Covid-19 Coronavirus: Datenschutz FAQ

Wichtig ist Folgendes: Jede Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheits-, Aufenthalts- oder Standortdaten) ist nach wie vor ausschließlich unter Einhaltung der geltenden Datenschutzgesetze zulässig. Dies haben die Datenschutzkonferenz (DSK), das Gremium der deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, in den Hinweisen vom 13. März (abrufbar hier) und die europäischen Datenschutzbehörden in der Stellungnahme vom 16. März (abrufbar hier) und vom 19. März 2020 (abrufbar hier) jüngst noch einmal ausdrücklich festgestellt. Auch bei einer besonderen Eilbedürftigkeit während der aktuellen Phase der Corona-Pandemie muss sichergestellt sein, dass jede Verarbeitung personenbezogener Daten vorab auf ihre Rechtmäßigkeit geprüft wird.

Was ist datenschutzrechtlich zu beachten?

Sowohl die Datenschutzgrundverordnung (DSGVO) als auch das Bundesdatenschutzgesetz (BDSG) enthalten Sonderregelungen, die in der derzeitigen Situation ausreichend Spielraum eröffnen. Mögliche Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten von Mitarbeitern ist – abhängig vom jeweiligen Einzelfall – Artikel 6 Abs. 1 c), Abs. 3, Artikel 9 Abs. 2 b), h), Abs. 4, Artikel 88 DSGVO, §§ 26 Abs. 3, 22 Abs. 1 Nr. 1 b) BDSG unter Beachtung des Erwägungsgrundes 46 DSGVO sowie etwaiger Anordnungen nach §§ 16, 30, 31 Infektionsschutzgesetz (IfSG) und unter Einhaltung der weiteren Vorgaben des § 22 Abs. 4 BDSG.

Nach den Hinweisen der DSK ist dabei insbesondere sicherzustellen, dass (1) Zugriffe auf Gesundheitsdaten beschränkt sind, (2) die Daten nur für die Eindämmung und Bekämpfung des Coronavirus genutzt werden, (3) die Verarbeitung verhältnismäßig und rechtmäßig ist und (4) die Betroffenen über die Verarbeitung ihrer Daten informiert werden. Unternehmen und Arbeitgebern ist daher dringend zu empfehlen, auch in Ausnahmezeiten wie diesen die Vorgaben der Datenschutzgesetze zu beachten, um Bußgelder und sonstige Sanktionen zu vermeiden.

Was ist im Home Office zu beachten?

Derzeit arbeiten zahlreiche Mitarbeiter von zuhause. Dabei sind weiterhin dieselben Datenschutz- und Datensicherheitsvorgaben zu beachten. Es gibt keine Ausnahmen für das Arbeiten aus dem Home Office. Insbesondere die Datensicherheit oft Herausforderungen, z.B. ist der Zugriff – auch der Sichtzugriff z.B. durch Partner – auf Daten zu begrenzen und die Daten auch im privaten Wlan angemessen zu schützen.

Die europäische Cybersecurity Behörde (European Union Agency for Cybersecurity – ENISA) hat aufgrund der aktuellen Lage Hinweise zu Datensicherheit im Home Office veröffentlicht (abrufbar auf Englisch hier) und verweist insbesondere auf den Einsatz von Verschlüsselungstools und warnt vor aktuellen Covid-19 Phishing Attacken.

Darf ein Arbeitgeber fragen, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte?

Ja, nach Ansicht der DSK umfasst die arbeitsrechtlichen Fürsorgepflicht und die Pflichten nach dem Arbeitsschutzgesetz (ArbSchG) auch die Pflicht die gesamte Belegschaft vor einer Ansteckung mit dem Coronavirus zu schützen. Regelmäßig reicht eine Negativauskunft der Mitarbeiter jedoch für den Arbeitgeber aus; nur bei Vorliegen weiterer Anhaltspunkte, können ggfs. weitere Nachfrage zulässig sein.

Mitarbeiter sollen derzeit zur unaufgeforderten Information ihres Arbeitgebers über eine bestätigte Infizierung mit dem Coronavirus verpflichtet sein.

Darf ein Arbeitgeber Gesundheitsprüfungen vornehmen, z.B. Fieber messen, oder bei Krankmeldungen eine Corona Infizierung bestätigen lassen?

Nein, der Arbeitgeber darf grundsätzlich nicht den Gesundheitszustand seiner Mitarbeiter erforschen. Arbeitgeber dürfen einen (potenziell) infizierten Mitarbeiter bei einer Krankmeldung auch nicht die dahinterstehende Diagnose erfragen.

Etwas anderes kann gelten, wenn die zuständige Behörde nach § 16 IfSG die Informationserhebung über den Gesundheitszustand der Belegschaft anordnet.

Darf ein Arbeitgeber den Namen eines infizierten Mitarbeiters nennen?

Nein, nur in wenigen Ausnahmefällen, nach genauer datenschutzrechtlicher Prüfung und, nach Ansicht der DSK, nach Rücksprache mit den Gesundheitsbehörden kann die Offenlegung des Namens einer infizierten Person gegenüber der gesamten Belegschaft oder dem Team erforderlich sein. 
Weitere Maßnahmen zur Eindämmung des Coronavirus und der Verhinderung von Infektionsketten können regelmäßig teambezogen, also ohne konkrete Namensnennung, erfolgen.

Darf ein Arbeitgeber private Kontaktdaten seiner Mitarbeiter erheben, speichern und nutzen?

Ja, um die Beschäftigten im Falle einer Schließung des Betriebs oder in ähnlichen Fällen kurzfristig erreichen, die Infektionsgefährdung der Beschäftigten verringern und je nach Pandemiephase bestimmte Maßnahmen treffen zu können.

Spätestens nach Ende der Pandemie sind die privaten Kontaktdaten zu löschen, um eine weitere Kontaktaufnahme nach Feierabend oder am Wochenende oder für andere Zwecke zu verhindern.

Was ist bei Einladungen zu Hauptversammlungen zu beachten?

Um die Informationspflichten aus Artikel 13, 14 DSGVO zu erfüllen und sicherzustellen, dass Teilnehmer der Hauptversammlung auch ausnahmsweise die Verarbeitung ihrer Gesundheitsdaten erwarten können, ist es ggfs. empfehlenswert, bereits in den Datenschutzhinweisen im Zusammenhang mit der Einladung zur Hauptversammlung auf mögliche Maßnahmen hinzuweisen. Mögliche Maßnahmen sind z.B. das Führen von Besucherlisten oder das Sammeln von Informationen zu Aufenthalten in Risikogebieten. Bei Durchführung der Hauptversammlung sollte ggfs. transparent und in einfach verständlicher und gut lesbarer Form über die konkreten Maßnahmen informiert werden.

Bei Fragen stehen wir Ihnen jederzeit sehr gerne zur Verfügung.