Datenschutz und Corona
Auch beim Thema Datenschutz ist in Zeiten von Corona besonders wichtig, das richtige Maß zu finden.
Der Datenschutz ist ein wichtiger Grundpfeiler europäischer Rechtsstaatlichkeit. Auch im Krisenfall dürfen nicht alle Rechte den Bach hinuntergehen. Wenn es hart auf hart kommt, dürfen wir die Prinzipien des Datenschutzes nicht vergessen.
Neben der Sorge um die Gesundheit der Mitarbeiter, die neben die Bemühungen um Aufrechterhaltung des Unternehmensbetriebs tritt, stellt sich vielen die Frage, welche Maßnahmen im Kampf gegen das Corona-Virus überhaupt möglich sind. Neben vielen arbeitsrechtlichen Vorgaben müssen insbesondere auch die Vorschriften der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) befolgt werden.
Der Bundesbeauftragte für den Datenschutz und Informationsfreiheit hat daher einen Leitfaden herausgegeben.
Darüber hinaus stellen sich betriebliche zahlreiche Fragen, die wir im Nachgang aus verschiedenen Quellen zusammengetragen haben.
Was sollte im Rahmen einer Betriebsvereinbarung Pandemie in Bezug auf Datenschutz geregelt werden?
Im Ergebnis sind die Antworten der folgenden Fragen auch im Rahmen einer Betriebsvereinbarung Pandemie zu berücksichtigen.
Angefangen von den Maßnahmen bis hin zur Datenerhebung, Speicherung und Löschung bis hin zur Frage der Weitergabe der erhobenen Daten an Dritte.
Dürfen Arbeitgeber aktuelle private Handynummern oder andere Kontaktdaten von der Belegschaft erheben, um die Beschäftigten im Falle einer Schließung des Betriebs oder in ähnlichen Fällen kurzfristig warnen oder auffordern zu können, zu Hause zu bleiben?
Zur Corona-Prävention wird von vielen (Berufs-) Verbänden der Aufbau eines auf den jeweiligen Betrieb zugeschnittenen „innerbetrieblichen Kommunikationsnetzwerks“ empfohlen, damit Unternehmen je nach Pandemiephase bestimmte Maßnahmen treffen können. Eine solche Empfehlung spricht auch das Handbuch des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe aus.
Damit die Beschäftigten auch kurzfristig gewarnt werden können und nicht zunächst im Betrieb oder bei der Arbeit erscheinen, dürfen Arbeitgeber von ihren Beschäftigten auch die aktuelle private Handynummer etc. abfragen und temporär speichern. Dies kann allerdings nur im Einverständnis mit dem Beschäftigten erfolgen; eine Pflicht zur Offenlegung privater Kontaktdaten besteht für die Beschäftigten nicht, wird jedoch regelmäßig in ihrem eigenen Interesse liegen.
Entscheidend ist hierbei, dass die Erhebung der privaten Kontaktdaten für eindeutige, konkrete und legitime Zwecke erfolgt. In Betracht kommt insbesondere der Zweck, die Infektionsgefährdung der Beschäftigten zu verringern. Spätestens nach Ende der Pandemie sind die erhobenen Kontaktdaten vom Arbeitgeber wieder zu löschen. Es wäre datenschutzrechtlich nicht zulässig, wenn diese Daten „durch die Hintertür“ später für Kontaktaufnahmen nach Feierabend oder am Wochenende oder für andere Zwecke genutzt werden.
Dürfen Arbeitgeber Informationen darüber erheben und weiterverarbeiten, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte etc.?
Arbeitgeber sind auf Grund ihrer Fürsorgepflicht und nach dem Arbeitsschutzgesetz (ArbSchG) verpflichtet, die erforderlichen Maßnahmen zu treffen, um die betriebliche Sicherheit und Gesundheit der Belegschaft zu gewährleisten. Hiervon ist auch die Pflicht des Arbeitgebers umfasst, dafür zu sorgen, die anderen Beschäftigten vor einer Infektion durch eine erkrankte Person zu schützen. Für diesen Zweck ist es laut Robert-Koch-Institut datenschutzrechtlich zulässig, Informationen darüber zu erheben, zu welchen Personen der erkrankte Mitarbeiter Kontakt hatte. Gemäß Artikel 6 Absatz 1 Buchstabe c der Datenschutz-Grundverordnung (DS-GVO) i.V.m. Artikel 9 Absatz 1, Absatz 4 DS-GVO und § 26 Absatz 3 Satz 1, § 22 Absatz 1 Nummer 1 Buchstabe b des Bundesdatenschutzgesetzes (BDSG) kann der Arbeitgeber die erforderlichen Daten zum Zweck der arbeitsmedizinischen Vorsorge verarbeiten.
Der Arbeitgeber darf demnach beispielsweise auch Urlaubsrückkehrer befragen, ob sie sich in einem, etwa durch das Robert Koch-Institut festgelegten Risikogebiet, aufgehalten haben. Eine Negativauskunft des Beschäftigten genügt regelmäßig. Liegen weitere Anhaltspunkte vor, kann gegebenenfalls eine weitere Nachfrage erfolgen.
Dürfen Arbeitgeber den Beschäftigten mitteilen, dass ein bestimmter Mitarbeiter am Virus erkrankt ist, sogar unter Nennung des konkreten Namens, um darauf aufbauend mögliche Kontaktpersonen freizustellen?
Die Kenntnis von der Corona-Erkrankung eines Mitarbeiters kann für diesen zu einer enormen Stigmatisierung führen. Die Nennung des Namens des betroffenen Mitarbeiters ist daher grundsätzlich zu vermeiden. Gleichzeitig sind Mitarbeiter, welche in direktem Kontakt mit einem Infizierten waren, zu warnen und werden in der Regel selbst zur Eindämmung der Ansteckungsgefahr von der Arbeit freigestellt. Regelmäßig kann eine derartige Maßnahme abteilungs-/ bzw. teambezogen ohne konkrete Namensnennung erfolgen. Ist dies ausnahmsweise nicht ausreichend, so muss der Arbeitgeber Kontakt mit den Gesundheitsbehörden aufnehmen und um deren Entscheidung ersuchen. Ist auch dies nicht möglich, dürfen auch die übrigen Mitarbeiter über den Verdacht der Ansteckung oder der Erkrankung des konkreten Mitarbeiters informiert werden, um Infektionsquellen zu lokalisieren und einzudämmen.
Dürfen Arbeitgeber nach Aufforderung durch Gesundheitsbehörden Daten über erkrankte Beschäftigte, über Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten an die Behörden übermitteln?
Behördliche Maßnahmen vor dem Hintergrund der Corona-Pandemie können, je nach der spezifischen Regelung der Länder, meist durch die jeweilige Ortspolizeibehörde oder das zuständige Gesundheitsamt erlassen werden. Das ist den Bundesländern unterschiedlich geregelt. In Baden-Württemberg ergeben sich z.B. die Zuständigkeiten insbesondere aus der Verordnung des Sozialministeriums über Zuständigkeiten nach dem Infektionsschutzgesetz vom 19. Juli 2007 (GBl. S. 361), geändert durch ÄndVO vom 8. April 2014 (GBl. S. 177). Besonders bedeutsam mit Blick auf den betrieblichen Pandemieschutz sind die Vorschriften der §§ 30, 31 des Infektionsschutzgesetzes (IfSG), welche die Quarantäneanordnung und das berufliche Tätigkeitsverbot durch das Gesundheitsamt regeln, sowie die Generalklauseln in § 16 Absatz 1 und Absatz 2 Satz 3 IfSG (zu diesen siehe noch die nächste Frage). Die Rechtsgrundlage hängt von der konkreten behördlichen Anfrage ab, welche dort erfragt werden kann.
Bei Ersuchen von zuständigen Hoheitsträgern, etwa bzgl. erkrankter Beschäftigter im Betrieb, ist von einer mit der Übermittlungspflicht korrespondierenden Übermittlungsbefugnis der Arbeitgeber auszugehen.
Dürfen Unternehmen (z. B. Messeveranstalter, Theater usw.) auf Aufforderung durch Gesundheitsbehörden Daten von Kunden oder Besuchern von Veranstaltungen erheben, speichern oder übermitteln für den Fall, dass später bekannt wird, dass eine infizierte Person auf der Veranstaltung war?
Gem. § 16 Absatz 1 IfSG gilt: „Werden Tatsachen festgestellt, die zum Auftreten einer übertragbaren Krankheit führen können, oder ist anzunehmen, dass solche Tatsachen vorliegen, so trifft die zuständige Behörde die notwendigen Maßnahmen zur Abwendung der dem Einzelnen oder der Allgemeinheit hierdurch drohenden Gefahren. Die bei diesen Maßnahmen erhobenen personenbezogenen Daten dürfen nur für Zwecke dieses Gesetzes verarbeitet werden.“
Für den Fall, dass von der zuständigen Behörde eine auf Speicherung von Besucherdaten gerichtete Verfügung ergangen ist, kann der Veranstalter die Erhebung und Speicherung der Daten entsprechend der behördlichen Anordnung auf Artikel 6 Absatz 1 Buchstabe c sowie Absatz 2 und 3 DS-GVO stützen. Einer solchen Anordnung zur Speicherung von Besucherdaten korrespondiert regelmäßig eine Übermittlungspflicht an die zuständige Behörde, etwa nach der Regelung des § 16 Absatz 2 Satz 3 IfSG. Demnach besteht die Verpflichtung, auf Verlangen der Behörde die erforderlichen Auskünfte zu erteilen und Unterlagen vorzulegen. Sobald eine solche behördliche Anordnung vorliegt, sollte das von ihr betroffene Unternehmen prüfen, ob die hieraus resultierende Datenverarbeitung (insbesondere die Erhebung und Speicherung der betreffenden Daten und ggf. die Übermittlung an die Gesundheitsbehörde) in den von ihr zu erteilenden Informationen nach Artikel 13, 14 DS-GVO angeführt wird und andernfalls eine Anpassung vornehmen. Solange eine behördliche Anordnung nicht vorliegt, ist es Veranstaltern unbenommen, die Namen und Kontaktdaten ihrer Besucher zu dem Zweck, diese den Gesundheitsbehörden auf Anforderung zu übermitteln, auf der Grundlage einer Einwilligung nach Artikel 6 Absatz 1 Buchstabe a DS-GVO von den Besuchern zu erheben und zu speichern. Die Dauer der Speicherung sollte sich in diesem Fall an der mutmaßlichen Inkubations- und Entdeckungszeit von Infektionen orientieren.
Welche Daten (über Erkrankte und Nichterkrankte) haben Leistungserbringer im Gesundheitsbereich (z. B. Krankenhäuser/Ärzte) insoweit zu erheben und an Gesundheitsbehörden zu melden?
Die Meldepflichten von Ärzten, Krankenhäusern und anderen Einrichtungen, beispielsweise Laboren, ergeben sich insbesondere aus den detaillierten Regelungen der §§ 6, 7, 8 und 9 IfSG in Verbindung mit der Verordnung über die Ausdehnung der Meldepflicht nach § 6 Absatz 1 Satz 1 Nummer 1 und § 7 Absatz 1 Satz 1 des Infektionsschutzgesetzes auf Infektionen mit dem erstmals im Dezember 2019 in Wuhan/Volksrepublik China aufgetretenen neuartigen Coronavirus („2019-nCoV“) des Bundesministeriums der Gesundheit vom 30. Januar 2020 (CoronaVMeldeV).
Nach § 9 Absatz 1 IfSG muss die namentliche Meldung durch einen Arzt u. a. folgende Angaben, soweit vorliegend, enthalten:
- Name und Vorname,
- Geschlecht,
- Geburtsdatum,
- Anschrift der Hauptwohnung oder des gewöhnlichen Aufenthaltsortes und, falls abweichend: Anschrift des derzeitigen Aufenthaltsortes,
- weitere Kontaktdaten,
- Diagnose oder Verdachtsdiagnose,
- Tag der Erkrankung, Tag der Diagnose, gegebenenfalls Tag des Todes und wahrscheinlicher Zeitpunkt oder Zeitraum der Infektion,
- wahrscheinliche Infektionsquelle, einschließlich der zugrunde liegenden Tatsachen, in Deutschland: Landkreis oder kreisfreie Stadt, in dem oder in der die Infektion wahrscheinlich erworben worden ist, ansonsten Staat, in dem die Infektion wahrscheinlich erworben worden ist.
Demnach sind Ärzte aus datenschutzrechtlicher Sicht nicht verpflichtet, ihnen bislang nicht vorliegende Informationen aus dem umfangreichen Katalog des § 9 Absatz 1 IfSG erst noch, eventuell unter beträchtlichem Einsatz von Zeit und anderen Ressourcen, zu erheben, um danach ihre namentliche Meldung nach den Vorschriften des Infektionsschutzgesetzes zu machen. Soweit es Ärzten, etwa aus medizinischen oder epidemiologischen Gründen, sachgerecht oder angezeigt scheint, bestimmte Ihnen noch nicht vorliegende Informationen zu erheben, dürfen sie dies versuchen. Selbstverständlich müssen sie dann in datenschutzrechtlicher Hinsicht u. a. prüfen, ob sie eine entsprechende Erhebungsbefugnis haben.
Die Leistungserbringer sollten zudem überprüfen, ob die Möglichkeit einer Meldung von Gesundheitsdaten an Gesundheitsbehörden aufgrund des Infektionsschutzgesetzes in ihren jeweils erteilten Informationen gemäß Artikel 13 und 14 DS-GVO enthalten ist.
Was sind die generellen Anforderungen an die Datenverarbeitung?
Die DSGVO stellt bezüglich der Verarbeitung von personenbezogenen Daten ein Verbot mit Erlaubnisvorbehalt auf. Das heißt es muss immer eine Rechtsgrundlage vorliegen, die die Verarbeitung ausdrücklich erlaubt. Ansonsten muss die Verarbeitung unterbleiben.
Handelt es bei den Daten im Zusammenhang mit Corona um personenbezogene Daten in Form von Gesundheitsdaten?
Bei den im Umgang mit dem Corona-Virus verarbeiteten Daten handelt es sich vor allem um Gesundheitsdaten, die sich auf die körperliche Gesundheit einer natürlichen Person beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
Beispielsweise, wenn nach Krankheitssymptomen gefragt wird oder oder gar Fieber gemessen werden soll. Auch wenn Dritte darüber informieren, dass eine Person Krankheitssymptome aufzeigt, oder gar über einen Krankheitsverdacht oder -fall informiert wird, werden Gesundheitsdaten verarbeitet.
Aus datenschutzrechtlicher Sicht handelt es sich dabei um sogenannte besondere personenbezogene Daten, deren Verarbeitung gem. Art. 9 DSGVO nur in streng geregelten Fällen gestattet ist.
Gelten durch die Einstufung von Corona als Pandemie besondere Rechtsgrundlagen?
Für die Verarbeitung besonderer personenbezogener Daten kann spätestens mit der Einstufung des Corona-Virus als Pandemie durch die Weltgesundheitsorganisation (World Health Organisation, WHO) am 11. März 2020 als Rechtsgrundlage die nationale Regelung aus § 22 Abs. 1 Nr. 1 lit. c BDSG in Verbindung mit Art. 9 Abs. 2 lit. g DSGVO herangezogen werden. Demnach ist die Verarbeitung von Gesundheitsdaten ausnahmsweise für nichtöffentliche Stellen (also auch Unternehmen) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, erlaubt. In Erwägungsgrund 46 zur DSGVO werden Beispiele aufgelistet, die als Grund für eine Verarbeitung von Daten aus lebenswichtigen Interessen dienen können. Die Verarbeitung personenbezogener Daten zur Überwachung und Verhinderung der Ausbreitung einer Pandemie wie dem Corona-Virus ist somit gerechtfertigt.
Muss auch in Zeiten von Corona eine Interessenabwägung bei der Erhebung personenbezogener Daten getroffen werden?
Zu beachten ist jedoch, dass immer eine Interessensabwägung durchzuführen ist und ausreichende technische und organisatorische Maßnahmen zum Schutz der verarbeiteten Daten getroffen werden müssen. Auch in einem Ausnahmefall, wie durch die Corona-Pandemie hervorgerufen, sind die Rechte betroffener Personen angemessen zu würdigen.
Konkrete Maßnahmen, die im Rahmen einer Corona-Überwachung getroffen werden können und bei denen personenbezogene Daten verarbeitet werden, sind zum Beispiel:
- Fragen nach Krankheitssymptomen
- Fragen nach Aufenthaltsorten
- Fragen nach Kontakt mit (möglicherweise) infizierten Personen bzw. mit gesunden Personen, wenn der Befragte im Verdacht steht, infiziert zu sein
- Körpertemperatur- bzw. Fiebermessung
- Weitergabe der gewonnenen Informationen zu oben genannten Punkten z.B. an andere Personen, Firmen oder an Behörden
Bei der Interessensabwägung sollte dann immer gefragt werden, wie tief der Eingriff in die Rechte der betroffenen Person ist und ob dies im Verhältnis zum Zweck der Verarbeitung steht.
Ist die Maßnahme Temperaturmessung verhältnismäßig?
So hat zum Beispiel eine Temperaturmessung einen erheblich höheren Eingriffscharakter als die Bitte um Selbstauskunft, ob Symptome vorliegen. Die Messung kann grundsätzlich erlaubt sein, wenn sie sinnvoll erscheint und keine milderen Mittel möglich sind. Momentan scheint das aber nicht der Fall zu sein. Krankheitsträger müssen keine Symptome, insbesondere nicht Fieber, zeigen. Dazu kommt, dass es sich um einen Eingriff handelt, den normalerweise ein Arzt bzw. medizinisches Fachpersonal durchführen würde. Solche Eingriffe sind durch die besondere Stellung, die ein Arzt innehält, immer besonders zu werten. Die gebotene Durchführung des Eingriffs und der Umgang mit den gewonnenen Daten durch einen Experten, der darüber hinaus auch an eine Verschwiegenheitspflicht gebunden ist, wiegt in der durchzuführenden Abwägung schwer. Es ist deshalb von einem überwiegenden Interesse des Betroffenen an der Nichtverarbeitung auszugehen.
Wenn aufgrund eines gravierenden Risikos wie zum Beispiel der Arbeit mit Risikopatienten jede Gefährdung ausgeschlossen werden muss, sollte der Eingriff von einem Arzt oder zumindest von sonstigem medizinischen Fachpersonal (z. B. Krankenpfleger) durchgeführt werden.
Ist die Ortung der Mitarbeiter durch Mobiltelefon noch verhältnismäßig?
Unverhältnismäßig wird auch eine Ortung der Aufenthaltsdaten über Mobiltelefone sein. Auch hier steht durch Befragung, ob ein Risikogebiet besucht worden ist, ein milderes, weniger in die Rechte des Betroffenen eingreifendes Mittel zur Verfügung. Ein wichtiger Abwägungspunkt kann auch die Anlassbezogenheit sein. So wird das Führen einer Kontaktpersonenliste nicht zulässig sein, wenn kein konkreter Verdacht besteht, dass eine Infektion und damit ein Ansteckungsrisiko vorliegt.
Maßnahmen aufgrund von Allgemeinverfügungen der Behörden
Im Zuge der Corona-Pandemie erlassen Gemeinden, Städte und Landratsämter Allgemeinverfügungen, die Unternehmen zur Verarbeitung personenbezogener Daten verpflichten. Zum Beispiel wurden Allgemeinverfügungen erlassen, wonach in den betroffenen Regionen Name, Uhrzeit, Datum und Kontaktdaten von Kunden in Einrichtungen, die nicht nur vorübergehend frequentiert werden (z.B. Restaurants oder mit Wartebereichen), aufzunehmen und zu speichern sind.
Als Sicherheitsbehörde sind die Behörden dazu gem. § 28 Abs. 1 Infektionsschutzgesetz (InfSG) befugt. Die Datenverarbeitung durch die Behörde ist deshalb nach Art. 6 Abs. 1 lit. e DSGVO rechtmäßig. Die Verarbeitung als betroffenes Unternehmen erfolgt dann aufgrund der rechtlichen Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO.
Neben den im nächsten Absatz folgenden Punkten, die beim Umgang mit personenbezogenen Daten zu beachten sind, gilt hier der besondere Hinweis, dass die rechtliche Verpflichtung nicht von den allgemeinen Pflichten der DSGVO befreit, insbesondere nicht von den Informationspflichten. Auch ist sicherzustellen, dass die Aufnahme der Daten so erfolgt, dass die Daten nicht von Unbefugten eingesehen werden können (z.B. durch das Auslegen einer Eintragungsliste) oder für einen anderen Zweck, wie zum Beispiel Werbung, verwendet werden. Die Daten dürfen nicht länger aufbewahrt werden, als die Allgemeinverfügung dies fordert. Danach sind sie zu löschen.
Worauf ist beim Umgang mit den Daten zur Corona-Überwachung zu achten?
Der Umgang mit den gewonnenen Daten ist konkret zu hinterfragen.
Zunächst sollen nur die notwenigen Daten verarbeiten werden, um dem Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO gerecht zu werden. Es wäre zB. nicht notwendig, den erfragten Aufenthaltsort zu speichern, wenn er kein Risikogebiet ist. Die Klassifizierung als Risikogebiet wird dementsprechend für einen Datenverarbeitung ausreichend sein. Wie immer ist die Verarbeitung der Daten zu dokumentieren. Auch hier empfiehlt sich die Aufnahme der Verarbeitung in das Verarbeitungsverzeichnis. Außerdem sind Betroffene sind umfangreich über die Verarbeitung ihrer personenbezogenen Daten zu Informieren. Hier kommt es auch die „üblichen“ Kommunikationsmittel im Betrieb an. Außerdem gilt es Regelungen über die Speicherung und Löschung treffen, was in einem entsprechenden Löschkonzept festgehalten wird. Letztlich müssen auch Regelungen über die Weitergabe der Daten an Dritte zu machen. Es gilt zum Beispiel zu regeln, unter welchen Voraussetzungen die Belegschaft insgesamt oder nur ein beschränkter Personenkreis von Kontaktpersonen von dem Infektionsfall informiert wird.
Kontakt
Dr. Hoffmann – Hanke
Dr.-Ruer-Platz 4 · 44787 Bochum
Telefon: 0234. 58 69 77-0
E-Mail: team[at]arbeitsrecht.team
Themen
Mit freundlicher
Unterstützung von
