Impfliste - öffentlich im Intranet

  • So, jetzt habe ich gerade mit unserem externen Datenschutzbeauftragten telefoniert.


    Die öffentliche Erfassung, Speicherung und Darstellung von personenbezogenen Daten unterliegt grundsätzlich den Vorgaben von BDSG und DSGVO. d. h. es gelten die Grundprinzipien, wie Datensparsamkeit, Rechtmäßigkeit, Zweckbindung, Integrität und Vertraulichkeit etc..


    Die Erhebung von personenbezogenen Gesundheitsdaten und die Veröffentlichung derer ist so wie bei uns geschehen gemäß DSGVO Art. 9 verboten. Das Bußgeld hierfür liegt gemäß DSGVO Art. 83 bei bis zu 4% des Jahresumsatzes. Im Bußgeldrechner bin ich von einem leichten Verstoß ausgegangen und bin bei uns auf eine Geldbuße von 750 TEUR gekommen.


    Es sollte Betriebsräten auch nicht darum gehen, ob hier jemand persönlich ein gutes Gefühl dabei hat oder nicht, sondern diejenigen die die DSGVO geschrieben haben, haben einen Sinn verfolgt.


    Unser DSB hat zurecht darauf hingewiesen, dass auch diejenigen beeinträchtigt sein können, die sich nicht eintragen. Oder ein Querdenker könnte diejenigen, die sich impfen lassen wollen ins Visier nehmen etc...


    Also, Augen auf im Betriebsrat und nicht zu lax rangehen, man hätte die Daten mit nur wenig mehr Aufwand ohne Klarnamennennung erfassen können...


    LG Christian

  • Kurze Rückfrage butzeman : Du hast dem Datenschutzbeauftragten auch gesagt, dass es jedem selbst überlassen ist, ob er sich einträgt oder nicht und dass auch Pseudonyme verwendet werden können?


    Und als zweites: Ich habe gefragt, ob es noch eine zweite anonyme Form gibt, seinen Impfwunsch zu äußern, hab ich da die Antwort überlesen, oder kam da noch keine?

    "Ein Kompromiss ist dann vollkommen, wenn alle unzufrieden sind" Aristide Briand

  • Kurze Rückfrage butzeman : Du hast dem Datenschutzbeauftragten auch gesagt, dass es jedem selbst überlassen ist, ob er sich einträgt oder nicht und dass auch Pseudonyme verwendet werden können?


    Und als zweites: Ich habe gefragt, ob es noch eine zweite anonyme Form gibt, seinen Impfwunsch zu äußern, hab ich da die Antwort überlesen, oder kam da noch keine?

    Die Frage ob es noch eine weitere Liste gibt welcher nicht öffentlich ist spielt da nach meiner Meinung keine Rolle.
    Das fällt klar unter §9 DGSVO mit den Daten die dort vorhanden sind in der Liste. Da gibt es keine Öffnungsklausel das das so gemacht werden kann wenn es noch andere Möglichkeiten gibt wie Nichtteilnahme oder zweite nicht öffentliche Liste.

    Der Tatbestand der Datenverarbeitung und dazu gehört schon die Erfassung führt zwingend zum §9 DGSVO. Und damit ist das Thema gegessen.

    Bevor wir einfache oder komplizierte Gesetzen/Verordnungen erlassen sollten wir es vielleicht mit etwas einfachen wie Hochdeutsch versuchen :)

  • Aber unabhängig von §9 DSGVO gilt doch auch, dass wenn ich freiwillig Daten bekannt gebe, in dem Wissen, dass sie öffentlich sind, dann habe ich der Datenverarbeitung so wie es mir bewusst war zugestimmt. Und wenn eine Liste öffentlich aushängt, dann ist mir bewusst, dass jeder meinen Namen (oder Pseudonym) lesen kann. Und dann kann ich mich im Anschluss nicht darüber beschweren, dass der Datenschutz nicht eingehalten wurde.


    Dass die öffentlichen Aushänge dann nicht vom Arbeitgeber eingesammelt und zusammengefasst und dann wieder veröffentlicht (am besten auch außerbetrieblich) werden dürfen, ist klar, dass würde dem Datenschutz widersprechen.


    Aber selbst das Zusammenfassen an sich stellt für mich noch keinen Datenschutzverstoß dar, da die Daten ja für die Impfung benötigt werden.


    Meine Frage zielte darauf ab, dass man ohne Alternative doch von einem gewissen Zwang ausgehen kann, wenn der Arbeitgeber sagt, entweder du machst das öffentlich, oder du bekommst keine Impfung.


    LG

    Markus

    "Ein Kompromiss ist dann vollkommen, wenn alle unzufrieden sind" Aristide Briand

  • Also, Augen auf im Betriebsrat und nicht zu lax rangehen,

    ...und sich vielleicht auch mal ein paar Kenntnisse über grundlegende Rechtssystematik aneignen.


    Der AG stellt nur (öffentlich) eine Liste zur Verfügung und klärt über deren Zweck auf, er trägt aber niemand in diese Liste ein.

    Wenn ich mich aber in diese Liste eintrage, bin ich hier die handelnde Person. Ich selbst erfasse und speichere meinen Namen in dieser öffentlichen Liste, nicht der AG.

    Der AG macht quasi das Angebot Daten (Name) zu einem bestimmten Zweck (Impfung) zu verarbeiten und schafft die Möglichkeit dass die MA ihre Daten zu diesem Zweck erfassen und speichern können.

    D.h. erfassen und speichern tut der MA seine Daten selbst (was er natürlich darf) und verarbeiten tut sie der AG mit der Zustimmung der entsprechenden MA, denn die Verarbeitung der Daten (zum Zweck der Impfung) war ja der ursächliche Grund, dass sie ihre Daten überhaupt in der Liste erfasst und gespeichert haben.

    „Schreibe nicht der Böswilligkeit zu, was durch Dummheit hinreichend erklärbar ist“

    Hanlons Rasiermesser

  • du machst das öffentlich, oder du bekommst keine Impfung

    Ich sehe schon, das Abendland ist in Gefahr und der vielzitierte mündige Bürger muss gefälligst bevormundet werden...


    Und nein, der AG ist gar nicht in der Lage zu sagen "oder du bekommst keine Impfung". Die Aussage dahinter ist: "Wenn du willst, trag dich ein und ich organisier das für dich mit, oder du musst dich selber kümmern." Nicht mehr, nicht weniger.


    Ich sehe hier keinen Zwang. Wenn man das Angebot denn unbedingt diffamieren will, dann vielleicht als unbeholfen. Aber das war es dann auch schon.


    Die öffentliche Erfassung, Speicherung und Darstellung von personenbezogenen Daten unterliegt grundsätzlich den Vorgaben von BDSG und DSGVO. d. h. es gelten die Grundprinzipien, wie Datensparsamkeit, Rechtmäßigkeit, Zweckbindung, Integrität und Vertraulichkeit etc..


    Die Erhebung von personenbezogenen Gesundheitsdaten und die Veröffentlichung derer ist so wie bei uns geschehen gemäß DSGVO Art. 9 verboten.

    Alles richtig und fachlich/sachlich nicht von der Hand zu weisen. Aber wenn das die Antwort von eurem Datenschützer war, habe ich in etwa eine Idee, wie die Frage lautete...



    und bin bei uns auf eine Geldbuße von 750 TEUR gekommen

    Das klingt natürlich dramatisch. Nur wird es dazu nicht kommen. Warum? Weil der AG hier nichts veröffentlicht. Es ist der AN der sich einträgt, der hier irgendwas veröffentlicht. Denn wir reden ja nicht von einer Liste, die der AG nach Erstellung ausgehangen hat (dann verstünde ich die ganze Diskussion ohne weiteres), sondern über einen Aushang, in den ICH MICH eintrage (und damit meine Daten veröffentliche(!)) oder eben nicht.



    man hätte die Daten mit nur wenig mehr Aufwand ohne Klarnamennennung erfassen können...

    Wie sagt der Volksmund so schön? Hätte, hätte, Fahrradkette... Hat der AG aber nicht getan.


    Und anstatt den AG zu unterstützen in seinen Bemühungen (z.B. in dem man dem AG anbietet die Daten für ihn (bzw. die Kollegen) zu sammeln), wird hier die große Keule rausgeholt und versucht auf den AG einzudreschen. Ich kapier einfach die Denke dahinter nicht. Tut mir leid!

    Wer fragt ist ein Narr - für fünf Minuten. Wer nicht fragt bleibt ein Narr - sein Leben lang!

  • Und anstatt den AG zu unterstützen in seinen Bemühungen (z.B. in dem man dem AG anbietet die Daten für ihn (bzw. die Kollegen) zu sammeln), wird hier die große Keule rausgeholt und versucht auf den AG einzudreschen. Ich kapier einfach die Denke dahinter nicht. Tut mir leid!

    Wenn du das als Betriebsrat machst und die erste Anfrage nach Art 12 ff DSGVO kommt von einem Mitarbeiter dann wird der Betriebsrat Auskunft geben was er an Daten hat. Weil die Frage kann der Arbeitgeber nicht beantworten und gibt die zur Beantwortung an den Betriebsrat weiter.
    Glaube mir das ist kein Spass mehr wenn so etwas auf den Tisch kommt. Dann hat der BR hoffentlich eine gute Dokumentation wer was wo speichert, verarbeitet und Zugriff darauf hat.
    Auch wenn der Arbeitgeber die Verantwortung nach außen trägt kommt da dann auch Arbeit auf den Betriebsrat zu.

    Bevor wir einfache oder komplizierte Gesetzen/Verordnungen erlassen sollten wir es vielleicht mit etwas einfachen wie Hochdeutsch versuchen :)

  • Mal ein anderes Beispiel: Der AG sagt: "Ich fahre in der Mittagspause zum Bäcker. Soll ich ich jemandem etwas mitbringen?" Damit er niemanden vergisst, lässt er eine Liste rumgehen, in der jeder eintragen kann, was er gerne möchte. Ich habe jetzt aber Angst vor meinem Kollegen, weil der militanter Veganer ist und seinem Sohn den Umgang mit meinem Filius verbieten könnte, wenn er erfährt, dass ich Allesfresser bin. "Kein Problem", sagt der Chef, "trag dich doch einfach als Hein Blöd ein. Das kann ich dir zuordnen und übergebe dir deine Leberkäswecken ganz diskret."


    Und da soll jetzt der BR den Datenschutzbeauftragten einschalten und dem AG ein hohes Bußgeld drohen? :huh:

    Sorry Suppenkasper, allgemein schätze ich deine Beiträge, aber hier schiesst du m.E. übers Ziel hinaus. ;)

    Für einen Betriebsrat gilt: Lobt dich der Gegner, ist das bedenklich. Schimpft er, dann bist du in der Regel auf dem richtigen Weg. (August Bebel)

  • Die Daten werden dem AG mitgeteilt. Er darf diese zur Kenntnis nehmen, aber nicht weiter verarbeiten oder speichern. Wenn er am Ende nur durchzählt, wie viele Impfdosen er braucht und wen er über den Impftermin informieren muss, dann ist das allerhöchstens grenzwertig.

    Im Gegensatz zu vielen hier sehe ich in der altmodischen Papierliste schon fast die sicherste Art der Erfassung, wenn man nicht einen riesigen Aufwand betreiben will. Die Liste kann nicht einfach so kopiert werden, es gibt kein Backup über mehrere Jahre, die Liste kann nicht im Nachhinein verändert werden und die sichere Vernichtung aller erfassten Daten ist mit dem Papierschredder zuverlässig erledigt. Das bildet mal mit einem anonymen Formular ab, bei dem neben dem Pseudonym die IP Adresse des Computers steht, ggf. auch der Loginname - nicht in der Liste, aber in den Logfiles.


    Die Datenerfassung von Gesundheitsdaten ist nicht verboten. Mit ihnen ist nur besonders sensibel umzugehen. Wenn Name und

    (Wenn ich neben meinem Namen noch eine Diagnose an die Hauswand sprühe, verstößt der Hausbesitzer immer noch nicht gegen die DSGVO).

    Das sehe ich ebenfalls so. Problematisch wird es erst, wenn er die Daten auswertet, speichert und verarbeitet. Zur Polizei gehen dürfte er mit einem Foto der Hauswand auf einem Cloudspeicher also nicht. ;)

  • Die Daten werden dem AG mitgeteilt. Er darf diese zur Kenntnis nehmen, aber nicht weiter verarbeiten

    Doch, darf er. Aber natürlich nur zu dem angegebenen Zweck (Impfung).

    Das Angebot des AG besteht ja darin die Daten zu eben diesem Zweck zu verarbeiten. Er sagt ja quasi: "Wenn Du willst, dass ich Deine Daten (Name) zu diesem Zweck (Impfung) verarbeite, dann erfasse Deine Daten in der dafür vorgesehenen Liste".

    Ich weiß also vorher dass der einzige Zweck, mich in diese Liste einzutragen, ist dass meine Daten anschließend zu dem Zweck Impfung verarbeitet werden.

    Wenn ich nicht will, dass meine Daten verarbeitet werden, dann erfasse ich sie nicht in dieser Liste und wenn ich sie in dieser Liste erfasse, dann nur zu dem Zweck, dass sie auch verarbeitet werden, denn nur zu diesem Zweck existiert diese Liste.

    D.h. mit dem Eintrag in diese Liste erteile ich nicht nur die Zustimmung zur Verarbeitung, ich äußere sogar explizit den Wunsch, dass meine Daten zum Zwecke einer Impfung verarbeitet werden.

    „Schreibe nicht der Böswilligkeit zu, was durch Dummheit hinreichend erklärbar ist“

    Hanlons Rasiermesser

  • Mal ein anderes Beispiel: Der AG sagt: "Ich fahre in der Mittagspause zum Bäcker. Soll ich ich jemandem etwas mitbringen?" Damit er niemanden vergisst, lässt er eine Liste rumgehen, in der jeder eintragen kann, was er gerne möchte. Ich habe jetzt aber Angst vor meinem Kollegen, weil der militanter Veganer ist und seinem Sohn den Umgang mit meinem Filius verbieten könnte, wenn er erfährt, dass ich Allesfresser bin. "Kein Problem", sagt der Chef, "trag dich doch einfach als Hein Blöd ein. Das kann ich dir zuordnen und übergebe dir deine Leberkäswecken ganz diskret."


    Und da soll jetzt der BR den Datenschutzbeauftragten einschalten und dem AG ein hohes Bußgeld drohen? :huh:

    Sorry Suppenkasper, allgemein schätze ich deine Beiträge, aber hier schiesst du m.E. übers Ziel hinaus. ;)

    Der beste Datenschutz ist wenn Daten gar nicht erhoben werden. Dann ist da auch kein Missbrauch möglich.

    Wenn du aber mal weiterdenkst das jetzt der Kollege nicht etwas gegen militante Veganer hat sondern das er z. B. aus einer besonderen Mahlzeit welche du haben willst vielleicht, auch gerne fehlerhaft(!), auf eine bestimmte Glaubensrichtung schließt und dann mit der Information und der falschen Interpretation etwas macht ist das vielleicht etwas Anderes.

    Wobei ich hier zwar die Datenerfassung aber keine wirklich Datenverarbeitung und sicher keine weitere Speicherung der Daten sehe und das dann doch entspannt sehe in dem Beispiel des Essens.

    Wobei den Hein Blöd vielleicht sogar zwei weitere Personen zuordnen können je nach dem wie die Datenerfassung verläuft. Nämlich der welcher dir den Zettel gibt und derjenige an welchen du den Zettel weitergibst.

    Bevor wir einfache oder komplizierte Gesetzen/Verordnungen erlassen sollten wir es vielleicht mit etwas einfachen wie Hochdeutsch versuchen :)

  • Wenn du aber mal weiterdenkst das jetzt der Kollege nicht etwas gegen militante Veganer hat sondern das er z. B. aus einer besonderen Mahlzeit welche du haben willst vielleicht, auch gerne fehlerhaft(!), auf eine bestimmte Glaubensrichtung schließt und dann mit der Information und der falschen Interpretation etwas macht ist das vielleicht etwas Anderes.

    Oh mein Gott! Müssen wir jetzt aus Datenschutzgründen die Kantine schließen, weil ich da immer sehe was die Kollegen auf dem Teller haben?


    Der beste Datenschutz ist wenn Daten gar nicht erhoben werden. Dann ist da auch kein Missbrauch möglich.

    also lieber gar nichts tun als einen Fehler zu riskieren? So kommt man aber nicht weit im Leben, praktisch jede Handlung ist mit einem gewissen Risiko verbunden. Selbst wenn man nur pinkeln geht, kann man sich schmerzhaft was im Reißverschluss einklemmen, deshalb ist aber nicht pinkeln keine Alternative.

    Es ist doch auch gar nicht so kompliziert mit dem Datenschutz, wie oft getan wird. Es geht doch, bei der Erhebung/Verarbeitung, im Wesentlichen nur um Zweckbindung, Datensparsamkeit und Verbot mit Erlaubnisvorbehalt.

    Wenn ich also einen konkreten Zweck habe (wie in diesem Fall die Impfung/das belegte Brötchen) und auch ausschließlich die Daten erhebe, die zu diesem Zweck notwendig sind (Name bzw. Pseudonym, um die Impfung/das belegte Brötchen dem MA zuordnen zu können der sie/es bestellt hat) und auch noch die Erlaubnis habe (erteilt durch den "Besitzer" dieser Daten, indem er mir sie wissentlich zu diesem Zweck zur Verfügung stellt), dann habe ich auch kein Datenschutzproblem.

    „Schreibe nicht der Böswilligkeit zu, was durch Dummheit hinreichend erklärbar ist“

    Hanlons Rasiermesser

  • na dann wartet mal bis vollständig geimpfte Arbeitsgruppen wieder ohne Auflagen arbeiten dürfen und unvollständig geimpfte Arbeitsgruppen weiterhin Maske etc. tragen müssen.


    Da wird dann aber unter den MA der Datenschutz selbstständig "kastriert" und diejenigen die MA die heute aufgrund von Datenschutz nix preisgeben wolle (und das auch nicht wollen dürfen) dann mit ihrem Impfpass rumrennen: ich bin geimpft, an mir liegt es nicht

    Die Scheu vor der Verantwortung ist eine Krankheit unserer Zeit, denn Macht ohne Verantwortung ist wie ein Feuer außer Kontrolle.


  • na dann wartet mal bis vollständig geimpfte Arbeitsgruppen wieder ohne Auflagen arbeiten dürfen und unvollständig geimpfte Arbeitsgruppen weiterhin Maske etc. tragen müssen.

    wie kommst Du denn auf die Idee? Das klingt jetzt aber schon ziemlich nach Querdenker-Phantasien.

    Glaubst Du wirklich man würde eine Corona-Verordnung erlassen, die die Separierung von Geimpften und nicht geimpften MA vorsieht? Wer soll denn dann in der Praxis diese Separierung vornehmen? Der AG, der gar nicht weiß wer geimpft ist und wer nicht? Oder kommt dann das Gesundheitsamt in alle Betriebe und teilt die MA auf?

    Ohne eine solche Verordnung kann der AG das natürlich sowieso nicht.

    1. Weiß der AG gar nicht wer geimpft ist und wer nicht.

    2. Solange die Corona-Verordnung in ihrer jetzigen Form besteht, kann er den Geimpften das Maske-tragen nicht erlassen, weil das gegen diese Verordnung verstoßen würde.

    3. Wenn die Corona-Verordnung in ihrer jetzigen Form nicht mehr besteht, kann er den Ungeimpften das Maske-tragen nicht vorschreiben, da er dafür keine Rechtsgrundlage mehr hat.

    „Schreibe nicht der Böswilligkeit zu, was durch Dummheit hinreichend erklärbar ist“

    Hanlons Rasiermesser

  • wie kommst Du denn auf die Idee?

    wenn der AG die Impfung organisiert und evt auch eine Prio-Liste erstellen muss (weil nicht genug Impfstoff vorhanden) dann weiss er auch wer geimpft wurde.

    Alle anderen AG natürlich nicht.

    2. Solange die Corona-Verordnung in ihrer jetzigen Form besteht, kann er den Geimpften das Maske-tragen nicht erlassen, weil das gegen diese Verordnung verstoßen würde.

    korrekt, keine Frage.

    3. Wenn die Corona-Verordnung in ihrer jetzigen Form nicht mehr besteht, kann er den Ungeimpften das Maske-tragen nicht vorschreiben, da er dafür keine Rechtsgrundlage mehr hat.

    auch korrekt, solange es keine neue, geänderte Verordnung gibt.


    Ich schätze das die Verordnung erstmal 2 Monate verlängert und danach abgeändert wird, das sie ersatzlos entfällt, glaube ich nicht. (wobei wenn dann kann ich gut damit leben)


    und NEIN, bin kein Querdenker (zumindestens nicht in dem Sinn Corona-Querdenker) und halte auch nix von den Theorien.

    Die Scheu vor der Verantwortung ist eine Krankheit unserer Zeit, denn Macht ohne Verantwortung ist wie ein Feuer außer Kontrolle.


  • Der Arbeitgeber erfasst und speichert in diesem Fall gemäß DSGVO verbotene Gesundheitsdaten, dazu werden die bei uns veröffentlicht. Ob das andere eintragen ist irrelevant, Verwender ist der Arbeitgeber.


    Insgesamt verboten und gem. DSB spielt Freiwilligkeit oder Pseudonym keine Rolle. Es ist auch nicht fahrlässig sondern mind. grob fahrlässig.


    Die obigen Kommentare wegen Brötchenliste etc. mögen denjenigen helfen, die die Meinung nicht akzeptieren wollen. Rechtlich ist es wohl eindeutig.


    Am Ende geht es auch nicht um Boykott, sondern das mildeste Mittel. Dies wäre bei uns die Eintragung der Personalnummer anstelle des Klarnamens gewesen.


    Also bitte nicht so schwarz-weiss malen, sondern Lösungen suchen, die den Konflikt und ggf. Strafe verhindern…

  • Doch das kann man machen und dem Arbeitgeber so was an ans Bein fahren.
    Man muss da klar das eigenenverantwortliche "Einschreiben" in die Liste und die dann folgende Nutzung bzw. Verarbeitung.
    Nur weil ich mich auf eine Liste setzte ist der Arbeitgeber nicht frei sich an den Datenschutz zu halten. Das muss er ganz klar tun.

    Bevor wir einfache oder komplizierte Gesetzen/Verordnungen erlassen sollten wir es vielleicht mit etwas einfachen wie Hochdeutsch versuchen :)