Content Portlet (für Detailseite)

Eigene Texte anzeigen (Nur Detailseite) Eigene Texte anzeigen (Nur Detailseite)

Die Coronakrise und der Datenschutz

Der Datenschutz wirft zu Zeiten der Coronapandemie etliche Fragen auf. Dürfen Arbeitgeber fragen, ob ein Beschäftigter in einem Risikogebiet war oder direkten Kontakt mit einem Erkrankten hatte? Dürfen solche Gesundheitsdaten weitergegeben werden? Sollen Mitarbeiter informiert werden, wenn Kollegen an Corona erkrankt oder in Quarantäne sind?

Nicht jeder Betrieb schließt wegen der Coronakrise seine Pforten und schickt die Mitarbeiter ins Homeoffice. Vielfach ist das gar nicht möglich. Der Arbeitgeber muss also versuchen, den Gesundheitsschutz im laufenden Betrieb durch geeignete Maßnahmen sicherzustellen. In dem Zusammenhang stellen sich für den Arbeitgeber zahlreiche Fragen zum Datenschutz. Welche Daten darf der Arbeitgeber aufgrund der Coronakrise erheben?

Datenschutz und Corona: Was muss der Arbeitgeber beachten?

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BFDI) hat für Fragestellungen im Zusammenhang mit der Coronapandemie allgemeine Hinweise zum Datenschutz bereitgestellt.

Hier wird ersichtlich, welche Daten der Arbeitgeber erheben darf, um die Pandemie zu bekämpfen bzw. einzudämmen.

Zulässige Daten von Arbeitnehmern und Besuchern

Folgende Fragen sind beispielsweise zulässig:

  • Wurde eine Infektion bei Ihnen festgestellt?
  • Haben Sie sich im relevanten Zeitraum in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet aufgehalten?
  • Hatten Sie Kontakt mit einer nachweislich infizierten Person?

Datenschutz bei Infektionsfall oder Infektionsverdacht

Wenn ein Arbeitgeber erfährt, dass ein Arbeitnehmer aus seinem Betrieb nachweislich infiziert ist oder unter Infektionsverdacht steht, darf er die Identität dieses Beschäftigten nur dann preisgeben, wenn dies für Vorsorgemaßnahmen erforderlich ist. Dies kann beispielsweise dann der Fall sein, wenn geklärt werden muss, wer im Betrieb Kontakt mit der infizierten Person hatte.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg handhabt diese Frage in seinen FAQ Corona noch restriktiver. Er geht davon aus, dass eine Warnung an die Beschäftigten ohne Nennung des Namens team- bzw. abteilungsbezogen erfolgen kann. Sollte dies nicht ausreichend sein, sollen die Gesundheitsbehörden um Rat gefragt werden. Sofern dies nicht möglich sei, könne über den konkreten Beschäftigten informiert werden, um Infektionsquellen zu lokalisieren und einzudämmen.

Erhebung privater Kontaktdaten der Mitarbeiter erlaubt?

In einigen Betrieben wurden die Beschäftigten gebeten, dem Arbeitgeber ihre privaten Mobiltelefonnummern mitzuteilen, damit man sie kurzfristig informieren könne, wenn sie aufgrund eines Infektionsfalles oder einer Betriebsschließung nicht zur Arbeit kommen dürften. Darf der Arbeitgeber solche privaten Kontaktdaten von den Beschäftigten erheben?

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe hat im Jahr 2010 ein "Handbuch Betriebliche Pandemieplanung" herausgegeben, das im März 2020 in einer erweiterten und aktualisierten Auflage erschienen ist. Darin findet sich die Empfehlung, ein innerbetriebliches Kommunikationsnetz zu entwickeln, das den Zweck hat, "während einer Krise über Aktivitäten zur Krisenbewältigung einschließlich Maßnahmen zur Verhinderung oder Begrenzung von Vertrauensverlust nach innen und außen" zu informieren.

Es kann durchaus erforderlich sein, die Beschäftigten darüber zu informieren, dass sie wegen eines Coronafalles nicht mehr zur Arbeit erscheinen sollen. Soweit für diese Information auch private Kontaktdaten genutzt werden sollen, weist der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg darauf hin, dass hierzu die Einwilligung der Beschäftigten notwendig ist.

Nach Auffassung der Aufsichtsbehörden kann der Beschäftigte aus Rücksichts-, Verhaltens- oder Mitwirkungspflichten darüber hinaus verpflichtet sein, seinen Arbeitgeber über eine Infektion zu informieren.

Datenabfrage bei Besuchern erlaubt?

Wie sieht es mit Besuchern aus? Dürfen auch bei Besuchern Name und Kontaktdaten erfragt werden?

Sinn einer solchen Abfrage ist zum einen, eine Nachverfolgung des Virus zu ermöglichen und zum anderen, die Besucher bei Auftreten eines Infektionsfalles darüber informieren zu können, dass sie sich möglicherweise angesteckt haben könnten. Eine verpflichtende Datenerhebung und -verarbeitung kann allerdings nur dann erfolgen, wenn eine entsprechende Anordnung der Gesundheitsbehörde vorliegt. Andernfalls können die Kontaktdaten der Besucher nur auf freiwilliger Basis abgefragt werden.

Datenschutz von Corona-Angaben der Beschäftigten

Die Rechtsgrundlage für die Datenerhebung und -verarbeitung ergibt sich bei Beschäftigten aus § 26 Abs. 1 S. 1 BDSG (Datenverarbeitung für Zwecke des Beschäftigtenverhältnisses). Diese Datenerhebung und -verarbeitung ist erforderlich, um die Beschäftigten vor Gesundheitsrisiken durch die Pandemie am Arbeitsplatz zu warnen. Aber auch Fragen nach dem konkreten Aufenthalt in Risikogebieten fallen unter die erforderliche Datenverarbeitung, um die restlichen Beschäftigten schützen zu können.

Sofern es um die Frage nach einer Infektion mit dem Virus geht, handelt es sich um die Erhebung und Verarbeitung von Gesundheitsdaten. Hier ist als Rechtsgrundlage § 26 Abs. 3 BDSG einschlägig. Danach können Gesundheitsdaten erhoben und verarbeitet werden, wenn dies erforderlich ist, damit der Verantwortliche (Arbeitgeber) seine Rechte bzw. Pflichten aus dem Arbeitsrecht ausüben kann. So ergibt sich für den Arbeitgeber gegenüber seinen Beschäftigten eine Fürsorgepflicht hinsichtlich deren Gesundheit. Die Eindämmung der Verbreitung des Virus im Betrieb kommt der Gesundheit der Beschäftigten zugute und ist damit Ausfluss der Fürsorgepflicht. Die privaten Kontaktdaten können auf Basis einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO genutzt werden.

Rechtsgrundlage der Datenerhebung und -verarbeitung bei Besuchern

Soweit es um den Aufenthalt in Risikogebieten geht, kann hier Art. 6 Abs. 1 lit. f DSGVO herangezogen werden. Danach kann der Verantwortliche (Betrieb) Daten im eigenen berechtigten Interesse oder im Interesse eines Dritten verarbeiten, sofern dies erforderlich ist und nicht Rechte der Betroffenen überwiegen.

Das berechtigte Interesse des Arbeitgebers liegt hier einmal im Schutz seiner Beschäftigten und auch des Betroffenen, um diesen zu informieren, falls eine Infektion möglich erscheint. Entgegenstehende Interessen des Betroffenen sind nicht ersichtlich, zumal die Datenverarbeitung auch in seinem Interesse erfolgt. Die Erhebung und -verarbeitung der Kontaktdaten von Besuchern kann auf Grundlage einer Anordnung der Behörde aus § 16 Abs. 1 und Abs. 2 S. 3 Infektionsschutzgesetz erfolgen, ansonsten bildet die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO die korrekte Rechtsgrundlage.

Verwandte Dokumente