Durch die aktuelle Situation in Bezug zum Coronavirus stehen viele Unternehmen vor der Frage, welche Gesundheitsinformationen von Beschäftigten und sonstigen Betroffenen sie verarbeiten und austauschen müssen bzw. dürfen. Nachstehend dürfen wir Sie zu den wesentlichen datenschutzrechtlichen Grundsätzen, die in diesem Zusammenhang zu beachten sind, informieren.
1. Rechtlicher Hintergrund
Erhebt der Arbeitgeber im Zusammenhang mit der Covid-19-Pandemie personenbezogene Daten von Betroffenen, werden in den meisten Fällen Bezüge zwischen Personen und deren Gesundheitszustand hergestellt. Insoweit handelt es sich bei diesen Informationen um Gesundheitsdaten, die nach Art. 9 Datenschutz-Grundverordnung (DSGVO) als „besondere Kategorien personenbezogener Daten“ besonders geschützt sind.
Auch wenn eine Verarbeitung von Gesundheitsdaten nach Art. 9 DSGVO grundsätzlich nur restriktiv möglich ist, können für verschiedene Maßnahmen zur Eindämmung der Covid-19-Pandemie oder zum Schutz von Beschäftigten Daten erhoben und verwendet werden. Der Arbeitgeber muss hierbei jedoch prüfen, (i) auf welcher gesetzlichen Grundlage bzw. Erlaubnisnorm die betreffende Verarbeitung erfolgt, (ii) ob die konkrete Maßnahme bzw. Verarbeitung verhältnismäßig ist (sog. Grundsatz der Verhältnismäßigkeit) und (ii) auch die übrigen datenschutzrechtlichen Grundsätze des Art. 5 DSGVO eingehalten werden.
2. Gesetzliche Erlaubnisnormen
Die Verarbeitung von Gesundheitsdaten durch den Arbeitgeber im Rahmen der Covid-19-Pandemie lässt sich rechtlich auf Grundlage der DSGVO und des Bundesdatenschutzgesetzes (BDSG) in Verbindung mit weiteren Spezialgesetzen legitimieren. Je nach Maßnahme können die einschlägigen Rechtsgrundlagen dabei leicht variieren. Ungeachtet dessen gelten aber die folgenden allgemeinen Grundsätze:
a) Die Berechtigung zur Verarbeitung personenbezogener Beschäftigtendaten ergibt sich in diesen Fällen für Arbeitgeber im nicht-öffentlichen Bereich aus § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. b), c), d) und f) DSGVO jeweils i. V. m. den einschlägigen tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts (z.B. Arbeitsschutzgesetz (ArbSchG)). Soweit Gesundheitsdaten verarbeitet werden, sind zudem auch § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO einschlägig.
Die Fürsorgepflicht des Arbeitgebers verpflichtet diesen den Gesundheitsschutz der Gesamtheit seiner Beschäftigten sicherzustellen. Hierzu zählt – auch nach Ansicht der Datenschutzaufsichtsbehörden – die angemessene Reaktion auf die Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und der Nachverfolgbarkeit (d.h. der nachgelagerten Vorsorge gegenüber den Kontaktpersonen) dient.
Die Erfüllung der Fürsorgepflicht des Arbeitgebers zum Schutz von Gesundheit und Leben der übrigen Mitarbeiter sowie zum Schutz vor einer weiteren Ausbreitung des Virus dürfte regelmäßig das Selbstbestimmungsrecht des erkrankten Arbeitnehmers überwiegen (Art. 9 Abs. 1 DSGVO i. V. m. § 26 Abs. 3 BDSG).
b) Zusätzlich zu den bestehenden Erlaubnisnormen für die Datenverarbeitung auf Seiten des Arbeitgebers ergeben sich aus dem Arbeitsrecht für Beschäftigte verschiedene Nebenpflichten, unter anderem auch Rücksichts-, Verhaltens- und Mitwirkungspflichten gegenüber ihrem Arbeitgeber und Dritten. Die Datenschutzaufsichtsbehörden vertreten hier die Auffassung, dass die Pflicht zur Information des Arbeitgebers über das Vorliegen einer Infektion mit dem Corona-Virus eine Nebenpflicht zum Schutz hochrangiger Interessen Dritter darstellt, aus der unter gewissen Voraussetzungen auch eine Offenlegungsbefugnis gemäß Art. 6 Abs. 1 lit. c) und f) DSGVO bezüglich personenbezogener Daten der Kontaktpersonen folgt.
c) Bei Maßnahmen gegenüber Dritten (z.B. Besucher, Kunden) kann im nicht-öffentlichen Bereich Art. 6 Abs. 1 Satz 1 lit. f) DSGVO bzw. – bei Gesundheitsdaten – Art. 9 Abs. 2 lit. i) i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG als Rechtsgrundlage herangezogen werden.
3. Verhältnismäßigkeit / Beachtung datenschutzrechtlicher Grundsätze
Die jeweils getroffenen Maßnahmen müssen jedoch auch verhältnismäßig sein, d.h. sie müssen zur Erfüllung der Fürsorgepflicht des Arbeitgebers tatsächlich erforderlich sein und es dürfen keine „milderen“ Maßnahmen in Betracht kommen. Im Rahmen der konkreten Maßnahme bzw. Datenverarbeitung sind insbesondere die folgenden Grundsätze gemäß Art. 5 DSGVO zu beachten:
– Es dürfen nur die tatsächlich erforderlichen Daten erhoben und verarbeitet werden. Ggf. genügt auch eine Speicherung von Daten unter Verwendung von Pseudonymen oder in anonymisierter Form.
– Die Daten dürfen nur für die erhobenen Zwecke verarbeitet werden.
– Die betroffenen Personen (Mitarbeiter und Kontaktpersonen) sind über den Zweck und den Umfang der Verarbeitung in transparenter Form zu informieren (vgl. Art. 13, 14 DSGVO).
– Die Daten sind (auch innerhalb des Unternehmens – sog. Need-to-know-Prinzip) streng vertraulich zu behandeln und vor Zugriffen unberechtigter Dritter zu schützen.
– Die Daten sind nach Wegfall des Verarbeitungszwecks (d.h. spätestens nach Ende der Covid-19-Pandemie) zu löschen.
4. Zulässige Maßnahmen / Datenverarbeitungen
Auf der Grundlage der vorstehenden Erlaubnisnormen und Grundsätze können im Arbeitskontext die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Covid-19-Pandemie als datenschutzrechtlich zulässig betrachtet werden:
– Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber um eine Ausbreitung des Corona-Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen.
Hierzu zählen insbesondere Informationen zu Fällen,
• in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
• in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
– Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen, Besuchern und sonstigen Geschäftspartnern, insbesondere um festzustellen, ob diese
• selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
• sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.
– Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen wird demgegenüber nur rechtmäßig sein, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist (sog. Grundsatz der Verhältnismäßigkeit).
Die Kenntnis von der Corona-Virus-Infektion eines Beschäftigten kann für diesen innerhalb des Unternehmens zu einer enormen Stigmatisierung führen. Die Nennung des Namens des betroffenen Beschäftigten ist daher grundsätzlich zu vermeiden. Gleichzeitig sind Beschäftigte, die in direktem Kontakt zu einem Infizierten standen, zu warnen und werden von dem Arbeitgeber zur Eindämmung der Ansteckungsgefahr in der Regel ebenfalls von der Arbeit freigestellt. Regelmäßig kann eine derartige Maßnahme abteilungs-/ bzw. teambezogen ohne konkrete Namensnennung erfolgen.
Ist dies ausnahmsweise nicht ausreichend, so sollte der Arbeitgeber zunächst Kontakt mit den Gesundheitsbehörden aufnehmen und um deren Entscheidung ersuchen. Ist auch dies nicht möglich, dürfte es datenschutzrechtlich zulässig sein, auch die übrigen Mitarbeiter über den Verdacht der Ansteckung oder der Erkrankung des konkreten Mitarbeiters zu informieren, um Infektionsquellen zu lokalisieren und einzudämmen. Die Information der betroffenen Mitarbeiter sollte jedoch so vertraulich wie möglich und nicht über „E-Mail an Alle“ o.ä. erfolgen.
Wir hoffen, dass die vorstehenden Ausführungen hilfreich für Sie sind. Bitte leiten Sie diese Information – soweit erforderlich – an die zuständigen Ansprechpartner in Ihrem Unternehmen weiter.
Für Rückfragen stehen wir gerne zur Verfügung, bleiben Sie gesund!