Читать книгу DS-GVO/BDSG - David Klein - Страница 603

132

Nach Art. 9 Abs. 2 lit. b gilt das Verarbeitungsverbot nicht, wenn die Verarbeitung erforderlich ist, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht oder dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben bzw. Pflichten nachkommen kann, soweit dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten oder eine Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht.

133

Inhaltlich knüpft Art. 9 Abs. 2 lit. b an Art. 8 Abs. 1 lit. b DSRL an.

134

Zu beachten ist hierbei, dass Art. 9 Abs. 2 lit. b zwei Voraussetzungen enthält: Die Verarbeitung der sensiblen Daten muss zum einen nach Unionsrecht oder dem Recht eines Mitgliedstaates zulässig sein. Der Arbeitnehmerdatenschutz bleibt damit im Wesentlichen eine Materie, die den Mitgliedstaaten übertragen wird und ihnen einen weiten Gestaltungsspielraum eröffnet.[246] Zum anderen muss die Verarbeitung im o.g. Sinne erforderlich sein.[247] Hierbei ist insbesondere auf die beispielhafte Aufzählung des ErwG 52 S. 1 zu verweisen. Dieser nennt etwa die Sicherstellung und Überwachung der Gesundheit und Gesundheitswarnungen sowie die Prävention und Kontrolle von Krankheiten oder anderer Gesundheitsgefahren.

135

Unter das Arbeitsrecht fallen sowohl das Individual- als auch das Kollektivarbeitsrecht, so dass etwa Tarifverträge, Kollektivvereinbarungen und Betriebsvereinbarungen erfasst sind.[248]

136

Hinsichtlich Verarbeitungen, die den Arbeitnehmer in seiner Beziehung zum Arbeitgeber betreffen ist Art. 88 zu beachten.

137

Das Recht der sozialen Sicherheit und des Sozialschutzes erfasst insbesondere die Erbringung von Sozialleistungen (z.B. im Falle einer Pflegebedürftigkeit sowie Kranken- oder Unfallversicherungen). Letztlich eröffnet Art. 9 Abs. 2 lit. b auch hier den Mitgliedstaaten einen weitgehenden Gestaltungsspielraum und die Möglichkeit zur Regulierung.[249]

138

Art. 9 Abs. 2 lit. b ist somit letztlich kein eigenständiger Erlaubnistatbestand, sondern verlangt, dass sich die Erforderlichkeit der Datenverarbeitung zu vorgenannten Zwecken aus einer gesonderten, unionsrechtlichen oder einzelstaatlichen Norm ergibt.

139

Entscheidende Bedeutung kommt aber nach dem Verordnungswortlaut geeigneten Garantien zu, um die Grundrechte und Interessen der Betroffenen zu schützen. Hinsichtlich einer etwaigen Konkretisierung dieses Begriffs, trifft die DS-GVO keine Aussage. Daraus folgt, dass jedenfalls die Vorgaben der GRCh und des nationalen Verfassungsrechts einzuhalten sind.[250] Gleichwohl sind davon insbesondere auch spezifisch datenschutzrechtliche Maßnahmen der DS-GVO erfasst, wie etwa die Implementierung von Anonymisierungs- und Pseudonymisierungstechniken sowie das Treffen technisch-organisatorischer Maßnahmen im Sinne eines Privacy by Design als auch die rechtzeitige Bearbeitung im Falle der Geltendmachung von Widerspruchs-, Berichtigungs- und Löschungsrechten durch den Betroffenen.[251] Auf nationaler Ebene trägt der Gesetzgeber diesen Anforderungen im Rahmen der Öffnungsklausel in § 22 Abs. 1 Nr. 1 lit. a BDSG n.F. Rechnung.

140

Im Zusammenhang mit der Corona-App[252] stellen sich auch arbeitsrechtliche Fragen. Unter der Voraussetzung, dass per App auf dezentraler Ebene annähernd faktisch anonyme Kontakte ausgetauscht werden und die Eignung zur Eindämmung einer Pandemie erwiesen ist, stellt sich auf der dem Datenschutz nachgelagerten verfassungsrechtlichen und arbeitsrechtlichen Ebene die Frage nach der Empfehlung der Arbeitgeber zur Installation der schützenden Software auf Smartphones.[253] Während sich der Arbeitgeber mit Blick auf private Geräte der Beschäftigten auf eine Empfehlung der freiwilligen Installation beschränken muss,[254] stellt sich bei Diensthandys die Frage, ob über eine Empfehlung hinaus, das Recht oder gar die Pflicht des Arbeitgebers besteht, die Installation auf Diensthandys verpflichtend vorzunehmen.[255] Jedenfalls da, wo Beschäftigte unvermeidlich enge Kontakte mit vulnerablen Gruppen haben (Ärzte, Rettungsdienste, Feuerwehr etc.), ist die Frage zu prüfen, ob die Schutzpflicht zugunsten der betroffenen Patienten und übrigen Beschäftigten die Vorinstallation auf den Geräten erforderlich macht, weil sie etwa ein milderes und effektiveres Mittel darstellt, als eine Testung in kurzen Abständen.[256] Abzulehnen ist es, die Aktivität der App und möglicherweise sogar die Meldung eines positiven Kontakts beim Beschäftigten abzufragen oder zu überprüfen. Zulässig soll es aber sein, dass der Arbeitgeber Arbeitnehmer nach dem Kontakt zu positiv getesteten Personen fragt.[257]

141

Da die Verwendung der faktisch anonymen App als solche, insbesondere etwa im Vergleich zu Navigationsapps keinen nennenswerten Eingriff in die informationelle Selbstbestimmung mit sich bringen würde, wäre die Prüfung der Pflicht rein verfassungsrechtlich und nicht datenschutzrechtlich zu betrachten, weil das datenschutzrechtliche Risiko der App vor der Installation im Rahmen einer Datenschutzfolgenabschätzung ausgeschlossen worden wäre. Eine Vergleichsprüfung im Rahmen der Verhältnismäßigkeitsprüfung wäre, ob gegenüber medizinischem Personal, das mit vulnerablen Gruppen arbeitet, aus Gründen der Fürsorge bei Verfügbarkeit eines Impfstoffs eine Impflicht angeordnet werden könnte.