Die Eindämmung der Corona-Pandemie liegt im Interesse Aller. Auch Arbeitgeber tragen dabei einen großen Teil der Verantwortung. Im Rahmen der Fürsorgepflicht sind sie dabei auch verpflichtet, den Gesundheitszustand der Gesamtheit der Beschäftigten durch angemessene Reaktionen auf die aktuelle Lage sicherzustellen und somit gleichzeitig ihren wirtschaftlichen Betrieb aufrechtzuerhalten. Dafür ist häufig die Verarbeitung von personenbezogenen (Gesundheits-)daten erforderlich. In unserem Beitrag zeigen wir Ihnen, welche Fragen und Maßnahmen zur Corona-Prävention im Rahmen des Beschäftigtendatenschutzes zulässig sind.
Rechtsgrundlagen
Die Kernfrage nach der Zulässigkeit steht und fällt auch in diesen turbulenten Zeiten wie immer mit dem Vorliegen einer Rechtsgrundlage für das geplante Vorhaben. Maßgeblich dafür ist, welche personenbezogenen Daten verarbeitet werden und insbesondere ob Gesundheitsdaten als besonders schützenswerte Daten Gegenstand der Verarbeitung sind. Hierzu zählen beispielsweise Informationen über den früheren, gegenwärtigen oder auch den zukünftigen Gesundheitsstand.
Die Rechtsgrundlage für Maßnahmen gegenüber Beschäftigten richtet sich nach § 26 Abs. 3 BDSG. Danach ist die Verarbeitung von Gesundheitsdaten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Erfüllung rechtlicher Pflichten des Arbeitgebers aus dem Arbeitsrecht erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Ob eine Maßnahme zulässig ist, richtet sich dabei maßgeblich nach dem Kriterium der Erforderlichkeit.
Bei Maßnahmen gegenüber Dritten richtet sich die Zulässigkeit der Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 lit. i) DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG. Danach dürfen Gesundheitsdaten dann verarbeitet werden, wenn dies aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren erforderlich ist.
Beispiele aus der Praxis
Aus den Empfehlungen und Stellungnahmen der Aufsichtsbehörden sowie der anderen europäischen Aufsichtsbehörden und des Europäischen Datenschutzausschusses lassen sich unter Vorbehalt weiterer zukünftiger Entwicklungen folgende Handlungsempfehlungen ableiten:
Speicherung der privaten Kontaktdaten
Derzeit überschlagen sich die Ereignisse im Zusammenhang mit dem neuartigen Coronavirus auf der ganzen Welt. Unternehmen stellt das vor die Herausforderung schnelle und gleichwohl gut überlegte Entscheidungen zu treffen und diese den Beschäftigten oft kurzfristig außerhalb der Geschäftszeiten mitzuteilen. Hierfür notwendig sind die privaten Kontaktdaten der Beschäftigten. Das Abfragen und temporäre Speicherung dieser Daten ist für diesen bestimmten Zweck grundsätzlich zulässig. Eine generelle Pflicht des Arbeitnehmers zur Offenlegung seiner privater Kontaktdaten besteht jedoch auch unter diesen Umständen nicht, sodass im Voraus die Einwilligung des Mitarbeiters eingeholt werden muss. Dabei ist insbesondere auf die Freiwilligkeit der Erklärung zu achten, die im ungleichen Verhältnis zwischen Arbeitgeber und Arbeitnehmer oft ein Problem darstellt. In diesem Fall ist jedoch davon auszugehen, dass es auch im Interesse des Mitarbeiters liegt, über aktuelle Geschehnisse schnellstmöglich informiert zu werden.
Wichtig ist, dass die privaten Daten ausschließlich zu diesem bestimmten Zweck verarbeitet und nach der Zweckerfüllung (spätestens nach Ende der Pandemie) gelöscht werden müssen.
Frage nach Aufenthalt in einem Risikogebiet
Der Arbeitgeber darf Urlaubsrückkehrer befragen, ob Sie sich in einem vom Robert-Koch-Institut festgelegten Risikogebiet aufgehalten haben. Bei der Antwort handelt es sich grundsätzlich nicht um ein Gesundheitsdatum, weshalb Art. 6 Abs. 1 f) DSGVO maßgeblich ist und die damit verbundene Datenverarbeitung auf das berechtigte Interesse des Arbeitgebers gestützt werden kann. Eine Negativauskunft des Beschäftigten sollte hierbei zunächst ausreichend sein.
Die pauschale Befragung alle Beschäftigten nach deren Reisezielen ohne konkrete Anhaltspunkte ist hingegen nicht zulässig.
Frage, ob Kontakt zu einer nachweislich infizierten Person bestand
Arbeitgeber sind in Fällen, in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat, dazu berechtigt die personenbezogenen Daten (einschließlich Gesundheitsdaten) zu verarbeiten, um eine Ausbreitung des Virus bestmöglich zu verhindern. Zu diesem Zweck ist es insbesondere auch zulässig zu erfragen, wann ein engerer Kontakt bestand und welche Maßnahmen bereits ergriffen wurden. Die Rechtsgrundlage bei der Verarbeitung von Gesundheitsdaten richtet sich die nach § 26 Abs. 3 BDSG. Die dafür erforderliche Interessenabwägung fällt in diesem Fall zu Gunsten der Fürsorgepflicht des Arbeitgebers aus.
Neben dem Datenschutzrecht lohnt sich hier einen Blick ins Arbeitsrecht, welches für Beschäftigte einige Nebenpflichten, wie Rücksichts-, Verhaltens- und Mitwirkungspflicht gegenüber Arbeitgebern vorsieht. Darunter fällt nach Ansicht der Datenschutzbehörden die Pflicht, den Arbeitgeber über eine Infektion mit Corona-Virus zu informieren und weiterhin sogar offenzulegen, mit welchen Personen zuletzt Kontakt bestand.
Einfordern einer Selbstauskunft oder Fragebögen zu Aufenthaltsort und Symptomen
Eine pauschale Abfrage von Reisezielen und vorliegenden Grippesymptomen bei Mitarbeiter/innen in Form von Fragebögen oder verpflichteten Selbstauskünften können der Interessenabwägung nach § 26 Abs. 3 BDSG nicht standhalten und sind somit unzulässig. Ebenfalls unzulässig ist es sich Grippesymptome von Kollegen mitteilen zu lassen.
Offenlegung des Namens eines Infizierten Arbeitnehmers gegenüber der Belegschaft
Die Nennung des Namens eines infizierten oder unter Verdacht stehenden Beschäftigten gegenüber der gesamten Belegschaft ist nur zulässig, wenn die Kenntnis der Identität für die weiteren Vorsorgemaßnahmen für Kontaktpersonen ausnahmsweise erforderlich ist. Diese Beschränkung ist sehr eng auszulegen. Da eine Offenlegung immer auch zu einer Stigmatisierung der erkrankten Person führen kann, ist die Nennung des Namens nach Möglichkeit zu vermeiden. Um die Gesundheitsrisiken am Arbeitsplatz so weit wie möglich auszuschließen, sind erforderliche Maßnahmen etwa in Form von Freistellungen mit den betroffenen Abteilungen/Teams zu besprechen.
Fiebermessen am Eingang des Gebäudes und sonstige medizinischen Maßnahmen
Über die Zulässigkeit einer Fiebermessung sowie sonstiger medizinischer Maßnahmen herrscht derzeit keine Einigkeit. So steht beispielsweise die CNIL pauschalen Fiebermessungen tendenziell kritisch gegenüber. Andere halten Maßnahmen dieser Art für zulässig, wenn das Ergebnis ausschließlich für die Einlasskontrolle genutzt wird oder wenn die Maßnahme freiwillig ohne Verpflichtung für den Beschäftigten durchgeführt wird. Außerdem zulässig können Maßnahmen dieser Art sein, wenn es um den Zugang zu speziellen systemrelevanten Bereichen wie bspw. der Lebensmittelherstellung geht.
Da eine erhöhte Temperatur nicht automatisch eine Erkrankung an Covid-19 bedeutet, kann aufgrund der fehlenden Geeignetheit die Interessenabwägung nach § 26 Abs. 3 BDSG zu Gunsten des Beschäftigten ausfallen. Das pauschale Fiebermessen durch Arbeitgeber wäre demnach unzulässig.
Umgang mit Besuchern
Anders als bei einer Datenverarbeitung von Beschäftigten kommt § 26 Abs. 3 BDSG gegenüber Besuchern nicht zur Anwendung. Vielmehr richtet sich die Zulässigkeit nach Art. 9 Abs. 2 lit. i) DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG.
Beabsichtige Abfrage und Speicherung von personenbezogenen Daten (auch Gesundheitsdaten) sind zulässig, um festzustellen, ob die Person selbst infiziert ist oder im Kontakt mit einer nachweislich infizierten Person stand. Auch die Frage, ob sich die Person im relevanten Zeitraum in einem vom Robert Koch Institut als Risikogebiet eingestuften Gebiet aufgehalten hat, ist nach demBundesbeauftragten für Datenschutz und Informationsfreiheit zulässig. Ob dadurch auch Maßnahmen wie Fiebermessen legitimiert sind, bleibt auch hier offen.
Maßnahmen ohne Verarbeitung personenbezogener Daten
Neben der Abfrage von (Gesundheits-)daten, bleiben Arbeitgebern eine ganze Reihe weiterer Vorkehrungen, die dazu geeignet sind, eine Verbreitung des neuartigen Coronavirus einzudämmen. Denkbar und empfehlenswert sind beispielsweise:
- Hinweisschilder und ggf. Markierungen auf dem Boden für Beschäftigte und Besucher zum richtigen Verhalten (Händewaschen, genügend Abstand, auf Körperkontakt verzichten, …);
- Bereitstellung von Desinfektionsmitteln;
- Aufforderung bei Auftreten von Symptomen der Arbeitsstätte fern zu bleiben;
- Ermöglichung von Home-Office unter Berücksichtigung der dafür erforderlichen Maßnahmen zur IT-Sicherheit.
Fazit
Achten Sie bei geplanten Maßnahmen immer auf die Verhältnismäßigkeit. Sofern eine Infektion bestätigt wurde oder Kontakt zu einer infizierten Person bestand, dürfen personenbezogene Daten (einschließlich Gesundheitsdaten) verarbeitet werden. Bei pauschalen Maßnahmen ist hingegen immer zu prüfen, ob das Vorhaben erforderlich und geeignet ist oder ob mildere Mittel wie beispielsweise Maßnahmen ohne Datenverarbeitung zum gleichen Ergebnis führen. Auf diese Weise kann das Spannungsverhältnis zwischen Fürsorgepflicht des Arbeitgebers und Privatsphäre des Beschäftigten ausbalanciert und die Verbreitung des Virus bestmöglich eingedämmt werden.
Julia Ruhe ist Wirtschaftsjuristin, zertifizierte Datenschutzbeauftragte und Datenschutzauditorin. Sie berät als Managing Consultant die Mandanten der Datenschutzkanzlei bei der Einführung und Umsetzung wirksamer Datenschutz-Management-Prozesse.