Datenschutz in Zeiten von Corona

Die Corona-Pandemie hat Deutschland fest im Griff. Besonders uns in Bayern treffen die ergriffenen Maßnahmen. Das Wichtigste ist jetzt die Eindämmung der Ausbreitung und der Schutz der Menschen. Dennoch müssen wir uns in der aktuellen Situation auch Gedanken über den Datenschutz machen.

Datenschutz in Zeiten von Corona

  • Überlegen Sie gut, ob eine Datenerhebung überhaupt notwendig und sinnvoll ist.
  • Nehmen Sie das Verfahren unbedingt ins Verzeichnis der Verarbeitungstätigkeiten (VVT) auf.
  • Löschen Sie die Daten umgehend, wenn diese nicht mehr nötig sind.

Des Weiteren hat die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzbehörden des Bundes und der Länder, am Freitag den 13. März Hinweise zum Umgang mit Corona und Datenschutz veröffentlicht.

Grundsätzlich besteht trotz des erklärten Katastrophenfalls das Recht auf informelle Selbstbestimmung.

Es können aber bei Beachtung des Grundsatzes der Verhältnismäßigkeit datenschutzkonform Daten zur Eindämmung der Pandemie oder zum Schutz der Mitarbeiterinnen und Mitarbeiter erhoben und verarbeitet werden. In den meisten Fällen wird hierbei allerdings ein Bezug zwischen der Person und deren Gesundheitszustand hergestellt, womit es sich um Gesundheitsdaten handelt, die nach Artikel 9 Datenschutz-Grundverordnung (DS-GVO) besonders geschützt sind. Gesundheitsdaten sind in Art. 4 Nr. 15 DS-GVO definiert und werden in Erwägungsgrund 35 zur DS-GVO näher erläutert. So fallen hierrunter Informationen über den früheren, gegenwärtigen und den zukünftigen Gesundheitsstand einer Person.

Die DSK hat die folgenden Maßnahmen zur Eindämmung und Bekämpfung von Corona als legitim eingestuft:

  • Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:
    • in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
    • in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
  • Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese
    • selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
    • sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.
  • Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Dem entgegen sind die folgenden Maßnahmen als unzulässig anzusehen:

  • Arbeitgeber dürfen der Belegschaft nicht unter Nennung des konkreten Namens mitteilen, dass ein bestimmter Mitarbeiter am Virus erkrankt ist, da dies zu einer enormen Stigmatisierung führen kann. Stattdessen können Abteilungs-/ bzw. Teambezogen ohne konkrete Namensnennung Maßnahmen ergriffen werden. Mitarbeiter mit direktem Kontakt zu Infizierten sollten gewarnt und vorübergehend freigestellt werden.
  • Die pauschale Befragung aller Mitarbeiter zu Reisezielen (ohne konkrete Anhaltspunkte).
  • Die pauschale Befragung aller Mitarbeiter zu ihrem Gesundheitszustand (z.B. über Grippesymptome).
  • Eine Meldepflicht für Mitarbeiter, wenn ein Kollege Symptome zeigt (italienische Datenschutzaufsicht).
  • Die verpflichtende Fiebermessung von Mitarbeitern am Eingang des Betriebsgeländes oder ähnliche medizinische Maßnahmen (z.B. Rachenabstriche für Speichelproben). Nach anderer Ansicht sind Fiebermessungen zulässig, wenn die Ergebnisse nur für eine Einlasskontrolle mit Entscheidung Zutritt ja/nein genutzt werden.

Grundsätzlich sollten zunächst immer alternative Maßnahmen ohne Verarbeitung von personenbezogenen Daten erwogen werden:

  • Strengere Hygienevorschriften, z.B. die Aufforderungen zur Desinfektion der Hände.
  • Handlungsempfehlungen, z.B. Ermöglichung von HomeOffice, die Bitte um vorrangig telefonischen Kontakt oder Videokonferenzen.
  • Zugangssperren sensibler Bereiche, Einschränkung von Besuchsmöglichkeiten.
  • Aufklärungsmaßnahmen, Einrichten einer Hotline zur Beratung.

Auch der Umgang mit den gewonnenen Daten ist genauestens zu hinterfragen. Es gibt hier einige Punkte zu beachten:

  • Es ist darauf achten, wirklich nur die notwenigen Daten zu verarbeiten um dem Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO gerecht zu werden. So wäre es zum Beispiel nicht notwendig, den erfragten Aufenthaltsort zu speichern, wenn er kein Risikogebiet ist. Wenn Risikogebiet, dann muss nicht gespeichert werden, wo genau. Die Klassifizierung als Risikogebiet sollte ausreichend sein.
  • Die Verarbeitung ist unbedingt zu dokumentieren. Hierzu empfiehlt sich die Aufnahme in das Verzeichnis von Verarbeitungstätigkeiten.
  • Betroffene sind umfangreich über die Verarbeitung ihrer personenbezogenen Daten zu Informieren.
  •  Wenn die Informationen gespeichert werden, sollte direkt festgelegt werden, wie lange die Daten aufbewahrt werden müssen und wie und wann sie dann gelöscht werden.

Rechtlicher Hintergrund:

Die Rechtsgrundlage für Maßnahmen gegenüber Mitarbeitern ergibt sich aus § 26 Abs. 3 BDSG. Danach ist die Verarbeitung von Gesundheitsdaten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie u.a. zur Erfüllung rechtlicher Pflichten des Arbeitgebers aus dem Arbeitsrecht erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Die entsprechende rechtliche Verpflichtung besteht hier in der Erfüllung der Vorschriften des § 618 Abs. 1 BGB i.V.m. § 3 ArbSchG. Der Arbeitgeber hat grundsätzlich die Verpflichtung, Gefahren für die Sicherheit und Gesundheit seiner Beschäftigten am Arbeitsplatz zu beurteilen (sog. Gefährdungsbeurteilung) und Maßnahmen hieraus abzuleiten. Jede Maßnahme ist nur erforderlich und damit zulässig, wenn sie für den Zweck geeignet ist, das mildeste aller dem Arbeitgeber zur Verfügung stehenden gleich effektiven Mittel ist und schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegen.

Es ergibt sich somit ein Dilemma für den Arbeitgeber. Einerseits muss er seine Fürsorgepflicht erfüllen, indem er die Beschäftigten vor einer Infizierung schützt, darf andererseits aber die Datenschutz- und Persönlichkeitsrechte der Beschäftigten nicht verletzen.

Gegenüber Besuchern ist die Berufung auf die Rechtsgrundlage des § 26 Abs. 3 BDSG nicht möglich. Auch sind andere Rechtsgrundlagen nicht ersichtlich. Der deutsche Gesetzgeber hat von den in Art. 9 DSGVO gegebenen Möglichkeiten, spezielle Gesetze zum Schutz vor Pandemien zu erlassen und dazu Unternehmen eine Verarbeitung von Gesundheitsdaten zu gestatten, nach derzeitigem Stand noch keinen Gebrauch gemacht. Bei Besuchern ist daher ausschließlich die Einwilligung der Person als Rechtsgrundlage ersichtlich. Dabei muss die Einwilligung immer freiwillig erfolgen und die betroffene Person informiert sein.

Spätestens mit der Einstufung des Corona-Virus als Pandemie durch die Weltgesundheitsorganisation (World Health Organisation, WHO) am 11. März 2020 kann als Rechtsgrundlage auch die nationale Regelung aus § 22 Abs. 1 Nr. 1 lit. c BDSG in Verbindung mit Art. 9 Abs. 2 lit. g DSGVO herangezogen werden, nachdem die Verarbeitung von Gesundheitsdaten ausnahmsweise für nichtöffentliche Stellen (also auch Unternehmen) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, erlaubt ist. Die Verarbeitung personenbezogener Daten zur Überwachung und Verhinderung der Ausbreitung einer Pandemie wie dem Corona-Virus ist somit gerechtfertigt. Zu beachten ist jedoch, dass immer eine Interessensabwägung durchzuführen ist und ausreichende technische und organisatorische Maßnahmen zum Schutz der verarbeiteten Daten getroffen werden müssen. Auch in einem Ausnahmefall, wie durch die Corona-Pandemie hervorgerufen, sind die Rechte betroffener Personen angemessen zu würdigen.

Weiterführende Informationen:

Anmeldung zum Newsletter