IT-Recht und Datenschutz

Darf ich meine Mitarbeiter nach Symptomen in Zeiten von Corona fragen? – Die Corona-Pandemie aus datenschutzrechtlicher Sicht

Artikel drucken

27.03.2020 | Autor: Nikoleta Giannoulidou
Lesezeit: 15 Minuten

Die Corona-Pandemie greift um sich und betrifft uns in jeglichen Lebensbereichen. Die gesamte Welt ergreift die verschiedensten Maßnahmen, um die Ausbreitung der neuartigen Virus-Infektion zu verlangsamen. Doch welche Maßnahmen bewegen sich innerhalb rechtlicher Grenzen und welche überschreiten diese? Dürfen Mitarbeiter tatsächlich vom Arbeitgeber nach Symptomen befragt werden? Und welche Voraussetzungen müssen für eine solche Befragung erfüllt sein, damit diese zulässig ist?

 

Aus datenschutzrechtlicher Sicht wirft das Corona-Virus viele Fragen auf, mit welchen sich dieser Beitrag auseinandersetzt.

 

Welche Daten dürfen bei Mitarbeitern erfragt werden?

 

Viele Arbeitgeber haben in den letzten Tagen und Wochen bereits erste Maßnahmen gegen die Ausbreitung des Corona-Virus ergriffen und ihre Arbeitnehmer ins Home-Office geschickt. Dazu wurden in vielen Fällen Mitarbeiter danach befragt, ob sie Symptome aufweisen würden oder in jüngster Zeit zu nachweislich infizierten Personen näheren Kontakt hatten.

 

Verarbeitung und Speicherung von Gesundheitsdaten

 

Die Frage nach Symptomen und eine entsprechende Erfassung bzw. Speicherung dieser Daten in Datenbänken oder Listen stellt jedoch eine Verarbeitung von sensiblen Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO dar. Als Gesundheitsdaten gelten nämlich nach Art. 4 Nr. 15 DSGVO solche Informationen, die sich auf die körperliche oder geistige Gesundheit einer Person beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Da Symptome Informationen über die körperliche Gesundheit einer Person darstellen, handelt es sich bei der Erhebung und Speicherung von solchen Daten um eine Verarbeitung von Gesundheitsdaten, sodass diese nur unter strengen Voraussetzungen zulässig ist.

 

Für eine zulässige Datenverarbeitung von Gesundheitsdaten bedarf es zunächst einer Rechtsgrundlage. Als mögliche Rechtsgrundlage könnte zum einen die Einwilligung der betroffenen Personen gemäß Art. 9 Abs. 2 lit. a) DSGVO dienen. Die Einholung der Einwilligung eines jeden Mitarbeiters dürfte jedoch nicht nur mit praktischen Schwierigkeiten verbunden sein, sondern unterliegt im Arbeitsverhältnis auch den strengen Anforderungen des § 26 Abs. 2 BDSG. Danach muss eine Einwilligung freiwillig erteilt werden, wobei im Beschäftigungsverhältnis das Abhängigkeitsverhältnis zum Arbeitgeber im Rahmen der Beurteilung der Freiwilligkeit besonders zu beachten ist. Weiterhin muss die Einwilligung auch schriftlich oder elektronisch vom Mitarbeiter erteilt werden. Da eine Einwilligung zudem jederzeit gemäß Art. 7 Abs. 3 DSGVO widerrufbar ist, dürfte diese in der Regel keine bedarfsgerechte Lösung für Unternehmen darstellen.

 

Die Verarbeitung von sensiblen Gesundheitsdaten kann nach Ansicht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) auf § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO gestützt werden. Danach ist eine Verarbeitung von Gesundheitsdaten zulässig, wenn diese erforderlich ist, damit der Verantwortliche für die Datenverarbeitung die ihm aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben beziehungsweise seinen diesbezüglichen Pflichten nachkommen kann. Dieser Fall dürfte hier aufgrund des erheblich hohen Risikos durch die Corona-Pandemie vorliegen, sodass Mitarbeiter nach Symptomen befragt und entsprechende Daten gespeichert werden dürfen. Nur indem infizierte Personen identifiziert und isoliert werden, kann die Ausbreitung des Corona-Virus verlangsamt und Neuinfektionen verhindert werden. Zudem können allein auf diese Art und Weise Personen, die aufgrund von Vorerkrankungen zu Risikogruppen gehören, rechtzeitig informiert und somit vor einer lebensbedrohlichen Gefahr geschützt werden.

 

Zu beachten sind jedoch die Grenzen einer solchen Befragung von Mitarbeitern nach Symptomen. Anlasslose Reihenbefragungen sämtlicher Mitarbeiter dürften einen erheblichen Eingriff in die Schutzrechte betroffener Personen darstellen und damit datenschutzrechtlich nicht zulässig sein. Hat der Arbeitgeber jedoch Kenntnis davon, dass ein Mitarbeiter beispielsweise kürzlich aus einem Risikogebiet wie Italien angereist ist, dürfte das Erheben und Speichern von Daten bezüglich Symptome auf die Rechtsgrundlage des Art. 9 Abs. 2 lit. b) DSGVO bzw. § 26 Abs. 3 BDSG gestützt werden können und grundsätzlich datenschutzrechtlich zulässig sein. Dies jedoch nur vor dem Hintergrund, dass auch die weiteren Anforderungen der DSGVO wie beispielsweise die Informationspflichten der Art. 13, 14 DSGVO eingehalten werden.

 

Daten bezüglich sozialer Kontakte sowie Aufenthaltsorte

 

Um die Ausbreitung des Corona-Virus zu verlangsam ist es auch erforderlich, solche Personen, die in Kontakt zu infizierten Personen standen, zu ermitteln und zu isolieren. Entsprechendes gilt für Personen, die sich in sogenannten Risikogebieten wie beispielsweise Italien befunden haben. Zu diesem Zweck dürften Mitarbeiter zwar auf Grundlage von Art. 9 Abs. 2 lit. f) DSGVO bzw. § 26 Abs. 1 BDSG befragt und entsprechende Daten gespeichert werden. Zu beachten ist dabei, dass eine Speicherung solcher Daten, bei denen gerade kein Kontakt zu Infizierten oder eine Reise in ein Risikogebiet festgestellt worden sind, wohl nicht erforderlich und folglich auch nicht zulässig sein dürfte. Es ist daher sicherzustellen, dass nur solche Daten gespeichert werden, die für eine Bekämpfung der Ausbreitung des Corona-Virus erforderlich sind und die Speicherdauer das zulässige Maß nicht überschreitet. Da die Inkubationszeit beim Corona-Virus circa 14 Tage beträgt, dürften beispielsweise Daten über Reisen in Risikogebiete grundsätzlich ungefähr zwei Wochen nach Verlassen des Risikogebietes zu löschen sein.

 

Erhebung privater Kontaktdaten von Mitarbeitern

 

Die rasche Ausbreitung des Corona-Virus hat zur Folge, dass Maßnahmen seitens der Regierung in kürzester Zeit beschlossen werden und es für viele Arbeitgeber oftmals schwierig ist, rasch auf diese zu reagieren. Auch kann es im Rahmen der betrieblichen Pandemieplanung erforderlich sein, Mitarbeiter schnellstmöglich beim Eintritt eines Infektionsfalles im Unternehmen zu benachrichtigen, damit solche Personen, die in Kontakt zu der infizierten Person standen, nicht zur Arbeit erscheinen und so eine weitere Ausbreitung des Corona-Virus verhindert werden kann. Für solche Fälle muss der Arbeitgeber daher eine Kontaktmöglichkeit wie beispielsweise die private Mobilfunknummer der Mitarbeiter erheben und speichern.

 

Nach Ansicht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg ist hierfür jedoch das Einverständnis der Mitarbeiter erforderlich. Da oftmals innerbetriebliche Kommunikationsnetzwerke nicht ausreichend sind, um die Mitarbeiter beispielsweise bei Schließung des Betriebes rechtzeitig zu warnen, sollten sich Unternehmen früh genug vorbereiten und entsprechende Einwilligungen ihrer Mitarbeiter einholen. Wichtig wäre hierbei, die Wirksamkeitsvoraussetzungen des § 26 Abs. 2 BDSG für Einwilligungen im Beschäftigungsverhältnis zu beachten.

 

Nach Auffassung des BfDI lässt sich hingegen diese Form der Datenverarbeitung auf § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 lit. f) DSGVO stützen, sodass eine Einwilligung nicht erforderlich ist. Dieser Auffassung dürfte grundsätzlich zu folgen sein. Zu beachten ist hier nämlich das besonders schützenswerte Interesse des Arbeitgebers an der Sicherheit, der Gesundheit und letztendlich dem Leben seiner Mitarbeiter sowie Kunden, hinter welchem das Interesse der betroffenen Personen an dem Schutz ihrer Daten zurückbleiben muss. Dies insbesondere vor dem Hintergrund, dass die Kontaktdaten allein zum Zweck der Information im Infektionsfall dienen und somit nur ein leichter Eingriff in den Schutzbereich der betroffenen Personen erfolgt. Wenn ein Infektionsfall eintritt, müssen so schnell wie nur möglich Maßnahmen ergriffen werden können, um eine Ausbreitung des Corona-Virus effektiv zu verhindern. Dies kann jedoch nur erfolgen, wenn die Betroffenen schnellstmöglich kontaktiert werden. Da eine Erreichbarkeit mittels E-Mail oder Diensthandy oftmals nur mit Verzögerungen einhergeht, dürfte daher die Kontaktaufnahme mittels privater Handynummer das effektivste Mittel der Wahl darstellen. Die Erhebung und Speicherung von privaten Kontaktdaten der Mitarbeiter im Rahmen der betrieblichen Pandemieplanung dürfte daher auf Art. 6 Abs. 1 lit. f) DSGVO bzw. § 26 Abs. 1 BDSG gestützt werden können.   

 

Einlasskontrollen mittels Wärmebildfunktion

 

Viele Arbeitgeber denken derzeit über Einlasskontrollen auf ihren Betriebsgeländen mittels Wärmebildkameras nach. Auch in diesem Fall dürfte eine Datenverarbeitung von Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO vorliegen. Zwar wird bei der Temperaturmessung noch kein Name oder sonstigen Kontaktinformationen der Person erhoben, allerdings dürfte in der Regel zumindest eine (nachträglich) Identifikation möglich sein, sodass personenbezogene Daten im Sinne der DSGVO vorliegen. Da es sich bei der Körpertemperatur um eine Angabe, die Informationen über den gesundheitlichen Zustand einer Person zulässt, handelt, stellt sie auch ein Gesundheitsdatum nach Art. 9 Abs. 1 DSGVO dar.

 

Rechtsgrundlage für eine solche Datenverarbeitung könnte auch hier § 26 Abs. 3 BDSG bzw. Art. 9 Abs. 2 lit. b) DSGVO sein. Danach müsste die Datenverarbeitung jedoch erforderlich sein, damit der Verantwortliche die ihm aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit erwachsenen Rechte ausüben und den diesbezüglichen Pflichten nachkommen kann. Gerade gegenüber der Erforderlichkeit bestehen jedoch bei Fiebermessungen erhebliche Bedenken. Personen, die mit dem Corona-Virus infiziert sind, leiden nicht notwendigerweise unter Fieber, sodass eine Temperaturmessung bereits keine geeignete Maßnahme darstellt, um Infektionen zu ermitteln. Fieber ist eine Reaktion des Körpers, die durch eine Vielzahl von Leiden verursacht werden kann und keinen zwingen Rückschluss auf eine Corona-Infektion zulässt. Weiterhin ist mittlerweile bekannt, dass die Inkubationszeit bei einer Corona-Infektion bis zu 14 Tagen beträgt. Demnach kann eine Person, die Fieber aufweist, bereits lange Zeit vorher erkrankt sein, sodass auch aus diesem Grund eine Fiebermessung nicht geeignet ist, um Infizierte zu ermitteln. Folgt man diesen Argumenten, dürfte daher eine Fiebermessung mangels Erforderlichkeit keine zulässige Datenverarbeitung im Sinne der DSGVO darstellen, sodass Unternehmen von solchen Maßnahmen eher abzuraten ist.

 

Datenerhebung bei Kunden

 

Insbesondere Unternehmen mit Publikumsverkehr stellen sich die Frage, welche Daten sie von ihren Kunden erfragen und verarbeiten dürfen.

 

Nach Ansicht des BfDI können auch bei Kunden und Besuchern Symptome auf Grundlage des Art. 9 Abs. 2 lit. i) DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG abgefragt und gespeichert werden. Die Erhebung solcher Daten dürfte zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren erforderlich sein, insbesondere seitdem die Weltgesundheitsorganisation die höchste Alarmstufe der „gesundheitlichen Notlage von internationaler Tragweite“ wegen des Corona-Virus ausgerufen hat. Durch die Erfragung von Symptomen kann nicht nur ein unmittelbarer Infektionsfall möglicherweise festgestellt werden und beispielsweise der Zutritt zum Betriebsgelände verweigert werden, um weitere Infektionen zu verhindern. Die Feststellung von Symptomen dient auch im Nachgang eines Infektionsfalles der Feststellung von Kontaktpersonen, damit mögliche Infektionsketten unterbrochen werden können.

 

Sollte ein Infektionsfall in einem Unternehmen auftreten, könnten es erforderlich werden, auch Kunden über diesen zu informieren, um einer Ausbreitung entgegenzuwirken. Für diesen Fall müssen Kontaktinformationen wie Telefonnummer oder E-Mail-Adresse der Kunden zur Verfügung stehen. Auch hier ergibt sich nach Auffassung des BfDI die Zulässigkeit einer solchen Datenverarbeitung aufgrund von überwiegenden Interessen gemäß Art. 6 Abs. 1 lit. f) DSGVO.

 

Weitergabe von Daten infizierter Personen

 

Von dem Coronavirus betroffene Personen leiden nicht nur unter der Krankheit selber, sondern auch unter der damit einhergehenden Stigmatisierung. Für viele Arbeitgeber stellt sich daher die Frage, ob sie bei einem Infektionsfall den Namen des Erkrankten offenlegen dürfen, um Kontaktpersonen zu ermitteln. Eine Offenlegung könnte entweder auf eine Einwilligung des Betroffenen gemäß Art. 9 Abs. 2 lit. a) DSGVO oder auf Art. 9 Abs. 2 lit. i) DSGVO. Da die Einwilligung des Betroffenen in der Regel von diesem nicht zu erwarten sein dürfte, kann eine Offenlegung des Namens allein auf Art. 9 Abs. 2 lit. i) DSGVO gestützt werden. Eine Offenlegung ist danach als Datenverarbeitung nur zulässig, wenn diese Maßnahme zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren erforderlich ist. Eine solche Erforderlichkeit dürfte vor dem Hintergrund der starken nachteiligen Folgen des Betroffenen nur in Ausnahmefällen anzunehmen sein. So sind vorrangig andere Maßnahmen zu ergreifen, um mögliche Kontaktpersonen zu schützen, wie zum Beispiel die Quarantäne von Abteilungen oder Teams, welche mit dem Infizierten in Kontakt standen.

 

Weitere Voraussetzungen der Datenverarbeitung bezüglich Corona-Maßnahmen

 

Auch in Zeiten von Corona und im Hinblick auf effektive und besonders rasch umzusetzende Präventionsmaßnahmen sind jedoch die weiteren Anforderungen der DSGVO zu beachten. So gilt unter anderem für jeden Datenverarbeitungsvorgang, dass der Verantwortliche seinen Informationspflichten aus Art. 13, 14 DSGVO nachkommen muss und die betroffenen Personen umfassend über die jeweilige Datenverarbeitung aufzuklären sind. Datenverarbeitende Stellen sollten im Blick behalten, dass gerade bei Verstößen gegen datenschutzrechtliche Vorschriften für die Verarbeitung von Gesundheitsdaten die besonders hohen Geldstrafen des Art. 83 Abs. 5 lit. a) DSGVO von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres drohen.

 

Offenlegungspflicht des Arbeitnehmers

 

Nicht vergessen werden sollte, dass sich aus dem Arbeitsrecht auch verschiedene Nebenpflichten wie Rücksichts-, Verhaltens- und Mitwirkungspflichten für Beschäftigte ergeben. Nach Ansicht der Datenschutzbehörden trifft den Beschäftigten gegenüber seinem Arbeitgeber die Pflicht, eine Infektion mit dem Coronavirus zu melden, damit dieser schnellstmöglich Präventionsmaßnahmen für die weiteren Mitarbeiter ergreifen kann. Weiterhin ergibt sich für den Infizierten aus Art. 6 Abs. 1 lit. c) und f) DSGVO die Pflicht, personenbezogene Daten seiner Kontaktpersonen offenzulegen. Ein infizierter Mitarbeiter hat demnach seinem Arbeitgeber gegenüber zu melden, zu welchen Personen innerhalb des Unternehmens er in jüngster Zeit näheren Kontakt hatte.

 

Associate
Nikoleta Giannoulidou

"Häufig empfohlene Kanzlei in D’dorf […]"


JUVE Handbuch Wirtschaftskanzleien 2017/2018

 

Partner
Peter Huppertz LL.M.

"Oft empfohlen: Peter Huppertz (IP/IT)"

Juve Handbuch Wirtschaftskanzleien 2019/2020
 

"Peter Huppertz ist eine leistungsfähige Persönlichkeit im IT-Bereich und einer der Top-Namen auf dem deutschen Markt. Er wird aufgrund seiner fundierten Kenntnisse über Transaktionen und Outsourcing-Probleme empfohlen."

Who's Who Legal - Global Guide 2019

Diesen Blogartikel teilen: