Stand: 04.04.2022

Nach fast zwei Jahren COVID-19-Pandemie ist Deutschland erneut an einem neuen Punkt angekommen, denn seit dem 03. April 2022 bleibt in den meisten Bundesländern nur noch ein sogenannter Basisschutz bestehen. Allerdings müssen die Anforderungen des Datenschutzes immer noch umgesetzt werden. Die Aufsichtsbehörden betonen dabei, dass der vielfach zu beobachtende Ansatz „Viel hilft viel“ im Datenschutz nicht der richtige Ansatz ist, weil er mit dem Prinzip der Datenminimierung nicht zu vereinbaren ist. Das gilt ganz besonders für den Umgang mit Beschäftigtendaten. Nach den neuen Regelungen gelten die normalen Regeln für das „Ob“ und „Wie“ der Datenverarbeitung unverändert weiter.

Beschwerden über Datenschutzfehler bleiben auf hohem Niveau

Den betroffenen Personen sind ihre Datenschutzrechte mittlerweile bewusst und es ist eine gesteigerte Sensibilität bei Gesundheits- und Kontaktdaten zu erkennen. Nach Veröffentlichung der Tätigkeitsberichte des Jahres 2021 der Aufsichtsbehörden in Schleswig-Holstein, Bremen und Baden-Württemberg wird deutlich, dass der deutschlandweite Trend der hohen Zahlen von Beschwerden und der damit verbundenen Kontrollen gerade im Corona-Jahr 2021 durch die neuen Datenverarbeitungen zur Pandemiebekämpfung weiter auf einem hohen Niveau liegen. Aktuelle Zahlen für das Jahr 2021 liegen z.B. bereits aus Schleswig-Holstein vor, wo im Jahr 2021 1464 Beschwerden (Vorjahr: 1497) registriert wurden, in Baden-Württemberg gingen im Jahr 2021 4.708 Beschwerden ein (Vorjahr: 4783) und in Bremen gab es 483 Beschwerden (Vorjahr: 544). Die häufigsten Beschwerden richteten sich im Bereich des Beschäftigtendatenschutzes gegen die

  • Verstöße gegen den Beschäftigtenschutz z. B. unzulässige Erhebung von Gesundheitsdaten durch Arbeitgeber
  • das Speichern und Verarbeiten personenbezogener Daten zur Vermeidung und Aufdeckung von Corona-Infektionen
  • den Einsatz von Videokonferenzsystemen für Homeoffice

Die DS-GVO steht der Verarbeitung von Gesundheitsdaten zum Infektionsschutz und der Eindämmung von Pandemien nicht entgegen. Dies betonte auch die Datenschutzkonferenz (DSK) in ihrer Entschließung zum Umgang mit dem Datenschutz während der Corona-Pandemie vom 03.04.2020. Dennoch stellt der Beschäftigtendatenschutz aufgrund der aktuellen Änderungen neue Anforderungen, die es bei der Umsetzung der Infektionsschutzmaßnahmen zu beachten gilt. Grundsätzlich gelten natürlich im Kontext des Infektionsschutzes weiterhin die üblichen Rechtmäßigkeitsvoraussetzungen für die Verarbeitung personenbezogener Daten.

Grundproblematik: Verarbeitung von Gesundheitsdaten

Ein Großteil der Maßnahmen zur Eindämmung des Coronavirus lässt sich ohne die Verwendung von Informationen zum Gesundheitszustand der Arbeitnehmer nicht umsetzen. Gesundheitsdaten zählen dabei zur besonderen Kategorie von Daten nach Art. 9 DS-GVO, an deren Verarbeitung strenge Vorschriften geknüpft sind. Das heißt, die Verarbeitung der Daten ist nur in wenigen Ausnahmefällen überhaupt zulässig.

In welchem Rahmen die Verarbeitung von Beschäftigtendaten erlaubt ist, wird in § 26 BDSG geregelt. Im Falle von Gesundheitsdaten dient § 26 Abs. 3 BDSG als Rechtsgrundlage. Dieser besagt, dass eine Verarbeitung erlaubt ist, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Bei einer Vielzahl Schutzmaßnahmen ist die Erfüllung einer rechtlichen Verpflichtung einschlägig, denn Arbeitgeber sind nach § 618 Abs. 1 BGB i. V. m. § 3 ArbSchG dazu verpflichtet, die Sicherheit und die Gesundheit ihrer Arbeitnehmer sicherzustellen. Sie müssen bestehende Gefahren für Beschäftigte einschätzen (sog. Gefährdungsbeurteilung) und Maßnahmen ergreifen, um die Risiken so weit wie möglich zu minimieren. Mit anderen Worten haben Arbeitgeber gegenüber ihren Mitarbeitern eine Fürsorgepflicht zu erfüllen.

Um beurteilen zu können, ob die Umsetzung bestimmter Maßnahmen und die damit einhergehende Verarbeitung von Gesundheitsdaten zulässig ist, muss abgewogen werden, inwieweit Persönlichkeitsrechte des betroffenen Mitarbeiters diese Fürsorgepflicht überwiegen. Die Interessenabwägung muss für jede einzelne Maßnahme individuell durchgeführt werden. Maßgebliches Kriterium ist dabei die Erforderlichkeit bzw. die Verhältnismäßigkeit der Maßnahme. Es muss geprüft werden, ob der gleiche Zweck auch durch mildere Mittel erreicht werden kann. Ist dies der Fall, ist die Verarbeitung nicht zulässig und die Maßnahme darf nicht durchgeführt werden.

Umgang mit (Gesundheit-)Daten

Die Abwägung, ob eine Verarbeitung von Gesundheitsdaten erforderlich und damit zulässig ist oder nicht, kann im Einzelfall schwierig sein. Vor der Corona-Pandemie gingen Arbeitgeber Gesundheitsinformationen der Arbeitnehmer in aller Regel nichts an. Die Vorgaben des Datenschutzes haben die Beschäftigten gesetzlich vor teilweise nachvollziehbaren Interessen der Unternehmen geschützt und sehr klare Grenzen gezogen. Gesundheitsdaten gelten im Allgemeinen als hoch sensibel und jede Weitergabe birgt potenziell hohe Risiken für Betroffene, weshalb die Informationen grundsätzlich nur im notwendigsten Rahmen verarbeitet werden sollten und dürfen. Folgende Verarbeitungen sind im Zusammenhang der Corona-Pandemie denkbar:

Im Rahmen der Maßnahmen zur Bekämpfung der COVID-19-Pandemie sind im Rahmen des betrieblichen Hygiene-Konzepts nur gezielte Fragen nach typischen Symptomen dieser Virus-Erkrankung zum Schutz von Kunden und anderen Beschäftigten zulässig. Dementsprechend sind Fragen nach Beeinträchtigungen, welche auf die Eignung zur Ausübung der Tätigkeit auf Dauer abzielen, nicht erlaubt. Problematisch ist, dass eine Corona-Infektion auch aufgrund der inzwischen aufgetretenen Mutationen nach derzeitigem Kenntnisstand nicht mit eindeutigen Symptomen einhergeht. Letztlich ist zusätzlich darauf zu achten, dass es nicht zu einer Benachteiligung des Arbeitnehmers aufgrund von erhobenen Gesundheitsdaten kommen darf.

Grundsätzlich ist die Information, wo Beschäftigte ihren Urlaub verbracht haben, deren Privatangelegenheit und muss gegenüber dem Arbeitgeber nicht offengelegt werden. In den Anfangszeiten der Corona-Pandemie war eine Abfrage vorübergehend möglich. Durch die neuen Testmöglichkeiten und jeweils geltenden Quarantänebedingungen hat sich dies aber zwischenzeitlich wieder geändert. Es darf allenfalls im betrieblichen Hygienekonzept eine Bitte zur Arbeit im Homeoffice nach dem Urlaub enthalten sein, sofern es die Arbeit zu lässt.

Beschäftigte dürfen nicht verpflichtet werden, ihren Gesundheitszustand und ihre Kontakte ständig erfassen zu lassen, wie etwa durch eine auf einem Handy installierte Corona-Warn-App. Dies würde einen massiven Eingriff in die Freiheiten des Beschäftigten darstellen, unabhängig davon, ob die App auf einem privatem oder einem dienstlichen Gerät installiert ist.

Sollten Beschäftigte selbst positiv auf das Corona-Virus getestet worden sein, darf der Arbeitgeber diese Information über die Infektion des Mitarbeiters erheben. Nach Ansicht der französischen Datenschutzbehörde (CNIL) dürfen in solchen Fällen auch Angaben über den Zeitpunkt der Infektion, enge Kontaktpersonen und ergriffene Maßnahmen verarbeitet werden. Mitarbeiter, die engen Kontakt mit einem Infizierten hatten oder selbst infiziert sind, sollten dies ihrem Arbeitgeber unverzüglich mitteilen.

Die Abfrage der Information, ob ein Mitarbeiter Kontakt zu nachweislich infizierten Personen hatte, ist datenschutzrechtlich sehr kritisch zu sehen, da nahe Kontaktpersonen mit hohem Infektionsrisiko qua Gesetz vom Gesundheitsamt in Quarantäne geschickt werden. Ein Fragerecht kann daher nur über ein detailliertes Hygienekonzept begründet werden, das die Schutzinteressen des Arbeitgebers mit den Freiheitsrechten des Arbeitnehmers in Einklang bringt. Hierzu sind eine genaue Prüfung und eine umfangreiche Interessensabwägung erforderlich, die dokumentiert werden müssen.

Ob die namentliche Nennung des Infizierten bei der Information an Kollegen, die mit dem Betreffenden in engem Kontakt standen, zulässig ist, hängt vom Einzelfall ab. Nach Ansicht der DSK ist die Weitergabe der personenbezogenen Daten grundsätzlich nicht zulässig, das heißt, die Information der betreffenden Kollegen darf in der Regel nur ohne konkrete Namensnennung erfolgen. Es gibt wenige Ausnahmefälle, in denen die Daten weitergegeben werden dürfen, nämlich wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen zwingend erforderlich ist.

Eine Anordnung von ärztlichen Untersuchungen bei Beschäftigten zur Bekämpfung des Infektionsgeschehens ist nicht zulässig.

Auch Temperaturmessungen bei Beschäftigten, sei es durch eine ärztliche Untersuchung oder durch Wärmebildkameras, sind datenschutzrechtlich bedenklich, da sie nicht zweckmäßig sind, da eine erhöhte Körpertemperatur ein sehr unspezifisches Symptom und somit kein geeigneter Indikator für eine COVID-19-Infektion ist.

Fordert die Gesundheitsbehörde ein Unternehmen auf, Daten über erkrankte Beschäftigte, Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten an sie zu übermitteln, ist diese Verarbeitung aus datenschutzrechtlicher Sicht zulässig. Der Umfang und die Anzahl der betroffenen Datensätze ist aber genau zu prüfen, da die Aufforderung vom Gesundheitsamt das Unternehmen nicht von seiner Verantwortung für die Einhaltung der Grundsätze der Datenminimierung und Zweckbeindung / Erforderlichkeit entbindet. Das Gleiche gilt für den Fall, dass die Landesregierungen entscheiden, eine Meldepflicht einzuführen.

Um Mitarbeiter über aktuelle Maßnahmen im Unternehmen wie beispielsweise die Verlagerung ins Homeoffice, das Schließen von Abteilungen oder gar des ganzen Betriebes möglichst schnell und effektiv informieren zu können, kann es sinnvoll sein, innerbetriebliche Kommunikationsnetzwerke zu bilden. Über solche Netzwerke können sich dann beispielsweise auch Abteilungen untereinander abstimmen, welche Arbeiten anliegen und wer welche Aufgaben im Homeoffice übernehmen soll. Die Teilnahme an solchen Netzwerken ist allerdings nur auf freiwilliger Basis zulässig, das heißt, jeder Mitarbeiter muss hierfür seine Einwilligung erteilen. Das gilt insbesondere dann, wenn nicht jeder Beschäftige über ein Diensthandy verfügt und private Telefonnummern abgefragt und verwendet werden.

Datenschutzpflichten bei der Datenverarbeitung

Neben der Prüfung, ob eine Verarbeitung von bestimmten Daten überhaupt zulässig ist, bestehen für die Verantwortlichen – wie bei jeder anderen Verarbeitungstätigkeit auch – weitere datenschutzrechtliche Dokumentations-, Informations- und Schutzpflichten, die es zu beachten gilt.

Alle Maßnahmen und Vorgänge, bei denen personenbezogene Daten erhoben und anderweitig verarbeitet werden, müssen in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden. Es ist unter anderem genau zu dokumentieren, zu welchem Zweck die Daten verarbeitet werden, welche Datenkategorien und Personen betroffen sind und wer Zugriff auf diese Daten hat. Je nachdem, welche Maßnahmen zum Infektionsschutz umgesetzt werden und wie die Umsetzung ausgestaltet wird, können auch mehrere Tätigkeiten in einer Verarbeitungstätigkeit zusammengefasst werden. Wichtig ist dabei, dass die Verarbeitungen möglichst ähnlich sind, das heißt, beispielsweise ähnliche Datenkategorien betroffen sind und sie demselben Zweck dienen.

Die Informationspflichten nach Art. 13 und 14 DS-GVO gelten auch während der Corona-Krise. Das heißt, Sie müssen Ihre Mitarbeiter umfangreich über die Verarbeitung ihrer personenbezogenen Daten informieren. Da viele Informationen im Rahmen einer Direkterhebung vom Arbeitgeber bei den Beschäftigten erhoben werden, müssen diese in der Regel bereits bei der Erhebung aufgeklärt werden. Deshalb bietet es sich an, zunächst alle geplanten Maßnahmen im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren und auf Grundlage der darin enthaltenen Angaben ein Informationsblatt für die Mitarbeiter zu erstellen. Dieses Informationsblatt sollte aus Praktikabilitätsgründen Angaben zu sämtlichen Maßnahmen zum Infektionsschutz enthalten, von denen Mitarbeiter betroffen sein könnten. Dieses Blatt kann dann beispielsweise am Schwarzen Brett ausgehängt, als Ausdruck an alle Mitarbeiter verteilt oder ins Intranet eingestellt werden.

Zusätzlich zu den Dokumentations- und Informationspflichten der Verarbeitung müssen die betroffenen Daten durch angemessene technische und organisatorische Maßnahmen vor Verlust sowie unbefugtem Zugriff bzw. unbefugter Veränderung geschützt werden. Da zu einem Großteil Gesundheitsdaten der Mitarbeiter betroffen sind, ist ein besonders hohes Schutzniveau erforderlich, insbesondere im Hinblick auf die Vertraulichkeit und die Integrität. Es muss ein Berechtigungskonzept erstellt werden, das genau regelt, wer Zugriff auf welche Daten erhält. Die Umsetzung der Zugriffsrechte ist durch weitere (technische) Maßnahmen zu gewährleisten. Beispielsweise sollten Papierdokumente in einem separat abschließbaren Schrank aufbewahrt werden, zu dem nur ein möglichst geringer Kreis aus berechtigten Personen einen Schlüssel hat. Das Gleiche gilt für Unterlagen in digitaler Form: Diese sollten in einem eigenen Ordner abgespeichert und nur für bestimmte Personen abrufbar sein.

Auch wenn immer noch kein Ende der Krise in Sicht ist, sollten Sie sich bereits bei bzw. vor der Erhebung von personenbezogenen Daten Gedanken machen, wann diese Informationen wieder gelöscht werden sollen. In der derzeitigen Lage ist es schwer zu beurteilen, wann die Daten nicht mehr zwingend benötigt werden und gelöscht werden können. Im Hinblick auf die Sensibilität der Daten sollten diese allerdings nur über einen möglichst kurzen Zeitraum hinweg aufbewahrt werden. Angaben über den Aufenthalt in Risikogebieten oder den Kontakt mit infizierten Personen von Mitarbeitern sind für die Umsetzung von Infektionsschutzmaßnahmen beispielsweise in der Regel nur innerhalb der derzeit angenommenen Inkubationszeit von 14 Tagen relevant. Nach Ablauf dieser Frist ist es durchaus vertretbar, die Daten zur Sicherheit noch etwas länger aufzubewahren. Spätestens 3 Monate nach ihrer Erhebung sollten sie aber gelöscht werden. Enthalten die Aufzeichnungen und Statistiken keine Daten mit Personenbezug, sind sie also anonymisiert, fallen sie nicht in den Anwendungsbereich der DS-GVO und unterliegen dementsprechend auch keiner datenschutzrechtlichen Löschpflicht.

Fazit

Bei der Verarbeitung insbesondere von Gesundheitsdaten von Mitarbeitern ist besondere Vorsicht geboten. In jedem Fall sollten zunächst Maßnahmen, für die keine solche Verarbeitung erforderlich ist, geprüft werden. Hierzu gehören unter anderem strengere Hygienevorschriften, Zugangssperren, Aufklärungsmaßnahmen und Handlungsempfehlungen wie das Arbeiten im Homeoffice oder das Durchführen von Besprechungen über Telefon- und Videokonferenzen. Nichtsdestotrotz können viele Infektionsschutzmaßnahmen auch unter Geltung der DS-GVO durchaus umgesetzt werden. Trotz der schwierigen Situation sollten die Vorgaben nicht ganz außer Acht gelassen werden, denn auch während bzw. nach einer Krise kann die Verletzung des Schutzes personenbezogener Daten erhebliche Risiken für die betroffenen Personen mit sich bringen. Dies machen auch die vielfach berechtigten Beschwerden von Arbeitnehmern bei den Aufsichtsbehörden deutlich.