Darf ein Unternehmen Daten – auch Gesundheitsdaten – von Besuchern und Mitarbeitern sammeln, um damit eigene oder fremde Ideen umzusetzen, wie man das Corona-Virus eindämmen sollte? Dürfen zum Beispiel die Arbeitnehmer einer Firma gefragt werden: „Kommen Sie aus einem Risiko-Gebiet? Haben Sie Fieber?“ Dazu gibt es unterschiedliche Auffassungen der Datenschutz-Aufsichtsbehörden in Europa, trotz sehr ähnlicher Rechtslage.
Die Aufsichtsbehörden von Frankreich, Italien, Belgien und den Niederlanden sagen „Nein“. Und das, obwohl der Virus in Italien und Frankreich am schlimmsten wütet. In Deutschland dagegen gibt der Bundesbeauftragte für Datenschutz den Unternehmen grünes Licht. Ähnlich der sonst so datenschutzfreundliche Landesbeauftragte von Baden-Württemberg (wir berichteten). Einen guten Überblick über die verschiedenen Rechtsauffassungen haben Jurist*innen aus der Großkanzlei Taylor Wessing erstellt.
Die Aufsichtsbehörden in Italien und Frankreich verweisen in ihren Stellungnahmen (hier und hier) darauf, dass der Staat alle Rechte habe, die er braucht, um im Unternehmen den Gesundheitsschutz durchzusetzen. Der Staat kann Befragungen und Untersuchungen von Beschäftigten anordnen. Wenn er es nicht tue, dann deswegen, weil es nicht erforderlich sei. Es stünde einzelnen Arbeitgebern nicht das Recht zu, sich zu Hilfspolizisten aufzuwerfen und in der Art einer Bürgerwehr selbst solche Maßnahmen zu treffen.
Auf den ersten Blick erkennt man einen Unterschied von nationalen politischen Kulturen, und Rechtskulturen. In Deutschland gibt es bis heute keine Anweisungen der Behörden an Unternehmen ohne Publikumsverkehr. Wenn an einer betrieblichen Anlage in Deutschland heute mehrere Beschäftigte sehr eng zusammen stehen und ständig Körperkontakt haben, ist das erlaubt. Man überlässt das der Fürsorgepflicht des Arbeitgebers. In Frankreich ist es verboten. Unternehmen der Auto-Industrie rüsten dort derzeit ihre Fließbänder um, haben solange geschlossen. Wir haben in Deutschland noch immer das paternalistische Bild der Unternehmensleitung als Schutzherrin der Beschäftigten. Früher hieß das Betriebsgemeinschaft, heute: Fürsorgepflicht. In Italien oder Frankreich würde in der Öffentlichkeit niemand den Datenschutzbeauftragten kritisieren, wenn Menschen sterben, weil Unternehmen notwendige Informationen nicht erheben, weil sie nicht dazu angewiesen wurden. Jeder Franzose oder Italiener würde dem Staat die Schuld geben, weil der das Notwendige nicht rechtzeitig angeordnet hat. In Deutschland könnte der Datenschutz in so einem Fall zum Sündenbock werden, denn hier glaubt jeder an die „Fürsorgepflicht des Arbeitgebers“, der „seine Mitarbeiter“ gegen das Unbill der Welt schützen dürfen muss. Wir Deutschen verstehen deswegen unsere Aufsichtsbehörden (und die der Mehrheit der EU-Länder), die den Arbeitgebern erlauben, Gesundheitsdaten ihrer Beschäftigten zu erheben.
Auf den zweiten Blick muss man trotzdem Angst bekommen wegen der Leichtigkeit, mit der rote Linien des Grundrechtsschutzes wegen Corona überschritten werden. Nehmen wir mal an, ein Unternehmen teilt Fragebögen aus und fragt seine Mitarbeiter und Gäste nach ihrer politischen Meinung, um die Beschäftigten vor dem Rassismus der Rassisten unter den Mitarbeitern oder Gästen zu schützen. Wegen Fürsorgepflicht des Arbeitgebers. Ich hoffe, die Aufsichtsbehörden würden das verhindern. Derzeit aber fragen die Aufsichtsbehörden nicht einmal nach den „angemessenen und spezifischen Maßnahmen“ zum Schutz der Rechte der Betroffenen, obwohl § 22 Abs. 2 BDSG solche „angemessenen und spezifischen Maßnahmen“ vorschreibt, wenn ein Arbeitgeber nach § 22 Abs. 1 Buchst. c BDSG in Verbindung mit Art. 9 Abs. 1 Buchst. i DSGVO Gesundheitsdaten erhebt. Die Fürsorgepflicht wird’s schon richten!