Datenschutz in Zeiten von Corona

Die zunehmende Verbreitung des Virus SARS-CoV-2 (sog. Corona Virus) und der Erkrankung Covid-19 stellen viele Unternehmen und öffentliche Einrichtungen vor große Herausforderungen. Notwendige Maßnahmen zum Schutz der Mitarbeiter und Mitarbeiterinnen müssen getroffen werden, bei welchen auch der Datenschutz in Zeiten von Corona (Covid-19) nicht außer Acht gelassen werden darf.

Nach Maßgabe des § 618 Abs. 1 BGB sind Arbeitgeber verpflichtet Ihre Beschäftigten gegen Gefahren für Leben und Gesundheit zu schützen, sofern Sie bestimmungsgemäß mit Gefahren in Kontakt kommen. Besteht eine Infektionsgefahr, muss der Arbeitgeber geeignete Maßnahmen ergreifen. Diese Maßnahmen stellt auch den Datenschutz in Zeiten von Corona (Covid-19) vor große Herausforderungen, da mit Gesundheitsdaten stets höchst vertraulich umgegangen werden muss. Wichtig ist hierbei die Maßnahmen wie Einlasskontrollen, Fiebermessungen oder Fragebögen zum jeweiligen Gesundheitszustand der Mitarbeiter und Mitarbeiterinnen datenschutzkonform zu gestalten. Es ist ratsam die Mitarbeiter und Mitarbeiterinnen, wenn möglich, ins Home-Office zu schicken.

Angemessene Maßnahmen im Umgang mit Gesundheitsdaten:

Jede Person ist und bleibt auch angesichts der aktuellen Krise „Herr seiner Daten“, das gilt insbesondere für Maßnahmen die besonders sensiblen Gesundheitsdaten betreffen. Die verpflichtende Abfrage von Daten, insbesondere Gesundheitsdaten aller Mitarbeiter und Mitarbeiterinnen von Informationen zu Reisezielen und Reisezeiten, Gesundheitszuständen oder gar die Mitteilung über das pauschale Vorkommen von Grippe-Symptomen gegenüber anderen Mitarbeiter und Mitarbeiterinnen ist in Ermangelung einer datenschutzrechtlichen Rechtsgrundlage äußerst strittig. An die systematische Speicherung von Gesundheitsdaten, wie Virussymptome sind strenge Voraussetzungen geknüpft. So stellt die Abfrage durch einen Fragebogen bereits eine Verarbeitung dar und ist in der Regel nur auf Grundlage einer Einwilligung im Sinne des Art. 9 Abs. 2 lit. a DSGVO der betroffenen Person zulässig. Die Einwilligung in die Erhebung der Daten, insbesondere der Gesundheitsdaten muss ausdrücklich, freiwillig und in transparent informierter Art und Weise abgegeben werden. Abgesehen von einer Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO kann die Verarbeitung von Gesundheitsdaten durch Unternehmen im Wesentlichen nur durch eine Erforderlichkeit für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten nach Art. 9 Abs. 2 lit. h DSGVO oder eine Erforderlichkeit aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren (Art. 9 Abs. 2 lit. i DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c BDSG) legitimiert werden.

Die Abfrage von Risikodaten, wie beispielsweise die Frage, ob Mitarbeiter und Mitarbeiterinnen in den letzten zwei Wochen in einem Risikogebiet waren oder Kontakt zu einem Infizierten hatten, mittels einer Liste, kann in Bezug auf die personenbezogener Daten, wie den Namen, auf Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden. Die Ermittlung der Risikokriterien sollte jedoch negativ formuliert werden (z.B.: Ich war in den letzten zwei Wochen keinem Risikogebiet).

Aus Sicht eines Arbeitgebers ließe sich eine Datenverarbeitung auch von Gesundheitsdaten der Mitarbeiter aufgrund der Risikolage einer möglichen Infektion im Falle der Erfüllung der örtlichen und personellen Risikokriterien wohl auf Grundlage von § 26 Abs. 3 BDSG (zur Erfüllung rechtlicher Pflichten aus dem Arbeitsverhältnis) rechtfertigen. Hierbei ist jedoch stets eine Abwägung mit den Persönlichkeitsrechten der Mitarbeiter durchzuführen, um auch Datenschutz in Zeiten von Corona (Covid-19) zu gewährleisten.

Es steht einem Unternehmen allerdings in jedem Fall frei, eine strengere Einlasskontrolle oder beispielsweise Fiebermessungen vor Einlass durchzuführen, solange keine Speicherung der Messergebnisse stattfindet. Soll eine Speicherung erfolgen, bedarf es einer ausdrücklichen Rechtsgrundlage.

Maßnahmen und Datenschutz in Zeiten von Corona (Covid-19) im Überblick:

Nach rechtlicher Prüfung sind folgende Maßnahmen in Zeiten von Corona (Covid-19) zulässig:

  • Abfrage von Information, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte, z.B. die Befragung von Urlaubsrückkehrern, ob sie sich in einem Risikogebiet aufgehalten haben.
  • Nach Aufforderung durch Gesundheitsbehörden: Die Übermittelung von Daten über erkrankte Beschäftigte, über Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten an die Behörden.
  • Freiwillige Selbstauskunfts- oder Fragebögen zu Aufenthaltsort und Symptomen.

Fiebermessung am Eingang des Betriebsgeländes entweder durch den Beschäftigten selbst oder einen (Betriebs-)Arzt, sofern wenn die Ergebnisse nur für eine Einlasskontrolle mit Entscheidung Zutritt ja/nein genutzt werden.

  • Im Falle eines positiven Befunds bei einem Mitarbeiter (durch eine offizielle Stelle) oder sogar bei einem bestätigten Kontakt zu einer positiv getesteten Person, dürfen Informationen über den betroffenen Mitarbeiter verarbeitet werden, z.B. Zeitpunkt und enge Kontaktpersonen sowie ergriffe Maßnahmen (so die französische Datenschutzaufsicht).
  • Im Einverständnis mit Mitarbeitern und Mitarbeiterinnen dürfen private Handynummern oder andere Kontaktdaten von der Belegschaft, zur Information bei Schließung des Betriebs oder in ähnlichen Fällen erhoben werden.

Unzulässige Maßnahmen hingegen sind:

  • Der konkrete Name eines Beschäftigten darf nicht im Unternehmen veröffentlicht werden, da die Kenntnis von der Corona (Covid 19) -Erkrankung eines Mitarbeiters für diesen zu einer enormen Stigmatisierung führen kann. Stattdessen können Abteilungs-/ bzw. Teambezogen ohne konkrete Namensnennung Maßnahmen ergriffen werden. Mitarbeiter mit direktem Kontakt zu Infizierten sollten gewarnt und vorübergehend freigestellt werden.
  • Die pauschale Befragung aller Mitarbeiter zu Reisezielen (ohne konkrete Anhaltspunkte oder Reise).
  • Die pauschale Befragung aller Mitarbeiter zu ihrem Gesundheitszustand und Verarbeitung der Gesundheitsdaten (z.B. über Grippesymptome).
  • Eine Meldepflicht für Mitarbeiter, wenn ein Kollege Symptome zeigt.
  • Die verpflichtende Fiebermessung von Mitarbeitern am Eingang des Betriebsgeländes oder ähnliche medizinische Maßnahmen, sofern die Daten weiter gespeichert werden.

Zunächst sollten immer auch alternative Maßnahmen ohne Verarbeitung von personenbezogenen Daten erwogen werden:

  • Strengere Hygienevorschriften, z.B. die Aufforderungen zur Desinfektion der Hände.
  • Handlungsempfehlungen, z.B. Ermöglichung von Home-Office, die Bitte um vorrangig telefonischen Kontakt oder Videokonferenzen.
  • Verweisung auf Handlungsempfehlungen des Robert-Koch Instituts
  • Zugangssperren sensibler Bereiche, Einschränkung von Besuchsmöglichkeiten.
  • Aufklärungsmaßnahmen, Einrichten einer Hotline zur Beratung