"Gute Beratung setzt einen verlässlichen Informationsfluss voraus. Als vertrauensvoller Partner schaffen wir mehr als nur durchgehende Kostentransparenz."
Newsletter Kanzlei Schiedermair

Newsletter

Einführung

Die Bekämpfung und Eindämmung der Corona-Pandemie ist von größter Bedeutung. Hierfür ist es wichtig, die Zahl weiterer Infektionen durch die Isolation Infizierter, die Ermittlung von Infektionswegen und die Information von Kontaktpersonen so weit wie möglich einzudämmen. Die Verarbeitung personenbezogener Daten (Gesundheitsdaten) ist hierfür unerlässlich. Damit wirft die Corona-Pandemie auch datenschutzrechtliche Fragen für Arbeitgeber auf. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit und die Datenschutzkonferenz haben hierzu kürzlich Informationen veröffentlicht, die Klarheit für Arbeitgeber bringen. Hierüber möchten wir Sie nachfolgend informieren.

Verarbeitung von Gesundheitsdaten

Erheben Arbeitgeber Daten ihrer Arbeitnehmer, um eine Infektion der Belegschaft mit dem Corona-Virus möglichst zu verhindern oder einzudämmen, werden dabei Gesundheitsdaten im Sinne von Art. 9 Abs. 1 EU-Datenschutz-Grundverordnung („DS-GVO") verarbeitet. Gesundheitsdaten sind besonders geschützt. Für ihre Verarbeitung bestimmt die DS-GVO restriktive Regeln. Die Datenschutzbehörden vertreten in der jetzigen Situation der Corona-Pandemie jedoch die Auffassung, dass für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Arbeitnehmern und Dritten solche Gesundheitsdaten datenschutzkonform erhoben und verarbeitet werden können. Selbstverständlich ist hierfür jedoch stets eine Rechtsgrundlage erforderlich und der Grundsatz der Verhältnismäßigkeit ist zu beachten. Im Einzelnen:

Datenschutzrechtlich zulässige Maßnahmen während der Corona-Pandemie

Unter anderem können folgende Maßnahmen nach Auffassung der Datenschutzaufsichtsbehörden zur Eindämmung und Bekämpfung der Corona-Pandemie als datenschutzrechtlich legitimiert betrachtet werden:

  • Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen, insbesondere Informationen zu Fällen: 
  • in denen bei einem Arbeitnehmer eine Infektion festgestellt wurde oder ein Arbeitnehmer Kontakt mit einer nachweislich infizierten Person hatte;
  • in denen sich Arbeitnehmer im relevanten Zeitraum in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet aufgehalten haben.
  • Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese
  • selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen;
  • sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.
  • Die Offenlegung personenbezogener Daten (insbesondere des Namens) von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen (in der Belegschaft sowie ggf. bei Kunden oder Lieferanten) ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Die getroffenen Maßnahmen müssen verhältnismäßig sein. Beispielsweise dürfte es (um ein extremes Beispiel zu nennen) unverhältnismäßig sein, wenn in einem Unternehmen eine öffentlich einsehbare Liste von bestätigten Fällen oder Corona-Verdachtsfällen geführt wird oder Arbeitnehmer über den kompletten E-Mail-Verteiler über Verdachtsfälle oder bestätigte Infektionen informiert werden. Vielmehr müssen die Daten auch in der jetzigen Situation so weit wie möglich vertraulich und ausschließlich zweckgebunden verarbeitet werden. Fällt der Verarbeitungszweck (Bekämpfung und Eindämmung der Corona-Pandemie) weg, müssen die erhobenen Daten unverzüglich gelöscht werden. Das ist spätestens nach dem Ende der Pandemie der Fall.

Rechtsgrundlage für die Datenverarbeitung

Die Datenschutzaufsichtsbehörden stellen fest, dass sich die genannten Maßnahmen auf Grundlage der DS-GVO und des BDSG (bzw. für öffentliche Stellen in Hessen: des HDSIG) legitimieren lassen. Rechtsgrundlagen sind:

  • Für die Verarbeitung von Daten von Arbeitnehmern: § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO (für öffentliche Stellen in Hessen: § 23 Abs. 1 HDSIG bzw. Art. 6 Abs. 1 Satz 1 lit. e) DS-GVO) jeweils i.V.m. den einschlägigen tarif-, arbeits- und sozialrechtlichen Regelungen sowie für Gesundheitsdaten § 26 Abs. 3 BDSG (§ 23 Abs. 3 HDSIG) und Art. 9 Abs. 2 lit. b) DS-GVO.
  • Für die Verarbeitung von Daten Dritter (z.B. Besucher): Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO (für öffentliche Stellen: Art. 6 Abs. 1 Satz 1 lit. c) und e) DS-GVO) und für die Verarbeitung von Gesundheitsdaten Art. 9 Abs. 2 lit. i) DS-GVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG (§ 20 Abs. 1 Nr. 3 HDSIG).

Eine Einwilligung der Betroffenen in die Datenverarbeitung ist in der Regel nicht erforderlich.

Fragerecht des Arbeitgebers und Offenbarungspflicht des Arbeitnehmers

Auch wenn nach dem oben Genannten feststeht, dass Arbeitgeber personenbezogene Daten im Zusammenhang mit der Corona-Pandemie im Rahmen des geltenden Rechts verarbeiten dürfen, heißt das noch nicht, dass Arbeitgeber ein unbegrenztes Fragerecht haben, um diese Informationen zu erhalten. Es wäre also weiterhin nicht zulässig, anlasslos eine Umfrage in der Belegschaft durchzuführen nach möglichen Kontakten mit Infizierten mit dem Corona-Virus oder Verdachtsfällen oder zum Aufenthalt in Risikogebieten. Auch konkrete Befragungen einzelner Arbeitnehmer dürften in der Regel nicht zulässig sein.

Allerdings ergeben sich aus dem Arbeitsrecht für Beschäftigte verschiedene Nebenpflichten, unter anderem auch Rücksichts-, Verhaltens- und Mitwirkungspflichten gegenüber ihrem Arbeitgeber und Dritten. In der jetzigen Situation dürfte daher eine Pflicht des Beschäftigten zu bejahen sein, den Arbeitgeber über das Vorliegen einer Infektion mit dem Corona-Virus oder den Aufenthalt in einem Risikogebiet zu informieren. Sofern Beschäftigte noch vor Ort im Betrieb tätig sind oder in den letzten zwei Wochen waren, können Arbeitgeber daher eine Information an alle Beschäftigten versenden mit der Bitte, entsprechende Risikofälle zu melden.

Hinsichtlich Dritten, die die Betriebsräume betreten möchten (z.B. Besucher, Kunden, Lieferanten) haben Unternehmen unseres Erachtens weitergehende Möglichkeiten, Risiken einer Infektion mit dem Corona-Virus zu erfragen und diesen Dritten bei Vorliegen eines Risikos den Zutritt zum Betrieb zu verweigern.

Weitere Datenschutzthemen während der Corona-Krise

Die Corona-Krise wirft weitere Fragen auf, die datenschutzrechtlich zumindest einer kurzen kritischen Prüfung unterzogen werden sollten. Dazu gehört angesichts der Tatsache, dass derzeit bei zahlreichen Unternehmen die Mitarbeiter im Home-Office arbeiten, insbesondere die Auswahl eines geeigneten und datenschutzkonformen Anbieters für Video- und Telefonkonferenzen. Je nach Unternehmensgröße, den finanziellen Mitteln und den bereits eingesetzten Software-Lösungen bieten sich hier verschiedene Möglichkeiten. Sprechen Sie uns gerne hierzu an.

Gerne unterstützen wir Sie auch weiterhin bei Ihren datenschutzrechtlichen Fragen. Wir freuen uns auf die Zusammenarbeit mit Ihnen. Kommen Sie gut durch diese schwierige und herausfordernde Zeit und, vor allem, bleiben Sie gesund!

Ihr SCHIEDERMAIR Datenschutz-Team


Sollten Sie bezüglich dieses Newsletters Fragen haben, wenden Sie sich gerne an folgende Ansprechpartner:

Dr. Jörg Buschbaum, LL.M. (NZ)
Verena Hechenblaikner, LL.M.
Dr. Katrin Stadler
Stephanie G. Hartung
Mona Baron

Wir möchten darauf hinweisen, dass die allgemeinen Informationen in diesem Newsletter eine Rechtsberatung im Einzelfall nicht ersetzen.