Ob in der Arztpraxis, beim Zugfahren oder in der KiTa: Einschränkungen und Ausfälle wegen kurzfristiger Erkrankung des Personals sind, besonders in der Erkältungszeit im Herbst und Winter, an der Tagesordnung. Während dies auf Kundenseite zu Unannehmlichkeiten führt, stellt eine solche Situation für die Arbeitgeber der jeweils betroffenen Einrichtung eine ebenso große Herausforderung in der Planung dar, um den Betrieb aufrechterhalten zu können.

Arbeitgeber hat die Nase voll

Der Geschäftsführer eines Lebensmittelgeschäfts in Brandenburg hatte davon (diesmal nicht erkältungsbedingt) die Nase voll: Um den Beschäftigten des in wirtschaftliche Schieflage geratenen Ladens vor Augen zu führen, dass der hohe Krankenstand „kaum noch zu tragen“ sei – oder mit anderen Worten: sie an den Pranger zu stellen und so unter Druck zu setzen – hängte er in Absprache mit der Inhaberin im Pausenraum eine Liste mit den Krankheitstagen von den 50 namentlich genannten Beschäftigten für das Jahr 2022 aus – gut sichtbar für die Belegschaft und Dritte, wie Lieferanten.

Doch damit nicht genug, klargestellt wurde auch, ob es sich um eigene Krankheit oder Kinderkrankentage handelt und ob die Beschäftigten sich im sog. Hamburger Modell – der stufenweisen Wiedereingliederung nach längerer Krankheit – befanden. Von insgesamt 40 Personen aus der Belegschaft wurden die Abwesenheitsgründe genannt. Das eigentlich geplante Schwärzen der Namen wurde im Eifer des Gefechts jedoch vergessen.

Das sagt die Aufsichtsbehörde

Die Landesbeauftragte für Datenschutz und Akteneinsicht (LDA) Brandenburg berichtete über den Fall in ihrem Tätigkeitsbericht für das Jahr 2023 (S. 55 f.) und setzte ein Bußgeld in fünfstelliger Höhe für den Datenschutzverstoß fest, denn der Aushang der Liste stellte eine unrechtmäßige Verarbeitung von Gesundheitsdaten dar.

Die Angabe des Abwesenheitsgrundes „krank“ stellt ein Gesundheitsdatum im Sinne des Art. 9 Abs. 1 DSGVO dar und fällt damit unter die besonderen Kategorien von Daten, für deren Verarbeitung erhöhte Anforderungen gelten. In bestimmten Zusammenhängen dürfen Gesundheitsdaten im Arbeitsverhältnis zwar verarbeitet werden, bspw. um die Ansprüche der Beschäftigten aus dem Entgeltfortzahlungsgesetz zu erfüllen oder zur Prüfung der Erforderlichkeit des Angebots eines BEM-Verfahrens.

Ein Aushang der krankheitsbedingten Fehltage im Pausenraum – zudem noch um die schlechte wirtschaftliche Lage aufzuzeigen – gehört jedoch definitiv nicht zu den erlaubten Tatbeständen.

Auch eine Schwärzung der Namen hätte, wie die LDA Brandenburg weiter ausführt, in diesem Fall keine Abhilfe geschaffen: Da aufgrund der Verteilung der einzelnen Fehltage für die Beschäftigten untereinander zumindest teilweise weiterhin rekonstruierbar gewesen wäre, wem welche Fehltage zuzuordnen sind, hätte sich durch die Schwärzung keine Anonymisierung der Daten ergeben, sondern lediglich eine Pseudonymisierung. Auch pseudonymisierte Daten dürfen aber nur bei Vorliegen einer Rechtsgrundlage verarbeitet werden, die hier wie beschrieben nicht vorlag. Somit hätte trotz Unkenntlichmachung ein Datenschutzverletzung vorgelegen.

Krankheitstage sind Gesundheitsdaten!

Bei der Verarbeitung von Gesundheitsdaten ist aufgrund ihrer Sensibilität ein hohes Schutzniveau sicherzustellen – denn es handelt sich immerhin um Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen!

Auch ist das Need-to-Know-Prinzip bei solchen besonderen Kategorien von Daten sehr streng zu prüfen, sodass wirklich nur Personen Zugriff auf diese erhalten, die diesen für die Erfüllung ihrer Aufgaben benötigen. Im Normalfall dürfen nur die Führungskraft und die zuständige Personalsachbearbeitung, die das Zeitwirtschaftssystem pflegt, Kenntnis über Krankheitstage haben.

Zu beachten ist dies auch insbesondere beim Aushang von Personaleinsatzplänen bzw. Dienstplänen. Auch hier sollte keinesfalls vermerkt werden, wann ein Beschäftigter krank ist. Einträge bzgl. „Urlaub“ und „Krankheit“ sind mit „abwesend“ einzutragen.

Generell sollten Arbeitgeber sich bewusst sein, dass Gesundheitsdaten unter einem besonderen Schutz stehen und sicherstellen, dass eine Rechtsgrundlage für die Verarbeitung vorliegt und die notwendigen technischen und organisatorischen Maßnahmen ergriffen wurden, um den Schutz der Daten zu gewährleisten.

Fazit

Ob die Beschäftigten im oben geschilderten Fall möglicherweise Schadensersatzansprüche nach Art. 82 Abs. 1 DSGVO gegen ihren Arbeitgeber geltend machen können, wird von der LDA Brandenburg nicht thematisiert. Dies wäre jedoch zumindest vorstellbar: Ein immaterieller Schaden könnte durch die halb-öffentliche „Anprangerung“ und die Offenlegung der sensiblen Gesundheitsdaten durchaus gegeben sein und das Verhalten des Arbeitgebers als Verantwortlichem stellte zweifellos einen Verstoß gegen die DSGVO dar.