Corona – Beschäftigtendatenschutz und Übersicht erlaubter und unerlaubter Maßnahmen durch Arbeitgeber unter Beachtung der DSGVO

Bei vielen Arbeitgebern kommt in der Corona Zeit die Frage auf, was für Maßnahmen gegenüber den eigenen Mitarbeitern nach Vorgaben der Datenschutzgrundverordnung DSGVO zulässig sind. Im Gegensatz dazu fragen sich auch Beschäftige, welche Gesundheitsdaten dem Arbeitgeber preiszugeben sind.

Wenn im Zusammenhang mit der Corona-Pandemie personenbezogene Daten erhoben werden, beziehen sich – in den meisten Fällen – diese Bezüge zum einen auf personenbezogene Daten sowie gesundheitsrelevante Daten. Ab diesem Zeitpunkt handelt es sich um Gesundheitsdaten (auch „sensible“ Daten genannt), die nach Artikel 9 Datenschutz-Grundverordnung (DSGVO) besonders geschützt sind.

In diesem Beitrag erläutern wir, was datenschutzrechtlich bei der Umsetzung von Maßnahmen gegen die Corona-Pandemie zu beachten ist.

Unterschied: Personenbezogene Daten – Gesundheitsrelevante Daten:

Die Datenschutz-Grundverordnung (DSGVO) setzt in Art. 4 Nr. 1 das bisherige Merkmal „bestimmte“ mit „identifzierte“ und das Merkmal „bestimmbare“ mit „identifizierbare“ Person gleich.

Personenbezogene Daten“ sind gemäß BDSG alle persönlichen oder sachlichen Informationen über eine bestimmte oder bestimmbare natürliche Person, über welche diese unverkennbar zu identifizieren ist. Zu den personenbezogenen Daten zählen insbesondere Name, Alter, Geburtsdatum, Anschrift der Person, aber auch Informationen wie beispielsweise die IP-Adresse oder eine Fotoaufnahme. Personenbezogene Daten sind Informationen, mit welchen diese Daten zur genauen Zuordnung der Identität der Person zählen.

Besonders „Sensible“ personenbezogene Daten nach Datenkategorien:

  • rassische oder ethnische Herkunft
  • politische Meinungen
  • religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • genetische Daten
  • biometrische Daten
  • Gesundheitsdaten
  • Sexualleben und sexuelle Orientierung

Da viele Maßnahmen zur Bekämpfung des Coronavirus mit der Verarbeitung von sensiblen Gesundheitsdaten einhergehen, ist die Verarbeitung dabei nach Art.9 DSGVO besonders strikt reglementiert und einzuhalten.

Die Gesundheitsdaten sind in Art. 4 Nr. 15 DSGVO definiert und werden desweiteren in ErwG 35 DSGVO (Erwägungsgrund) näher erläutert. Darunter fallen auch Informationen über den früheren, gegenwärtigen und den zukünftigen Gesundheitszustand einer Person.

Für die Verarbeitung dieser sensiblen Gesundheitsdaten bedarf es einer Rechtsgrundlage lt. §26 Abs. 3 BDSG Bundesdatenschutzgesetz. Danach ist die Verarbeitung der Gesundheitsdaten für Zwecke des Beschäftigungsverhältnisses dann zulässig, wenn sie u.a. zur Erfüllung rechtlicher Pflichten des Arbeitgebers aus dem Arbeitsrecht erforderlich ist und hierzu zusätzlich kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

 

Müssen Beschäftigte Gesundheitsdaten an Arbeitgeber geben?

Jede Person hat auch angesichts der aktuellen Krise das Recht auf seine Privatsphäre und seine persönlichen Daten, das gilt insbesonder´s auf die besonders sensiblen Gesundheitsdaten.

Zu konkreten Angaben zur eigenen Gesundheit ist der Beschäftigte gegenüber seinem Arbeitgeber daher nicht verpflichtet. In Verdachtsfällen kann jedoch die Pflicht zur ärztlichen Untersuchung durch eine Gesundheitsbehörde bestehen.

Jedoch sollte man dem Arbeitgeber – zur Einschätzung des Gesundheitsrisikos für andere Beschäftigte – eine Auskunftspflicht ermöglichen. Beispielsweise Rückkehrer von Reisenden aus Risikogebieten oder Kontakte zu möglich erkrankten erwähnen, damit eine Risikoeinschätzung durch den Arbeitgeber erfolgen kann. Wichtig hierbei, die Anonymität anderer Personen wahren.

 

WICHTIG bei Verarbeitung von Gesundheitsdaten der Beschäftigten

Auch wenn eine Verarbeitung dieser „sensiblen“ Gesundheitsdaten grundsätzlich nur restriktiv möglich ist, sind die verschiedene Maßnahmen zum Schutz von Mitarbeiterinnen und Mitarbeitern oder zur Eindämmung der Corona-Pandemie unbedingt datenschutzkonform zu erheben und zu verwenden. Dabei sind die Grundsätze der Verhältnismäßigkeit lt. DSGVO sowie die gesetzlichen Grundlagen stets zu beachten.

Der Arbeitgeber hat nach dem Arbeitsschutzgesetz grundsätzlich die Verpflichtung, die Gefahren für die Sicherheit und Gesundheit für seine Beschäftigten am Arbeitsplatz zu beurteilen (Gefährdungsbeurteilung) und Maßnahmen hieraus abzuleiten. Die rechtliche Verpflichtung besteht hier in der Erfüllung der Vorschriften des §618 Abs. 1 BGB in Verbindung mit §3 ArbSchG (Arbeitsschutzgesetz).

Hier entstehen die Reibungspunkte: Der Arbeitgeber hat einerseits seine Fürsorgepflicht zu erfüllen, indem er die Beschäftigten vor einem Infektionsrisiko schützt, hat andererseits aber die Datenschutz- und Persönlichkeitsrechte der Beschäftigten nicht zu verletzen.

Die Zulässigkeit der Maßnahme richtet sich dabei maßgeblich nach dem Kriterium der Erforderlichkeit. Wann ist eine Maßnahme erforderlich und damit Zweckgebunden zulässig?

 

Verarbeitung hat Verhältnismäßig, vertraulich und mit Einwilligung der Person zu erfolgen.

Ein Arbeitgeber untersteht der Fürsorgepflicht, und somit verpflichtet, den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Hierzu zählt nach Ansicht der unabhängigen Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die pandemische Verbreitung einer meldepflichtigen Krankheit, die nach dem Seuchenschutzgesetz insbesondere der Vorsorge und der Nachverfolgbarkeit dient.

Diese Maßnahmen haben dabei immer auch verhältnismäßig zu erfolgen. Die Daten sind vertraulich zu behandelt und ausschließlich zweckgebunden verwendet zu werden. Nach Wegfall des jeweiligen Verarbeitungszwecks sind die erhobenen Daten unverzüglich zu löschen.

Eine Einwilligung der von der Maßnahmen Betroffenen allein hat hier unbedingt vorzuliegen und ist nur auf datenschutzrechtlicher Verarbeitungsgrundlage in Betracht zu ziehen, wenn die Betroffenen über die Datenverarbeitung informiert sind sowie auch freiwillig in die Maßnahme eingewilligt haben.

Der Arbeitgeber hat zwar aufgrund seiner Fürsorgepflichten gegenüber allen Beschäftigten die Pflicht, Gesundheitsrisiken am Arbeitsplatz soweit wie möglich auszuschließen. Eingriffsbefugnisse stehen jedoch in der Regel nicht ihm, sondern nur den Gesundheitsbehörden oder Aufsichtsbehörden zu. Arbeitgeber sollten daher im Zweifel den Kontakt zu den Gesundheitsbehörden suchen und auf keinen Fall im Eigenermessen und nicht gegen den Willen der Beschäftigten Gesundheitsdaten erheben.

 

Meist gestellte und relevante Fragen der Beschäftigen

  1. Darf der Arbeitgeber die Handynummer verlangen?

So ein internes Kommunikationsnetzwerk kann zwar in diesen Tagen sinnvoll erscheinen, um evtl. auf aktuelle kurzfristige Änderungen reagieren zu können. Beispielsweise die Information von Abteilungsschließungen, Betriebliche Änderungen oder Arbeiten im Home-Office.

Die Teilnahme in solchen Netzwerken hat immer freiwillig zu erfolgen. Hier können einzelne Arbeitnehmer nicht gegen ihren Willen gezwungen werden, sich mit Ihrer Nummer zu registrieren

 

  1. Darf der Arbeitgeber die Nennung des Urlaubsortes fordern?

Im Regelfall und in normalen Zeiten ohne Pandemie, hat der Arbeitgeber nicht das Auskunftsrecht, wo und wie die Freizeit verbracht wird. Aufgrund der Fürsorgepflicht gegenüber der gesamten Belegschaft, darf diese Frage gestellt sowie die Daten gespeichert werden, ob Sie sich in einem bestimmten Zeitraum in einem Gebiet aufgehalten haben, welches vom Robert-Koch-Institut als Risiko-Gebiet eingestuft wurde.

 

  1. Müssen Kontaktpersonen genannt werden?

Das Treffen mit Freunden und Bekannten gehört zu den Privatangelegenheiten der Mitarbeiter. Der Arbeitgeber darf die Frage stellen, ob Sie zu einer infizierten Person Kontakt hatten, da in diesem Fall der Arbeitgeber die Vorkehrungen zu treffen hat, dass sich keine weiteren Mitarbeiter anstecken können.

 

  1. Darf der Arbeitgeber/Vorgesetzte mitteilen, dass ich infiziert bin?

Im Fall eines positiv getesteten Mitarbeiters hat der Arbeitgeber gründlich abzuwägen. Zum einen müssen Kontaktpersonen gefunden, informiert und evtl. auch isoliert werden. Zum anderen gilt es, eine langfristige Stigmatisierung des Patienten zu vermeiden. Auf eine namentliche Nennung eines Erkrankten sollte verzichtet werden. Die Gesundheitsbehörde kann zur Unterstützung kontaktiert und gefragt werden, ob die Namensnennung hier erlaubt ist, da Mitarbeiter nur durch die Namensnennung geschützt werden können.

 

  1. Darf der Arbeitgeber die Gesundheitsbehörden über Corona-Fälle, -Kontakte oder Reisen in Risikogebiete informieren?

Hier entscheiden die Bundesländer oder die örtlichen Behörden im Rahmen einer Pandemie, ob eine Meldepflicht besteht. Bestehen hierzu direkt Anfragen der Gesundheitsbehörden – müssen die Informationen gemeldet werden.

 

Übersicht erlaubter und unerlaubter Maßnahmen gegenüber Mitarbeitern

Wichtig zu Beachten, dass in Anbetracht der aktuell schwierigen Lage mit der Bekämpfung der Corona-Pandemie und der sich somit überschlagenden Ereignisse –  man abschließend und endgültig nicht sagen kann, welche Maßnahmen 100 prozentig zulässig und welche unzulässig sind. Es gibt bisher keine einheitliche Linie der europäischen Datenschutzaufsichtsbehörden. Es verbleiben somit auch Unsicherheiten hinsichtlich der Zulässigkeit von Maßnahmen.

  1. Erlaubte Maßnahmen

(nach aktuellen Veröffentlichungen und Prüfungen)

  • Erhebung von Informationen: hat sich der Beschäftigte im Urlaub in einem nach Robert-Koch-Institut benannten Risikogebiet aufgehalten oder bestand ein direkter Kontakt mit einem Erkrankten
  • Auf Aufforderung der Gesundheitsbehörde können Daten übermittelt werden: Daten über erkrankte Mitarbeiter, Daten über die Aufenthaltsorte von Beschäftigten in Risikogebieten, Daten von Mitarbeitern mit Kontakten zu infizieren Personen.
  • Daten von „freiwilligen“ Selbstauskünften oder Fragebögen zu Aufenthaltsorten und Symptomen
  • Daten von „freiwilligen“ Fiebermessungen durch Mitarbeiter/Beschäftigte oder Messungen durch einen Arzt oder Betriebsarzt
  • Verarbeitung von Gesundheitsdaten eines positiv getesteten Mitarbeiters (Bestätigung von offizieller Stelle nötig) oder einem bestätigten Kontakt zu einer positiv getesteten Person (Beispielsweise Festhalten von Daten wie Zeitpunkt und enge Kontaktpersonen im Büro lt. französischer Datenaufsichtsbehörde)
  • Bei „freiwilliger Einwilligung“ des Mitarbeiters die Aufnahme der privaten Handynummer.

  1. Unerlaubte Maßnahmen:
  • Nicht erlaubt ist die namentliche Nennung eines an Corona erkrankten Mitarbeiters gegenüber anderen Beschäftigten. Hier gilt es – ohne die Namensnennung – Maßnahmen Abteilungsübergreifend oder in Teamarbeit zu ergreifen, um Mitarbeiter mit direktem Kontakt des infizierten zu warnen und auch vorübergehend von der Arbeit freizustellen.
  • Nicht erlaubt sind pauschale Befragungen aller Beschäftigten zu geplanten Reisezielen
  • Nicht erlaubt sind pauschale Befragungen aller Beschäftigten zum allgemeinen Gesundheitszustand oder zu Grippesymptomen. Nach italienischer Datenschutzaufsicht ist es auch nicht erlaubt, von Beschäftigten eine Meldepflicht zu verlangen, wenn ein Kollege Grippesymptome zeigt.
  • Nicht erlaubt sind z.B. verpflichtende Fiebermess-Stationen im oder am Eingang des Betriebsgeländes oder auch andere medizinische Maßnahmen wie beispielsweise Speichelproben oder Rachenabstriche. Dies ist nur von Behörden und Ämtern erlaubt, wenn ein Zutritt nach Einlasskontrolle zulässig ist – Beispielsweise Grenzkontrollen.

 

  1. Mögliche Alternative Maßnahmen – ohne Verarbeitung personenbezogener Daten:
  • Errichtung einer Beratungs-Hotline für Aufklärungsmaßnahmen
  • Einschränkung von Besuchsmöglichkeiten – Telefonische Auskunfts- und Beratungsmöglichkeiten errichten (Beispielsweise für Kunden und/oder auch Abteilungsübergreifende Kommunikation elektronisch ermöglichen). Telefonkontakt, E-Mail, Fax, Scan, Videokonferenzen…
  • Home-Office ermöglichen
  • Sicherheitsmaßnahmen für Mitarbeiter: Infektionsschutz durch Plexiglasplatten und strengere Hygienevorschriften z.B. Bereitstellung von Desinfektionsmitteln und Aufforderung zur Desinfektion der Hände.

 

Maßnahmen gegenüber Kunden, Interessenten und Besuchern

Gegenüber Kunden, Interessenten und Besuchern kann sich der Arbeitgeber nicht auf die Rechtsgrundlage des § 26 Abs. 3 BDSG berufen. Desweiteren sind andere Rechtsgrundlagen nicht ersichtlich. Nach Artikel 9 DSGVO sind Maßnahmen gegen über diesen Personen – zum Schutz einer Pandemie-Eindämmung sowie die Erfassung von Gesundheitsdaten – nicht gestattet.

Bei Besuchern, Kunden oder Interessenten ist daher keine Rechtsgrundlage, außer der Einwilligung der Person ersichtlich. Eine Einwilligung hat hier immer freiwillig und informiert zu sein.

 

Statistiken nach Infektionsschutz-Gesetz und DSGVO sind hilfreich für alle.

Wer sich vor dem Virus schützen will, ist dankbar für genaue Angaben. Genau aus diesen Grund sind die Zahlen wichtig, welche auch anonym und vertraulich zu behandeln sind.

Wie viele Menschen sind auf der Welt infiziert? Wie viele in meinem Land oder sogar in meiner Region oder Stadt? Somit sind diese anonymen Erhebungen und Veröffentlichungen dieser Daten von den dafür befugten Gesundheitsbehörden für alle zweckdienlich und Hilfreich zur Eindämmung der weiteren Ausbreitung der Corona-Pandemie.