3G, 2G und 2G+ allerorten: Ist die Bewältigung der Pandemie wichtiger als der Datenschutz?

Mitte November haben Bundestag und Bundesrat die aktuellste Version des Infektionsschutzgesetzes verabschiedet. Damit bestimmt seit 24. November einmal mehr Corona unseren Alltag an allen Ecken und Enden: 3G auf der Arbeit und in Bus und Bahn; 2G in Restaurants, Kino und auf den meisten Weihnachtsmärkten (so sie denn überhaupt noch stattfinden) – mancherorts sogar 2G+, also Zutritt nur für Geimpfte und Genesene, die zusätzlich noch einen negativen Corona-Test haben, wenn die Hospitalisierungs-Inzidenz bei über 6 Personen pro 100.000 Einwohner in 7 Tagen liegt.

Wenn auf der Arbeit „physischer Kontakt“ zu anderen nicht ausgeschlossen werden kann, ist der Zutritt zur Arbeitsstätte nur mit Impf- oder Genesungs-Zertifikat, einem maximal 24 Stunden alten Schnelltest, einem maximal 48 Stunden alten PCR-Test oder durch einen in der Firma unter Aufsicht durchgeführten Selbsttest möglich (3G: geimpft, genesen, getestet). Damit ist die vor (oder seit?) Monaten diskutierte Frage, ob der Arbeitgeber den Impfstatus seiner Beschäftigten abfragen darf, mit einem klassischen Jein beantwortet worden: Arbeitnehmer müssen nämlich nicht per se ihren Impfstatus offenlegen – es muss nur Zutrittskontrollen zur Arbeitsstätte geben.

Wer keins der 3G erfüllt, muss im Home-Office arbeiten oder wird unbezahlt freigestellt bzw. gekündigt. Wenn Arbeitgeber oder Beschäftigte die Regelung umgehen, droht nach §73 Infektionsschutzgesetz ein Bußgeld von bis zu 25.000 Euro. Wer seinen Impfstatus nicht offenlegen will, kann sich alternativ auch täglich testen lassen. Einige Firmen setzen dabei sogar auf 1G, d.h. jeder Mitarbeiter muss sich unabhängig vom Impfstatus täglich testen. Das mag gut für den Datenschutz sein, für das Betriebsklima (zumindest unter den Geimpften) fraglich und für das herbeigesehnte Ende der Pandemie möglicherweise sogar schädlich.

Aber zurück zum gesetzlich vorgeschriebenen 3G auf Arbeit und im ÖPNV: Leider musste das Ganze nun sehr schnell in ein Gesetz gegossen werden. Selbst an der DSGVO hat man 4 Jahre gearbeitet, und dennoch hat sie so ihre Problemchen. Auch der Bundesdatenschutzbeauftragte Ulrich Kelber hat einige Mängel am neuen Gesetz aufgezeigt. Und da ist er nicht der einzige. Er kritisiert vor allem, dass der Impfstatus von den Arbeitgebern bisher gar nicht abgefragt werden durfte – es nun aber quasi muss. Ein Ermöglichen der Abfrage als Zwischenschritt hätte wohl auch schon viel geholfen.

Das Ermöglichen war bisher immer mit Verweis auf den Datenschutz abgelehnt worden. Das neue Infektionsschutzgesetz trägt diesen Bedenken nun aber auch nicht Rechnung – Schutzmaßnahmen für die Daten der betroffenen Beschäftigten sieht es nämlich nicht vor. Kelber fürchtet, dass das Gesetz so juristisch angefochten werden könnte und dann seine Wirkung verfehlen würde, weil man es aussetzen müsste.

Genau genommen muss auch die Kontrolle der 3G’s (geimpft, genesen, getestet) vom Arbeitgeber mit Datenschutzhinweisen versehen werden: Da es sich bei den 3G-Maßnahmen um eine – hoffentlich – zeitlich befristete Maßnahme handeln wird, sollte man die erforderlichen Informationen zu Zweck, Art und Umfang der Datenverarbeitung in einem gesonderten Dokument bereitstellen.

Grundsätzlich ist das Abfragen des Impfstatus wohl einer der weniger schwerwiegenden Grundrechtseingriffe, die wir in dieser Pandemie hinnehmen mussten. Wenn man nur mal zurückdenkt: Kinder wurden de facto fast ein ganzes Schuljahr lang um ihr Grundrecht auf Bildung gebracht, es gab innerdeutsche Reiseverbote und nächtlichen Ausgangssperren – mancherorts durfte man noch nicht einmal mehr allein auf einer Parkbank sitzen, Stichwort „Verweilverbot“. Obwohl ein Großteil der Bevölkerung an einem Strang gezogen hat und sich impfen ließ, stecken wir inmitten der größten Infektionswelle.

Obendrein wird die große Mehrzahl der Geimpften sehr bereitwillig ihren Impfstatus offenlegen; denn sie stellen das Wohl der Gesellschaft über ihr vermeintliches eigenes Unwohlsein. Nur dann kann es eine annähernde Rückkehr in eine Normalität geben, wie es sie vor der Pandemie gab. Können Sie sich noch an das Jahr 2019 erinnern, wie schön das war?

Auch in diesem Jahr gibt es wieder Zugangsbeschränkungen zu Geschäften, Maskenpflicht sogar draußen, kaum Weihnachtsmärkte usw. – Ist die Diskussion, ob der Rechtseingriff, dass Arbeitgeber da den Impfstatus von Beschäftigten abfragen darf (mehr zu den Details folgt noch), nicht absurd? Schließlich darf der dann auch nicht in der Personalakte landen oder am schwarzen Brett ausgehängt werden und es bestehen keine Impfpflicht und auch keine Nachteile für Impfverweigerer. Es geht lediglich um eine Mitwirkungspflicht für die verhältnismäßig kleine Gruppe der – aus welchem Grund auch immer – Ungeimpften, damit sie nicht die Gesundheit der gesamten Belegschaft gefährden.

Wichtiger Hinweis: Das Abfragen der 3G‘s vorab ist aus Datenschutzsicht nicht zu empfehlen; und schon gar nicht per E-Mail oder WhatsApp. Zwar liegt bei Maßnahmen zur Bekämpfung einer Pandemie einerseits ein erhebliches öffentliches Interesse vor – andererseits handelt es sich bei Informationen zum Impf-, Genesenen- oder auch Teststatus nach Art. 9 DSGVO um besonders geschützte Gesundheitsdaten. Und die müssen, wenn überhaupt, dann strikt verschlüsselt gespeichert werden – und nur mit freiwilliger Einwilligung.

Aber der Fokus der 3G-Regelung liegt auf der Zutrittskontrolle. Dabei ist es zwar erlaubt, dass die anfallenden personenbezogenen Daten zur Erleichterung und Dokumentation der Zutrittskontrolle gespeichert werden (damit nicht jeder täglich immer wieder dasselbe Impfzertifikat vorzeigen muss). Die so erhobenen Daten dürfen aber nur zur Einhaltung des Hygienekonzepts (also im Sinne des Arbeitsschutzes) verwendet werden, nicht etwa, um Kunden Auskunft zu geben, ob denn z.B. der Handwerker, der zu ihnen kommt, geimpft ist oder nicht. Darin müssen Beschäftigte explizit – und freiwillig – einwilligen!

Zumindest in Fällen der Lohnfortzahlung im Krankheits- bzw. Quarantänefall können Arbeitgeber aber wohl konkret nach dem Impfstatus fragen. Aber dann hat die Datenerhebung ja auch einen anderen Zweck! Im Übrigen wurde eine Auskunftspflicht über den Impfstatus für bestimmte Berufsgruppen eingeführt, die mit besonders vulnerablen Personen arbeiten (u.a. Krankenhäuser, Kitas, Schulen, Seniorenheime, Gefängnisse, Tattoo- und Piercingstudios etc.).. Und dort greift dann auch der Ausnahmetatbestand des § 23a im Infektionsschutzgesetz, dass der Arbeitgeber den Impfstatus abfragen und verarbeiten darf. Daher kommen auch die immer wieder berichteten Daten, dass gerade im medizinischen und pflegerischen Bereich die Impfquoten unterdurchschnittlich sind.

Für Arbeitgeber, die nicht unter den Ausnahmetatbestand fallen, wäre es denkbar, den Impfstatus abzufragen, wenn sie dies z.B. mit einer Impfprämie verknüpfen, etwa in Form von Extra-Urlaub, eines Geldbonus oder eines Sachgeschenks. Damit Beschäftigte eine Prämie erhalten, kann der Arbeitgeber den Impfnachweis verlangen und sich mit diesem legalen Trick rechtlich absichern. So ging in den USA zumindest anfangs die Impfquote steil nach oben. Noch zwei wichtige Ratschläge: Die Ungeimpften dürfen nicht sachgrundlos benachteiligt werden. Und der Impfstatus an sich darf nicht gespeichert werden, erst recht nicht der Impfpass o. Ä.; vielmehr ist auch das einfache Abhaken einer Liste die beste Methode.

Wenden wir uns nun noch kurz ein paar ausgewählten weiteren Themen zu:

Dietmar Pennig, Generalsekretär der Deutschen Gesellschaft für Orthopädie und Unfallchirurgie (DGOU), behauptete kürzlich – überspitzt gesagt – dass der Datenschutz es verhindern würde, Leben zu retten: Denn, so Pennig, die Übermittlung von Patientendaten wie Blut- oder EKG-Werte setze dessen Einwilligung voraus. Wenn sie bewusstlos oder schwerverletzt sind, könnten sie eine solche Einwilligung jedoch nicht abgeben. Das ist falsch und gefährlich, denn hier verhindert nicht der Datenschutz die Behandlung, sondern die Angst vor Fehldeutungen durch Laien. Denn natürlich kann die DSGVO nicht jeden Zweifelsfall befriedigend lösen. Aber dass man von bewusstlosen Patienten auch ohne deren Einwilligung zur Behandlung notwendige Gesundheitsdaten erheben muss, gebietet die ärztliche Berufspflicht im Einklang mit der DSGVO Artikel 9 Abs. 2, Buchstabe c: Demnach ist die Verarbeitung von Gesundheitsdaten ausdrücklich erlaubt, wenn sie „zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich (ist) und die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben.“

Bei Amazon gibt es einen Datenschutzskandal: Mitarbeiter des Shopping-Riesen spionieren aus, was wir kaufen – wer hätte das ahnen können?! So wird unser aller Kaufverhalten systematisch ausgewertet, um Konsum-Muster zu identifizieren. In den USA interessierten sich einige neugierige Mitarbeiter aus dem Kundenservice dafür, was Kanye West, mehrere Schauspieler aus den „Avengers“-Filmen oder die eigenen (Ex-)Partner kürzlich gekauft haben, und unterhielten sich dann darüber. Sogar Kreditkarteninformationen und Gesundheitsdaten könnten ausspioniert worden sein. Der ehemalige IT-Sicherheitschef Gary Gagnon bestätigte, dass dies möglich sei und gab zu, dass sehr viele Mitarbeiter angesichts der sehr niedrigen Sicherheitsstandards recht einfach Zugang zu privaten Kundendaten hatten. Er bezeichnete die Sicherheitssysteme von Amazon als „schockierend“, es sei alles wie „mit Klebeband und Kaugummi zusammengehalten“, so Gagnon wörtlich. Also Vorsicht, wenn ihr (Ex-)Partner bei Amazon arbeitet!

„Pegasus“ geht weiter: Apple verklagt die Entwickler der Späh-App des israelischen Unternehmens NSO, um diesem die Nutzung jeglicher Geräte und Software von Apple zu untersagen und eine Entschädigung für bereits begangene Spionage zu erhalten. Mögliche Schadenersatzzahlungen aus der Klage sollen an Forschende auf dem Gebiet Cyberüberwachung gespendet werden; zehn Millionen Dollar hat Apple schon gespendet. Eine Klage von WhatsApp gegen NSO, ebenso unrechtmäßig dessen Systeme ausgenutzt zu haben, um Nutzer zu überwachen, ist schon seit Jahren anhängig. Warum Pegasus so gefährlich ist, hat „Zeit Online“ noch einmal zusammengefasst.

Nachdem die irische Datenschutzbehörde WhatsApp vor einigen Monaten eine Strafe in Höhe von 225 Millionen Euro aufgebrummt hat, hat der Messenger-Dienst nun seine Nutzungsregeln ergänzt, um die von den Datenschützern angeordneten Klarstellungen vorzunehmen. Daran, wie die Daten verarbeitet werden, ändert sich aber nichts. WhatsApp wehrt sich zwar juristisch gegen die Strafe, muss die Auflagen dazu aber während des Verfahrens trotzdem erfüllen. Die Nutzer sollen nun mit einem Banner in der App auf die Neuerungen hingewiesen werden – sie müssen diesen nun nicht zustimmen. Unter den Neuerungen sind weitere Informationen, warum Daten gespeichert oder gelöscht, wie sie über Grenzen hinweg übermittelt werden und auf welche Rechtsgrundlagen sich der Mutterkonzern Meta dabei stützt.

Ob es sich hierbei um etwas wirklich Weihnachtliches handeln, mag man Bezweifeln: Die Datenschutz-NGO Noyb („None Of Your Business“) rund um Max Schrems lädt „Adventslesungen“ aus Akten im laufenden Facebook-Streit vor der irischen Datenschutzbehörde. So soll an jedem Adventssonntag ein anderes Facebook-Dokument gemeinsam mit einem passenden Erklärungsvideo auf noyb.eu veröffentlicht werden. Was zuerst nach Jux klingen mag, hat aber einen ernsten Hintergrund.

So verbringen echte Datenschutz-Nerds also die Weihnachtszeit! ;-)

Ich wünsche Ihnen nun schöne Adventstage und ein frohes Fest!

Foto: Adobe Stock | MQ-Illustrations