Coronavirus & Beschäftigtendatenschutz: Was ist zu beachten?

Fachbeitrag

Viele Arbeitgeber stehen angesichts der Corona-Krise vor der Frage, welche Maßnahmen sie gegen die Ausbreitung des Virus ergreifen dürfen. Viele Beschäftigte fragen sich wiederrum, was sie über sich preisgeben müssen. Datenschutz ist aktuell sicher nicht die Hauptsorge, dennoch kann die Kenntnis der zulässigen Maßnahmen helfen, effektiv gegen den Corona Virus vorzugehen. In diesem Beitrag wollen wir daher eine Übersicht bieten, was datenschutzrechtlich bei der Umsetzung von Maßnahmen gegen den Coronavirus zu beachten ist.

Der Beschäftigte bleibt Herr seiner Daten

Jede Person ist und bleibt auch angesichts der aktuellen Krise „Herr seiner Daten“, das gilt insbesondere bei den besonders sensiblen Gesundheitsdaten.

Konkrete Angaben zur eigenen Gesundheit muss der Beschäftigte gegenüber seinem Arbeitgeber daher grundsätzlich nicht machen. In Verdachtsfällen kann jedoch die Pflicht zur ärztlichen Untersuchung durch eine Gesundheitsbehörde bestehen. Auch kann anlässlich der Rückkehr von Reisen oder Erkrankungen im persönlichen Umfeld eine Auskunftspflicht über Aufenthaltsorte oder Kontaktpersonen bestehen, um dem Arbeitgeber eine Einschätzung zu Gesundheitsrisiken für den Betroffenen und andere Beschäftigte zu ermöglichen.

Besondere Vorsicht: Verarbeitung von Gesundheitsdaten der Beschäftigten

Viele Maßnahmen zur Bekämpfung des Coronavirus werden mit der Verarbeitung von sensiblen Gesundheitsdaten einhergehen. Die Verarbeitung ist dabei nach Art. 9 DSGVO besonders strikt reglementiert.

Gesundheitsdaten sind in Art. 4 Nr. 15 definiert und werden in ErwG 35 DSGVO näher erläutert. Darunter fallen Informationen über den früheren, gegenwärtigen und den zukünftigen Gesundheitsstand einer Person.

Rechtsgrundlage für Maßnahmen gegenüber Mitarbeitern ist § 26 Abs. 3 BDSG. Danach ist die Verarbeitung sensibler Daten wie Gesundheitsdaten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie u.a. zur Erfüllung rechtlicher Pflichten des Arbeitgebers aus dem Arbeitsrecht erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Die rechtliche Verpflichtung besteht hier in der Erfüllung der Vorschriften des § 618 Abs. 1 BGB i.V.m. § 3 ArbSchG. Der Arbeitgeber hat nach dem Arbeitsschutzgesetz grundsätzlich die Verpflichtung, die Gefahren für die Sicherheit und Gesundheit für seine Beschäftigten am Arbeitsplatz zu beurteilen (sog. Gefährdungsbeurteilung) und Maßnahmen hieraus abzuleiten.

Es besteht somit ein Spannungsfeld: Der Arbeitgeber muss einerseits seine Fürsorgepflicht erfüllen, indem er die Beschäftigten vor einer Infizierung schützt, darf andererseits aber die Datenschutz- und Persönlichkeitsrechte der Beschäftigten nicht verletzen.

Ob eine Maßnahme zulässig ist, richtet sich dabei maßgeblich nach dem Kriterium der Erforderlichkeit. Eine Maßnahme ist nur erforderlich und damit zulässig, wenn sie für den Zweck geeignet ist, das mildeste aller dem Arbeitgeber zur Verfügung stehenden gleich effektiven Mittel ist und schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegen.

Maßnahmen gegenüber Mitarbeitern

Disclaimer: Man kann angesichts der aktuell angespannten Lage und der sich überschlagenden Ereignisse nicht abschließend und endgültig sagen, welche Maßnahmen zulässig und welche unzulässig sind. So gibt es bisher keine einheitliche Linie der europäischen Datenschutzaufsichtsbehörden. Es verbleiben also Unsicherheiten hinsichtlich der Zulässigkeit von Maßnahmen.

Zulässige Maßnahmen

Nach unserer rechtlichen Prüfung und aktuellen Veröffentlichungen sind folgende Maßnahmen zulässig:

  • Erhebung von Informationen, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte, z.B. die Befragung von Urlaubsrückkehrern, ob sie sich in einem Risikogebiet aufgehalten haben.
  • Nach Aufforderung durch Gesundheitsbehörden: Die Übermittelung von Daten über erkrankte Beschäftigte, über Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten an die Behörden.
  • Freiwillige Selbstauskunfts- oder Fragebögen zu Aufenthaltsort und Symptomen.
  • Freiwillige Fiebermessung entweder durch den Beschäftigten selbst oder einen (Betriebs-)Arzt.
  • Im Falle eines positiven Befunds bei einem Mitarbeiter (durch eine offizielle Stelle) oder sogar bei einem bestätigten Kontakt zu einer positiv getesteten Person, dürfen Informationen über den betroffenen Mitarbeiter verarbeitet werden, z.B. Zeitpunkt und enge Kontaktpersonen sowie ergriffe Maßnahmen (so die französische Datenschutzaufsicht).
  • Nur im Einverständnis mit Beschäftigten: Erhebung der aktuellen privaten Handynummern oder andere Kontaktdaten von der Belegschaft, zur Information bei Schließung des Betriebs oder in ähnlichen Fällen (so Handbuch „Betriebliche Pandemieplanung“ Bundesamt für Bevölkerungsschutz und Katastrophenhilfe)

Unzulässige Maßnahmen

  • Arbeitgeber dürfen den Beschäftigten nicht unter Nennung des konkreten Namens mitteilen, dass ein bestimmter Mitarbeiter am Virus erkrankt ist, da die Kenntnis von der Corona-Erkrankung eines Mitarbeiters für diesen zu einer enormen Stigmatisierung führen kann. Stattdessen können Abteilungs-/ bzw. Teambezogen ohne konkrete Namensnennung Maßnahmen ergriffen werden. Mitarbeiter mit direktem Kontakt zu Infizierten sollten gewarnt und vorübergehend freigestellt werden.
  • Die pauschale Befragung aller Mitarbeiter zu Reisezielen (ohne konkrete Anhaltspunkte oder Reise).
  • Die pauschale Befragung aller Mitarbeiter zu ihrem Gesundheitszustand (z.B. über Grippesymptome).
  • Eine Meldepflicht für Mitarbeiter, wenn ein Kollege Symptome zeigt (italienische Datenschutzaufsicht).
  • Die verpflichtende Fiebermessung von Mitarbeitern am Eingang des Betriebsgeländes oder ähnliche medizinische Maßnahmen (z.B. Rachenabstriche für Speichelproben). Nach anderer Ansicht sind Fiebermessungen zulässig, wenn die Ergebnisse nur für eine Einlasskontrolle mit Entscheidung Zutritt ja/nein genutzt werden.

Alternative Maßnahmen

Es sollten zunächst immer auch alternative Maßnahmen ohne Verarbeitung von personenbezogenen Daten erwogen werden:

  • Strengere Hygienevorschriften, z.B. die Aufforderungen zur Desinfektion der Hände.
  • Handlungsempfehlungen, z.B. Ermöglichung von HomeOffice, die Bitte um vorrangig telefonischen Kontakt oder Videokonferenzen.
  • Zugangssperren sensibler Bereiche, Einschränkung von Besuchsmöglichkeiten.
  • Aufklärungsmaßnahmen, Einrichten einer Hotline zur Beratung

Weiterführende Links

Maßnahmen gegenüber Besuchern

Gegenüber Besuchern kann sich der Arbeitgeber nicht auf die Rechtsgrundlage des § 26 Abs. 3 BDSG berufen. Auch sind andere Rechtsgrundlagen nicht ersichtlich. Der deutsche Gesetzgeber hat von den in Art. 9 DSGVO gegebenen Möglichkeiten, spezielle Gesetze zum Schutz vor Epidemien/Pandemien zu erlassen und dazu Unternehmen eine Verarbeitung von Gesundheitsdaten zu gestatten, nach derzeitigem Stand keinen Gebrauch gemacht.

Bei Besuchern ist daher keine Rechtsgrundlage, außer die Einwilligung der Person ersichtlich. Eine Einwilligung muss zudem immer freiwillig und informiert sein. Es ist daher schwierig, über eine Einwilligung alle Besucher einschließende Maßnahmen umzusetzen.

Information, Freiwilligkeit und nur ausnahmsweise Zwang

Der Arbeitgeber hat also aufgrund seiner Fürsorgepflichten gegenüber allen Beschäftigten die Pflicht, Gesundheitsrisiken am Arbeitsplatz soweit wie möglich auszuschließen. Eingriffsbefugnisse stehen aber in der Regel nicht ihm, sondern nur den Gesundheitsbehörden zu. So auch die Aufsichtsbehörden von Frankreich, den Niederlanden und Italien. Arbeitgeber sollten daher im Zweifel den Kontakt zu den Gesundheitsbehörden suchen und nicht „auf eigene Faust“ und nicht gegen den Willen der Beschäftigten Gesundheitsdaten erheben.

In konkreten Verdachtsfällen einer Infektion kann jedoch die vertragliche Nebenpflicht zur Information des Arbeitgebers sowie zur ärztlichen Untersuchung bestehen. Auch kann anlässlich der Rückkehr von Reisen oder Erkrankungen im persönlichen Umfeld eine Auskunftspflicht über Aufenthaltsorte oder Kontaktpersonen bestehen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Guten Tag und vielen Dank für den sehr aktuellen Beitrag. Entgegen der Auffassung des Beitrags der Kanzlei Noerr und wohl auch der hier vertretenen Meinung dürfte es vertretbar sein, die Verarbeitung der Gesundheitsdaten auf Art. 9 Abs. 2. lit. i DSGVO iVm § 22 Abs. 1 Ziff. 1 lit. c BDSG zu stützen. Auch wenn die Frage der Anwendbarkeit von Art. 9 Abs. 2 lit. i DSGVO für private Verantwortliche teilweise abgelehnt wird, liefe dann konsequenterweise der damit verbundene § 22 Abs. 1 Ziff. 1 lit. c BDSG leer, da dort explizit private Verantwortliche als Verarbeitungsberechtigte aufgeführt werden.

    In Anbetracht der Wichtigkeit von Besucherdatenerfassung etc. für die Gesundheit und aus versicherungsrechtlichen Gründen halte ich die Klarstellung für wichtig und diskussionswürdig.

    Die englische Datenschutzbehörde hält im Übrigen sogar Art. 9 Abs. 2 lit. b DSGVO für anwendbar. Dies ist ebenfalls zu erwägen, da außerhalb von Deutschland die wenigsten Länder eine spezialgesetzliche Regelung wie § 22 BDSG aufweisen, sondern über die allgemeine Gesundheitsfürsorge für Beschäftigte argumentieren. Die besseren Argumente sprechen dafür.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.