Nahezu stündlich erreichen uns neue Meldungen über Vorsorge- und Schutzmaßnahmen im Kampf gegen das Coronavirus. Um die Ausbreitung des Covid19-Virus wirksam zu bekämpfen, werden wohl zukünftig sensible Gesundheitsdaten zu erheben sein – im öffentlichen Leben genauso wie in Beschäftigungsverhältnissen. Auch wenn das Hauptaugenmerk in diesen Zeiten eher nachrangig auf dem Datenschutz liegt, ist eine datenschutzrechtliche Betrachtung der Maßnahmen zum Infektionsschutz nicht zu vernachlässigen.

Rechtsgrundlagen zur Verarbeitung von Gesundheitsdaten

Viele Unternehmen stehen im Zuge der Corona-Pandemie vor der Frage, welche Maßnahmen sie im Rahmen des Infektions- und Arbeitsschutzes ergreifen dürfen bzw. müssen. Dabei spielt die Erhebung und Verarbeitung personenbezogener Daten – insbesondere auch von Gesundheitsdaten – eine wichtige Rolle. Welche Informationen dürfen überhaupt wie und wann erfasst werden? Beschäftigte und Arbeitgeber sind sich häufig nicht über Art, Umfang und Kontext der Erhebung und Verarbeitung von Gesundheitsdaten im Klaren. Um diese Fragen zu beantworten, haben die Datenschutzaufsichtsbehörden des Bundes und der Länder in der Datenschutzkonferenz (DSK) nun eine gemeinsame Position erarbeitet.

Die Verarbeitung von Gesundheitsdaten unterliegt gemäß der Datenschutzgrundverordnung („DSGVO“) strikten Anforderungen. Im Zusammenhang mit entsprechenden Maßnahmen ist daher – im Gegensatz zu „regulären Datenverarbeitungsvorgängen“ nach Art. 6 DSGVO – Art. 9 DSGVO zu beachten.
Die Definition von Gesundheitsdaten findet sich in Art. 4 Nr. 15 DSGVO. Erwägungsgrund („ErwG“) 35 gibt weiteren Aufschluss und konkretisiert den Begriff dahingehend, dass es sich um Informationen über den früheren, jetzigen und zukünftigen Gesundheitszustand einer natürlichen Person handelt.
Die strengen Anforderungen an die Verarbeitung von Gesundheitsdaten in Art. 9 DSGVO weist allerdings in Abs. 2 Ausnahmefälle aus, in denen eine Verarbeitung zulässig ist. Als Rechtsgrundlage kommen im Rahmen von Maßnahmen zum Infektionsschutz folgende Erlaubnistatbestände nach Art. 9, Abs. 2 DSGVO in Betracht:

  • Die informierte und freiwillige Einwilligung des Betroffenen (Art. 9, Abs. 2 lit. a)
  • Die Schaffung von Ausnahmetatbeständen des nationalen Gesetzgebers (nach Art 9, Abs. 2 lit. i), zur Sicherstellung der öffentlichen Gesundheit, insbesondere bei „schwerwiegenden grenzüberschreitenden Gesundheitsgefahren“
  • Das Erlassen von Rechtsvorschriften des nationalen Gesetzgebers, die den Unternehmen bei Vorliegen eines „erheblichen öffentlichen Interesses“ die Verarbeitung besonderer Kategorien personenbezogener Daten erlauben (Art. 9, Abs. 2 lit. g)

 

Des Weiteren wird der Ausnahmetatbestand in §22 BDSG dahingehend konkretisiert, dass Unternehmen die Verarbeitung von Gesundheitsdaten auf das „öffentliche Interesse“ bzw. die „öffentliche Gesundheit“ stützen können.

Verarbeitet ein Unternehmen die Gesundheitsdaten seiner Mitarbeiterinnen und Mitarbeiter, dient § 26 Abs. 3 BDSG als Rechtsgrundlage. Demnach ist die Verarbeitung von Gesundheitsdaten im Rahmen eines Beschäftigungsverhältnisses zulässig, wenn „sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.“

Interessenabwägung ist Pflicht

Die „rechtlichen Pflichten des Arbeitgebers“ ergeben sich dabei aus den Anforderungen des Arbeitsschutzgesetzes (§ 618 Abs. 1 BGB§ 3 ArbSchG).

Dennoch muss im Rahmen von § 26 Abs. 3 eine Interessenabwägung stattfinden, denn die schutzwürdigen Interessen der betroffenen Person dürfen nicht überwiegen.

Das Unternehmen hat also einerseits die Fürsorgepflicht seinen Beschäftigten gegenüber zu erfüllen, darf aber andererseits nicht unverhältnismäßig in ihre Persönlichkeitsrechte eingreifen bzw. diese beschränken.

Aufgrund der allgemein „unsicheren Gefährdungslage“ ist es allerdings derzeit schwer zu beurteilen, welche Maßnahmen als verhältnismäßig und welche als unverhältnismäßig einzustufen sind. Auch gibt es noch keine einheitliche Einschätzung der europäischen Datenschutzaufsichtsbehörden. Die Rechtslage hinsichtlich der Zulässigkeit von Maßnahmen kann daher momentan nicht abschließend beurteilt werden.

Bekämpfung der Corona-Pandemie: Was ist derzeit zulässig?

Unternehmen und Institutionen ist es erlaubt, im Rahmen der Bekämpfung der Corona-Pandemie personenbezogene Daten von ihren Mitarbeiter*nnen sowie von Besucher*innen zu erheben und zu verarbeiten, um einer Infektion der Beschäftigten im Unternehmen vorzubeugen. In diesem Zusammenhang dürfen etwa Daten zu diagnostizierten Infektionen oder Daten von Kontaktpersonen von nachweislich infizierten Personen erhoben werden.

Die Erhebung von Informationen, ob Mitarbeitende sich zu einem relevanten Zeitpunkt in einem vom Robert-Koch-Institut ausgewiesenen Risikogebiet aufgehalten haben oder mit Erkrankten direkten Kontakt hatten, ist ebenfalls als zulässige Datenerhebung anzusehen.

Für die Verarbeitung der Daten infizierter Personen oder Personen unter Infektionsverdacht besteht allerdings nur dann eine Rechtsgrundlage, „wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist“. Das heißt, die Nennung der Namen von Betroffenen ist zu vermeiden.

Freiwillige Selbstauskunfts- oder Fragebögen zu Aufenthaltsort und Symptomen sind ebenso zulässig wie freiwillige Fiebermessungen durch betriebsärztliches Fachpersonal oder die Mitarbeitenden selbst. Allerdings dürfen private Handynummern oder private Kontaktdaten von Beschäftigten nur mit deren ausdrücklichem Einverständnis erhoben werden.

Was ist derzeit unzulässig?

Die namentliche Nennung von Infizierten darf nur im Rahmen der Erforderlichkeit in einem kleinen Kreis erfolgen. Im Falle einer Infektion eines Mitarbeiters oder einer Mitarbeiterin empfiehlt es sich, ggf. auf Fachabteilungs- oder Teamebene entsprechende Maßnahmen in die Wege zu leiten. Beschäftigte, die mit einer infizierten Person zusammenarbeiten oder in direktem Kontakt standen, sind entsprechend zu informieren oder freizustellen.

Eine pauschale Befragung aller Beschäftigten zu ihren Reiseplänen oder Aufenthaltsorten ist ohne konkrete Anhaltspunkte ebenso unzulässig wie eine pauschale Befragung aller Mitarbeiter*innen über ihren derzeitigen Gesundheitszustand.

Schutz vor Infektion und Datenschutz: Allgemeine Maßnahmen

Im Sinne von Datenminimierung und Datensparsamkeit empfiehlt es sich, zunächst auf Maßnahmen zum allgemeinen Infektionsschutz zurückzugreifen, ohne größere Mengen (personenbezogener) Daten zu erheben. In diesem Zusammenhang sind zum Beispiel das Aufstellen von Informationsschildern, die Bereitstellung von Desinfektionsmitteln oder die Einrichtung einer Beratungshotline zu nennen. Homeoffice-Möglichkeiten und die Beschränkung von Dienstreisen sowie das Einschränken von Besuchen stellen ebenfalls probate Maßnahmen ohne besondere Eingriffe in die Persönlichkeitsrechte der Beschäftigten dar.

Angemessenheit der Maßnahmen beachten

Die Datenschutz-Aufsichtsbehörden verweisen in ihrer Stellungnahme einerseits darauf, dass Unternehmen im Rahmen ihrer Fürsorgepflicht für den Gesundheitsschutz ihrer Beschäftigten angemessen verantwortlich zu agieren haben. Andererseits ist die Verhältnismäßigkeit der getroffenen Maßnahmen zu beachten. Daher ist für die erhobenen Daten entsprechende Vertraulichkeit und strikte Zweckgebundenheit zu gewährleisten. Unter anderem sind die erhobenen Daten daher spätestens nach dem Ende der Corona-Pandemie unverzüglich zu löschen.

Notfallpläne und Business Continuity Management

Das Business Continuity Management (BCM) schafft die Voraussetzungen zur Fortführung der wesentlichen Geschäftstätigkeiten in Krisenfällen. Neben stark am Geschäft ausgerichteten Maßnahmen, etwa zur Sicherstellung der Supply Chain, geht es im Bereich Human Resources auch um die Für- und Vorsorge der Mitarbeiter. In Notfallplänen werden szenariobasierte Handlungsmodelle beschrieben, die sowohl die Sicherheit und Gesundheit der Mitarbeiter, zum Beispiel auf Dienstreisen, als auch die Aufrechterhaltung und Fortführung der wesentlichen unternehmerischen Aktivitäten gewährleisten sollen. Ein sachgerechtes BCM-Programm berücksichtigt dabei die geltenden rechtlichen Anforderungen, insbesondere an den Datenschutz. Dieses Programm gilt es im Krisenfall dann „nur“ zu aktivieren.

Weiterführende Informationen:

 

Autoren: Dr. Stefanie Schneider, Stefan Eigler

Autorin des Beitrags

Autor(in) Stefanie Schneider

Autor(in) Stefanie Schneider

Security Consultant - Mastering Risk & Compliance

Stefanie Schneider ist seit September 2019 als Security Consultant – Mastering Risk & Compliance im Bereich Datenschutz für den TÜV Rheinland tätig. Als externe Datenschutzbeauftragte steht sie Unternehmen aus Produktion und Dienstleistung gerne mit Rat und Tat zur Seite. Sie absolvierte zunächst ein naturwissenschaftliches Studium im Bereich Klimaforschung und schloss dann eine Zusatzausbildung im IT-Bereich an. Stefanie Schneider ist PC-Netzfachfrau und zertifizierte MCSE, MCP und CNA. Durch die Anstellung bei einer Datenschutzaufsichtsbehörde kam sie erstmals in Berührung mit dem Thema Datenschutz, welches sich fortan als roter Faden durch ihr Berufsleben zog. Auch in weiteren Anstellungen bei einem Projektträger zur Förderung von Forschungsprojekten und bei einer Beratungsorganisation für die medizinische Forschung konnte sie Ihre Kenntnisse zu verschiedenen datenschutzrechtlichen Themenstellungen vertiefen und ausbauen. Als freie Mitarbeiterin für den Heise-Verlag schrieb sie weiterhin diverse Artikel für das Format „Telepolis“. Die berufliche Vorliebe für abstrakte Themen gleicht sie jenseits des Büros gerne in einer Theatergruppe aus. Ihr Herz schlägt hier vor allem für Komödien, in denen sich die Charaktere herrlich überzeichnet darstellen lassen.

Meist gelesene Beiträge

Virtual Reality: Was kommt nach dem großen Hype?

Auch wenn es ruhiger geworden ist um Virtual Reality und Augmented Reality: Es lohnt sich, genauer hinzuschauen. Denn die Technologie bietet spannende Anwendungsmöglichkeiten.

Work-Life-Balance - „Du hast nur dieses eine Leben“

Über 50 kommen die Einschläge näher. Umso wichtiger, dass Arbeits- und Privatleben im Einklang stehen – der eigenen Gesundheit und dem Arbeitgeber zuliebe.

Arbeitssicherheit: Mitarbeiter online schulen

Die Digitalisierung ist in aller Munde. Gerade im nun beendeten Bundestags-Wahlkampf begegnete einem das Schlagwort auf vielen Plakaten, in etlichen Statements. Genau wie Bildung.

Kommentare

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Newsletter

Niemand mag Pop Ups. Aber Sie werden unseren Newsletter mögen

Erhalten Sie regelmäßig Blogartikel zu den Themen Digitalisierung, Modernes Leben, Energie und Technik.