Datenschutz-News im April: Elektronischer Krankenschein +++ politisches Microtargeting +++ Einfache Melderegisterauskunft +++ transparenter Adresshandel +++ Regierung bleibt bei Facebook

Bei den Krankenzahlen der letzten Wochen hat Sie oder jemanden in Ihrem Umfeld bestimmt auch schon eine Erkältung oder Schlimmeres erwischt. Im Umgang damit auf der Arbeit lauern so einige ungeahnte Fallstricke. Neu seit diesem Jahr ist, dass Arztpraxen jetzt in der Regel keine Arbeitsunfähigkeitsbescheinigungen mehr ausdrucken und dem Patienten mitgeben, sondern die Arbeitsunfähigkeit direkt elektronisch an die Krankenkasse melden. Arbeitnehmer müssen aber auch weiterhin vor Arbeitsbeginn Bescheid geben, dass Sie krank sind (aber nicht via WhatsApp!).

Wenn ein Arzt sie dann krankschreibt, meldet die Praxis die Arbeitsunfähigkeit in der Regel über die verschlüsselte Telematik-Infrastruktur direkt bei der jeweiligen Krankenkasse. (Allerdings weigern sich einige Ärzte aus Datenschutzgründen, an dieses System angeschlossen zu werden – vor Gericht bisher erfolglos.) Bei der jeweiligen Krankenkasse des Arbeitnehmers kann der Arbeitgeber am Folgetag die AU-Bescheinigung abrufen. Dabei prüft die Krankenkasse, ob er zum Abrufen berechtigt ist, also ob der Mitarbeiter zu dem Zeitpunkt tatsächlich Versicherter und Angestellter des abfragenden Betriebes ist. Der Arbeitgeber erfährt dann, wer wann wie lange arbeitsunfähig ist, ob es sich um eine Erst- oder Folgemeldung und ob sich um einen Arbeitsunfall handelt. Nach wie vor erhält der Arbeitgeber keinerlei Informationen über die Diagnose – und jetzt auch nicht mehr, bei welchem Arzt man war. Auch so lassen sich Rückschlüsse auf die Art der Erkrankung vermeiden.

Gesundheitsdaten sind ja bekanntlich nach Art. 9 Abs. 1 DSGVO besonders schützenswert. Daher sollten Unternehmen darauf achten, dass die technischen Grundlagen für eine sichere, datenschutzkonforme Übertragung auch betriebsintern gewährleistet sind – und die Bescheinigung nicht auf den letzten Metern zur Buchhaltung oder ans HR-Team dann per E-Mail verschickt wird, sondern die gesteigerten Anforderungen des Art. 32 DSGVO erfüllt. Außerdem darf die Krankschreibung nur solange gespeichert werden, wie dies tatsächlich erforderlich ist (etwa für gesetzliche Ansprüche auf Krankengeld). Sie darf auch nicht kopiert werden und muss fachgerecht entsorgt werden.

Streng genommen dürfen auch andere Mitarbeiter nicht darüber informiert werden, dass die Kollegin oder der Kollege krank ist. Eine eigentlich unverfänglich wirkende Aussage wie „Herr Meier fällt diese Woche aus gesundheitlichen Gründen aus“ verstößt (eigentlich) schon gegen die DSGVO. Besser wäre wohl eine vage Formulierung wie „Herr Meier ist erstmal nicht im Dienst“, die keine Rückschlüsse auf Gesundheitszustand und Dauer der Erkrankung bzw. Abwesenheit zulassen. Erst recht nicht zulässig – zumindest nicht ohne das schriftliche Einverständnis aller betroffenen Mitarbeiter – sind für alle einsehbare Übersichten zu den Krankheitstagen bzw. zum aktuellen Krankenstand. Hier gibt es noch allerhand mehr zum Thema Arbeitnehmerdatenschutz.

Artikel 9 der DSGVO schützt übrigens auch politische Meinungen besonders. Diese dürfen daher nicht Grundlage einer gezielten Werbeansprache sein. Trotzdem haben Facebook-User bei der Bundestagswahl 2021 von diversen Parteien gezielte personalisierte Anzeigen mit Wahlversprechen vorgesetzt bekommen. Nachdem Jan Böhmermann zwei Tage vor der Wahl das Microtargeting aufgedeckt hatte, hatte sich zahlreiche Facebook-Nutzer bereit erklärt, Max Schrems‘ Datenschutzverein noyb ihre Daten zu übergeben und dafür eine Browsererweiterung installiert. Damit konnten nun konkrete DSGVO-Verstöße ausfindig gemacht werden: Facebook hat im Hintergrund die politischen Ansichten der Nutzer ausgewertet und die Parteien (CDU, SPD, Grüne, Linke, AfD und ÖDP) haben dann auf sie zugeschnittene Werbung geschaltet. Die Berliner Datenschutzbeauftragte wurde aufgefordert, einen Verstoß gegen die DSGVO festzustellen und die Parteien zu verpflichten, die personenbezogenen Daten der Beschwerdeführer nicht weiter zu verarbeiten. Außerdem verlangen die Betroffenen, dass die Behörde eine wirksame, verhältnismäßige und abschreckende Geldbuße verhängt.

Auf den Prüfstand kommen sollte dem früheren Bundesdatenschutzbeauftragten Peter Schaar zufolge auch die einfache Melderegister-Auskunft nach §44 Bundesmeldegesetz. Mit ihr kann praktisch jeder die Adresse einer Person bei den Einwohnermeldeämtern anfragen, in der Regel um Schuldner ausfindig zu machen und ggf. zu verklagen. Dass für die Abfrage kein Grund angegeben werden muss, sei mit dem heutigen Verständnis von Datenschutz aber nicht mehr vereinbar, so Schaar, da es missbräuchlichen und kriminellen Absichten keinen Riegel vorschiebe.

Der Thüringer Datenschutzbeauftragte Lutz Hasse findet hingegen, dass die Daten – Vor- und Nachname, ggf. akademischer Grad und die Anschrift – nicht sehr tief gehen und nicht sehr sensibel sind und die aktuelle Gesetzeslage daher ausreiche. Gegen Missbrauch gebe es ja zudem die Auskunftssperre. Dafür muss man allerdings als Betroffener selbst nachweisen, dass man konkret bedroht wird – gerade bei mündlichen Drohungen ist das schwer zu dokumentieren.

Mit Adresshandel hat sich auch der Europäische Gerichtshof beschäftigt. Dort wurde ein Fall aus Österreich verhandelt, bei dem ein Kläger von der Post wissen wollte, an wen konkret sie seine personenbezogenen Daten weitergegeben haben. Die Post hatte zuvor sehr vage erklärt, sie verwende personenbezogene Daten, soweit das rechtlich zulässig sei, im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese Daten Geschäftskunden für Marketingzwecke an. Im Laufe des gerichtlichen Verfahrens teilte die Post dem Kläger mit, dass zu den Geschäftskunden werbetreibende Unternehmen im Versandhandel und im stationären Handel, IT-Unternehmen, Adressverlage, Vereine, Spendenorganisationen, Nichtregierungsorganisationen und auch politische Parteien gehört hätten. Konkrete Empfänger wurden jedoch nicht genannt.

Der EuGH entschied nun: Jeder hat das Recht zu erfahren, an wen genau seine personenbezogenen Daten weitergegeben wurden – es sei nicht ausreichend, nur die Empfängerkategorien mitzuteilen, wenn es tatsächlich möglich ist, die Empfänger zu identifizieren. Die Nennung der Kategorien wäre lediglich zulässig, wenn der Antrag des Betroffenen offenkundig unbegründet oder exzessiv gewesen wäre. Das Recht auf Auskunft sei aber elementar, um die anderen Rechte aus der DSGVO, etwa das Recht auf Berichtigung sowie das Recht auf Löschung, ausüben zu können. Die Auslegung des EuGH ist auch für den deutschen Datenschutz bindend.

Vielleicht in diesem Sinne – oder auch im genauen Gegenteil – zeigt LinkedIn seit Ende Februar übrigens auf der Profilseite öffentlich alle Newsletter an, die man so abonniert hat – spätestens jetzt lohnt es sich also, dort aufzuräumen.

Derweil hat der Bundesdatenschutzbeauftragte Ulrich Kelber in einem leidenschaftlichen Plädoyer unter dem Titel „Schluss mit Ausreden!“ betont, dass nicht der Datenschutz Schuld an der schleppenden Digitalisierung in Deutschland ist – auch wenn er oft als Sündenbock herhalten muss. Allerdings hat er auch die Bundesregierung bzw. das Bundespresseamt angewiesen, die Facebook-Seite der Bundesregierung einzustellen. Es ist wahrlich ein schwerer Grat, als Datenschützer nicht als Spielverderber dazustehen. Hier findet sich der Bescheid seiner Behörde und die zugehörige Pressemitteilung. Die Bundesregierung klagt nun gegen diesen Bescheid – und darf bis zum Urteil die Seite auch weiter betreiben. Denn anders als bei Unternehmen können die Datenschützer im Falle einer Anfechtungsklage durch eine Behörde nicht den sofortigen Vollzug des Verbots anordnen.