COVID-19 Legal Update: Grundsätze der rechtmäßigen Datenverarbeitung in Corona-Zeiten? Erhebung und Weitergabe von Gesundheitsdaten.

23. März 2020 – need2know 

Dürfen Arbeitgeber Informationen darüber erheben und sonst verarbeiten, ob ein Mitarbeiter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte?

Bei der Erhebung personenbezogene Daten im Rahmen der Corona-Pandemie, werden in den vielen Fällen Bezüge zwischen Personen und deren Gesundheitszustand hergestellt. Gesundheitsdaten unterstehen nun allerdings nach Art 9 DSGVO einem besonderen Schutz. Wichtig ist bei Fragen nach Reisen in ein Risikogebiet, dass Gesundheitsdaten nicht nur solche sind, die unmittelbar physische und psychische Zustände eines Menschen betreffen. Diese sind vielmehr auch Daten, mit denen mittelbar Rückschlüsse auf den Gesundheitszustand eines Betroffenen gezogen werden können. Abgestellt wird hierbei auf den Verwendungszusammenhang im Einzelfall. Da die Erhebung dieser Informationen der Feststellung des Gesundheitszustandes bzw des Verdachts auf eine Infektion dient, ist von Gesundheitsdaten auszugehen.

Im arbeitsrechtlichen Kontext kommt als Rechtsgrundlage für die Datenverarbeitung Art 9 Abs 2 lit h DSGVO in Betracht (Verarbeitung zum Zwecke der Gesundheitsvorsorge). So soll ausweislich Erwägungsgrund 53 der DSGVO die Gesundheitsvorsorge „auch der Sicherstellung und Überwachung der Gesundheit und Gesundheitswarnungen“ dienen. Dem Arbeitgeber obliegt aber auch eine Fürsorgepflicht gegenüber den Beschäftigten. Da Gesundheitsdaten verarbeitet werden dürfen, soweit diese für das konkrete Arbeitsverhältnis von Relevanz sind (konkret eben der Ausschluss von Gesundheitsrisiken am Arbeitsplatz durch eine Corona-Infektion) kann daher aufgrund dieser Fürsorgepflicht als Rechtsgrundlage auch Art 9 Abs 1 lit b DSGVO ins Treffen geführt werden.

Zu bedenken ist außerdem, dass aufgrund der klaren Zweckbindung dieser Daten eine Verarbeitung über die Corona-Krise hinaus nicht in Betracht kommt, soweit nicht spezielle gesetzlich angeordnete Maßnahmen eine längere Aufbewahrung verlangen sollten.

Wenn solcherart sensible Daten erhoben und gespeichert werden, darf zuletzt nicht übersehen werden, dass die Artikel 13 und 14 DSGVO vom Verantwortlichen verlangen, dass er die Betroffenen umfassend über Inhalt und Umfang der Datenverarbeitung informiert. Die von Art 13 und 14 DSGVO verlangten Informationen müssen jedoch spätestens zum Zeitpunkt der Datenerhebung mitgeteilt werden, besser noch unmittelbar vor Beginn der Datenerhebung.

Dürfen Arbeitgeber private Handynummern oder andere Kontaktdaten von Mitarbeitern erheben, um diese im Falle einer Schließung des Betriebs oder in ähnlichen Fällen kurzfristig warnen oder auffordern zu können, zu Hause zu bleiben?

Der Aufbau eines Kommunikationsnetzes zu Mitarbeitern auch außerhalb der Zeit ihres Aufenthaltes im Betrieb verlangt, private Kontaktdaten zu erheben. Gerechtfertigt werden kann diese Datenverarbeitung prinzipiell damit, dass der Arbeitgeber nach Art 6 Abs 1 lit f DSGVO ein gerechtfertigtes Interesse daran hat, seine Mitarbeiter kurzfristig zu warnen und nicht abwarten zu müssen, bis diese das nächste Mal im Betrieb erscheinen. Jedoch kann die Bekanntgabe dieser Daten nur freiwillig erfolgen, und besteht daher keine Pflicht zur Offenlegung solcher privaten Kontaktdaten. Die Daten müssen außerdem spätestens nach Ende der Corona-Krise wieder gelöscht werden.

Auch in diesem Fall gilt es die Informationspflicht nach Art 13 und 14 DSGVO zu beachten.

Dürfen Arbeitgeber den Mitarbeitern mitteilen, dass ein bestimmter Mitarbeiter am Corona Virus erkrankt ist, zB um mögliche Kontaktpersonen im Betrieb freizustellen? Dürfen Arbeitgeber nach Aufforderung durch Gesundheitsbehörden Daten über erkrankte Mitarbeiter an die Behörden übermitteln?

Die Übermittlung an die entsprechend zuständigen Gesundheitsbehörden kann auf Art 9 Abs 1 lit i DSGVO gestützt werden. So ist die Verarbeitung sensibler Daten nach lit i leg cit zum Schutz vor Gesundheitsgefahren der Bevölkerung zulässig, wenn eine gerade jenen Zwecken dienende nationale oder europäische Regelung besteht.

Nach § 5 Abs 3 Epidemiegesetz ist auf Verlangen der Bezirksverwaltungsbehörde der Arbeitgeber zur Auskunftserteilung über Verdachtsfälle und Infektionen verpflichtet. Diese Meldepflicht zum Schutz vor Gefahren für die Bevölkerung durch die Ausbreitung des Corona-Virus stellt eine solche besondere nationale Verarbeitungsnorm dar. Für die Weitergabe der Gesundheitsdaten an Behörden kann der Arbeitgeber daher eine gesetzliche Grundlage in Treffen führen.

Eine korrespondierende Übermittlungsbefugnis der Arbeitgeber an andere Arbeitnehmer kann daraus hingegen nicht abgeleitet werden. Die Weitergabe des Namens eines erkrankten Mitarbeiters oder desjenigen, bei dem ein solcher Verdacht vorliegt, an seine Kollegen ist prinzipiell auch durch keine andere Rechtsgrundlage in Art 9 Abs 1 DSGVO zu legitimieren, nicht zuletzt deshalb nicht, weil dem erkrankten Mitarbeiter dadurch die Gefahr der Stigmatisierung droht und eine Fürsorgepflicht des Arbeitgebers dagegen nicht ohne weiteres überwiegen würde.

Mehr als fraglich wäre auch die Notwendigkeit der Bekanntgabe des Namens, da zur Eindämmung der Ansteckungsgefahr regelmäßig Maßnahmen in einer Abteilung ohne Namensnennung genügen werden. Sollte dies ausnahmsweise nicht der Fall sein, da ein Kontakt teamübergreifend vermutet wird oder jedenfalls nicht ausgeschlossen werden kann, sollte vom Arbeitgeber vor Mitteilung des Namens des betroffenen Mitarbeiters, um die Kontaktpersonen betriebsweit festzustellen und freistellen zu können, die Gesundheitsbehörde kontaktiert werden. Alternativ könnte auch noch als weniger eingriffsintensive Maßnahme der infizierte Mitarbeiter um eine Liste der Kontaktpersonen im Betrieb gefragt werden.

Welche Auswirkungen hat das Home Office der Mitarbeiter auf die Datensicherheit? Welche technischen und organisatorischen Maßnahmen sind zu implementieren?

Eine spezielle Gefahr droht dem Arbeitgeber durch die Corona-Krise dadurch, dass durch die Schaffung und die vermehrte Nutzung von Heimarbeitsplätzen der Arbeitgeber als Verantwortlicher die volle Kontrolle über die IT-Infrastruktur verliert. Am mobilen Arbeitsplatz kann in der Regel nicht dieselbe infrastrukturelle Sicherheit, wie sie in einer festen betrieblichen Büroumgebung anzutreffen ist, vorausgesetzt werden, noch dazu nicht unter den gegebenen Umständen, die dazu geführt haben, dass unzählige Heimarbeitsplätze erst kurzfristig geschaffen wurden. Um Datenverlust und Datenmissbrauch vorzubeugen, sind Verantwortliche daher stärker gefordert, solche Sicherheitsmaßnahmen im Sinne des Art 32 DSGVO zu determinieren und implementieren, die eine mit einem Büroraum vergleichbare Sicherheitssituation schaffen.

Abgesehen von Vorgaben an die Mitarbeiter, wie sie sich zu Hause zu verhalten haben (zB Notebooks nicht frei zugänglich und ungesichert zu Hause stehen zu lassen), ist zB eine essentielle technische Maßnahme, dass Geschäftsanwendungen nur über eine sichere VPN-Remoteverbindung (zB Citrix), bestenfalls mittels Token-Authentifizierung, genutzt werden können.

 

Autor: Sonja Dürager

Praxisgruppe:
IP/IT/Datenschutz

Wenn Sie zukünftige Ausgaben von need2know erhalten möchten, folgen Sie uns auf LinkedIn oder senden Sie eine E-Mail an subscribe@bpv-huegel.com.