Datenschutz trifft COVID-19 - FAQ
In Sachen Datenschutz ergeben sich angesichts der Coronavirus-Pandemie zahlreiche weitere arbeitsrechtliche Fragestellungen. Wir haben die wichtigsten für Sie zusammengefasst und geben Antworten. Wir empfehlen in Deutschland tätigen Unternehmen außerdem, sich an den Äußerungen der deutschen Aufsichtsbehörden zu orientieren.
Auch wenn andere europäische Datenschutzaufsichten womöglich pragmatischere und weniger strenge Ansichten vertreten, sind zunächst die Einschätzungen der nationalen Behörden maßgeblich. Dementsprechend basieren die nachfolgenden Fragen und Antworten überwiegend auf den Äußerungen deutscher Datenschutzbehörden.
Darf der Arbeitgeber Informationen darüber anfordern, ob Mitarbeiter ein Risikogebiet aufgesucht haben?
Ja. Die Fürsorgepflicht des Arbeitgebers gegenüber seinen Mitarbeitern verpflichtet den Arbeitgeber, notwendige Maßnahmen zur Sicherstellung der Sicherheit und Gesundheit aller Mitarbeiter am Arbeitsplatz zu gewährleisten. Dazu gehört auch die Pflicht, eine Ansteckung zu vermeiden. Zu diesem Zweck ist es dem Arbeitgeber gestattet, Urlaubsrückkehrer zu fragen, ob sie sich in einem vom Robert-Koch-Institut als Hochrisikogebiet eingestuftem Land aufgehalten haben. Dabei genügt eine negative Information seitens des Mitarbeiters als Antwort. Soweit dies erforderlich ist, kann der Arbeitgeber weitere Fragen stellen.
Darf der Arbeitgeber Gesundheitsdaten des Arbeitnehmers erheben, zum Beispiel durch Erfassen der Körpertemperatur?
Nein. Eine solche Maßnahme könnte einzig auf § 26 Absatz 3 Satz 1 Bundesdatenschutzgesetz (BDSG) gestützt werden. Demnach dürfen besondere personenbezogene Daten nur für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und schutzwürdige Interessen der betroffenen Person nicht überwiegen. Dies wird jedoch uneinheitlich ausgelegt. Teilweise wird vertreten, dass der Arbeitgeber in engen Grenzen dem Arbeitnehmer medizinische Untersuchungen auferlegen kann. Zulässig sollen minimal-invasive Maßnahmen sein, wie beispielsweise Temperaturmessungen, soweit diese zum Schutz anderer Mitarbeiter vor Infektionen durch eine potentiell infizierte Person dient, die sich vor kurzer Zeit in einem Risikogebiet aufgehalten hat.
Der Landesdatenschutzbeauftragte des Landes Rheinland-Pfalz erachtet Temperaturmessungen am Eingang zum Betriebsgelände indes für unzulässig, da dies angesichts alternativer Maßnahmen wie der Arbeit aus dem Homeoffice nicht erforderlich sei. Viele Arbeitnehmer haben jedoch nicht die Möglichkeit, von zu Hause zu arbeiten. Gewichtiger erscheint in diesem Kontext das Argument, dass eine erhöhte Körpertemperatur kein zuverlässiger Indikator für eine Coronavirus-Infektion darstellt. Schließlich weisen viele der Erkrankten lediglich milde oder gar keine Symptome auf. Auch die WHO empfiehlt ein flächendeckendes Fiebermessen durch die Arbeitgeber nicht. Zusammenfassend ist von derartigen "Zwangsuntersuchungen" durch den Arbeitgeber aus datenschutzrechtlicher Sicht eher abzuraten.
Darf der Arbeitgeber seine Mitarbeiter dazu verpflichten, eine COVID-19-Infektion zu bestätigen?
Ja. Eine Pflicht zur Bestätigung einer Erkrankung durch den Arbeitnehmer gegenüber dem Arbeitgeber dürfte sich aus den arbeitsvertraglichen Nebenpflichten ergeben. Nur so ist der Arbeitgeber in der Lage, seiner Fürsorgepflicht gegenüber dem erkrankten Arbeitnehmer und den Kollegen nachzukommen. Auch der Bundesdatenschutzbeauftragte gab in seiner jüngsten Stellungnahme bekannt, dass es zulässig sei, Gesundheitsdaten von Arbeitnehmern zu erheben und zu verarbeiten, wenn dies der bestmöglichsten Verhinderung von Ansteckungen unter den Beschäftigten diene.
Darf der Arbeitgeber Informationen darüber anfordern, ob ein Mitarbeiter Kontakt zu Infizierten hatte?
Ja. Zu dieser Frage haben sich inzwischen sowohl der Bundesdatenschutzbeauftragte als auch der Landesdatenschutzbeauftragte von Baden-Württemberg geäußert. Demnach sei der Arbeitgeber grundsätzlich berechtigt, Informationen darüber anzufordern, ob ein Mitarbeiter Kontakt mit einer infizierten Person hatte, sofern die Nachfrage dem Zweck der Gesundheitsvorsorge am Arbeitsplatz dient.
Ist der Arbeitgeber berechtigt, systematisch nach Vorerkrankungen zu fragen, um potenzielle Risikopatienten zu identifizieren?
Nein. Derartige Befragungen können nicht auf Grundlage des § 26 Absatz 3 Satz 1 BDSG gerechtfertigt werden. Es ist bereits höchst zweifelhaft, ob so ein Vorgehen erforderlich ist, da diese Information nicht unmittelbar mit dem Arbeitsverhältnis im Zusammenhang stehen dürfte. Im konkreten Fall dürfte zudem das Interesse der betroffenen Personen daran, dass ihr Arbeitgeber keine Informationen über weitere bestehende Krankheiten erlangt, überwiegen.
Dürfen Arbeitgeber die Mitarbeiter darüber informieren, dass ein bestimmter Arbeitnehmer am Coronavirus erkrankt ist?
Nein, aber Ausnahmen sind möglich. Personenbezogene Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen offenzulegen, um Kontaktpersonen zu informieren, ist nur in absoluten Ausnahmefällen rechtmäßig. Davon ist auszugehen, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist. Nach Ansicht des baden-württembergischen Landesdatenschutzbeauftragten ist die Weitergabe des Namens eines infizierten Mitarbeiters innerhalb der Belegschaft grundsätzlich zu vermeiden. Dies gilt auch für den Fall, dass der Infizierte mit anderen Mitarbeitern in direktem Kontakt stand und diese deshalb möglicherweise selbst freizustellen sind. Derartige Maßnahmen seien aufgrund der Gefahr einer Stigmatisierung vielmehr abteilungs- oder teambezogen ohne konkrete Namensnennung vorzunehmen.
In Ausnahmefällen seien zunächst das Gesundheitsamt und gegebenenfalls erst in letzter Konsequenz die übrigen Mitarbeiter in Kenntnis zu setzen. Der rheinland-pfälzische Landesdatenschutzbeauftragte empfiehlt, den betroffenen Beschäftigten zu bitten, eine Liste von gefährdeten Kollegen vorzulegen und diese daraufhin gezielt anzusprechen. So kann eine unternehmens- oder behördenweite namentliche Nennung des erkrankten Beschäftigten vermieden werden.
Haben Unternehmen gegenüber den Gesundheitsbehörden eine Meldepflicht?
Nein. Unternehmen unterliegen gegenüber den Gesundheitsbehörden keiner aktiven Meldepflicht. § 8 des Infektionsschutzgesetzes benennt die meldepflichtigen Personen abschließend. Dazu zählen ausschließlich Ärzte und Angehörige anderer Heilberufe. Nach Ansicht des baden-württembergischen Datenschutzbeauftragten ist der Arbeitgeber aber auf Ersuchen der zuständigen Hoheitsträger verpflichtet und befugt, Informationen bezüglich erkrankter Beschäftigter im Betrieb, insbesondere auf der Grundlage des Infektionsschutzgesetzes (IfSG), an die Behörden zu übermitteln. Die Rechtsgrundlage dürfte sich hier jedoch aus dem Ordnungsrecht und der daraus folgenden behördlichen Anordnungsbefugnis ergeben.
Welche Vorbereitungen muss der Arbeitgeber für die Tätigkeit im Homeoffice treffen?
Sofern Homeoffice zugelassen oder angeordnet wird, muss der Arbeitgeber dem Arbeitnehmer die notwendige Ausrüstung zur Verfügung zu stellen, um der Arbeit im Homeoffice nachgehen zu können. Der Arbeitgeber hat zudem angemessene technisch-organisatorische Maßnahmen für den Datenschutz, die Vertraulichkeit (beispielsweise auch von Geschäftsgeheimnissen) sowie die IT-Sicherheit einzurichten. Ein genereller Anspruch auf Homeoffice besteht allerdings ohne explizite Vereinbarung im Arbeitsvertrag grundsätzlich nicht, kann jedoch bei Unzumutbarkeit der körperlichen Anwesenheit am Arbeitsplatz gegeben sein. Dies muss jedoch im Einzelfall entschieden werden.
Lesetipp: Home Office einrichten - Das brauchen Sie für die Heimarbeit
Darf der Arbeitgeber private Telefonnummern von Mitarbeitern aufnehmen, um sie im Notfall erreichen zu können?
Ja. Der Arbeitgeber darf aktuelle private Handynummern von der Belegschaft erheben, um die Beschäftigten im Falle einer Schließung des Betriebs oder in ähnlichen Umständen kurzfristig warnen oder auffordern zu können, zu Hause zu bleiben. Sie dürfen allerdings nur temporär zu bestimmten, legitimen Zwecken und im schriftlichen Einverständnis mit dem informierten Arbeitnehmer gespeichert werden. Zwar wird der Arbeitnehmer dieser Aufforderung aus eigenem Interesse in den meisten Fällen zustimmen, eine rechtliche Verpflichtung zur Offenlegung besteht jedoch nicht. Datenschutzrechtlich unzulässig wäre es, die privaten Daten zu einem späteren Zeitpunkt (weiter) zu verwenden, da die Datenverarbeitung gemäß Artikel 5 Absatz 1 lit. b DSGVO stets zweckgebunden erfolgen muss. Besteht der konkrete Zweck nicht mehr, sind die Daten zu löschen.
Dürfen Unternehmen personenbezogene Daten von Kunden oder Event-Besuchern sammeln, speichern oder übertragen, für den Fall dass später festgestellt wird, dass eine infizierte Person auf der Veranstaltung war?
Ja. Ein typischer Anwendungsfall für diese Frage wäre beispielsweise, ob ein Messeveranstalter Informationen über Messebesucher an die Gesundheitsbehörden weitergeben darf. Wenn die zuständige Behörde eine Anordnung zur Speicherung von Besucherdaten erteilt hat, können die Organisatoren entsprechende Daten erheben und speichern. Welche Behörde im Einzelfall zuständig ist, richtet sich nach Landesrecht. Eine solche Anordnung, Besucherdaten zu speichern, korrespondiert regelmäßig mit einer Verpflichtung, die Daten an die zuständige Behörde zu übermitteln. Solange es keine behördliche Anordnung gibt, dürfen Veranstalter solche Daten grundsätzlich nur auf der Grundlage einer freiwilligen Einwilligung der betroffenen Person erheben und speichern.
Ferner sollten die Daten im Hinblick auf das Gebot der Zweckbindung der Datenverarbeitung auch nur für die Dauer der mutmaßlichen Inkubationszeit gespeichert werden. Zusätzlich sind die in Artikel 13 und 14 DSGVO festgesetzten Informationspflichten zu berücksichtigen. Ohne eine behördliche Anordnung dürfen Unternehmen solche Daten nur in Ausnahmefällen verarbeiten. Die Identität einer infizierten Person darf gegenüber einer Kontaktperson nur offengelegt werden, wenn dies für eine Maßnahme zur Eindämmung von COVID-19 unerlässlich ist.
Welche Risiken drohen, wenn die Datenschutzvorschriften missachtet werden?
Datenschutzvorschriften zu missachten kann neben hohen Bußgeldern auch Angriffsmöglichkeiten für Cyberkriminelle bieten, die die aktuelle Situation ausnutzen, um Unternehmenssysteme zu infiltrieren. Sicherlich unterstützen Maßnahmen wie Homeoffice, das Coronavirus einzudämmen. Dennoch müssen sich die Unternehmen auch der Schwachstellen bewusst sein, die sich aus der Arbeit im Homeoffice ergeben. Aus diesem Grund sollten Unternehmen IT-Sicherheitsteams vor Ort einrichten, um eventuellen Hackerangriffen schnell und effektiv entgegenzuwirken.
Auch im Interesse eines effektiven Schutzes von Geschäftsgeheimnissen ist hier zu besonderer Vorsicht zu raten. Cyberkriminelle machen sich die Angst vor dem Coronavirus und seinen Auswirkungen bereits zu Nutze. Anders als die britische Aufsichtsbehörde ICO haben die deutschen Behörden bisher nicht angekündigt, bei der Ahndung von Datenschutzverstößen unter den aktuellen Umständen weniger strikt vorgehen zu wollen. Bis hier Klarheit geschaffen wird, sollte daher der Datenschutz auch in Krisenzeiten beachtet werden.
Datenschutz-Grundsätze beachten - trotz Krise!
Die Stellungnahmen der Aufsichtsbehörden bieten hilfreiche und praxisnahe Hinweise für ein datenschutzkonformes Krisenmanagement, um die Coronavirus-Epidemie einzudämmen. Unternehmen müssen sich dabei aber stets bewusst machen, dass die Privatsphäre des Einzelnen ein Grundrecht ist, das auch in Krisenzeiten seinen Stellenwert nicht verliert. Datenschutzrechtliche Grundsätze wie Datenminimierung und Zweckbindung sind trotz Krise weiterhin zu beachten, sodass unbegrenztes und anlassloses Datensammeln weiterhin unzulässig ist.
Unternehmen sollten daher ihre Mitarbeiter, Kunden und Besucher transparent und ausführlich über jegliche Datenverarbeitung im Zusammenhang mit COVID-19 informieren. Zudem sollten die ergriffenen Maßnahmen und die entsprechende datenschutzrechtliche Bewertung dokumentiert werden. Sobald der Verarbeitungszweck wegfällt, weil etwa der Arbeitnehmer genest oder die Epidemie vorbei ist, müssen Datenverarbeitungen umgehend eingeschränkt und gespeicherte Daten innerhalb bestimmter Fristen (z. B. nach Verjährung von möglichen Ansprüchen) gelöscht werden.
Angesichts der weiter steigenden Zahl der Erkrankten dürften die erörterten Probleme die Unternehmen noch einige Zeit beschäftigen. Weitere Äußerungen und Stellungnahmen der Aufsichtsbehörden sollten daher genauestens beobachtet werden, um die eigenen Datenverarbeitungsprozesse gegebenenfalls entsprechend anzupassen. Es wäre zudem wünschenswert, wenn die Aufsichtsbehörden mit Rücksicht auf die Ausnahmesituation, die unklare und komplizierte Rechtslage sowie die begrenzten Ressourcen von Unternehmen von einer allzu strengen Ahndung etwaiger Datenschutzverstöße absehen. (jd/fm)