Die Corona-Pandemie (Covid-19 bzw. "SARS-CoV-2") hat nun auch Deutschland getroffen. Dies führt dazu, dass viele öffentliche Einrichtungen, Restaurants und Bars geschlossen haben. Arbeitgeber stehen nun vor der rechtlichen Frage, ob sie im Zusammenhang mit der Corona-Pandemie personenbezogene Daten ihrer Mitarbeiter sowie Gästen und Besuchern verarbeiten dürfen, um geeignete Abwehrmaßnahmen zur Verhinderung weiterer Infektionen treffen zu können. Dazu können beispielsweise Fragebögen oder Fiebermessungen gehören.

Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben sich diesem Thema angenommen und allgemeine Hinweise veröffentlicht (https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html).

Werden (besonderen Kategorien) personenbezogener Daten verarbeitet?

Festgestellt wird, dass es sich bei der Abfrage von Informationen im Zusammenhang mit der Corona-Pandemie in der Regel um Gesundheitsdaten (Art. 4 Nr. 15 Datenschutz-Grundverordnung, kurz DSGVO) i.S.d. Art. 9 DSGVO handelt. Diese besonderen Kategorien personenbezogener Daten sind besonders geschützt. Die Verarbeitung der Gesundheitsdaten ist nur beim Vorliegen einer der Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO zulässig.

Was sind zulässige Maßnahmen?

Die Datenschutzaufsichtsbehörden sind der Ansicht, dass für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern die Gesundheitsdaten datenschutzkonform verarbeitet werden können. Dabei sei der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage stets zu beachten.
Es werden verschiedene Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie als datenschutzrechtlich zulässig betrachtet:
Die Verarbeitung von personenbezogenen Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen zu können.
Zu diesem Zweck können Informationen verarbeitet werden, in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden oder in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
Dem schließt sich auch die ICO (Information Commissioner’s Office) an, wonach es vernünftig ist, die Beschäftigten danach zu fragen, ob sie ein bestimmtes Land besucht haben oder an Symptomen leiden [https://studyclerk.com/blog/data-protection-and-coronavirus). Nach Ansicht der französischen Aufsichtsbehörde CNIL hingegen müssen Arbeitgeber es unterlassen, Informationen über mögliche Symptome von Arbeitnehmern oder deren Angehörigen zu sammeln. Dazu gehören zum Beispiel Fragebögen (https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles).
Weiterhin sei die Verarbeitung besonderer Kategorien personenbezogener Daten von Gästen und Besuchern zulässig, um festzustellen, ob diese selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen oder sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.
Hingegen sei die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen nur dann rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich sei.

Sind datenschutzrechtliche Erlaubnisnormen für diese Maßnahmen einschlägig?

Die Verarbeitung personenbezogener Daten bedarf stets einer Erlaubnisnorm (sog. Verbot mit Erlaubnisvorbehalt). Dies bedeutet, dass eine Verarbeitung nur dann rechtmäßig ist, wenn eine Einwilligung oder eine gesetzliche Erlaubnisnorm die Verarbeitung legitimiert.

Maßnahmen gegenüber Beschäftigten

Nach Ansicht der Datenschutzaufsichtsbehörden erfolgt die Berechtigung zur Verarbeitung personenbezogener Mitarbeiterdaten für öffentlich-rechtliche Arbeitgeber grundsätzlich aus Art. 6 Abs. 1 S. 1 lit. e DSGVO und für Arbeitgeber im nicht-öffentlichen Bereich aus § 26 Abs 1 BDSG bzw. Art. 6 Abs. 1 S. 1 lit. f DSGVO jeweils i.V.m. den einschlägigen beamtenrechtlichen sowie tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts. Soweit besondere Kategorien personenbezogener Daten wie Gesundheitsdaten verarbeitet werden, seien zudem Art. 9 Abs. 2 lit. b DSGVO i.V.m. § 26 Abs. 3 BDSG (Erfüllung arbeitsrechtlicher Pflichten) anwendbar.
Nach Art. 9 Abs. 2 lit. b DSGVO ist die Verarbeitung unter anderem dann erforderlich, damit der Verantwortliche die ihm aus dem Arbeitsrecht erwachsenden Rechte ausüben und seinen diesbezüglichen Pflichten nachkommen kann. Die Datenschutzaufsichtsbehörden fassen unter den Begriff "Arbeitsrecht" auch das deutsche Beamtenrecht.
Für den öffentlich-rechtlichen Arbeitgeber könne zusätzlich auf Art. 9 Abs. 2 lit. g DSGVO rekurriert werden, da die Fürsorgepflicht im Sinne der Gesundheitsvorsorge einem wichtigen öffentlichen Interesse diene.

Maßnahmen gegenüber Dritten (Besucher, Gäste)

Maßnahmen gegenüber Dritten können bei öffentlichen Stellen auf Art. 6 Abs. 1 S. 1 lit. c und e DSGVO ggf. in Verbindung mit den jeweiligen Landesdatenschutzgesetzen gestützt werden. Im nicht-öffentlichen Bereich dient Art. 6 Abs. 1 S. 1 lit. f DSGVO als Rechtsgrundlage. Soweit besondere Kategorien personenbezogener Daten i.S.d. Art. 9 DSGVO betroffen sind, findet zudem Art. 9 Abs. 2 lit. i DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c BDSG Anwendung. Nach Art. 9 Abs. 2 lit. i DSGVO ist die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit zulässig. Nach Ansicht der Datenschutzaufsichtsbehörden folge aus der Fürsorgepflicht des Arbeitgebers bzw. des Dienstherren, den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen (so auch der Landesdatenschutzbeauftragte für Datenschutz und die Informationsfreiheit aus Baden-Württemberg, https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/03/FAQ-Corona.pdf). Hierzu zähle auch die angemessene Reaktion auf die pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und im Fall der Fälle der Nachverfolgbarkeit (also im Grunde nachgelagerte Vorsorge gegenüber den Kontaktpersonen) dient. Es wird betont, dass diese Maßnahmen immer verhältnismäßig sein müssen. Dazu gehöre, dass die personenbezogenen Daten vertraulich behandelt werden und dem Zweckbindungsgrundsatz nach Art. 5 Abs. 1 lit. b DSGVO genügen. Ist der Zweck der Verarbeitung entfallen, was regelmäßig dem Ende der Pandemie der Fall sei, müssen die erhobenen Daten unverzüglich gelöscht werden.
Die Einholung der Einwilligung wird nur in den Fällen empfohlen, wenn die betroffenen Personen über die Datenverarbeitung informiert sind und freiwillig in die Maßnahme einwilligen können.

Bestehen Pflichten der Beschäftigten?

Unabhängig von dem Bestehen einer datenschutzrechtlichen Erlaubnisnorm für die Verarbeitung der personenbezogenen Daten im Zusammenhang mit der Corona-Pandemie wird von den Datenschutzaufsichtsbehörden auf Pflichten der Beschäftigten hingewiesen. So ergebe sich aus dem Beamtenrecht, aus dem Tarifrecht bzw. dem Arbeitsrecht für Beschäftigte verschiedene Nebenpflichten, unter anderem auch Rücksichts-, Verhaltens- und Mitwirkungspflichten gegenüber ihrem Arbeitgeber und Dritten.
Weiterhin bestehe beispielsweise die Nebenpflicht der Beschäftigten, den Dienstherr bzw. den Arbeitgeber über das Vorliegen einer Infektion mit dem Corona-Virus zu informieren. Da es sich um den Schutz hochrangiger Interessen Dritter handele, folge unter gewissen Voraussetzungen auch eine Offenlegungsbefugnis gemäß Art. 6 Abs. 1 S. 1 lit. c und f DSGVO bezüglich personenbezogener Daten der Kontaktpersonen.

Fazit

Auch wenn das Datenschutzrecht in der derzeitigen Lage bei den meisten Arbeitgebern nicht als Hauptproblem angesehen wird, kann es dennoch helfen, effektive Maßnahmen gegen die Corona-Pandemie zu treffen. Insgesamt kann festgestellt werden, dass Arbeitgeber Maßnahmen zum Schutz ihrer Beschäftigten und Dritten treffen dürfen. Dabei haben sie den Grundsatz der Verhältnismäßigkeit zu beachten, was jeweils im Einzelfall geprüft werden muss.

Wenn Sie Untstützung bei der Erstellung einer Home-Office-Richtlinie benötigen, melden Sie sich einfach kostenfrei und unverbindlich bei der DURY Compliance & Consulting GmbH.