Derzeit stellt die Corona-Krise viele Arbeitgeber vor eine Herausforderung, denn Maßnahmen zur Eindämmung des Virus haben zum Teil erhebliche Auswirkungen auf den Betriebsablauf. Bei der Frage, welche Maßnahmen zum Infektionsschutz umgesetzt werden (müssen), wird kaum ein Unternehmen den datenschutzrechtlichen Vorgaben einen hohen Stellenwert zuweisen. Gleichzeitig werden allerdings überdurchschnittlich viele Daten über die Gesundheit von Mitarbeitern verarbeitet, die nach Art. 9 DS-GVO als besonders schützenswert gelten. Die Anforderungen des Datenschutzes gelten auch in der Corona-Krise weiter. Dementsprechend muss sowohl bei Arbeitgebern als auch bei ihren Mitarbeitern immer wieder die Frage Beachtung finden, welche Informationen Arbeitnehmer offenlegen müssen, wofür diese Daten verwendet werden dürfen und welche Schutzanforderungen gelten.

Die DS-GVO steht der Verarbeitung von Gesundheitsdaten zum Infektionsschutz und der Eindämmung von Pandemien nicht entgegen. Dies betonte auch die Datenschutzkonferenz (DSK) in ihrer Pressemitteilung zum Thema Umgang mit dem Datenschutz während der Corona-Pandemie. Dennoch stellt der Beschäftigtendatenschutz einige Anforderungen, die es bei der Umsetzung der Infektionsschutzmaßnahmen zu beachten gilt. Dieser Artikel soll Ihnen einen Überblick über die wichtigsten datenschutzrechtlichen Vorgaben geben und unter anderem folgende Fragen klären:

  • Worauf müssen Arbeitgeber bei der Planung und Umsetzung von Schutzmaßnahmen achten?
  • Welche Informationen müssen Arbeitnehmer gegenüber ihren Arbeitgebern preisgeben?
  • In welchem Rahmen dürfen die Daten verwendet und weitergeben werden?
  • Welche Pflichten bestehen bei der Verarbeitung der Daten?

Grundproblematik: Verarbeitung von Gesundheitsdaten

Ein Großteil der Maßnahmen zur Eindämmung des Coronavirus lässt sich ohne die Verwendung von Informationen zum Gesundheitszustand der Arbeitnehmer nicht umsetzen. Gesundheitsdaten zählen dabei zur besonderen Kategorie von Daten nach Art. 9 DS-GVO, an deren Verarbeitung strenge Vorschriften geknüpft sind. Das heißt, die Verarbeitung der Daten ist nur in wenigen Ausnahmefällen überhaupt zulässig.

In welchem Rahmen die Verarbeitung von Beschäftigtendaten erlaubt ist, wird in § 26 BDSG geregelt. Im Falle von Gesundheitsdaten dient § 26 Abs. 3 BDSG als Rechtsgrundlage. Dieser besagt, dass eine Verarbeitung erlaubt ist, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Hier einschlägig ist die Erfüllung einer rechtlichen Verpflichtung, denn Arbeitgeber sind nach § 618 Abs. 1 BGB i. V. m. § 3 ArbSchG dazu verpflichtet, die Sicherheit und die Gesundheit ihrer Arbeitnehmer sicherzustellen. Sie müssen bestehende Gefahren für Beschäftigte einschätzen (sog. Gefährdungsbeurteilung) und Maßnahmen ergreifen, um die Risiken so weit wie möglich zu minimieren. Mit anderen Worten haben Arbeitgeber gegenüber ihren Mitarbeitern eine Fürsorgepflicht zu erfüllen.

Um beurteilen zu können, ob die Umsetzung bestimmter Maßnahmen und die damit einhergehende Verarbeitung von Gesundheitsdaten zulässig ist, muss abgewogen werden, inwieweit Persönlichkeitsrechte des betroffenen Mitarbeiters diese Fürsorgepflicht überwiegen. Die Interessenabwägung muss für jede einzelne Maßnahme individuell durchgeführt werden. Maßgebliches Kriterium ist dabei die Erforderlichkeit bzw. die Verhältnismäßigkeit der Maßnahme. Es muss geprüft werden, ob der gleiche Zweck auch durch mildere Mittel erreicht werden kann. Ist dies der Fall, ist die Verarbeitung nicht zulässig und die Maßnahme darf nicht durchgeführt werden.

Zulässige Erhebung und Verarbeitung von (Gesundheit-)Daten

Die Abwägung, ob eine Verarbeitung von Gesundheitsdaten erforderlich und damit zulässig ist oder nicht, kann im Einzelfall schwierig sein. Aufgrund der aktuellen Situation trifft den Arbeitgeber allerdings eine besondere Fürsorgepflicht, weshalb zur Eindämmung und Bekämpfung der Corona-Pandemie zumindest mehr Informationen erfragt bzw. erhoben werden dürfen als unter normalen Umständen. Außerdem besteht die Möglichkeit, für bestimmte Maßnahmen und Verarbeitungen, die beispielsweise betriebliche Abläufe vereinfachen sollen, die Einwilligung der Betroffenen einzuholen. Folgende Verarbeitungen sind denkbar:

Grundsätzlich ist die Information, wo Beschäftigte ihren Urlaub verbracht haben, deren Privatangelegenheit und muss gegenüber dem Arbeitgeber nicht offengelegt werden. Allerdings müssen diese in der aktuellen Situation Maßnahmen ergreifen, um zu vermeiden, dass sich Kollegen bei möglicherweise infizierten Personen anstecken. Dementsprechend ist es Arbeitgebern gestattet zu erfragen, ob sich Mitarbeiter im relevanten Zeitraum in Gebieten aufgehalten haben, die das Robert-Koch-Institut als Risikogebiet eingestuft hat. Voraussetzung ist aber, dass es für den Aufenthalt des jeweiligen Mitarbeiters einen konkreten Anhaltspunkt gibt.

Das Gleiche gilt für die Information, ob Arbeitnehmer im relevanten Zeitraum direkten Kontakt mit nachweislich infizierten Personen hatten. Sollten Beschäftigte selbst positiv auf das Corona-Virus getestet worden sein, darf der Arbeitgeber diese Information ebenfalls erheben. Nach Ansicht der französischen Datenschutzbehörde (CNIL) dürfen in solchen Fällen auch Angaben über den Zeitpunkt der Infektion, enge Kontaktpersonen und ergriffene Maßnahmen verarbeitet werden. Mitarbeiter, die engen Kontakt mit einem Infizierten hatten oder selbst infiziert sind, sollten dies ihrem Arbeitgeber unverzüglich mitteilen.

Zeigt der Mitarbeiter Symptome oder hat der Arbeitgeber andere Anhaltspunkte, dass der Arbeitnehmer sich infiziert haben könnte, darf er wohl außerdem Informationen über den Gesundheitszustand des Betroffenen erheben.

Ob die namentliche Nennung des Infizierten bei der Information an Kollegen, die mit dem Betreffenden in engem Kontakt standen, zulässig ist, hängt vom Einzelfall ab. Nach Ansicht der DSK ist die Weitergabe der personenbezogenen Daten grundsätzlich nicht zulässig, das heißt, die Information der betreffenden Kollegen darf in der Regel nur ohne konkrete Namensnennung erfolgen. Es gibt nur wenige Ausnahmefälle, in denen die Daten weitergegeben werden dürfen, nämlich wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen zwingend erforderlich ist.

Fordert die Gesundheitsbehörde ein Unternehmen auf, Daten über erkrankte Beschäftigte, Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten an sie zu übermitteln, ist diese Verarbeitung aus datenschutzrechtlicher Sicht zulässig. Das Gleiche gilt für den Fall, dass die Landesregierungen entscheiden, eine Meldepflicht einzuführen.

Um Mitarbeiter über aktuelle Maßnahmen im Unternehmen wie beispielsweise die Verlagerung ins Homeoffice, das Schließen von Abteilungen oder gar des ganzen Betriebes möglichst schnell und effektiv informieren zu können, kann es sinnvoll sein, innerbetriebliche Kommunikationsnetzwerke zu bilden. Über solche Netzwerke können sich dann beispielsweise auch Abteilungen untereinander abstimmen, welche Arbeiten anliegen und wer welche Aufgaben im Homeoffice übernehmen soll. Die Teilnahme an solchen Netzwerken ist allerdings nur auf freiwilliger Basis zulässig, das heißt, jeder Mitarbeiter muss hierfür seine Einwilligung erteilen. Das gilt insbesondere dann, wenn nicht jeder Beschäftige über ein Diensthandy verfügt und private Telefonnummern abgefragt und verwendet werden.

Ebenfalls auf freiwilliger Basis können Unternehmen Selbstauskünfte zum Gesundheitszustand und Aufenthaltsorten einholen. Erteilt der Mitarbeiter die freiwillige Auskunft, darf der Arbeitgeber diese Informationen zu den bei der Erhebung genannten Zwecken verwenden. Das Gleiche gilt für freiwillige Fiebermessungen oder ähnliche medizinische Maßnahmen beispielsweise durch den Betriebsarzt. Einige Experten vertreten sogar die Ansicht, dass Fieberkontrollen am Eingang, die ausschließlich für die Entscheidung genutzt werden, ob Zutritt gewährt wird oder nicht, auch ohne Einwilligung des Betroffenen zulässig sind. Diese Ansicht ist allerdings umstritten.

Datenschutzpflichten bei der Datenverarbeitung

Neben der Prüfung, ob eine Verarbeitung von bestimmten Daten überhaupt zulässig ist, bestehen für die Verantwortlichen – wie bei jeder anderen Verarbeitungstätigkeit auch – weitere datenschutzrechtliche Dokumentations-, Informations- und Schutzpflichten, die es zu beachten gilt.

Alle Maßnahmen und Vorgänge, bei denen personenbezogene Daten erhoben und anderweitig verarbeitet werden, müssen in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden. Es ist unter anderem genau zu dokumentieren, zu welchem Zweck die Daten verarbeitet werden, welche Datenkategorien und Personen betroffen sind und wer Zugriff auf diese Daten hat. Je nachdem, welche Maßnahmen zum Infektionsschutz umgesetzt werden und wie die Umsetzung ausgestaltet wird, können auch mehrere Tätigkeiten in einer Verarbeitungstätigkeit zusammengefasst werden. Wichtig ist dabei, dass die Verarbeitungen möglichst ähnlich sind, das heißt, beispielsweise ähnliche Datenkategorien betroffen sind und sie demselben Zweck dienen.

Die Informationspflichten nach Art. 13 und 14 DS-GVO gelten auch während der Corona-Krise. Das heißt, Sie müssen Ihre Mitarbeiter umfangreich über die Verarbeitung ihrer personenbezogenen Daten informieren. Da viele Informationen im Rahmen einer Direkterhebung vom Arbeitgeber bei den Beschäftigten erhoben werden, müssen diese in der Regel bereits bei der Erhebung aufgeklärt werden. Deshalb bietet es sich an, zunächst alle geplanten Maßnahmen im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren und auf Grundlage der darin enthaltenen Angaben ein Informationsblatt für die Mitarbeiter zu erstellen. Dieses Informationsblatt sollte aus Praktikabilitätsgründen Angaben zu sämtlichen Maßnahmen zum Infektionsschutz enthalten, von denen Mitarbeiter betroffen sein könnten. Dieses Blatt kann dann beispielsweise am Schwarzen Brett ausgehängt, als Ausdruck an alle Mitarbeiter verteilt oder ins Intranet eingestellt werden.

Zusätzlich zu den Dokumentations- und Informationspflichten der Verarbeitung müssen die betroffenen Daten durch angemessene technische und organisatorische Maßnahmen vor Verlust sowie unbefugtem Zugriff bzw. unbefugter Veränderung geschützt werden. Da zu einem Großteil Gesundheitsdaten der Mitarbeiter betroffen sind, ist ein besonders hohes Schutzniveau erforderlich, insbesondere im Hinblick auf die Vertraulichkeit und die Integrität. Es muss ein Berechtigungskonzept erstellt werden, das genau regelt, wer Zugriff auf welche Daten erhält. Die Umsetzung der Zugriffsrechte ist durch weitere (technische) Maßnahmen zu gewährleisten. Beispielsweise sollten Papierdokumente in einem separat abschließbaren Schrank aufbewahrt werden, zu dem nur ein möglichst geringer Kreis aus berechtigten Personen einen Schlüssel hat. Das Gleiche gilt für Unterlagen in digitaler Form: Diese sollten in einem eigenen Ordner abgespeichert und nur für bestimmte Personen abrufbar sein.

Auch wenn derzeit noch kein Ende der Krise in Sicht ist, sollten Sie sich bereits bei bzw. vor der Erhebung von personenbezogenen Daten Gedanken machen, wann diese Informationen wieder gelöscht werden sollen. In der derzeitigen Lage ist es schwer zu beurteilen, wann die Daten nicht mehr zwingend benötigt werden und gelöscht werden können. Im Hinblick auf die Sensibilität der Daten sollten diese allerdings nur über einen möglichst kurzen Zeitraum hinweg aufbewahrt werden. Angaben über den Aufenthalt in Risikogebieten oder den Kontakt mit infizierten Personen von Mitarbeitern sind für die Umsetzung von Infektionsschutzmaßnahmen beispielsweise in der Regel nur innerhalb der derzeit angenommenen Inkubationszeit von 14 Tagen relevant. Nach Ablauf dieser Frist ist es durchaus vertretbar, die Daten zur Sicherheit noch etwas länger aufzubewahren. Spätestens 3 Monate nach ihrer Erhebung sollten sie aber gelöscht werden. Enthalten die Aufzeichnungen und Statistiken keine Daten mit Personenbezug, sind sie also anonymisiert, fallen sie nicht in den Anwendungsbereich der DS-GVO und unterliegen dementsprechend auch keiner datenschutzrechtlichen Löschpflicht.

Fazit

Bei der Verarbeitung insbesondere von Gesundheitsdaten von Mitarbeitern ist besondere Vorsicht geboten. In jedem Fall sollten zunächst Maßnahmen, für die keine solche Verarbeitung erforderlich ist, geprüft werden. Hierzu gehören unter anderem strengere Hygienevorschriften, Zugangssperren, Aufklärungsmaßnahmen und Handlungsempfehlungen wie das Arbeiten im Homeoffice oder das Durchführen von Besprechungen über Telefon- und Videokonferenzen. Nichtsdestotrotz können viele Infektionsschutzmaßnahmen auch unter Geltung der DS-GVO durchaus umgesetzt werden. Trotz der schwierigen Situation sollten die Vorgaben nicht ganz außer Acht gelassen werden, denn auch während bzw. nach einer Krise kann die Verletzung des Schutzes personenbezogener Daten erhebliche Risiken für die betroffenen Personen mit sich bringen.