Zum Inhalt springen Zur Navigation springen
Kann denn Fragen Sünde sein?

Kann denn Fragen Sünde sein?

Augen auf beim Fortbildungskauf! Ein Fall aus der Praxis zeigt, bei der Anmeldung von Mitarbeitern zu Fortbildungen ist in datenschutzrechtlicher Hinsicht manchmal Vorsicht geboten.

Fragen über Fragen?

Eine Mitarbeiterin wollte sich – dem Wunsch ihres Arbeitgebers entsprechend – als Führungskraft in ihren Managementfähigkeiten bei einem selbst auszuwählenden externen Institut weiterbilden lassen.

Hierzu sollte sie sich mittels eines Anmeldebogens für ein entsprechendes Training mit auch „sportlichen“ Aktivitäten anmelden. Beim Ausfüllen des Formulars kamen ihr allerdings Zweifel, um welche Art der Veranstaltung es sich dabei handelte.

Das Formular enthielt nämlich neben der Abfrage ihren Adressdaten eine Reihe von Fragen höchstpersönlicher Natur. So wollte das Institut unter anderem wissen, ob sich der Teilnehmer innerhalb des letzten Jahres in psychologischer Behandlung befunden hatte und weswegen, welche gesundheitlichen Probleme sonst bestünden und ähnliche pikante Details aus dem Privatbereich des Teilnehmers.

Und was ist mit Datenschutz?

Hier stellt sich die Frage, wozu das Fortbildungsunternehmen diese äußerst privaten Informationen eigentlich benötigt. Klar ist, dass Fortbildungsunternehmen solche persönlichen Daten der Teilnehmer erheben und speichern dürfen, welche zur Begründung des Vertragsverhältnisses sowie dessen Durchführung und Abrechnung notwendig sind (§ 28 Abs. 1 Nr. 1 BDSG). Hierzu zählen Namens- und Adressdaten der Teilnehmer, wie ggf. auch freiwillige Angaben im Zusammenhang mit der Erteilung von Einzugsermächtigungen zur Bezahlung.

Soweit aber Angaben zur Gesundheit – also besondere personenbezogene Daten i.S.v. § 3 Abs. 9 BDSG – erhoben und verarbeitet werden, ist dies nach § 28 BDSG nur unter engen Voraussetzungen zulässig, nämlich

„(6) …, soweit nicht der Betroffene nach Maßgabe des § 4a Abs. 3 eingewilligt hat, wenn

dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben,

es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat,

dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt, oder

dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung und Nutzung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.

(7) Das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen.“

Nach der Einwilligung des Anmeldenden fragte der Wortlaut des Formulars nicht und es fehlten Ausführungen zum vorgesehen Verwendungszweck ebenso wie dazu, welche Angaben freiwillig sind. Auf eine wirksame Einwilligung könnte sich damit das Fortbildungsunternehmen nicht berufen.

Als gesetzliche Rechtfertigung käme allenfalls noch die Verteidigung rechtlicher Ansprüche in Betracht, soweit Gesundheitsdaten der Teilnehmer dazu verwendet werden sollen, deren Tauglichkeit zu „sportlichen“ Aktivitäten zu klären um im Falle von eventuellen Verletzungen der eigenen Sorgfaltspflicht genügt zu haben. Hierzu reicht in der Regel entweder eine entsprechende Versicherung der Teilnehmer oder die Vorlage einer ärztlichen Bescheinigung völlig aus.

Sünde und Absolution?

Nun zur Ausgangsfrage; ja solche Fragen zu stellen ist im datenschutzrechtlichen Sinne „Sünde“.

Im kirchlichen Bereich reichte für die Absolution vielleicht noch, dass der Sünder sein Tun bereut und die ernste Absicht zur Besserung hat.

Im Datenschutzrecht hilft dagegen nur die Einhaltung der Vorschriften.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.