Um Mitarbeiter zu schützen und den Geschäftsbetrieb aufrechtzuerhalten, müssen Unternehmen Maßnahmen zur Begrenzung des Ansteckungsrisikos ergreifen. In vielen Fällen werden dafür auch sensible personenbezogene Daten von Beschäftigten erhoben und verarbeitet. Nicht zuletzt vor dem Hintergrund hoher Bußgelddrohungen darf dabei das Datenschutzrecht nicht aus dem Blickfeld geraten. Inzwischen haben die Aufsichtsbehörden auf europäischer und nationaler Ebene den Rahmen für datenschutzkonforme Maßnahmen in der aktuellen Krisensituation abgesteckt. Die wichtigsten Leitlinien fassen wir hier zusammen.
Welche Maßnahmen können Arbeitgeber im Einklang mit dem Datenschutzrecht ergreifen?
„Die Regeln zum Schutz personenbezogener Daten [sollen] Unternehmen nicht daran hindern, Maßnahmen im Kampf gegen die Corona-Virus-Pandemie zu ergreifen“, so beginnt die Vorsitzende des Europäischen Datenschutzausschusses, des Gremiums der europäischen Datenschutzaufsichtsbehörden, ihre Stellungnahme (ENG) zum Thema Datenschutz in Zeiten von COVID-19. Auch die deutschen Aufsichtsbehörden erkennen in einem jüngst veröffentlichten Informationspapier an, dass das Sammeln und der Austausch von Informationen wichtige Mittel sind, um die aktuellen gesundheitlichen Risiken einzugrenzen.
Es bleibt aber dabei, dass für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage vorhanden sein muss. Für die folgenden typischen Maßnahmen sind gesetzliche Grundlagen in der Datenschutz-Grundverordnung („DS-GVO“) bzw. dem Bundesdatenschutzgesetz („BDSG“) vorhanden.
- Erhebung von Informationen zu Infektionen und wesentlichen Risikofaktoren
Es ist grundsätzlich zulässig, dass Arbeitgeber bei ihren Beschäftigten Informationen darüber erheben, ob diese- selbst mit dem Corona-Virus infiziert sind,
- Kontakt mit einer nachweislich infizierten Person hatten,
- sich in einem relevanten Zeitraum in einem vom Robert-Koch-Institut als Risikogebiet eingestuften Gebiet befunden haben.
Arbeitgeber können diese Informationen von den Beschäftigten persönlich erfragen oder auch mittels standardisierter (elektronischer) Fragebögen erheben.
Weitergehende Informationen (z. B. zum Kontakt mit nur möglicherweise infizierten Personen, zu Reisen in Ländern, die nicht offiziell als Risikogebiet eingestuft sind, oder zu Symptomen, die mit COVID-19 assoziiert werden), darf der Arbeitgeber nur in Ausnahmefällen erheben.
- Weitere Verarbeitung der Daten
Die so erhobenen sowie bereits rechtmäßig im Unternehmen gespeicherte (Personal-)Daten können Arbeitgeber sowohl zur Beurteilung der Arbeitsfähigkeit des betreffenden Mitarbeiters als auch zum Schutz der übrigen Beschäftigten, Kunden und sonstigen Unternehmenskontakte verarbeiten.
Schutzmaßnahmen sind datenschutzrechtlich gerechtfertigt, soweit sie im Einzelfall erforderlich sind. Dazu gehören etwa:- Information der Beschäftigten über gesundheitliche Risiken, Durchführung entsprechender Schulungen
- Feststellung der Zugehörigkeit von Beschäftigten zu „Risikogruppen“ (z. B. Ältere, Menschen mit Vorerkrankungen) oder der Befassung mit besonders riskanten Tätigkeiten (z. B. Vor-Ort-Vertrieb, Stellen mit Publikumsverkehr, Beschäftigte mit langen Anfahrtswegen)
- Feststellung von Beschäftigten, deren weitere Tätigkeit auf dem Firmengelände ein Risiko für Andere darstellt (z. B. bei Rückkehr aus Risikogebiet)
- Genehmigung und/oder Anordnung von Home-Office/Tele-Arbeit und Gewährleistung der Arbeitsfähigkeit außerhalb des Firmengeländes
- Absage von Dienstreisen, Fortbildungen und/oder sonstigen Veranstaltungen
- Feststellung von Arbeitsunfähigkeit, ggf. Freistellung, Entgeltfortzahlung
- Feststellung und Information von Kolleginnen oder Kollegen, die mit möglicherweise infizierten Beschäftigten Kontakt hatten. Dabei darf die Identität der Betroffenen nur ausnahmsweise offengelegt werden, soweit das erforderlich ist, um möglichen Kontaktpersonen eine Risikoeinschätzung und Schutzmaßnahmen zu ermöglichen.
- ggf. Dokumentation der Verbreitungswege innerhalb des Unternehmens.
- Keine Einwilligung erforderlich
Für die genannten Maßnahmen ist die Verarbeitung von personenbezogenen (Gesundheits-)Daten auf gesetzlicher Grundlage zulässig. Einschlägige Rechtsgrundlagen sind § 26 Abs. 1, 3 BDSG, Artikel 9 Abs. 2 lit. b DS-GVO. Öffentliche Arbeitgeber können sich zudem auf Artikel 6 Abs. 1 lit. e, 9 Abs. 2 lit. g DS-GVO stützen. Das Einholen einer Einwilligung der Beschäftigten ist grundsätzlich weder erforderlich noch sinnvoll. Sichergestellt sein muss aber, dass die Datenverarbeitung transparent erfolgt und die Beschäftigten die nach den Artikeln 13 und 14 DS-GVO vorgeschriebenen Informationen z. B. zur voraussichtlichen Dauer der Speicherung ihrer Daten und zu möglichen Datenempfängern innerhalb und außerhalb des Unternehmens erhalten.
Welche datenschutzrechtlichen Pflichten sind außerdem zu beachten?
Neben dem Erfordernis einer Rechtsgrundlage und dem Transparenzgebot gelten trotz der aktuellen Ausnahmesituation weiterhin die allgemeinen Anforderungen für eine rechtmäßige Datenverarbeitung. Zu nennen sind insbesondere:
- Datenminimierung
Arbeitgeber dürfen personenbezogene Daten von Beschäftigten nur verarbeiten, soweit das für Maßnahmen zur Begrenzung des Ansteckungsrisikos tatsächlich erforderlich ist. Die Datenverarbeitung muss für den jeweiligen Zweck angemessen, erheblich und auf das notwendige Maß beschränkt sein (Artikel 5 Abs. 1 lit. c DS-GVO). Es dürfen nur die Informationen von Beschäftigten erhoben und verwendet werden, die in der konkreten Situation für die Risikominimierung notwendig sind. Das „vorsorgliche“ Sammeln von Daten zum Gesundheitszustand über einen längeren Zeitraum („Symptom-Tagebuch“) oder das Erstellen von Bewegungsprofilen von Mitarbeitern würde diesen Rahmen überschreiten. - Datenweitergabe
Die Weitergabe von personenbezogenen (Gesundheits-)Daten innerhalb und außerhalb des Unternehmens ist strikt zu begrenzen. Es ist jeweils im Einzelfall zu prüfen, ob der Empfänger der Information die Identität des (möglicherweise) infizierten Beschäftigten unter dem Gesichtspunkt einer wirksamen Risikobekämpfung kennen muss oder nicht. Das kann der Fall sein, wenn es darum geht, den Kontaktpersonen eines Betroffenen eine Einschätzung des Risikos zu ermöglichen. Demgegenüber wäre unzulässig, die Namen infizierter Mitarbeiter einer Konzerngesellschaft an die Konzernzentrale zu übermitteln, damit dort eine Gesamtstatistik geführt werden kann. Für diesen Zweck müssen anonymisierte Meldungen genügen.
Auch an (Gesundheits-)Behörden sollten personenbezogene Daten nicht ungeprüft übermittelt werden. Erhält der Arbeitgeber allerdings eine rechtlich verbindliche Auskunftsanfrage, darf (und muss) er sie beantworten. - Löschung
Schließlich müssen die im Zusammenhang mit der Corona-Krise erhobenen personenbezogenen Daten gelöscht werden, wenn der mit ihrer Verarbeitung verfolgte Zweck erreicht wird oder wegfällt. Nach Auffassung der Behörden wird dieser Zeitpunkt spätestens mit dem Ende der Pandemie erreicht sein. Allerdings wird man vor der endgültigen Löschung von Daten jeweils zu prüfen haben, ob eine weitere Aufbewahrung aus anderen Gründen erforderlich und zulässig ist, beispielsweise, wenn rechtliche Auseinandersetzungen um vom Arbeitgeber während der Krisenzeit ergriffene oder unterlassene Maßnahmen drohen.
Fazit
Im Ergebnis dürfen Arbeitgeber also alle personenbezogenen Daten verarbeiten, die für eine verhältnismäßige Reaktion auf die aktuelle Pandemie-Situation erforderlich sind. Dabei ist sorgfältig zu prüfen, welche Maßnahmen in welchem Ausmaß wirklich zweckmäßig sind.