Datenschutz ist Diskriminierungsschutz

Beim Arbeitgeber zwangsgeoutet

Gesundheitsbezogene Daten wie der HIV-Status sind besonders geschützt und dürfen nicht ohne Einwilligung weitergegeben werden. Das dachte auch Frank W. – bis sein Arbeitgeber per Fax von seinem positiven HIV-Status erfuhr.

Frank W. und sein Lebenspartner sind HIV-positiv, seit Jahren schon. „Mit meiner HIV-Erkrankung habe ich nie ein Problem gehabt“, sagt er. Wohl aber mit dem, was ihnen im April 2018 widerfahren ist. Da faxte das Amtsgericht Paderborn einen Beschluss an ihren gemeinsamen Arbeitgeber, der den positiven HIV-Status der beiden Männer enthielt. Schnell machte das die Runde im ganzen Betrieb, in dem ohnehin nur etwa 25 Leute arbeiten. „Ich war fassungslos darüber. Denn natürlich möchte ich selbst entscheiden, wem ich von meiner HIV-Erkrankung erzähle“, so Frank weiter. „Meinen Arbeitgeber oder meine Kollegen geht das einfach nichts an.“

„Meinen Arbeitgeber oder meine Kollegen geht das einfach nichts an.“

Was war passiert? Frank W. und sein Partner sind in der Privatinsolvenz. Das heißt, Teile ihres Gehalts werden direkt beim Arbeitgeber einbehalten, um es den Gläubigern zukommen zu lassen. So hat es das Amtsgericht Paderborn im Rahmen eines üblichen Zwangsvollstreckungsverfahrens beschlossen. Im September 2017 hatten die beiden Männer einen Mehrbedarf für sich bei Gericht beantragt. Anders gesagt: Es sollte etwas weniger gepfändet werden, damit mehr Geld im Portmonee bleibt. Denn aufgrund ihrer HIV-Infektion – beide sind zudem wegen weiterer Erkrankungen als Schwerbehinderte anerkannt – hätten sie regelmäßig zusätzliche Kosten für Medikamente, besondere Lebensmittel und Hygieneartikel.

Ein solcher Antrag ist nichts Ungewöhnliches. Nach der Zivilprozessordnung kann der pfändbare Teil des Arbeitseinkommens reduziert werden, wenn „besondere Bedürfnisse des Schuldners aus persönlichen oder beruflichen Gründen“ dies erfordern (§ 850f ZPO). Außergewöhnlich ist auch nicht, dass das Gericht seinen Beschluss an den Arbeitgeber, der den zu pfändenden Teil des Gehalts abführen muss, schickt. Im Gegenteil: Als Mitwirkender im Verfahren muss der Arbeitgeber informiert werden.

Dass aber intimste Gesundheitsinformationen wie der HIV-Status, zudem noch als Fax und damit potenziell für jeden einsehbar, übermittelt werden, machte Frank W. und seinen Partner fassungslos. Denn die beiden Männer waren im Unternehmen nicht als positiv geoutet. Als der Gerichtsbeschluss beim Arbeitgeber ankam, war Frank W. gerade in der Reha. „Mein Mann rief mich an, dass bei uns im Betrieb die Hölle los ist“, erinnert er sich. „Auch wenn niemand das Wort HIV in den Mund genommen hat, war ganz klar, dass es jeder wusste.“

„Mein Mann rief mich an, dass bei uns im Betrieb die Hölle los ist“

Das Erlebte wollten die beiden nicht auf sich beruhen lassen und reichten eine Dienstaufsichtsbeschwerde sowie eine Strafanzeige wegen der Verletzung von Privatgeheimnissen gegen den Rechtspfleger ein, der den Beschluss verfasst und versandt hatte. „Es geht uns nicht um eine Abrechnung mit dem Gericht“, stellt Frank W. klar. „Wir fühlen uns einfach nur diskriminiert.“

Die Dienstaufsichtsbeschwerde wurde zurückgewiesen: Da der Gerichtsbeschluss auch den Arbeitgeber betrifft und zum Handeln zwingt, müsse ihm die komplette Begründung zugestellt werden. Zwar äußerte das Gericht sein Bedauern über den Vorgang, nicht jedoch ohne die Verantwortung weiterzureichen: Es sei bedauerlich, dass das Schreiben im Unternehmen die Runde gemacht habe, allerdings handle es sich um ein Thema, dass den Arbeitgeber beträfe. Und auch die Strafanzeige verlief erfolglos: Die Einleitung von Ermittlungen komme nicht in Betracht, da keine verfolgbare Straftat zu erkennen sei.

Frank W. wollte das nicht akzeptieren und ließ sich – mit finanzieller Hilfe der Deutschen AIDS-Stiftung – anwaltlich beraten. Doch auch hier fiel der Befund ernüchternd aus: Das Vorgehen des Rechtspflegers sei zwar zu beanstanden, die juristischen Möglichkeiten seien aber ausgeschöpft.

Eine Rechtslücke also? Dass es tatsächlich anders geht, zeigt ein Folgebeschluss des Amtsgerichts Paderborn vom September 2018. Darin ist nur noch von einer „chronischen Erkrankung“ bei Frank W. die Rede.

Meldung zum Thema:

"Ungewolltes Outing per Fax" - Neue Westfälische

Mehr Datenschutz in Arztpraxen und Kliniken

Schluss mit dem immer wieder sorglosen Umgang mit gesundheitsbezogenen Daten: Die EU-Datenschutzgrundverordnung, seit Mai 2018 in Kraft, stärkt die Persönlichkeitsrechte. Davon profitieren auch Menschen mit HIV.

Ob ein farbiger Aufkleber auf einer Patientenakte, der für „HIV-positiv“ steht, oder Versicherungsunternehmen, die ohne Not den HIV-Status erfassen – sicher Einzelfälle und dennoch wiederkehrende Erfahrungen, die Menschen mit HIV immer noch machen. Die neue EU-Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 in der gesamten EU in Kraft trat, bringt ein ganzes Paket an Verbesserungen mit sich.

Auch wenn der Datenschutz in Deutschland vorher schon hoch war, mit der DSGVO rückt das Thema Datenschutz bei Unternehmen und Einrichtungen mehr als zuvor ins Bewusstsein. Das liegt zum einen daran, dass die Verordnung für alle Unternehmen gilt, die in der EU tätig sind. Darunter fallen also auch Firmen, die ihren Sitz außerhalb der EU haben, aber in Deutschland ihre Produkte anbieten.

Massive Verstärkung der Sanktionen bei Datenschutzverletzungen

Hinzu kommen die massiv verstärkten Sanktionen bei Datenschutzverletzungen: Im Rahmen des Bundesdatenschutzgesetzes lagen die Bußgelder bei bis zu 300.000 Euro pro Einzelfall. Nach der DSGVO können bis zu 20 Millionen Euro oder bis 4 Prozent des weltweit erzielten Jahresumsatzes fällig werden. Ganz zu schweigen von den möglichen strafrechtlichen Konsequenzen von bis zu drei Freiheitsstrafe.

Zu guter Letzt wurden die Rechte der Verbraucher_innen gegenüber Unternehmen deutlich erweitert.

Folgende Grundprinzipien garantiert der EU-Datenschutz:

  • Zweckbindung: Personenbezogene Daten dürfen nicht einfach so gespeichert und verarbeitet werden, sondern müssen einem bestimmten Zweck dienen, z.B. der Erfüllung eines Vertrages. Die Nutzung für einen anderen Zweck ist verboten.
  • Datensparsamkeit: Es dürfen nur die Daten genutzt werden, die für den festgelegten Zweck nötig sind. Entfällt der Zweck, z.B. bei Vertragsende, sind die Daten zu löschen, spätestens nach dem Ablauf gesetzlicher Aufbewahrungsfristen.
  • Einwilligung: Bevor Daten genutzt werden, muss die betroffene Person einwilligen. Außerdem kann eine Einwilligung jederzeit widerrufen werden.
  • Transparenz: Verbraucher_innen sollen jederzeit wissen, wo sich ihre Daten befinden. Das heißt, dass sie bei der Einwilligung über die Datenverwendung zu informieren sind sowie kostenlos Auskunft darüber verlangen können, welche Daten gespeichert sind. Werden Daten weitergegeben, müssen die betroffenen Personen darüber informiert werden.
  • Richtigkeit: Die gespeicherten Daten müssen korrekt sein. Falsche Daten müssen gelöscht oder berichtigt werden.
  • Datenlöschung: Unternehmen müssen Daten auf Verlangen von Verbraucher_innen löschen (Recht auf Vergessenwerden), z.B. wenn die Daten unrechtmäßig erhoben wurden oder der Zweck der Verarbeitung erloschen ist.
  • Datenmitnahme: Das Recht auf Datenübertragbarkeit soll dafür sorgen, bestehende Daten zu einem neuen Anbieter mitzunehmen. Hierfür können Verbraucher*innen die Herausgabe der Daten verlangen.
  • Vertraulichkeit: Wer Daten speichert, muss gewährleisten, dass sie auch sicher sind. Dazu gehört der Schutz vor unerlaubtem Zugriff oder unbeabsichtigtem Verlust.

Für Menschen mit HIV heißt das: Datenschutzverletzungen welcher Art auch immer müssen und sollen auch künftig nicht hingenommen werden. Die Landesdatenschutzbeauftragten und -behörden sind wichtige Anlaufstelle bei Verstößen gegen die DSGVO. Sie haben die Pflicht, Beschwerden nachzugehen, Datenschutzmängel zu beanstanden und gegebenenfalls Bußgelder zu verhängen. Eine Liste der zuständigen Beauftragten finden Sie hier.

Was bringt die EU-Datenschutzgrundverordnung für Menschen mit HIV?

Fragen an Jasper Prigge, Rechtsanwalt für Medienrecht

Wie werden die Rechte der Bürger_innen gestärkt?

Das Datenschutzbewusstsein insgesamt wächst. Wie sich manche Regelungen der Verordnung auswirken werden, ist noch unklar, zum Beispiel in Sachen Schadenersatz. Hier wird die gerichtliche Spruchpraxis entscheidend sein. Gut ist auf jeden Fall, dass die Auskunfts- und Löschungsrechte für Verbraucher_innen in der Praxis strenger gehandhabt werden. Das ist ein großer Schritt nach vorn.

Was bedeutet das in Bezug auf den Patient_innenschutz?

Dass Ärzt_innen und Klinikpersonal verpflichtet sind, gesundheitsbezogene Daten geheim zu halten, ist nicht neu. Aber das Thema hat mehr Gewicht bekommen. Dazu trägt vor allem die Stärkung der Landesdatenschutzbehörden bei, die härter sanktionieren und hohe Bußgelder verhängen können. Das ist gut für Betroffene, die einen Verstoß vermuten. Denn sie können die Aufsichtsbehörde einschalten, dann müssen die Praxen oder Kliniken nachweisen, dass sie alle Datenschutzvorschriften umgesetzt haben.

Was können Menschen mit HIV bei Datenschutzverletzungen tun?

Das hängt von der Art der Verletzung ab. Die Offenbarung eines Geheimnisses gegenüber Dritten, also zum Beispiel des positiven HIV-Status‘, ist ein sehr schwerwiegender Verstoß. Hier empfehle ich, sich von professionellen Stellen wie den Aidshilfen oder Fachanwälten beraten zu lassen. Bei einer Datenschutzverletzung im Krankenhaus kann man auch die bzw. den Datenschutzbeauftragte_n der Klinik einschalten. Diese Position wurde mit der DSGVO aufgewertet, sie arbeitet mit den Aufsichtsbehörden zusammen. Ansonsten kann man sich immer auch an die Antidiskriminierungsstelle des Bundes oder die Ermittlungsbehörden wenden. Wichtig ist: Datenschutzverletzungen sind keine Lappalie. Man kann und sollte dagegen vorgehen – und zwar frühzeitig!

Und was müssen Arztpraxen und Kliniken tun bei Datenschutzverletzungen?

Sobald sie eine Datenpanne feststellen, müssen sie diese innerhalb von 72 Stunden an die Datenschutzbehörde melden. Dabei geht es nicht nur nach der Größe des Datenlecks, sondern auch wie sensibel die Daten sind. Und das ist bei Gesundheitsdaten natürlich der Fall. Außerdem müssen die betroffenen Personen unverzüglich informiert werden, wenn ein hohes persönliches Risiko für sie besteht, also zum Beispiel ein verlorengegangener Datenträger nicht ausreichend verschlüsselt war.

Stephan Kolbe