Steht der Datenschutz dem Infektionsschutz im Weg?

18.03.2020

Das Corona-Virus (Covid-19) stellt die Menschen vor große Herausforderungen. Die WHO hat Covid-19 mittlerweile als Pandemie eingestuft. Die Zahl der Infizierten steigt täglich. Die Folgen sind noch nicht abschätzbar und die Verunsicherung nimmt zu.

Datenschutz ist in diesem Zusammenhang sicherlich nicht das wichtigste Thema. Dennoch stellt sich vermehrt auch die Frage: Welche Maßnahmen erlaubt der Datenschutz dem Arbeitgeber und dem Unternehmen? Dürfen zum Schutz der Mitarbeiter, des Unternehmens und der Kunden oder Besucher sensible (Gesundheits-)Daten von Mitarbeitern und Besuchern erhoben werden? Die europäischen Datenschutzaufsichtsbehörden haben dazu unterschiedliche Auffassungen. Deutsche Datenschutzaufsichtsbehörden halten die Erhebung solcher Daten unter bestimmten Voraussetzungen grundsätzlich für zulässig. Die Maßnahmen müssen dabei vor allem notwendig und verhältnismäßig sein. Wann dies der Fall ist, wird im Einzelfall entschieden werden müssen.

Bei der Erhebung von personenbezogenen Daten im Zusammenhang mit der Corona-Pandemie werden typischerweise Bezüge zwischen Personen und deren Gesundheitszustand hergestellt. In diesem Fall handelt es sich um Gesundheitsdaten, die nach Artikel 9 Datenschutz-Grundverordnung (DSGVO) besonders geschützt sind. Die Verarbeitung von Gesundheitsdaten ist grundsätzlich nur eingeschränkt möglich. Diese Daten dürfen aber gegebenenfalls zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeitern datenschutzkonform verarbeitet werden. Mittlerweile haben sich einige deutsche Datenschutzaufsichtsbehörden dazu geäußert und stellen Übersichten zum Umgang mit der Corona-Pandemie für Arbeitgeber zur Verfügung:

Die deutschen Aufsichtsbehörden kommen zu dem Ergebnis, dass Arbeitgeber alle Informationen erheben dürfen, die sie benötigen, um ihrer Sicherungspflicht nachzukommen. Die Fürsorgepflicht verpflichtet Arbeitgeber dazu, den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Davon sind Maßnahmen umfasst, die andere Beschäftigte vor einer Infektion durch eine erkrankte Person schützen. Diese Maßnahmen müssen dabei immer notwendig und verhältnismäßig sein. Die Daten müssen vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks, also typischerweise spätestens am Ende der Pandemie, müssen die erhobenen Daten unverzüglich gelöscht werden.

Was bedeutet dies jedoch jetzt genau für die Vielzahl von Maßnahmen, welche Arbeitgeber zum Schutz ihrer Beschäftigten aktuell ergreifen wollen oder müssen. Nachfolgend werden exemplarisch einige Maßnahmen dargestellt und auf Basis der oben erwähnten aktuellen Stellungnahmen kurz datenschutzrechtlich bewertet:

  1. Zur Eindämmung und Bekämpfung der Corona-Pandemie kann es datenschutzrechtlich zulässig sein, wenn ein Arbeitgeber Informationen darüber erhebt, zu welchen Personen der erkrankte Mitarbeiter Kontakt hatte.
  2. Die Nennung des Namens des betroffenen Mitarbeiters gegenüber Kollegen ist grundsätzlich zu vermeiden. Eine Namensnennung kann allerdings im Einzelfall notwendig sein, wenn Mitarbeiter, die in direktem Kontakt mit einem Infizierten waren, gewarnt und selbst zur Eindämmung der Ansteckungsgefahr von der Arbeit freigestellt werden müssen und diese ohne Namensnennung nicht ausfindig gemacht werden können.
  3. Zudem darf der Arbeitgeber Urlaubsrückkehrer befragen, ob sie sich in einem durch das Robert Koch-Institut festgelegten Risikogebiet aufgehalten haben. Eine Negativauskunft des Beschäftigten genügt aber regelmäßig. Weitere Nachfragen dürfen allerdings erfolgen, wenn es dafür Gründe bzw. weitere Anhaltspunkte gibt, die diese rechtfertigen.
  4. Darüber hinaus dürfen Arbeitgeber von ihren Beschäftigten grundsätzlich auch die aktuelle private Handynummer abfragen und temporär speichern, damit die Beschäftigten kurzfristig gewarnt werden können und z.B. nicht bei der Arbeit erscheinen. Dies ist allerdings nur mit Einverständnis des Beschäftigten zulässig und muss der Verringerung der Infektionsgefährdung dienen. Zu anderen Zwecken darf die Handynummer in keinem Fall verwendet werden, z.B. Kontaktaufnahme aus beruflichen Gründen nach Feierabend.
  5. Die deutschen Datenschutzaufsichtsbehörden haben sich zu der Frage, ob Fiebermessen bei Arbeitnehmern und Besuchern zulässig ist, noch nicht positioniert. Bei Besuchern kann diese Maßnahme grundsätzlich vom Hausrecht des Arbeitgebers gedeckt sein. Anders ist das Temperaturmessen aber bei Beschäftigten zu bewerten. Bei Beschäftigten ist das verfassungsrechtlich geschützte Persönlichkeitsrecht zu berücksichtigen und es muss daher eine Verhältnismäßigkeitsprüfung stattfinden. Bei der Prüfung der Angemessenheit der Maßnahme kann die Branche des Unternehmens eine Rolle spielen (bspw. Lebensmittelbranche). Zudem kann ggfls. berücksichtigt werden, ob es bereits Verdachtsfälle in dem Betrieb gibt, ob ein Arbeitnehmer in einem Risikogebiet war oder ob das Unternehmen in einer Region gelegen ist, in der es eine Vielzahl von Infizierten gibt. Dies können gute Argumente sein, die für die Zulässigkeit des Temperaturmessens sprechen.

Die notwendigen Maßnahmen lassen sich rechtlich auf Grundlage der DSGVO und des BDSG (ggf. in Verbindung mit Landesdatenschutz- und weiteren Fachgesetzen) legitimieren. Die Berechtigung zur Verarbeitung personenbezogener Mitarbeiterdaten ergibt sich für Arbeitgeber im nicht-öffentlichen Bereich aus § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO jeweils in Verbindung mit den einschlägigen beamtenrechtlichen sowie tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts. Soweit Gesundheitsdaten verarbeitet werden, sind zudem § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO einschlägig.

Ähnlich wie die deutschen Datenschutzbehörden halten die irische Datenschutzaufsichtsbehörde DPC, die ungarische Datenschutzaufsichtsbehörde NAIH und die englische Datenschutzaufsichtsbehörde ICO die Verarbeitung personenbezogener Daten, einschließlich Gesundheitsdaten, für zulässig, wenn dies notwendig und verhältnismäßig ist. Zu den Maßnahmen gehört nach der irischen DPC ausdrücklich auch die Verpflichtung aller Mitarbeiter zum Ausfüllen eines Fragebogens.

Ganz anders sieht das die französische Datenschutzaufsichtsbehörde CNIL. Danach dürfen Arbeitgeber keine Maßnahmen ergreifen, welche die Privatsphäre der Betroffenen verletzen können, insbesondere durch die Erhebung von Gesundheitsdaten. Diese Daten unterliegen laut CNIL dem besonderen Schutz der DSGVO und nationalen Bestimmungen. Das systematische Sammeln medizinischer Aufzeichnungen oder Fragebögen von allen Mitarbeitern sei daher unzulässig. In ähnlicher Weise äußert sich die luxemburgische Datenschutzaufsichtsbehörde CNPD.

Die CNIL weist zudem ausdrücklich darauf hin, dass obligatorische Körpertemperaturmessungen jedes Mitarbeiters oder Besuchers, die täglich an seine Vorgesetzten gesendet werden, unzulässig sind. Diese Ansicht teilen die italienische Datenschutzaufsichtsbehörde Garante sowie die niederländische Datenschutzaufsichtsbehörde AP.

Praxistipp:

Die Entwicklungen in Zeiten von Covid-19 sind dynamisch und die beschriebenen Positionen können sich deshalb auch jederzeit ändern. Zudem zeigen die unterschiedlichen Argumente und Bewertungen durch die europäischen Datenschutzaufsichtsbehörden, dass eine allgemeingültige Antwort auf die Frage der datenschutzrechtlichen Zulässigkeit einer Maßnahme kaum möglich ist. Ob eine Maßnahme zum Schutz der Mitarbeiter und des Unternehmens durch den Arbeitgeber zulässig ist oder nicht, kann daher auch immer nur am Status Quo und anhand des konkreten Einzelfalls bewertet werden.

Wir empfehlen daher, immer aktuell den konkreten Einzelfall zu beurteilen und unter Einbindung des Betriebsrates und des betrieblichen oder externen Datenschutzbeauftragten zu entscheiden, welche konkrete Maßnahme erforderlich und angemessen ist. Gerne unterstützen wir Sie bei der Beurteilung der datenschutzkonformen Verarbeitung von Daten im Zusammenhang mit der Umsetzung von Maßnahmen zur Eindämmung der Corona-Pandemie und zum Schutz der Beschäftigten und des Unternehmens.

Stand: 18.03.2020