Der Herbst bringt neben Nieselregen und bunten Blättern auch steigende COVID-19-Infektionszahlen. Der Gesetzgeber versucht deswegen, die immer noch zu niedrige Impfquote zu steigern. So ist geplant, Nicht-Geimpften schon bald keine Entschädigung mehr zu zahlen, wenn sie in Quarantäne müssen. Dieses und andere Vorhaben führen auch dazu, dass die Pandemie abermals in den Fokus datenschutzrechtlicher Debatten rückt. 

Die wichtigsten Nachrichten der Woche:

Darf der Arbeitgeber den Impfstatus seiner Mitarbeiter erheben?

Mit dieser Frage hat sich die Datenschutzwelt in der vergangenen Woche intensiv beschäftigt. Anlass der Diskussion ist, dass die Gesundheitsministerkonferenz bereits im September beschlossen hat, dass Nicht-Geimpfte bei einer Corona-Quarantäne spätestens ab dem 1. November keine Entschädigung mehr erhalten sollen

Bekanntlich sind Entschädigungen nach § 56 Abs. 5 S. 1 Infektionsschutzgesetz (IfSG) zunächst vom Arbeitgeber auszuzahlen. Doch besteht damit eine hinreichende Rechtsgrundlage für die Verarbeitung des Impfstatus? Die Datenschutzaufsicht Baden-Württemberg vertritt in einer aktuellen Stellungnahme die Auffassung, dass der Arbeitgeber nach dem Impfstatus des Arbeitnehmers fragen darf. Allerdings besteht, so die Behörde weiter, keine Antwortpflicht des Arbeitnehmers. Alternativ könne der Arbeitgeber seinen Entschädigungsanspruch gemäß § 56 Abs. 5 S. 4 IfSG auch direkt gegenüber der nach dem IfSG zuständigen Behörde geltend machen.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hebt in einer Stellungnahme noch einmal ausdrücklich hervor, dass sich ein allgemeines Fragerecht des Arbeitgebers aus § 56 Abs. 5 S. 1 IfSG jedoch nicht ergibt. Ähnlich äußert sich auch die Datenschutzaufsicht NRW in einem FAQ mit Stand vom 27.09.2021, ohne jedoch direkt auf § 56 Abs. 5 S. 1 IfSG Bezug zu nehmen.

Ein allgemeines Fragerecht ergibt sich nach Auffassung der Datenschutzaufsicht Sachsen auch nicht aus dem sogenannten „2G-Optionsmodell“. Hiernach besteht in bestimmten Bereichen weder die Pflicht zum Tragen eines Mund-Nasen-Schutzes noch zur Einhaltung eines Mindestabstands, wenn sich das Angebot ausschließlich an Geimpfte und Genesene richtet. In einer Stellungnahme vom 29.09.2021 stellt die sächsische Behörde jedoch fest, dass ein Fragerecht des Arbeitgebers bezüglich des Impf- und Genesenenstatus regelmäßig zu verneinen ist, da das 2G-Optionsmodell keine eindeutige gesetzliche Rechtsgrundlage sei.

Erinnerung: Neue Standarddatenschutzklauseln für Verträge ab dem 27.09.2021

Seit dem 27.09. dürfen beim Datentransfer in Drittländer nur noch die neuen modularen Standarddatenschutzklauseln der EU-Kommission verwendet werden; die alten Standardvertragsklauseln ist für neue Verträge nicht mehr zulässig. Für Verträge, die vor dem 27.09.2021 mit den alten Standardvertragsklauseln geschlossen wurden, gilt eine Übergangsfrist bis zum 27.12.2022.

Die neuen Standarddatenschutzklauseln sollen sicherstellen, dass die Anforderungen der Datenschutz-Grundverordnung (DSGVO) bei der Übermittlung personenbezogener Daten an ein Drittland eingehalten werden. Die EU-Kommission reagiert damit auch auf die "Schrems II"-Entscheidung des EuGH. Dieser hatte in seinem Urteil vom 16.07.2020 nicht nur das EU-US Privacy Shield als Angemessenheitsbeschluss für einen Datenaustausch zwischen der EU und den USA für nichtig erklärt, sondern zugleich hohe Anforderungen an die Verwendung von Standarddatenschutzklauseln gestellt. Mehrere große Anbieter (u.a. Amazon Web Services, Microsoft und Atlassian) haben die neuen Klauseln bereits ausgerollt bzw. damit begonnen.

Endgültig gelöst ist die Problematik der Drittlandsübermittlungen (insbesondere in die USA) damit jedoch noch nicht. Eine Risikoanalyse im Einzelfall (Transfer Impact Assessment) bleibt daher erforderlich. Verantwortliche sollten die neuen Vertragsbedingungen sowie eine mögliche Anpassung des Transfer Impact Assessments prüfen.

Internationale Nachrichten

Europa: Das EDPB hat seine Stellungnahme zu einem Angemessenheitsbeschluss der EU-Kommission für Südkorea veröffentlicht.

Aktuelle Entscheidungen

LG Köln, Urteil vom 03.08.2021, Az. 5 O 84/21 (Volltext): Dem Kläger steht kein Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO, da nicht ersichtlich ist, welchen Schaden der Kläger durch die Übersendung eines nicht anonymisierten Beschlusses an nicht am Verfahren beteiligte Dritte erlitten hat.

VG Arnsberg, Urteil vom 10. Juni 2021, Az. 7 K 3522/19 (Volltext): Zur Abgrenzung von personenbezogenen Daten und Sachdaten im Kontext von IFG-Anfragen.

Aus den Aufsichtsbehörden

• Datenschutzaufsicht Hamburg: „Bußgeld gegen Vattenfall Europe Sales GmbH verhängt“ – Pressemitteilung vom 24.09.2021.
• Bundesdatenschutzbeauftragter: „BfDI startet Konsultationsverfahren zur KI im Bereich der Strafverfolgung und Gefahrenabwehr“ – Pressemitteilung vom 01.10.2021
• Datenschutzaufsicht Baden-Württemberg: „Lohnfortzahlung im Quarantäne-Fall“ – Pressemitteilung vom 02.10.2021
• Datenschutzaufsicht Sachsen: „2G-Optionsmodell: Fragerecht des Arbeitgebers zum Impf- und Genesenenstatus/Testergebnis“ – Stellungnahme vom 28.09.2021