Stand: 04.04.2022
Nach fast zwei Jahren COVID-19-Pandemie ist Deutschland erneut an einem neuen Punkt angekommen, denn seit dem 03. April 2022 bleibt in den meisten Bundesländern nur noch ein sogenannter Basisschutz bestehen. Allerdings müssen die Anforderungen des Datenschutzes immer noch umgesetzt werden. Die Aufsichtsbehörden betonen dabei, dass der vielfach zu beobachtende Ansatz „Viel hilft viel“ im Datenschutz nicht der richtige Ansatz ist, weil er mit dem Prinzip der Datenminimierung nicht zu vereinbaren ist. Das gilt ganz besonders für den Umgang mit Beschäftigtendaten. Nach den neuen Regelungen gelten die normalen Regeln für das „Ob“ und „Wie“ der Datenverarbeitung unverändert weiter.
Beschwerden über Datenschutzfehler bleiben auf hohem Niveau
Den betroffenen Personen sind ihre Datenschutzrechte mittlerweile bewusst und es ist eine gesteigerte Sensibilität bei Gesundheits- und Kontaktdaten zu erkennen. Nach Veröffentlichung der Tätigkeitsberichte des Jahres 2021 der Aufsichtsbehörden in Schleswig-Holstein, Bremen und Baden-Württemberg wird deutlich, dass der deutschlandweite Trend der hohen Zahlen von Beschwerden und der damit verbundenen Kontrollen gerade im Corona-Jahr 2021 durch die neuen Datenverarbeitungen zur Pandemiebekämpfung weiter auf einem hohen Niveau liegen. Aktuelle Zahlen für das Jahr 2021 liegen z.B. bereits aus Schleswig-Holstein vor, wo im Jahr 2021 1464 Beschwerden (Vorjahr: 1497) registriert wurden, in Baden-Württemberg gingen im Jahr 2021 4.708 Beschwerden ein (Vorjahr: 4783) und in Bremen gab es 483 Beschwerden (Vorjahr: 544). Die häufigsten Beschwerden richteten sich im Bereich des Beschäftigtendatenschutzes gegen die
- Verstöße gegen den Beschäftigtenschutz z. B. unzulässige Erhebung von Gesundheitsdaten durch Arbeitgeber
- das Speichern und Verarbeiten personenbezogener Daten zur Vermeidung und Aufdeckung von Corona-Infektionen
- den Einsatz von Videokonferenzsystemen für Homeoffice
Die DS-GVO steht der Verarbeitung von Gesundheitsdaten zum Infektionsschutz und der Eindämmung von Pandemien nicht entgegen. Dies betonte auch die Datenschutzkonferenz (DSK) in ihrer Entschließung zum Umgang mit dem Datenschutz während der Corona-Pandemie vom 03.04.2020. Dennoch stellt der Beschäftigtendatenschutz aufgrund der aktuellen Änderungen neue Anforderungen, die es bei der Umsetzung der Infektionsschutzmaßnahmen zu beachten gilt. Grundsätzlich gelten natürlich im Kontext des Infektionsschutzes weiterhin die üblichen Rechtmäßigkeitsvoraussetzungen für die Verarbeitung personenbezogener Daten.
Grundproblematik: Verarbeitung von Gesundheitsdaten
Ein Großteil der Maßnahmen zur Eindämmung des Coronavirus lässt sich ohne die Verwendung von Informationen zum Gesundheitszustand der Arbeitnehmer nicht umsetzen. Gesundheitsdaten zählen dabei zur besonderen Kategorie von Daten nach Art. 9 DS-GVO, an deren Verarbeitung strenge Vorschriften geknüpft sind. Das heißt, die Verarbeitung der Daten ist nur in wenigen Ausnahmefällen überhaupt zulässig.
In welchem Rahmen die Verarbeitung von Beschäftigtendaten erlaubt ist, wird in § 26 BDSG geregelt. Im Falle von Gesundheitsdaten dient § 26 Abs. 3 BDSG als Rechtsgrundlage. Dieser besagt, dass eine Verarbeitung erlaubt ist, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.
Bei einer Vielzahl Schutzmaßnahmen ist die Erfüllung einer rechtlichen Verpflichtung einschlägig, denn Arbeitgeber sind nach § 618 Abs. 1 BGB i. V. m. § 3 ArbSchG dazu verpflichtet, die Sicherheit und die Gesundheit ihrer Arbeitnehmer sicherzustellen. Sie müssen bestehende Gefahren für Beschäftigte einschätzen (sog. Gefährdungsbeurteilung) und Maßnahmen ergreifen, um die Risiken so weit wie möglich zu minimieren. Mit anderen Worten haben Arbeitgeber gegenüber ihren Mitarbeitern eine Fürsorgepflicht zu erfüllen.
Um beurteilen zu können, ob die Umsetzung bestimmter Maßnahmen und die damit einhergehende Verarbeitung von Gesundheitsdaten zulässig ist, muss abgewogen werden, inwieweit Persönlichkeitsrechte des betroffenen Mitarbeiters diese Fürsorgepflicht überwiegen. Die Interessenabwägung muss für jede einzelne Maßnahme individuell durchgeführt werden. Maßgebliches Kriterium ist dabei die Erforderlichkeit bzw. die Verhältnismäßigkeit der Maßnahme. Es muss geprüft werden, ob der gleiche Zweck auch durch mildere Mittel erreicht werden kann. Ist dies der Fall, ist die Verarbeitung nicht zulässig und die Maßnahme darf nicht durchgeführt werden.
Umgang mit (Gesundheit-)Daten
Die Abwägung, ob eine Verarbeitung von Gesundheitsdaten erforderlich und damit zulässig ist oder nicht, kann im Einzelfall schwierig sein. Vor der Corona-Pandemie gingen Arbeitgeber Gesundheitsinformationen der Arbeitnehmer in aller Regel nichts an. Die Vorgaben des Datenschutzes haben die Beschäftigten gesetzlich vor teilweise nachvollziehbaren Interessen der Unternehmen geschützt und sehr klare Grenzen gezogen. Gesundheitsdaten gelten im Allgemeinen als hoch sensibel und jede Weitergabe birgt potenziell hohe Risiken für Betroffene, weshalb die Informationen grundsätzlich nur im notwendigsten Rahmen verarbeitet werden sollten und dürfen. Folgende Verarbeitungen sind im Zusammenhang der Corona-Pandemie denkbar:
Datenschutzpflichten bei der Datenverarbeitung
Neben der Prüfung, ob eine Verarbeitung von bestimmten Daten überhaupt zulässig ist, bestehen für die Verantwortlichen – wie bei jeder anderen Verarbeitungstätigkeit auch – weitere datenschutzrechtliche Dokumentations-, Informations- und Schutzpflichten, die es zu beachten gilt.
Fazit
Bei der Verarbeitung insbesondere von Gesundheitsdaten von Mitarbeitern ist besondere Vorsicht geboten. In jedem Fall sollten zunächst Maßnahmen, für die keine solche Verarbeitung erforderlich ist, geprüft werden. Hierzu gehören unter anderem strengere Hygienevorschriften, Zugangssperren, Aufklärungsmaßnahmen und Handlungsempfehlungen wie das Arbeiten im Homeoffice oder das Durchführen von Besprechungen über Telefon- und Videokonferenzen. Nichtsdestotrotz können viele Infektionsschutzmaßnahmen auch unter Geltung der DS-GVO durchaus umgesetzt werden. Trotz der schwierigen Situation sollten die Vorgaben nicht ganz außer Acht gelassen werden, denn auch während bzw. nach einer Krise kann die Verletzung des Schutzes personenbezogener Daten erhebliche Risiken für die betroffenen Personen mit sich bringen. Dies machen auch die vielfach berechtigten Beschwerden von Arbeitnehmern bei den Aufsichtsbehörden deutlich.