Der Datenschutz hat versagt und alle die, die Daten beschützen sollen, haben ebenso versagt und werden auch in den deutschen Unternehmen viele Scherben aufzusammeln sein, wenn diese Pandemie beendet ist.
Von Christian Spin
Seit Mai 2018 begleitet uns EU-weit ein Datenschutzgesetz mit dem sperrigen Namen Datenschutzgrundverordnung, oder kurz: DSGVO. Man kann und darf von der DSGVO halten, was man will, sie stellt geltendes Recht dar, und viele Datenschutzbeauftragte sind bemüht, die Umsetzung der Regeln ohne allzu große Einschnitte im Alltag zu begleiten.
Keine Angst, viel tiefer werden wir in das sperrige Thema nicht eintauchen, dennoch soll ein Ausblick auf die Zusammenhänge die Aufmerksamkeit des Lesers auf einige interessante Aspekte lenken.
Man muss sich schon verwundert die Augen reiben, welche Stilblüten dieses europaweit gültige Gesetz in Deutschland zunehmend treibt. Insbesondere das Bundesgesundheitsministerium unter der Leitung von Jens Spahn fällt hier seit Jahren unrühmlich auf. Sei es die elektronische Patientenakte mit ihren vielen Mängeln, die beabsichtigte Schaffung eines DNA-Registers der deutschen Bevölkerung oder die Umtriebe der Gematik und damit verbundener Ignoranz des Datenschutzes.
Kleiner Exkurs: Datenschützer sehen in personenbezogenen Daten ein heiliges Gut. Diese gehören unabdingbar zur jeweiligen, natürlichen Person und werden jedem Datenverarbeiter nur treuhänderisch überlassen.
Über meine Daten bestimme nur ich und niemand anderes! Sind (personenbezogene) Daten, also auch persönliche, gesundheitliche, geheime Daten erst einmal in die Welt entlassen, ist es nahezu unmöglich, diese wieder einzufangen und endgültig zu löschen. Wer kennt diesen Satz nicht: Das Internet vergisst nichts und niemanden!
Der Grundsatz der sogenannten informationellen Selbstbestimmung trägt viel Gutes in sich und dementsprechend überträgt jede Datenverarbeitung eine hohe Verantwortung auf den jeweiligen Verarbeiter. Wir werden im weiteren Text darauf noch zu sprechen kommen.
Mit dem Einzug der Pandemie wurde Datenschutz nebensächlich
Der Grundidee einer Datenverarbeitung nach Treu und Glauben folgt die DSGVO. Und gerade Gesundheitsdaten bergen ein enormes Risiko, sofern sie in unbefugte Hände gelangen. Aber halt, spulen wir den Film ein kurzes Stück zurück und bleiben im März 2020 stehen.
Mit dem Einzug einer Pandemie namens SARS-CoV-2 / Covid-19 wurde alles dem Kampf gegen das Virus untergeordnet. Datenschutz wurde dabei ebenso nebensächlich wie im weiteren Verlauf unsere Grundrechte.
Vergessen werden darf dabei zum Beispiel nicht, wer 2020 in Restaurants so alles seine Speisen zu sich genommen hat. Als Lucky Luke war man mit Dagobert Duck und Chuck Norris in bester Gesellschaft. Die Kontaktnachverfolgung funktionierte oftmals sogar noch Wochen später, wenn die Listen aus den Altpapiercontainern quollen.
Im Zuge der Einschränkungen von Grundrechten und der regelmäßigen Überarbeitung des Infektionsschutzgesetzes im §28 ff. ist der Datenschutz unter die Räder gekommen, und die derzeit geführte Debatte, ob Arbeitgeber den Impfstatus ihrer Mitarbeiter abfragen dürfen, entpuppt sich als medienwirksames Scheingefecht. Die Realität bietet leider ein gänzlich anderes Bild, zumal auch die Herstellung einer Rechtmäßigkeit zur Abfrage des Impfstatus in diesem Punkt nicht einfach werden wird. Ob das Infektionsschutzgesetz diese Lücken wird schließen können, darf im Moment doch sehr angezweifelt werden.
Weder Hubertus Heil noch Jens Spahn oder einer der 16 Landesdatenschutzbeauftragten legen aktuell die Regeln für die Übermittlung von Gesundheitsdaten fest. Es sind die Corona-Schutzverordnungen der jeweiligen Länder, Bundeserlasse und vor allem die gelebte Realität in der deutschen Unternehmenslandschaft, die dem Datenschutz gehörig den Marsch blasen.
Drei Beispiele gefällig?
Gerne, denn in NRW müssen Urlaubs- und Homeoffice-Heimkehrer nach einer Abwesenheit, die länger als fünf Tage andauert, einen negativen Test vorweisen, bevor sie die Arbeitsstätte betreten dürfen. Diese Regel gilt nicht bei krankheitsbedingtem Ausfall. Jedoch nur, wenn sie nicht vollständig geimpft oder genesen sind, mithin als immunisiert nach der Regel „2 G“ gelten. Hier wird es trickreich. Verweigert der Beschäftigte den Test, weil er ja immunisiert ist und ihm die Infektionsschutzverordnung dieses Recht einräumt, steht der Arbeitgeber vor der Wahl: Entweder der Beschäftigte teilt sodann den eigenen „G“ Status mit, oder der Arbeitgeber muss den Zutritt verweigern, bis der Test negativ „bestanden“ ist. Für den Arbeitgeber gibt es rechtlich gesehen keinen Ausweg aus diesem Dilemma.
Die Konsequenz daraus lautet, entweder keinen Lohn für diesen Zeitraum zu zahlen, oder eben für eine nicht erbrachte Arbeitsleistung zahlen zu müssen. Das darf er sich aussuchen, mit möglichen wirtschaftlichen oder rechtlichen Folgen im Nachgang.
Wie wahrscheinlich ist es, dass ein Mitarbeiter, der unter die „2 G“ Regel (also Geimpft oder Genesen) fällt, den Test doch macht, um seinen „G“ Status eben nicht preiszugeben? Realistisch betrachtet: Es ist sehr unwahrscheinlich!
Einige Bundesländer weiter östlich, nämlich in Sachsen-Anhalt, dürfen Sie mit 100 Personen unter freiem Himmel eine betriebliche Veranstaltung durchführen. Auf diesem Betriebsfest, vielleicht aufgrund eines Jubiläums, gelten neben den bekannten AHA-Regeln noch die Regeln, dass Sie eine Kontaktverfolgung mittels Liste für einen Zeitraum von vier Wochen sicherstellen müssen und dass Sie ab 50 Teilnehmern ein negatives Testergebnis überprüfen und protokollieren müssen.
Ihre Beschäftigten gelten dabei nicht als Teilnehmer der Veranstaltung und alle Gäste, die unter die „2 G“ Regel fallen, brauchen Sie ebenfalls nicht dazuzuzählen. Wenn Sie es also schaffen, aus „2 G“-Gästen und -Mitarbeitern 51 Personen zu generieren, dann sparen Sie sich den Aufwand für die übrigen 49 Testüberprüfungen. Ebenso genial wie simpel, wer wäre nicht geneigt, seinen Organisationsaufwand drastisch zu reduzieren, um die Planungen zu vereinfachen. Die zur Einladung vorgefertigte Liste zur Erfassung der „3 G“ liegt bereit und wird leider auch nur zu bereitwillig mit Daten befüllt.
Ein weiteres Beispiel vom Bund: Mit der Corona Arbeitsschutzverordnung aus dem Hause des Bundesarbeitsministers Hubertus Heil wird festgelegt, dass der Arbeitgeber seinen Beschäftigten die Wahrnehmung eines Impftermins zur SARS-CoV-2-Immunisierung während der Arbeitszeit ermöglichen muss. Die Änderungen sollen zum 10. September 2021 in Kraft treten.
Daraus folgt im Umkehrschluss, dass diese Abwesenheitszeit vom Arbeitgeber zu zahlen ist. Wie wahrscheinlich wird es sein, dass der Arbeitgeber seine Beschäftigten für zwei oder drei Stunden entgeltlich von der Arbeitsleistung befreit und als Grund „Bin mal kurz weg“ akzeptiert, wo die Verordnung doch auf die SARS-CoV-2-Impfung abzielt?
Erst die Preisgabe der relevanten Information wird den Betriebsfrieden wahren und sicherstellen, dass es keinen Arbeitsgerichtsprozess gibt, bei dem der Richter nur dann zugunsten des Beschäftigten entscheiden wird, nämlich Lohnfortzahlung, wenn er spätestens dort den Vorhang der Wahrheit lüften (müssen) wird.
Wie in Konzernen die Impfkampagnen der Betriebsärzte und werksärztlichen Dienste ablaufen, kann sich jeder halbwegs realistisch gebliebene Mitbürger selber ausmalen.
Ein Desaster bahnt sich an…
Der unüberschaubare Berg an Regeln, der sich aus 16 unterschiedlichen Corona-Schutzverordnungen ergibt, erfordert eine ausgeprägte Lust am Schmerz, wenn man diese lesen, verstehen und rechtskonform umsetzen will. Von Kohärenz, also Abstimmung der zuständigen Behörden, kann nicht die Rede sein. Bei den Landesdatenschutzbehörden gibt es dazu sogar eine eigene Regelung (Artikel 63) in der DSGVO, die einen Wildwuchs in der Gesetzesauslegung unterbinden soll.
In der Realität kommt zudem noch ein weiterer Punkt hinzu, über dessen Konsequenzen vielfach nicht weiter nachgedacht wurde. Der Flurfunk, also das informelle Gespräch der Mitarbeiter bei einer Tasse Kaffee, hat den Status der einzelnen „G”s bereits über die Unternehmen verteilt, und das mit zunehmend verheerenden Konsequenzen.
Sie spaltet die Belegschaften längst in „2 G“ und „1 G“ auf, operiert häufig schon weit im Raum des Mobbings und führt den Unternehmern und Geschäftsführern den Impfstatus ungefragt zu. Das Argument des Datenschutzes versagt hier, denn zumeist ergibt sich das „einfach so“. Und leider wird diese Kenntnis von Verantwortlichen nur zu gerne genutzt, Druck auf Beschäftigte auszuüben.
Nun wird der Datenschützer feststellen, dass dieser Flurfunk der Einwilligung zur Datenweitergabe gleichzusetzen ist, dahingehend eine gebilligte Datenverarbeitung stattfindet, wenn auch oft nicht schriftlich dokumentiert, oder in der EDV auf einem Server abgelegt.
Der Datenschützer spricht hier nämlich nicht von einer Verarbeitung im Sinne der DSGVO, solange die Daten unstruktiert vorliegen. Eine mündliche Übermittlung und Kenntnisnahme berührt die Datenschutzgrundverordnung nicht.
Der Umkehrschluss wird zur Negativauslese
Leider nein, denn die Betroffenen erkennen zu spät, welche Sprengkraft hinter diesen Daten steckt. Überwiegend sind es nämlich die Mitarbeiter mit dem Status „2 G“, die bereitwillig ihren Status preisgeben und damit die bis dato Ungeimpften, bewusst oder unbewusst, in eine missliche Lage bringen. Wenn 20 Menschen in einem Unternehmen beschäftigt sind und von 17 Beschäftigten der Status „2 G“ bekannt ist, sind die restlichen drei, die dem „1 G“ unterliegen, rasch identifiziert. Der Umkehrschluss wird zur Negativauslese.
Insofern ist die Diskussion über datenschutzrechtliche Fragestellungen absolut angebracht, aber vielfach bereits behördlich oder betrieblich soweit ausgehebelt, dass sich dem Datenschützer die Nackenhaare sträuben. Was nun noch fehlt, ist der formale Akt, den Status legal abfragen zu können.
Ändern wird dies an der gelebten Realität allerdings nichts, außer dass sich womöglich ausführliche Gesundheitslisten in der IT-Landschaft der Unternehmen auftun werden. Mit allen katastrophalen Konsequenzen, was den Zugriff und Schutz dieser Daten betrifft. Wer als Arbeitgeber eins und eins zusammenzählen kann, verfügt bereits heute über ein gutes Bild vom Impfstatus seiner Beschäftigten.
Der Aufschrei sämtlicher Landesdatenschutzbehörden ist bisher ausgeblieben, sie sollten jedoch mitbekommen haben, was sich im Hinblick auf die sogenannten „besonderen Daten“ nach Artikel 9 der DSGVO in den Unternehmen abspielt. Auch der Bundesdatenschutzbeauftragte wartet derzeit nur mit donnernder Stille auf. Hinweise, Beratung und notfalls Ermahnungen, seine wichtigen Aufgaben, sind bis dato ausgeblieben.
Die Mischung aus politischem und gesellschaftlichem Druck, einer kaum noch überschaubaren Fülle von unterschiedlichen Verordnungen, verklausulierten Formulierungen in Gesetzen und Erlassen, sowie jeglicher Logik entbehrende Maßnahmen, unterlaufen (…wieder einmal) den Datenschutz im Gesundheitswesen. Man ist geneigt, dahinter ein System zu erkennen. Der Unternehmer, der in der Verpflichtung zur Einhaltung des Datenschutzes steht, ist mit der rechtskonformen Umsetzung längst heillos überfordert.
Unaufgeklärte, politisch getriebene Bürger, falsche Moralvorstellungen und eine offenkundige Unkenntnis von Kausalitäten haben zu massenhaften Datenschutzverstößen geführt, von denen die wenigsten, wahrscheinlich kein einziger, aufgearbeitet und abgestellt werden wird.
Geld(ersatzleistung) gegen Dokumentation des Impfstatus
Die bewusst herbeigeführte Spaltung in der Gesellschaft in „2 G“ und „1 G“ macht selbstverständlich vor den Unternehmen nicht halt. Wo sich der Bürger im öffentlichen Leben durch Enthaltsamkeit dem Zwang und Druck noch entziehen kann, indem er schlichtweg seine Teilnahme verweigert, sieht dies am Arbeitsplatz leider ganz anders aus. Hier ist der Gruppendruck enorm hoch, viele Regeln hängen ursächlich am Status Nicht-immunisiert. Die Coronaschutzverordnungen der einzelnen Bundesländer treiben dabei die Pflicht zur Umsetzung von Maßnahmen sowie die Berücksichtigung einer unüberschaubaren Flut an einzelnen Vorgaben durch die Arbeitgeber in absurde Höhen.
Wenn sich allerlei Maßnahmen (und damit verbundene Kosten!) ausschließlich an Beschäftigten unter „1 G“ abarbeiten, ist es nur eine Frage der Zeit, bis Widerstände und Grundrechte aufgegeben werden, leider auch unter dem Blickpunkt des Datenschutzes. Verständlich und dennoch nicht tolerabel. Die genauere Betrachtung des Maßnahmenkataloges lässt kaum einen anderen Schluss zu, als dass es sich auch hierbei um eine gewollte Bruchstelle handelt. Durch die Hintertür geben die so Getriebenen ein heiliges Gut im Datenschutz auf, nämlich die unabdingbare Sicherheit, dass sie allein bestimmen, wer über ihren Gesundheitsstatus Informationen erhält.
Spätestens am 1. Oktober dieses Jahres wird ein weiterer Umstand dazu beitragen, den Impfstatus nicht mehr geheimhalten zu können und somit ein weiteres Mal den Datenschutz durch den Betroffenen selbst ad acta zu legen.
Gemeint sind die Bestrebungen aus dem Infektionsschutzgesetz § 56. Eine Quarantäne-Entschädigung in Höhe ihres Arbeitsentgeltes erhalten Arbeitnehmer, die sich aufgrund behördlicher Anweisung in Quarantäne begeben müssen nur dann, wenn sie die Absonderung hätten vermeiden können. Eine Vermeidung liegt jedoch nur dann vor, wenn der Arbeitnehmer sich trotz Immunisierung, also Impfung, mit dem Virus infiziert. Da nun alle Bürger ein Impfangebot erhalten haben, fällt der bisherige Ausschluss aus dem IfSG § 56 Abs. 1 Satz 4 zukünftig weg. Mit anderen Worten: Geld(ersatzleistung) gegen Dokumentation des Impfstatus.
Cybersicherheit und Datenschutz gehören unabdingbar zusammen
Dass für Arbeitnehmer mit dem Status „1 G“ während der Absonderung keine Entschädigung gezahlt wird, ist eher erwünschter und druckfördender Nebeneffekt als ein Eingriff in die informationelle Selbstbestimmung.
Sollte jedoch die Notwendigkeit bestehen, während der Dauer einer Absonderung anderweitige finanzielle Hilfe beantragen zu müssen, dürfte auch hier die Frage nach dem Grund des Wegfalls einer gesetzlichen Entschädigungsleistung ganz oben auf der Abfrageagenda stehen. Kleinlaut wird man seinen Status Nicht-immunisiert zugeben müssen, um entsprechende Anträge stellen zu dürfen.
Zusammengenommen zeigt der bisherige Verlauf des Pandemiegeschehens sehr gut, woran es uns in Deutschland im globalen Wettbewerb mangelt. Empathie und Rücksichtnahme waren schon vor dem März 2020 defizitär, Digitalisierung definiert offenkundig nur ein schnelles Internet, gepaart mit einem leistungsstarken Smartphone, und Datenschutz ist eine Geißel der Menschheit, die keinen Nutzen bringt, aber enorme Summen kostet.
Mit dieser – leider immer noch weit verbreiteten – Einstellung zerschlagen wir den Weg zu Industrie 4.0, smarten Diensten, Internet of Things und weiteren Annehmlichkeiten, die uns eine solide und menschengerechte Digitalisierung bringen kann. Cybersicherheit und Datenschutz gehören unabdingbar zusammen, wenn wir Orwells 1984 nicht am eigenen Leib erleben wollen. Die Anfänge sind leidlich gemacht, die bisher sichtbaren Ergebnisse mehr als haarsträubend. Man mag sich nicht ausdenken, welche Möglichkeiten noch auszuschöpfen sind.
Das deutsche Klein-Klein und eine von Anfang an verteufelte DSGVO haben den Bürgern sowohl Verständnis, als auch die Lust am (eigenen) Datenschutz gehörig vertrieben. Vater Staat fügt seine Datensammelwut oben drauf.
Aktuell muss man deswegen feststellen: Der Datenschutz hat versagt und all jene, die Daten beschützen sollen, haben ebenso versagt, und im Zusammenhang mit dem Betriebsklima werden auch in den deutschen Unternehmen viele Scherben aufzusammeln sein, wenn diese Pandemie beendet ist.
Ob sie sich wieder zusammensetzen lassen, darf nach aktueller Lageeinschätzung stark bezweifelt werden.
Christian Spin ist Datenschutzbeauftragter und Fachkraft für Arbeitssicherheit.
