Maßnahmen gegen die Ausbreitung des COVID-19 Virus im eigenen Unternehmen sind jetzt gefragt. Unternehmen trifft insoweit sowohl eine Verantwortung gegenüber der Gesellschaft wie auch die aus dem Arbeitsschutzgesetz („ArbSchG“) resultierende Verpflichtung, als Arbeitgeber die Gesundheit der eigenen Arbeitnehmer zu schützen. In erster Linie muss dies dadurch geschehen, dass infizierte Arbeitnehmer oder Gäste keinen Kontakt zur gesunden Belegschaft haben. Etwaige Maßnahmen seitens der Unternehmensleitung sind dabei in Einklang mit dem relevanten Recht zu bringen – insbesondere den wesentlichen Grundsätzen des Datenschutzrechts.
Auch die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – „DSK“) hat mittlerweile Antworten auf die drängenden Datenschutzfragen im Kontext der COVID-19-Krise gegeben.
Im Folgenden geben wir Ihnen Leitlinien und Empfehlungen (unter II. und III.), wie Sie betriebliche Präventionsmaßnahmen ausgestalten können und erläutern Ihnen die rechtlichen Hintergründe für das empfohlene Vorgehen (unter IV.).
Maßnahmen eines Arbeitgebers sollten sich an den folgenden Leitlinien orientieren:
Es ist zu erwarten, dass insbesondere Arbeitnehmer die unter Infektionsverdacht stehen aufgrund der damit einhergehenden Gefahr der Stigmatisierung sensibel auf die Verarbeitung ihrer personenbezogenen Daten reagieren werden. Auch nicht unter Verdacht stehende Arbeitnehmer werden Ausforschungsfragen oder Tests zu ihrem Gesundheitszustand skeptisch gegenüberstehen. Daher ist von besonderer Wichtigkeit, dass jede mit der Pandemie-Bekämpfung in Verbindung stehende Datenverarbeitung den Grundsätzen des Datenschutzrechts folgt und für den betroffenen Arbeitnehmer transparent und nachvollziehbar gestaltet ist.
Die aktuelle Pandemie ändert nichts an der Tatsache, dass die Prinzipien des Datenschutzrechts fort gelten. Daher gilt für jede Datenverarbeitung das Rechtmäßigkeitsprinzip. Aufgrund der vorbenannten Sensibilität aller Beteiligten ist darauf mehr denn je zu achten.
Maßnahmen, die eine Verarbeitung von Arbeitnehmerdaten erfordern, müssen verhältnismäßig sein. Dies gilt insbesondere, wenn sensible Daten – wie etwa Gesundheitsdaten – verarbeitet werden und damit ein erheblicher Eingriff in die Rechte eines Arbeitnehmers einhergeht. Bei Verdachtsfällen müssen personenbezogene Daten vertraulich behandelt werden, sind nur zweckgebunden zu verwenden und dürfen nur ausnahmsweise offengelegt bzw. weitergegeben werden, wenn dies für die Abwehr weiterer Gefahren erforderlich ist. Nach Wegfall des jeweiligen Verarbeitungszwecks, also wohl spätestens nach dem Ende der Pandemie, müssen die verarbeiteten Daten unverzüglich gelöscht werden.
Risiken sollten nicht nur durch das Angebot von Desinfektionsmitteln und Arbeitsanweisungen, sondern auch durch die Ermöglichung von Home-Office minimiert werden.
COVID-19: Die wichtigsten Rechte und Pflichten des Arbeitgebers
Das Datenschutzrecht differenziert zwischen personenbezogenen Daten und besonderen Kategorien personenbezogener Daten, wozu auch Daten über die Gesundheit oder eine Erkrankung zählen (Gesundheitsdaten). Da Gesundheitsdaten gegenüber „normalen“ personenbezogenen Daten, wie etwa dem Namen, besonders schützenswert sind, ist eine Verarbeitung solcher Daten nur ausnahmsweise in solchen Fällen zulässig, die ausdrücklich gesetzlich bestimmt sind.
Die Überprüfung des Gesundheitszustandes etwa an der Eingangspforte eines Unternehmens oder auch während des Geschäftsbetriebes scheint insbesondere bei großen Unternehmen mit vielen tausend Arbeitnehmer ein probates Mittel, um eine Ausbreitung des COVID-19 Virus im eigenen Betrieb zu vermeiden.
Das Bundesdatenschutzgesetz („BDSG“) erlaubt dem Arbeitgeber die Verarbeitung von Arbeitnehmerdaten in bestimmten Fällen auch ohne die grundsätzlich notwendige Einwilligung des jeweiligen Arbeitnehmers, wenn bei der Datenverarbeitung die schutzwürdigen Interessen des Arbeitnehmers ausreichend Berücksichtigung finden. Die DSK ist der Auffassung, dass die Verarbeitung von Gesundheitsdaten durch den Arbeitgeber zur Verhinderung der Ausbreitung, zur Eindämmung und Bekämpfung der Corona-Pandemie auf diese gesetzliche Erlaubnis gestützt werden kann und somit auch ohne eine Einwilligung zulässig ist (siehe hier und hier).
Für die Verarbeitung von Gesundheitsdaten im Rahmen von Präventivmaßnahmen kommt zwar die Einwilligung des Betroffenen in Betracht; Voraussetzung dafür ist es, dass der Arbeitnehmer im gesetzlich vorgeschriebenen Umfang über die mit der Maßnahme einhergehende Datenverarbeitung informiert wird und seine Entscheidung auf Grundlage aller erforderlichen Informationen treffen kann. Auch muss er auf sein Widerrufsrecht hingewiesen werden. Zu beachten ist, dass die Einwilligung des Mitarbeiters freiwillig erteilt sein muss, für sie/ihn also eine echte Wahlmöglichkeit besteht. Dies ist nicht der Fall, wenn die Verweigerung der Einwilligung mit Nachteilen für den Arbeitnehmer verbunden ist (z.B. Verweigerung des Betretens des Betriebsgeländes).
Sofern sich die Kontrollmaßnahme lediglich auf die Temperaturmessung bezieht, etwa am Eingang des Betriebsgeländes, ist es fraglich, ob überhaupt eine Datenverarbeitung im Sinne des Datenschutzrechtes erfolgt. Dies dürfte jedenfalls dann nicht der Fall sein, wenn die gemessene Temperatur nicht protokolliert und auch sonst nicht der jeweiligen Person zugeordnet und gespeichert wird. Sofern ein Arbeitnehmer die Messung verweigert, dürfte ein in der Folge ausgesprochenes Betretungsverbot seitens des Arbeitgebers von dessen Hausrecht gedeckt sein.
Der Arbeitgeber sollte aufgrund der ihn treffenden Rechenschaftspflicht gegenüber der Aufsichtsbehörde sowie aus Transparenzgründen gegenüber dem Arbeitnehmer eine schriftliche Information über die geplante Datenverarbeitung für den Arbeitnehmer bereithalten.
Der Arbeitgeber ist dazu berechtigt, von Arbeitnehmern eine Auskunft darüber zu verlangen, ob sie sich in einem Gebiet aufgehalten haben, das vom Robert Koch Institut als Risikogebiet eingestuft wurde. Durch eine Auskunft über den Aufenthalt in einem Risikogebiet kann der Arbeitnehmer Vorkehrungen dahingehend treffen, dass potentiell erkrankte Arbeitnehmer nicht mit anderen Arbeitnehmern in Kontakt kommen und so seiner Verpflichtung zum Schutz der Arbeitnehmer entsprechen. Eine negierende Antwort des befragten Arbeitnehmers auf die gestellte Frage dürfte genügen.
In den Medien wurde unlängst die Frage diskutiert, ob das Auslesen von Handydaten zur Feststellung des Aufenthalts in einem Risikogebiet vertretbar sei. Auch Arbeitgeber, die ihren Arbeitnehmern ein Diensthandy zur Verfügung stellen, könnten sich mit dieser Frage beschäftigen. Dies könnte insbesondere für große Unternehmen mit einem hohen Reiseaufkommen der Arbeitnehmer eine Alternative zur Einzelbefragung sein. Von diesem Vorgehen ist jedoch – in der aktuellen Situation – noch abzuraten. Die Auswertung des Bewegungsprofils würde einen massiven und unverhältnismäßigen Eingriff in die Datenschutz- und Persönlichkeitsrechte des Arbeitnehmers bedeuten, dem mildere Mittel zur Aufklärung gegenüberstehen.
Die Verarbeitung personenbezogener Daten, von Gästen und Besuchern des Unternehmens ist zulässig, um festzustellen, ob diese selbst infiziert sind, in Kontakt mit einer nachweislich infizierten Person standen oder sich im relevanten Zeitraum in einem vom Robert Koch Institut als Risikogebiet eingestuften Gebiet aufgehalten haben. Diese Maßnahmen sind nach der Auffassung der DSK sowohl in Bezug auf „normale“ personenbezogene Daten wie auch Gesundheitsdaten zulässig. Als Rechtsgrundlage für die Verarbeitung nicht gesundheitsbezogener Daten kann sich das Unternehmen regelmäßig auf ein überwiegendes berechtigtes Interesse stützen. Im Fall der Verarbeitung von Gesundheitsdaten kann die Maßnahme auf Art. 9 Abs. 2 lit. i) DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG gestützt werden.
Den Arbeitgeber trifft keine Pflicht, nach Kenntniserlangung eines Verdachtsfalls oder einer Infektion eine Meldung an das Gesundheitsamt durchzuführen. Diese Meldepflicht obliegt dem jeweiligen Arzt (§ 8 Infektionsschutzgesetz). Der Landesdatenschutzbeauftrage für Datenschutz Baden-Württemberg ist der Auffassung, dass ein Arbeitgeber nach Aufforderung durch eine Gesundheitsbehörde dazu verpflichtet sein kann, Informationen über erkrankte Arbeitnehmer zur Verfügung zu stellen (siehe hier). Ob die Pflicht zur Übermittlung von persönlichen Informationen und Gesundheitsdaten tatsächlich besteht, sollte allerdings einer Einzelfallprüfung vorbehalten bleiben.
Der Arbeitgeber kann seine Arbeitnehmer dazu auffordern, eine Erkrankung wie auch den bloßen Verdacht dem Arbeitnehmer anzuzeigen. Diese Verpflichtung ergibt sich bereits aus den arbeitsrechtlichen (Neben-)Pflichten des Arbeitnehmers. Nach Auffassung der DSK ist der Arbeitgeber ist dazu berechtigt, solche Informationen, die als personenbezogene Daten bzw. Gesundheitsdaten zu qualifizieren sind, an solche Arbeitnehmer weiterzuleiten, die mit der erkrankten Person in Kontakt standen. Sofern es dabei ausreichend ist, auf den Umstand der Erkrankung ohne Angabe weiterer Daten hinzuweisen, sollte von der Mitteilung sonstiger Daten abgesehen werden.
Ist eine behördliche Anordnung zur Betriebsschließung ergangen oder hat sich der Infektionsverdacht bei einem (anderen) Arbeitnehmer bestätigt, sind die Arbeitnehmer ggfs. entsprechend zu informieren. Sofern diese nur über private Kontaktdaten (z.B. privates Mobiltelefon) erreichbar sind, stellt sich die Frage, ob der Arbeitgeber diese Daten zur Kontaktaufnahme verwenden darf.
Entscheidend für die Zulässigkeit der Nutzung der vorhandenen Kontaktdaten ist es, zu welchem Zweck diese erhoben wurden. Stand bereits bei der Datenerhebung (i.d.R. zu Beginn des Beschäftigungsverhältnisses) fest, dass der Arbeitnehmer vom Arbeitgeber über seine privaten Kontaktdaten in einem vergleichbaren Fall kontaktiert werden soll und war der Arbeitnehmer damals mit dieser Verwendung seiner Daten einverstanden, so ist die Kontaktaufnahme zulässig. Ist dies nicht der Fall, dürfte der Arbeitnehmer ein Interesse daran haben, über entsprechende Sachverhalte informiert zu werden, sodass einem berechtigten Interesse des Arbeitgebers an der Nutzung der privaten Kontaktdaten nichts entgegenstünde. Eine damit einhergehende Zweckänderung der Datennutzung (z.B. von der Kontaktaufnahme i.R.d. Bewerbungsverfahrens zur Kontaktaufnahme i.R.e. Notfallkontaktaufnahme) wird sich in aller Regel im zulässigen Rahmen des Art. 6 Abs. 4 DSGVO bewegen.
Unaufgeforderte E-Mails und andere Informationen, die Dentons erhält, werden nicht vertraulich behandelt, können an Dritte weitergegeben werden, erhalten möglicherweise keine Antwort und schaffen keine Anwalt-Mandanten-Beziehung. Wenn Sie noch kein Mandant von Dentons sind, schicken Sie uns bitte keine vertraulichen Informationen.
Die Seite, die Sie besuchen wollten, ist in der von Ihnen ausgewählten Sprache nicht verfügbar. Sie wurden auf einen entsprechenden Bereich unserer Webseite weitergeleitet.
Sie werden jetzt von der Dentons Website zur englischen $redirectingsite Website weitergeleitet. Wenn Sie fortfahren möchten, klicken Sie bitte auf Annehmen.
Sie werden jetzt von der Dentons Website zur Beijing Dacheng Law Offices, LLP Website weitergeleitet. Wenn Sie fortfahren möchten, klicken Sie bitte auf Annehmen.