Corona-Virus und Beschäftigtendatenschutz

Corona-Virus und Beschäftigtendatenschutz

Arbeitgeber stehen angesichts der Corona-Krise vor der Frage, welche Maßnahmen sie gegen die Ausbreitung des Virus ergreifen können. Viele Beschäftigte fragen sich, was sie preisgeben müssen. Datenschutz ist aktuell sicher nicht die Hauptsorge – dennoch hilft die Kenntnis der zulässigen Maßnahmen, effektiv gegen das Corona-Virus vorzugehen.

Jede Person ist und bleibt auch angesichts von Pandemien „Herr über seine Daten“; das gilt insbes. bei den besonders sensiblen Gesundheitsdaten. Konkrete Angaben zur eigenen Gesundheit muss der Beschäftigte gegenüber dem Arbeitgeber daher grundsätzlich nicht machen. In Verdachtsfällen kann jedoch die Pflicht zur ärztlichen Untersuchung durch eine Gesundheitsbehörde bestehen. Anlässlich der Rückkehr von Reisen oder Erkrankungen im persönlichen Umfeld kann indes eine Auskunftspflicht über Aufenthaltsorte oder Kontaktpersonen bestehen, um dem Arbeitgeber eine Einschätzung zu Gesundheitsrisiken für den Betroffenen und andere Beschäftigte zu ermöglichen.

Vorsicht bei der Verarbeitung von Gesundheitsdaten der Beschäftigten

Viele Maßnahmen zur Bekämpfung des Corona-Virus gehen mit der Verarbeitung von sensiblen Gesundheitsdaten einher. Die Verarbeitung ist nach Art. 9 DSGVO besonders strikt reglementiert. Darunter fallen Informationen über den früheren, gegenwärtigen und den zukünftigen Gesundheitsstand einer Person.

Rechtsgrundlage für Maßnahmen gegenüber Mitarbeitern ist § 26 Abs. 3 BDSG. Danach ist die Verarbeitung sensibler Daten wie Gesundheitsdaten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie u.a. zur Erfüllung rechtlicher Pflichten des Arbeitgebers aus dem Arbeitsrecht erforderlich ist und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person am Ausschluss der Verarbeitung überwiegt.

Die rechtliche Verpflichtung besteht hier in der Erfüllung der Vorschriften des § 618 Abs. 1 BGB i.V.m. § 3 ArbSchG. Nach dem Arbeitsschutzgesetz hat der Arbeitgeber grundsätzlich die Verpflichtung, die Gefahren für die Sicherheit und Gesundheit für seine Beschäftigten am Arbeitsplatz zu beurteilen und entsprechende Maßnahmen abzuleiten.

Der Arbeitgeber muss also einerseits seine Fürsorgepflicht erfüllen, indem er die Beschäftigten vor einer Infizierung schützt, darf andererseits aber die Datenschutz- und Persönlichkeitsrechte der Beschäftigten nicht verletzen. Ob eine Maßnahme zulässig ist, richtet sich immer nach der Erforderlichkeit. Eine Maßnahme ist nur erforderlich (und damit zulässig), wenn sie für den Zweck geeignet ist, das mildeste aller zur Verfügung stehenden, gleich effektiven Mittel ist und das schutzwürdige Interesse des Beschäftigten am Ausschluss der Verarbeitung nicht überwiegen.

Maßnahmen gegenüber Mitarbeitern

Es lässt sich angesichts der angespannten Lage und der sich überschlagenden Ereignisse nicht abschließend beurteilen, welche Maßnahmen final zulässig bzw. unzulässig sind. So gibt es bisher keine einheitliche Linie der europäischen Datenschutzaufsichtsbehörden.

Zulässige Maßnahmen

  • Erhebung von Informationen, ob ein Beschäftigter in einem Risikogebiet war oder direkten Kontakt mit einem Erkrankten hatte (z.B. die Befragung von Urlaubsrückkehrern).
  • Nach Aufforderung durch Gesundheitsbehörden: Übermittelung von Daten über betroffene Beschäftigte, die erkrankt sind, die sich in Risikogebieten aufgehalten haben oder die Kontakt zu Infizierten hatten.
  • Freiwillige Selbstauskunfts- oder Fragebögen (z.B. zu Aufenthaltsort und Symptomen).
  • Freiwillige Fiebermessung durch den Beschäftigten oder einen (Betriebs-)Arzt.
  • Bei einem positiven Befund bei einem Mitarbeiter oder einem bestätigten Kontakt zu einer positiv getesteten Person: Übermittlung von Informationen über den betroffenen Mitarbeiter (z.B. Zeitpunkt und enge Kontaktpersonen sowie ergriffe Maßnahmen).
  • Nur im Einverständnis mit den Beschäftigten: Erhebung der privaten Handy-Nummern oder andere Kontaktdaten der Belegschaft (z.B. zur Information bei Betriebsschließung).

Unzulässige Maßnahmen

  • Mitteilung, dass ein bestimmter Mitarbeiter infiziert ist, da die Kenntnis von der Corona-Infektion für diesen Mitarbeiter zu einer Stigmatisierung führen kann. Stattdessen können abteilungs- oder teambezogen (ohne konkrete Namensnennung) Maßnahmen ergriffen werden. Mitarbeiter mit direktem Kontakt zu Infizierten sollten gewarnt und vorübergehend freigestellt werden.
  • Pauschale Befragung aller Mitarbeiter zu Reisezielen (ohne konkrete Anhaltspunkte).
  • Pauschale Befragung aller Mitarbeiter zum Gesundheitszustand (z.B. über Grippesymptome).
  • Meldepflicht für Mitarbeiter, wenn ein Kollege Symptome zeigt.
  • Verpflichtende Fiebermessung von Mitarbeitern am Eingang des Betriebsgeländes oder ähnliche medizinische Maßnahmen (z.B. Rachenabstriche für Speichelproben).

Alternative Maßnahmen

Es sind immer auch alternative, begleitende Maßnahmen abzuwägen.

  • Aufklärungsmaßnahmen (z.B. Einrichten einer Beratungs-Hotline).
  • Strenge Hygienevorschriften (z.B. Aufforderungen zur Desinfektion der Hände).
  • Handlungsempfehlungen (z.B. Ermöglichung von Home Office oder Telefonkonferenzen).
  • Zugangseinschränkungen oder -sperren zu sensiblen Bereichen.
  • Einschränkung von Besuchsmöglichkeiten.

Maßnahmen gegenüber Besuchern

Gegenüber Besuchern kann sich der Arbeitgeber nicht auf die Rechtsgrundlage des § 26 Abs. 3 BDSG berufen und andere Rechtsgrundlagen sind nicht ersichtlich. Der deutsche Gesetzgeber hat von den in Art. 9 DSGVO gegebenen Möglichkeiten, spezielle Gesetze zum Schutz vor Epidemien/Pandemien zu erlassen und dazu Unternehmen eine Verarbeitung von Gesundheitsdaten zu gestatten, keinen Gebrauch gemacht.

Bei Besuchern ist daher keine Rechtsgrundlage, außer der Einwilligung der Person anwendbar. Da eine Einwilligung immer freiwillig und informiert erfolgen muss, ist es kaum durchführbar, über eine Einwilligung alle Besucher einschließende Maßnahmen umzusetzen.

In Krisenzeiten mit hohem Infektionsrisiko kann es also zweckmäßig sein, den Geschäftsbetrieb so einzurichten, dass von persönlichen Besuchen abgesehen wird, soweit dies zumutbar und vertretbar ist.

Information, Freiwilligkeit und nur ausnahmsweise Zwang

Der Arbeitgeber hat aufgrund der Fürsorgepflichten gegenüber allen Beschäftigten die Pflicht, Gesundheitsrisiken am Arbeitsplatz soweit wie möglich auszuschließen. Eingriffsbefugnisse stehen i.d.R. nur den Gesundheitsbehörden zu. Insofern sollten Arbeitgeber im Zweifel den Kontakt zu den Gesundheitsbehörden suchen und nicht eigenmächtig und nicht gegen den Willen der Beschäftigten Gesundheitsdaten erheben.

In konkreten Verdachtsfällen einer Infektion kann jedoch die vertragliche Nebenpflicht zur Information des Arbeitgebers sowie zur ärztlichen Untersuchung bestehen. Zudem kann anlässlich der Rückkehr von Reisen oder Erkrankungen im persönlichen Umfeld eine Auskunftspflicht über Aufenthaltsorte oder Kontaktpersonen bestehen.

Quelle: Datenschutzbeauftragter. info, Bonn

Link: www.datenschutzbeauftragter-info.de/coronavirus-beschaeftigtendatenschutz-was-ist-zu-beachten/

26.03.2020

Photo by CDC on Unsplash