Loading...

Persönliche Daten vs Safe Pass

topic

Die Covid-19 Pandemie (die Pandemie) hat mit Sicherheit das Leben von vielen seit Anfang des Jahres 2020 auf den Kopf gestellt. Der “Hoffnungsschimmer”, die Impfung, welche die Pandemie unter Kontrolle bringen sollte, hat jedoch eine Art von Chaos, Verwirrung und Zwiespalt in unsere moderne Gesellschaft gebracht.

Der Gesundheitsminister veröffentlichte, gemäß den Befugnissen, die ihm durch die Anordnung des Quarantänegesetzes übertragen wurden, am 8 Juli 2021 eine Verordnung, Absatz 160, in der geänderten Fassung (die "Verordnung"). Insbesondere verpflichtet diese Verordnung unter anderem eine Reihe von Unternehmen und Einzelpersonen, eine Überprüfung zu erfragen, in Bezug auf entweder:

  • einen innerhalb der vorangegangenen 72 Stunden gemachten negativen Labor- (PCR) oder Schnelltest, der bestätigt, dass die jeweilige Person nicht mit Covid-19 infiziert ist; oder
  • einen Impfschein zur Bestätigung des Erhaltens der mindestens ersten Impfung und das Vergehen von drei Wochen seit Impfung; oder
  • einer Bestätigung, dass die jeweilige Person innerhalb der vorangegangenen 6 Monate mit Covid-19 infiziert medizinisch diagnostiziert und seit dem als genesen erklärt wurde.

Der Beweis bezüglich der oben aufgeführten Punkte kann als sogenannter “SAFE PASS” betrachtet werden.

Der SAFE PASS ist mittlerweile in fast allen Bereichen des täglichen Lebens in Bezug auf menschliche Interaktionen obligatorisch.

Die Angelegenheit personenbezogener Daten betreffend, und die Erfordernis den SAFE PASS für jegliche normale Tätigkeiten des täglichen Lebens zu zeigen, hat sich auf fast jeden ausgewirkt. Der Sinn dieses Artikels ist die klassischen Fragen in Bezug auf personenbezogene Daten, und die Auswirkungen die diese Regelung auf uns alle hat, aus rechtlicher Sicht zu betrachten.  

Es ist wichtig anzumerken, dass der Beauftragte für den Schutz personenbezogener Daten (der "Datenschutzbeauftragte") am 12. Juli 2021 eine Liste mit den meistgestellten Fragen, (die "FAQs") herausgegeben hat, in denen eine Reihe von aufgeworfenen Fragen, und die Tatsache, dass sich die Angelegenheiten jetzt von früheren und zuvor in den Jahren 2020 - 2021 erlassenen Verordnungen oder Anordnungen unterscheiden, beantwortet werden.

DSGVO: Besondere Kategorien personenbezogener Daten

Gemäß den Bestimmungen von Artikel 9 Absatz 1 der EU-Verordnung 2016/679 (die "DSGVO") ist es nicht gestattet, bestimmte Kategorien personenbezogener Daten zu verarbeiten, die als besondere Daten gelten, wie z. B. Gesundheitsinformationen; es sei denn, es gelten ausdrückliche Bestimmungen.

Dies betrachtend, sollte man zuerst einen Schritt zurücktreten und herausfinden, was mit "Verarbeitung personenbezogener Daten" gemeint ist.

Wie in der DSGVO im Abschnitt "Definitionen" eindeutig vorgesehen, bezeichnet: „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Daher ist ersichtlich, dass der Gesetzgeber in Anbetracht gezogen hat, dass jede Art der Verwendung oder Bereitstellung personenbezogener Daten unter die Definition der Verarbeitung fallen könnte.

Es kann mit Sicherheit argumentiert werden, dass jede Art der Verwendung oder Bereitstellung von personenbezogenen Daten, aus irgendeinem Grund, an Dritte als Verarbeitungstätigkeit angesehen wird. Die beunruhigende Frage ist, ob der Inhaber eines Unternehmens gesetzlich berechtigt ist, solche besonderen Kategorien personenbezogener Daten zu verarbeiten.

Angewendet auf die gegenwärtige Situation gilt der Besitzer eines Restaurants oder Geschäfts, welcher Besucher in dessen Räumlichkeiten akzeptiert, als Verwender, oder Person der die personenbezogenen Daten der Besucher zur Verfügung gestellt werden. Auf der anderen Seite weisen die FAQs als Maßnahme zum Schutz der personenbezogenen Daten darauf hin, dass es Besitzern untersagt ist, solche Informationen in ihren Systemen zu registrieren oder anderweitig zu speichern.

Die DSGVO erlaubt in sehr bestimmten und begrenzten Fällen die Verarbeitung besonderer Kategorien personenbezogener Daten. Wie oben analysiert, verbietet Artikel 9 Absatz 1 ausdrücklich die Verarbeitung besonderer Kategorien personenbezogener Daten; es sei denn, eine der in Artikel 9 Absatz 2 erwähnten Ausnahmen ist anwendbar. Die DSGVO sieht eine begrenzte Anzahl bestehender Ausnahmen vor. Der Datenschutzbeauftragte hat in den FAQs, ohne sich ausdrücklich auf die Ausnahmen von Artikel 9 Absatz 2 zu beziehen, darauf hingewiesen, dass eine solche Verarbeitung aufgrund der derzeitigen epidemiologischen Situation, die die zusätzlichen Verpflichtungen notwendig macht, erforderlich ist. Wir können daher nur davon ausgehen, dass sich der Datenschutzbeauftragte auf die Ausnahme berufen haben könnte, dass “die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich ist.” Es scheint jedoch, dass diese Bedingung möglicherweise nicht vollständig erfüllt ist, da die Empfänger oder Betrachter solcher Informationen möglicherweise nicht an ein bestimmtes Berufsgeheimnis gebunden sind.

Aus rechtlicher Sicht könnte daher argumentiert werden, dass ein allgemeiner Verweis auf die DSGVO, oder eine Annahme auf diese und die darin erwähnten Ausnahmen, nicht als vertretbarer Zweck für eine freie und unkontrollierte Verarbeitungstätigkeit von personenbezogenen Daten besonderer Kategorien dienen könnte.

Der Datenschutzbeauftragte hat darauf hingewiesen, dass die zuvor genannten Maßnahmen, welche gemäß den Bestimmungen der jeweiligen Verordnung analysiert werden, geändert werden können, falls sich die epidemiologischen Umstände ändern.

Arbeitsverhältnis und Arbeitgeber-/Arbeitnehmerhaftung

Aus arbeitsrechtlicher Sicht ist es eine gängige Interpretation und allgemeines Verständnis, dass das Verhältnis zwischen Arbeitgeber und Arbeitnehmer ein unausgewogenes ist. Der Grund liegt darin, dass der Arbeitnehmer in jedem Arbeitsverhältnis als die schwache Partei des Verhältnisses gilt. Deswegen wurden der Rechtsrahmen und der rechtliche Vorrang so ausgelegt, dass diese Arbeitnehmern mehr Sicherheit bieten und als arbeitnehmerfreundlich ausgelegt werden können.

Jedoch auch dies kann durch die SAFE PASS-Situation außer Kraft gesetzt werden. Insbesondere legt die Verordnung dem Arbeitnehmer eindeutig die Verpflichtung auf, im Besitz eines SAFE PASSES zu sein, und dem Arbeitgeber wird auferlegt sicherzustellen, dass Mitarbeiter diese Anforderung erfüllen.

Der Datenschutzbeauftragte hat in den FAQs klargestellt, dass ein Arbeitgeber Informationen über seine Mitarbeiter in Bezug auf deren individuellen SAFE PASS registrieren kann; d.h. überwachen und überprüfen, wann deren Tests ablaufen und/oder zu registrieren, wann der betreffende Arbeitnehmer die Impfung bekommen hat, damit der Arbeitgeber sicherstellen kann, dass dessen jeweilige Mitarbeiter tatsächlich im Besitz des SAFE PASSES sind. Was aber passiert, wenn ein Mitarbeiter sich weigert, nachzuweisen, ob er über den SAFE PASS verfügt, oder im Fall wenn der Arbeitnehmer solche Informationen nicht an seinen Arbeitgeber weitergeben möchte? Sicherlich würde dies sowohl den Arbeitgeber als auch den Arbeitnehmer in eine schwierige Rechtslage bringen. Zum einen ist der Arbeitnehmer verpflichtet, seinem Arbeitgeber besondere Kategorien seiner personenbezogenen Daten offenzulegen, und zum anderen ist der Arbeitgeber gesetzlich verpflichtet nachzuweisen, dass dessen Mitarbeiter die Bestimmungen der Verordnung einhalten.

Wenn ein Arbeitnehmer solche Informationen nicht preisgeben möchte, kann es für den Arbeitgeber notwendig werden, extreme Maßnahmen gegen den jeweiligen Arbeitnehmer zu ergreifen, z. B. diesem den Zugang zu den Räumlichkeiten des Arbeitgebers zu verweigern, oder den Arbeitnehmer sogar von dessen Pflichten zu entledigen. In einem solchen Fall könnte dies als ausserordentliche Kündigung ausgelegt werden, was den Arbeitgeber verpflichtet, den Arbeitnehmer für den Verlust der Arbeitsstelle gebührend zu entschädigen, und dem Arbeitgeber möglicherweise auch einen wertvollen Arbeitnehmer kostet. Abhängig von der Mentalität und Interpretation der Pandemie und deren Auswirkungen in unserer modernen Gesellschaft kann dies zu einer Reihe von arbeitsrechtlichen Fragen vor den zuständigen Arbeitsgerichten führen.

Wer ist rechtlich verantwortlich für die Verarbeitung solcher Informationen?

Gemäß den FAQs hat der Datenschutzbeauftragte die relevanten Personen identifiziert, die verantwortlich oder befugt sind, die Informationen entweder durch Speicherung oder bloße Überprüfung zu verarbeiten. Dies wurde etwas unterschieden in Bezug auf die bisherigen Maßnahmen. Genauer gesagt wurden bis vor kurzem, und in Übereinstimmung mit den FAQs vom 13. Mai 2021, wie diese vom Büro des Datenschutzbeauftragten herausgegeben wurden, nur bestimmte begrenzte Personen als kompetent angesehen, um die entsprechende Bescheinigung in einem Arbeitsumfeld tatsächlich zu überprüfen. Dies wurde nun durch die neue Verordnung überarbeitet, und der Datenschutzbeauftragte hat mit den neuesten FAQs klargestellt, dass die rechtlich verantwortlichen Personen diejenigen Personen sind, wie diese in Übereinstimmung mit der Verordnung vermerkt sind. In Bezug auf Arbeitsorte wäre dies der zuständige Sicherheitsbeauftragte oder, wenn ein solcher Beauftragter nicht ernannt wird, wäre dies der Arbeitgeber. Außerdem hätte die Polizei die entsprechende Befugnis, den SAFE PASS zu erfragen und einsehen zu können, und ebenso wäre ein ordnungsgemäß autorisierter und ernannter Beamter dazu berechtigt. Im Falle von Einrichtungen wie Restaurants, Hotels, Fitnessstudios oder anderen öffentlich zugänglichen Einrichtungen würde die Verantwortung dem Eigentümer, Direktor oder Manager der Einrichtung unterliegen. Es ist ebenso wichtig zu beachten, dass bei privaten Zusammenkünften in öffentlichen Einrichtungen, wie Hochzeitsempfängen in Hotels, die Verantwortung für die Überprüfung des SAFE PASSES beim Eigentümer oder Manager der Einrichtung, nicht beim Organisator der Veranstaltung, liegt.

Die DSGVO, auf der Grundlage der Kernprinzipien von Rechenschaftspflicht, Integrität und Vertraulichkeit, legt bestimmte besondere Umstände fest, unter denen eine Organisation personenbezogene Daten und/oder besondere Kategorien personenbezogener Daten verarbeiten muss. Neben all den Veränderungen, die die Pandemie für alle gebracht hat, sind auch zusätzliche Anforderungen und Einschränkungen in Bezug auf die Verarbeitung personenbezogener Daten entstanden und es ist sicherzustellen, dass alle zu ergreifenden Maßnahmen auch mit den Kernprinzipien im Einklang stehen. Die Absicht sollte daher darin bestehen, die Komplexität des bestehenden Rechtsrahmens zu entwirren und ein sicheres Umfeld zu schaffen, in dem Menschen ihr Leben ohne Risiko, nicht nur für ihre Gesundheit, sondern auch auf ihre persönlichen Daten bezogen, fortsetzen können.

Der Inhalt dieses Artikels ist zum Zeitpunkt der ersten Veröffentlichung gültig. Er soll als allgemeiner Leitfaden für das Thema gelten und stellt keine Rechtsberatung dar. Wir empfehlen Ihnen, sich in einer bestimmten Angelegenheit professionell beraten zu lassen, bevor Sie auf die bereitgestellten Informationen eingehen. Für weitere Informationen wenden Sie sich bitte an Ioanna Solomou , Partner, telefonisch unter 00357 25 363 685 oder per E-mail an ioanna.solomou@kyprianou.com

VERWANDTE FACHGEBIETE ANSEHEN