Viele Arbeitgeber stehen angesichts der Corona-Krise vor der Frage, welche Maßnahmen sie gegen die Ausbreitung des Virus ergreifen dürfen. Viele Beschäftigte fragen sich wiederrum, was sie über sich preisgeben müssen. Datenschutz ist aktuell sicher nicht die Hauptsorge, dennoch kann die Kenntnis der zulässigen Maßnahmen helfen, effektiv gegen den Corona Virus vorzugehen. In diesem Beitrag wollen wir daher eine Übersicht bieten, was datenschutzrechtlich bei der Umsetzung von Maßnahmen gegen den Coronavirus zu beachten ist.
Der Inhalt im Überblick
Der Beschäftigte bleibt Herr seiner Daten
Jede Person ist und bleibt auch angesichts der aktuellen Krise „Herr seiner Daten“, das gilt insbesondere bei den besonders sensiblen Gesundheitsdaten.
Konkrete Angaben zur eigenen Gesundheit muss der Beschäftigte gegenüber seinem Arbeitgeber daher grundsätzlich nicht machen. In Verdachtsfällen kann jedoch die Pflicht zur ärztlichen Untersuchung durch eine Gesundheitsbehörde bestehen. Auch kann anlässlich der Rückkehr von Reisen oder Erkrankungen im persönlichen Umfeld eine Auskunftspflicht über Aufenthaltsorte oder Kontaktpersonen bestehen, um dem Arbeitgeber eine Einschätzung zu Gesundheitsrisiken für den Betroffenen und andere Beschäftigte zu ermöglichen.
Besondere Vorsicht: Verarbeitung von Gesundheitsdaten der Beschäftigten
Viele Maßnahmen zur Bekämpfung des Coronavirus werden mit der Verarbeitung von sensiblen Gesundheitsdaten einhergehen. Die Verarbeitung ist dabei nach Art. 9 DSGVO besonders strikt reglementiert.
Gesundheitsdaten sind in Art. 4 Nr. 15 definiert und werden in ErwG 35 DSGVO näher erläutert. Darunter fallen Informationen über den früheren, gegenwärtigen und den zukünftigen Gesundheitsstand einer Person.
Rechtsgrundlage für Maßnahmen gegenüber Mitarbeitern ist § 26 Abs. 3 BDSG. Danach ist die Verarbeitung sensibler Daten wie Gesundheitsdaten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie u.a. zur Erfüllung rechtlicher Pflichten des Arbeitgebers aus dem Arbeitsrecht erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.
Die rechtliche Verpflichtung besteht hier in der Erfüllung der Vorschriften des § 618 Abs. 1 BGB i.V.m. § 3 ArbSchG. Der Arbeitgeber hat nach dem Arbeitsschutzgesetz grundsätzlich die Verpflichtung, die Gefahren für die Sicherheit und Gesundheit für seine Beschäftigten am Arbeitsplatz zu beurteilen (sog. Gefährdungsbeurteilung) und Maßnahmen hieraus abzuleiten.
Es besteht somit ein Spannungsfeld: Der Arbeitgeber muss einerseits seine Fürsorgepflicht erfüllen, indem er die Beschäftigten vor einer Infizierung schützt, darf andererseits aber die Datenschutz- und Persönlichkeitsrechte der Beschäftigten nicht verletzen.
Ob eine Maßnahme zulässig ist, richtet sich dabei maßgeblich nach dem Kriterium der Erforderlichkeit. Eine Maßnahme ist nur erforderlich und damit zulässig, wenn sie für den Zweck geeignet ist, das mildeste aller dem Arbeitgeber zur Verfügung stehenden gleich effektiven Mittel ist und schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegen.
Maßnahmen gegenüber Mitarbeitern
Disclaimer: Man kann angesichts der aktuell angespannten Lage und der sich überschlagenden Ereignisse nicht abschließend und endgültig sagen, welche Maßnahmen zulässig und welche unzulässig sind. So gibt es bisher keine einheitliche Linie der europäischen Datenschutzaufsichtsbehörden. Es verbleiben also Unsicherheiten hinsichtlich der Zulässigkeit von Maßnahmen.
Zulässige Maßnahmen
Nach unserer rechtlichen Prüfung und aktuellen Veröffentlichungen sind folgende Maßnahmen zulässig:
- Erhebung von Informationen, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte, z.B. die Befragung von Urlaubsrückkehrern, ob sie sich in einem Risikogebiet aufgehalten haben.
- Nach Aufforderung durch Gesundheitsbehörden: Die Übermittelung von Daten über erkrankte Beschäftigte, über Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten an die Behörden.
- Freiwillige Selbstauskunfts- oder Fragebögen zu Aufenthaltsort und Symptomen.
- Freiwillige Fiebermessung entweder durch den Beschäftigten selbst oder einen (Betriebs-)Arzt.
- Im Falle eines positiven Befunds bei einem Mitarbeiter (durch eine offizielle Stelle) oder sogar bei einem bestätigten Kontakt zu einer positiv getesteten Person, dürfen Informationen über den betroffenen Mitarbeiter verarbeitet werden, z.B. Zeitpunkt und enge Kontaktpersonen sowie ergriffe Maßnahmen (so die französische Datenschutzaufsicht).
- Nur im Einverständnis mit Beschäftigten: Erhebung der aktuellen privaten Handynummern oder andere Kontaktdaten von der Belegschaft, zur Information bei Schließung des Betriebs oder in ähnlichen Fällen (so Handbuch „Betriebliche Pandemieplanung“ Bundesamt für Bevölkerungsschutz und Katastrophenhilfe)
Unzulässige Maßnahmen
- Arbeitgeber dürfen den Beschäftigten nicht unter Nennung des konkreten Namens mitteilen, dass ein bestimmter Mitarbeiter am Virus erkrankt ist, da die Kenntnis von der Corona-Erkrankung eines Mitarbeiters für diesen zu einer enormen Stigmatisierung führen kann. Stattdessen können Abteilungs-/ bzw. Teambezogen ohne konkrete Namensnennung Maßnahmen ergriffen werden. Mitarbeiter mit direktem Kontakt zu Infizierten sollten gewarnt und vorübergehend freigestellt werden.
- Die pauschale Befragung aller Mitarbeiter zu Reisezielen (ohne konkrete Anhaltspunkte oder Reise).
- Die pauschale Befragung aller Mitarbeiter zu ihrem Gesundheitszustand (z.B. über Grippesymptome).
- Eine Meldepflicht für Mitarbeiter, wenn ein Kollege Symptome zeigt (italienische Datenschutzaufsicht).
- Die verpflichtende Fiebermessung von Mitarbeitern am Eingang des Betriebsgeländes oder ähnliche medizinische Maßnahmen (z.B. Rachenabstriche für Speichelproben). Nach anderer Ansicht sind Fiebermessungen zulässig, wenn die Ergebnisse nur für eine Einlasskontrolle mit Entscheidung Zutritt ja/nein genutzt werden.
Alternative Maßnahmen
Es sollten zunächst immer auch alternative Maßnahmen ohne Verarbeitung von personenbezogenen Daten erwogen werden:
- Strengere Hygienevorschriften, z.B. die Aufforderungen zur Desinfektion der Hände.
- Handlungsempfehlungen, z.B. Ermöglichung von HomeOffice, die Bitte um vorrangig telefonischen Kontakt oder Videokonferenzen.
- Zugangssperren sensibler Bereiche, Einschränkung von Besuchsmöglichkeiten.
- Aufklärungsmaßnahmen, Einrichten einer Hotline zur Beratung
Weiterführende Links
- Bundesdatenschutzbeauftragter „Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie„
- Das Handbuch „Betriebliche Pandemieplanung“ des Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
- FAQs der Datenschutzaufsicht Baden-Württemberg zum Thema Corona
- FAQs des Bundesministerium für Arbeit und Soziales „Coronavirus: Arbeitsrechtliche Auswirkungen“
- Noerr Rechtsanwälte „Datenschutz und Coronavirus-Prävention – Fiebermessung am Eingang zum Betriebsgelände“
- Datenschutz vs. Corona-Virus – Was Unternehmen beachten müssen
- Eine Kurzübersicht der Stellungnahmen europäischer Aufsichtsbehörden auf Twitter von Dr. Simon Assion und als Beitrag auf Telemedicus
Maßnahmen gegenüber Besuchern
Gegenüber Besuchern kann sich der Arbeitgeber nicht auf die Rechtsgrundlage des § 26 Abs. 3 BDSG berufen. Auch sind andere Rechtsgrundlagen nicht ersichtlich. Der deutsche Gesetzgeber hat von den in Art. 9 DSGVO gegebenen Möglichkeiten, spezielle Gesetze zum Schutz vor Epidemien/Pandemien zu erlassen und dazu Unternehmen eine Verarbeitung von Gesundheitsdaten zu gestatten, nach derzeitigem Stand keinen Gebrauch gemacht.
Bei Besuchern ist daher keine Rechtsgrundlage, außer die Einwilligung der Person ersichtlich. Eine Einwilligung muss zudem immer freiwillig und informiert sein. Es ist daher schwierig, über eine Einwilligung alle Besucher einschließende Maßnahmen umzusetzen.
Information, Freiwilligkeit und nur ausnahmsweise Zwang
Der Arbeitgeber hat also aufgrund seiner Fürsorgepflichten gegenüber allen Beschäftigten die Pflicht, Gesundheitsrisiken am Arbeitsplatz soweit wie möglich auszuschließen. Eingriffsbefugnisse stehen aber in der Regel nicht ihm, sondern nur den Gesundheitsbehörden zu. So auch die Aufsichtsbehörden von Frankreich, den Niederlanden und Italien. Arbeitgeber sollten daher im Zweifel den Kontakt zu den Gesundheitsbehörden suchen und nicht „auf eigene Faust“ und nicht gegen den Willen der Beschäftigten Gesundheitsdaten erheben.
In konkreten Verdachtsfällen einer Infektion kann jedoch die vertragliche Nebenpflicht zur Information des Arbeitgebers sowie zur ärztlichen Untersuchung bestehen. Auch kann anlässlich der Rückkehr von Reisen oder Erkrankungen im persönlichen Umfeld eine Auskunftspflicht über Aufenthaltsorte oder Kontaktpersonen bestehen.
Guten Tag und vielen Dank für den sehr aktuellen Beitrag. Entgegen der Auffassung des Beitrags der Kanzlei Noerr und wohl auch der hier vertretenen Meinung dürfte es vertretbar sein, die Verarbeitung der Gesundheitsdaten auf Art. 9 Abs. 2. lit. i DSGVO iVm § 22 Abs. 1 Ziff. 1 lit. c BDSG zu stützen. Auch wenn die Frage der Anwendbarkeit von Art. 9 Abs. 2 lit. i DSGVO für private Verantwortliche teilweise abgelehnt wird, liefe dann konsequenterweise der damit verbundene § 22 Abs. 1 Ziff. 1 lit. c BDSG leer, da dort explizit private Verantwortliche als Verarbeitungsberechtigte aufgeführt werden.
In Anbetracht der Wichtigkeit von Besucherdatenerfassung etc. für die Gesundheit und aus versicherungsrechtlichen Gründen halte ich die Klarstellung für wichtig und diskussionswürdig.
Die englische Datenschutzbehörde hält im Übrigen sogar Art. 9 Abs. 2 lit. b DSGVO für anwendbar. Dies ist ebenfalls zu erwägen, da außerhalb von Deutschland die wenigsten Länder eine spezialgesetzliche Regelung wie § 22 BDSG aufweisen, sondern über die allgemeine Gesundheitsfürsorge für Beschäftigte argumentieren. Die besseren Argumente sprechen dafür.
Update: Unter https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html?nn=5217154 ist diese Auffassung vom BfDI bestätigt worden und finden sich weitere hilfreiche Informationen zu diesem Thema
Hallo Dr. Datenschutz! Vor dem Hintergrund der neuen Regelungen und der Möglichkeit von Selbsttests, stellt sich die Frage,ob man als Arbeitgeber freiwillige Tests anbieten kann bzw. darf? Einfach so wird das wohl nicht gehen, denke ich. Vielen Dank!
Rechtlich ist das Anbieten von freiwilligen Selbsttest gewissermaßen vergleichbar mit dem Aufstellen einer Fiebermessstation am Eingang. In beiden Fällen werden Gesundheitsdaten erhoben. Das Fiebermessen ist zulässig, solange die Fiebermessung freiwillig erfolgt. Es bestehen also grundsätzlich keine Einwände gegen das Zurverfügungstellen von Tests, solange kein Zwang besteht.
Hallo,
ich habe zwei Fragen dazu:
1. Gilt das nur für Selbsttest oder auch für freiwillige Schnelltests die eine med. Einrichtung ihren Mitarbeitern anbietet?
2. D.h. für das Durchführen freiwilliger (Schnell-)Tests wäre auch keine Einwilligung notwendig? Falls doch Einwilligungen notwendig wären, wie lange müssten diese vom Arbeitgeber aufbewahrt werden?
Vielen Dank.
grundsätzlich sollte es keinen Unterschied machen, ob die Test selbst durchgeführt werden oder durch eine medizinische Einrichtung.
Der springende Punkt ist die Freiwilligkeit der Tests. Diese kann bei beiden Set-ups gewahrt werden. Man könnte auch argumentieren, dass der Arbeitgeber vielleicht sogar ein berechtigtes Interesse an der Durchführung der Tests hat, da er eine Ansteckungsgefahr mit Covid 19 am Arbeitsplatz aufgrund seiner Fürsorgepflicht weitestgehend minimieren muss und die Durchführung eines Tests minimal invasiv ist. Dann wäre gar keine Einwilligung der Mitarbeiter erforderlich. Das bedürfte aber einer Einzelfallabwägung.
In Ihrer zweiten Frage gehen Sie davon aus, dass die Einwilligung schriftlich eingeholt wird. Das muss nicht unbedingt erfolgen. Eine Einwilligung sollte zwar grundsätzlich nachweisbar sein nach Art. 7 Abs. 1 DSGVO. Das Testen könnte aber auch so ausgestaltet werden, dass die Einwilligungen nicht schriftlichen eingeholt werden, sondern das Set-up so gewählt wird, dass daraus die Freiwilligkeit ersichtlich ist, z.B. könnte man eine Rund-E-Mail an alle Mitarbeiter schicken, wonach sie weiterhin im Home Office arbeiten können, fortan aber vor Betreten des Büros einen bereitgestellten Test durchführen müssen. Die Mitarbeiter hätten dann die Wahl und das wäre auch über die Rund-E-Mail nachweisbar.
Man muss allerdings bedenken, dass die Freiwilligkeit im Arbeitsverhältnis immer eine heikle Sache ist. Es sollte also nicht indirekt/informell Druck aufgebaut werden, ins Büro zurückzukehren, verknüpft mit dem Zwang, sich dann testen lassen zu müssen.
Werden schriftliche Einwilligungserklärung eingeholt, sollten diese zumindest solange aufbewahrt werden, wie man die Durchführung von Tests darauf stützt. Darüber hinaus gibt es keine starre Frist. Eine Aufbewahrung für die regelmäßige Verjährungsfrist von 3 Jahren ab Ende des Kalenderjahres (also ab 01.01.2022) für drei Jahre ist wohl vertretbar, um sich gegen Rechtsansprüche verteidigen zu können.
Hallo Dr. Datenschutz, kann der Arbeitgeber eine App einführen mit der etwaige Vorfälle gemeldet werden? Gilt dann auch das Arbeitsschutzgesetz? Vielen Dank und weiter so
Die gültigen Regelungen ergeben sich neben den § 618 BGB, § 3 ArbSchG aus der Corona-Arbeitsschutzverordnung sowie den Infektionsschutzmaßnahmenverordnung der Länder.
Weder die Corona-ArbSchV noch die Infektionsschutzmaßnahmenverordnung der Länder sehen explizit den Einsatz von Apps zur Meldung von Vorfällen vor. Das heißt aber nicht, dass es ausgeschlossen ist. In diesen FAQs zu Datenschutz und Corona im Beschäftigungsverhältnis finden Sie weitere Informationen. Fragen 6 und 7 beschäftigen sich mit dem verpflichtenden Einsatz von Apps zur Meldung von Vorfällen.