+49 (55 03) 9 15 96 48 sorge@DatCon.de

Einwilligungen – man kommt nicht drumherum

Es gibt eine Vielzahl von Notwendigkeiten bei der eine Einwilligung die einzige Rechtsgrundlage bedeutet.
Personenbezogene Daten zu verarbeiten ohne eine Rechtsgrundlage ist auf keinen Fall zu empfehlen. Mit Beschwerden
bzw. Bußgeldern muss dann gerechnet werden.
Also gilt es, dass die betroffene Person eine datenschutzkonforme Einwilligung vorgelegt bekommt. Ziel ist, dass eine
solche Einwilligung in einem möglichen Fall einer Nachfrage bzw. Beschwerde auch belastbar ist.
Daher gilt, dass die betroffene Person transparent und vollumfänglich informiert wird. Für eine solche
Einverständniserklärung sollten folgende „W-s“ beachtet bzw. beantwortet werden: „Wer will was von wem wofür, wie lange
und an wen werden Daten weitergegeben.“ Was bedeutet dies im Einzelnen?
• Wer : Angabe der verantwortlichen Stelle, die die Daten verarbeiten möchte.
• Was : Konkrete Angabe der Daten, die verarbeitet werden sollen.
• Wem : An wen richtet sich die Einwilligung bzw. wer erteilt die Einwilligung.
• Wofür : Angabe des Zwecks, was soll erreicht werden. Angaben hierzu müssen vollumfänglich sein.
• Wie lange : Angabe der Dauer bzw. Nutzung der Daten
• Wen : wer bekommt die Daten gegebenenfalls weitergeleitet.
Neben diesen „W-s“ sollte auch ergänzend an die Informationspflicht gemäß Art. 13 DSGVO gedacht werden, hier
insbesondere die Information über die Betroffenenrechte.
Weiter zu beachten sind die Punkte „Verarbeitung von besonders sensiblen Daten“ und „Minderjährige“. Sofern eine
gewünschte Datenverarbeitung besonders sensible Daten gemäß Art. 9 DSGVO, wie beispielsweise Gesundheitsdaten
oder Religionshörigkeit, umfasst, müssen diese Datenarten klar und deutlich aufgezeigt werden.
Auch eine Einwilligung von Minderjährigen kann kritisch werden, wenn man nicht die Erziehungsberechtigten miteinbezieht.
Das kommt dann schnell zum Tragen, wenn das Unternehmen beispielsweise die Datenverarbeitung im Rahmen von
Marketingzwecken nutzen möchte, wie beispielsweise bei einer Veröffentlichung auf der Unternehmenswebsite oder in
sozialen Netzen.
Anfrage des Impfstatus – Darf dass die Geschäftsführung?
Fakt ist, dass der Impfstatus ein gesundheitliches Merkmal ist. Nun gibt es auf der einen Seite die Anforderung an die
Arbeitgeber, dass diese Ihr Unternehmen, hier insbesondere die Mitarbeiter*innen und Kunden*innen, schützen müssen.
Und was liegt da näher, dass sich die Arbeitgeber nach dem jeweiligen Impfstatus erkundigen. Auf der anderen Seite gibt
es den Datenschutz. Gemäß Art. 9 DSGVO (besonders schützenswerten Daten, wie Gesundheitsdaten) dürfen erst einmal
nicht verarbeitet werden. Das bedeutet, dass für eine solche Anfrage hinsichtlich eines Impfstatus eine Rechtsgrundlage
vorhanden sein muss. Gemäß § 23 Abs. 3 IfSG (Infektionsschutzgesetz) haben beispielsweise Krankenhäuser oder
Tageskliniken das Recht die Mitarbeiter*innen dahingehend zu befragen.
Für Mitarbeiter*innen, die nicht zu diesen genannten Einrichtungen zählen, muss der Art. 9 Abs. 2 lit. b DSGVO
herangezogen werden bzw. Art. 26 Abs. 3 BDSG oder für öffentliche Institutionen die entsprechende Norm des jeweiligen
Landesdatenschutzgesetzes.
Gemäß der DSGVO muss auf jeden Fall die Erforderlichkeit beachtet werden. Diese ist nicht gegeben, wenn auch ohne
die Kenntnis dieser personenbezogenen Information (Impfstatus) die Erfüllung der rechtlichen Pflicht gewahrt werden kann.
Das bedeutet nun? Eine Einwilligung von Mitarbeiter*innen zur Preisgabe des Impfstatus ist in der Regel nicht erlaubt und
kann nicht als Rechtsgrundlage herangezogen werden, da in ein Beschäftigungsverhältnis die wirtschaftliche Abhängigkeit
der Arbeitnehmerin bzw. des Arbeitnehmers bedacht werden muss. Die Umsetzung eines Hygienekonzeptes ist hingegen
rechtlich vorgeschrieben und muss somit beachtet werden. Ein ausreichendes Hygienemanagement lässt sich somit auch
ohne die Kenntnis des Impfstatus umsetzen.
Fazit?
Eine der wichtigsten Grundsätze bei der Verarbeitung von personenbezogenen Daten ist das Vorhandensein einer
Rechtsgrundlage. Eine Rechtsgrundlage kann ein Gesetz oder eben auch eine Einwilligung sein. Einwilligungen haben
manchmal nur einen „netten“ Beigeschmack, da sie beispielsweise freiwillig sind und jederzeit zurückgezogen werden
können. Oder man muss mögliche Abhängigkeiten beachten, da sonst eine Einwilligung keine sichere Rechtsgrundlage
darstellt. Und die Verarbeitung von personenbezogenen Daten ohne Rechtsgrundlage ist wie bereits erwähnt auf keinen
Fall zu empfehlen, da bußgeldbewährt.
Sie haben Fragen? Melden Sie sich bitte bei uns! Es bleibt spannend!