn gemäß der
DSGVO muss immer wieder geprüft werden, ob es mildere Mittel gibt. In der Regel gibt es die eigentlich immer.
Schön, einfach, aber auch ein wenig riskant ist die Zeiterfassung mit dem Daumen. Hier werden auf jeden Fall biometrische
Daten gemäß Art. 9 DSGVO erfasst. Gesetzliche Grundlage? In der Regel nicht vorhanden!
Und dann noch die Aufbewahrungsfrist!
Gem. § 16 Abs. 2 ArbZG ist die Arbeitgeberinnen bzw. der Arbeitgeber verpflichtet die Dokumentation der Überstunden
mindestens 2 Jahre aufzubewahren. Aber auch steuerrechtliche Aufbewahrungspflichten sind in den meisten Fällen
vorhanden, weshalb steuerrelevante Daten der Arbeitszeiterfassung für 10 Jahre (Handelsbriefe) aufbewahrt werden
müssen.
Aber auch hier bitte beachten, dass sonstige Abwesenheitszeiten in der Regel nur bis zu 2 Jahre aufbewahrt werden dürfen.
Bußgelder im März 2022? (Textliche Auszüge von Dr-Datenschutz)
Es ist nur eine kleine Übersicht! Aber es sind praxisnahe Fälle, die ggf. auch bei Ihnen auftreten können.
• Erstellung biometrischer Profile ohne Rechtsgrundlage
Behörde: GPDP (Italien), Branche: Softwareentwicklung
Verstoß: Art. 5 Abs. 1 lit. a, b und e DSGVO, Art. 6 DSGVO, Art. 9 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art.
14 DSGVO, Art. 15 DSGVO, Art. 27 DSGVO, Bußgeld: 20.000.000 Euro
• Unzureichende TOM bei grenzüberschreitender Verarbeitung
Behörde: DPC (Irland), Branche: Technologie
Verstoß: Art. 5 Abs. 2 DSGVO, Art. 24 Abs. 1 DSGVO, Bußgeld: 17.000.000 Euro
• Unzulässige Verarbeitung von sensiblen Daten bei Mietinteressenten
Behörde: LfDI Bremen, Branche: Wohnungsbau
Verstoß: Art. 6 Abs. 1 DSGVO, Art. 5 Abs. 1 DSGVO, Art. 9 Abs. 1 DSGVO, Art. 12 Abs. 1 DSGVO, Art. 15
DSGVO, Bußgeld: 1.900.000 Euro
• Informationspflichten für Kundendaten auf der Website nicht ausreichend
Behörde: IMY (Schweden), Branche: Finanzdienstleistungen
Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art. 5 Abs. 2 DSGVO, Art. 12 Abs. 1 DSGVO, Art. 13 Abs. 2 lit. f DSGVO,
Art. 14 Abs. 2 lit. g DSGVO, Bußgeld: 719.597 Euro
Fazit?
Was soll man sagen, Theorie und Praxis sind nicht immer eins. Auch läuft es bei vielen Unternehmen noch anders.
Längst nicht in allen Fällen möchte doch ein Unternehmen nicht datenschutzkonform personenbezogene Daten
verarbeiten. Ich würde sogar behaupten, es ist die absolute Minderheit. Dennoch sind es die Fälle bei denen sich betroffene
Personen, egal ob Mitarbeiter*innen oder Kunden, über fehlende Informationen oder einer Nichtbeachtung des
Datenschutzes beschweren. Es sind nicht die 999 Fälle, die gut gehen bzw. keine Probleme für das Unternehmen
darstellen. Es ist der 1 Fall, der für ein Unternehmen Stress bedeutet.
Auch, wenn es ein leidiges Thema ist, so müssen Unternehmen immer wieder regelmäßig Prozesse prüfen und
gegebenenfalls anpassen. Datenschutz ist kein Einmal Projekt!
Sie haben Fragen? Melden Sie sich bitte bei uns! Es bleibt spannend!