Update Datenschutz Nr. 73 | Sondernewsletter Corona-Virus
Datenschutz in Corona-Zeiten
Nach Pressemeldungen ist die Mehrheit der Deutschen bereit, für die Bekämpfung der Corona-Krise Einschränkungen des Schutzes ihrer personenbezogenen Daten gegenüber Behörden und öffentlichen Stellen hinzunehmen. Das alleine aber rechtfertigt noch keine Maßnahmen, die Arbeitgeber im Angesicht der Corona-Pandemie treffen, um eine Ausbreitung im Unternehmen zu verhindern. Auch in Krisenzeiten bedarf die Verarbeitung personenbezogener Daten einer ausreichenden Rechtsgrundlage in der Datenschutzgrundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) bzw. datenschutzrechtlichen Spezialgesetzen, denn die Einwilligung des Einzelnen ist häufig nicht geeignet, um schnell und effektiv handeln zu können.
Am 13. März 2020 hat die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie veröffentlicht. Bereits zuvor hatten einzelne Landesdatenschutzbehörden, so insbesondere der Landesbeauftragte für den Datenschutz und die Informationssicherheit Baden-Württemberg, Leitfäden und FAQs herausgegeben, um die am häufigsten gestellten Fragen zu beantworten.
Relevante Informationen bei der Vorsorge und Abwendung von Corona-Fällen sind für den Arbeitgeber insbesondere solche über den Aufenthalt der eigenen Beschäftigten, aber auch von Besuchern oder Gästen in Risikogebieten, über den Kontakt zu nachweislich Infizierten sowie Angaben zu aktuellen Symptomen und Corona-Testergebnissen. Aber auch Vorsorgemaßnahmen wie Temperaturmessungen aller Personen vor Betreten des Betriebsgelände oder des Bürogebäude stehen vielfach im Raum.
Datenschutzrechtlich bedürfen die einzelnen Maßnahmen jeweils einer Rechtsgrundlage. Wenn es um Gesundheitsdaten geht, die datenschutzrechtlich als sensibel und daher besonders schützenswert eingestuft werden, greifen für die Verarbeitung spezielle Vorschriften. Im Bereich des Arbeitsrechts sind dabei insbesondere § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO einschlägig. Danach ist der Arbeitgeber berechtigt, Gesundheitsdaten zu verarbeiten, wenn dies zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Außerhalb eines Beschäftigungsverhältnisses, also beispielsweise gegenüber Besuchern oder anderen Externen, kann, je nach Art der betroffenen Daten, auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f) DSGVO unter Abwägung schutzwürdiger Interessen des Betroffenen, oder aber nach der insoweit wohl Covid-19-bedingt eher großzügigen Auslegung der DSK auf Art. 9 Abs. 2 lit. i) DSGVO in Verbindung mit § 22 Abs. 1 Nr. 1 lit. c) BDSG zurückgegriffen werden. Hiernach ist die Verarbeitung gesundheitsbezogener Angaben im erforderlichen Umfang unter anderem aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, zulässig, unterliegt allerdings insbesondere weiteren technisch-organisatorischen Schutzmaßnahmen.
Daneben gelten für alle Verarbeitungen selbstredend die allgemeinen Grundsätze der DSGVO, denen jede Verarbeitung personenbezogener Daten unterlieg. Zu wahren sind daher das Prinzip der Verhältnismäßigkeit, der Transparenz, der Vertraulichkeit und der Zweckbindung sowie die Verpflichtung, Daten zu löschen, sobald sie nicht mehr erforderlich sind.
In Bezug auf die eigenen Beschäftigten umfasst die Fürsorgepflicht des Arbeitgebers, so die DSK in ihrer aktuellen Information, jede angemessene Reaktion auf die epidemische bzw. pandemische Verbreitung einer meldepflichtigen Krankheit, die der Vorsorge und der Nachverfolgbarkeit im Sinne der Verhinderung weiterer Ausbreitung dient. Nach der Corona-Stellungnahme der DSK sind daher im Einzelnen zulässig:
- Die Erhebung und Verarbeitung personenbezogener Daten, insbesondere von Gesundheitsdaten von Beschäftigten durch den Arbeitgeber, um eine Ausbreitung des Virus bestmöglich zu verhindern oder einzudämmen. Dies gilt gemäß DSK insbesondere in Fällen, in denen eine Infektion festgestellt wurde oder Kontakt mit einer infizierten Person bestanden hat, und in Fällen, in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat. Dementsprechend wird meist die Abfrage dieser Informationen durch den Arbeitgeber zulässig sein, wobei der Landesbeauftragte für den Datenschutz und die Informationssicherheit Baden-Württemberg empfiehlt, dabei zunächst nur eine Negativauskunft einzuholen und weitere Nachfragen erst dann zu stellen, wenn weitere Anhaltspunkte vorliegen.
- Gemäß der wohl Covid-19-bedingt eher großzügigen Auslegung der DSK ist die Erhebung und Verarbeitung personenbezogener Daten einschließlich Gesundheitsdaten auch von Gästen und Besuchern zulässig, um festzustellen, ob diese (i) selbst infiziert sind oder in Kontakt mit einer infizierten Person standen, oder (ii) sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben. Damit dürften auch Maßnahmen wie das Fiebermessen nicht nur bei Beschäftigten, sondern auch bei Gästen und Besuchern vor Betreten von Betriebsgelände und Bürogebäude zulässig sein, sofern die Messung selbst ausreichend zuverlässig ist und die Ergebnisse nur zur Entscheidung über den Zutritt genutzt, aber nicht gespeichert werden.
- Demgegenüber ist die Offenlegung der Identität von nachweislich Infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen nach Auffassung der DSK nur dann rechtmäßig, wenn keine andere Möglichkeit zur Vorsorge besteht. Insoweit ist daher ein abgestuftes Vorgehen zu empfehlen, bei dem zunächst alle anderen Möglichkeiten der Information und Warnung möglicher Kontaktpersonen ausgeschöpft werden müssen, bevor die Identität des Betroffenen bekannt gegeben wird.
Eine Weitergabe von Daten über erkrankte Beschäftigte, über den Kontakt zu Infizierten oder den Aufenthalt in Risikogebieten durch den Arbeitgeber an Dritte ist nur dann zulässig, wenn hierfür eine Rechtsgrundlage besteht. Ein Austausch solcher Informationen im Konzern ist vor diesem Hintergrund nur in seltenen Ausnahmefällen zulässig. Soweit es um die Weitergabe von Informationen dieser Art an Behörden geht, weist der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg zutreffend darauf hin, dass diese einer dies ausdrücklich anordnenden gesetzlichen Grundlage oder beispielsweise einer behördlicher Anordnungen auf Grundlage des Infektionsschutzgesetzes (IfSG) bedürfen. In behördlichen Anordnungen muss die jeweilige Rechtsgrundlage ausdrücklich genannt sein. Die Unternehmen müssen prüfen, ob die genannte Rechtsgrundlage auch einschlägig ist.
Die datenschutzrechtlichen Fragestellungen im Zusammenhang mit der Ausbreitung des Corona-Virus sind vielfältig. Die nun herausgegebenen Handreichungen der Aufsichtsbehörden sind hilfreich und wohl Covid-19-bedingt eher großzügig, entheben den Arbeitgeber aber nicht der Pflicht, die verschiedenen einzelne Maßnahmen im Einzelfall datenschutzrechtlich zu prüfen und sicherzustellen, dass die allgemeinen Anforderungen des Datenschutzrechts beachtet werden.
Auf unserer Themenseite finden Sie weitere, täglich aktualisierte Hinweise zur Corona-Krise.