Covid-19: Die Herausforderungen im Bereich Datenschutz für Arbeitgeber in Frankreich

veröffentlicht am 12. März 2020 | Lesedauer ca. 2 Minuten

Das Coronavirus (Covid-19) breitet sich weiterhin weltweit aus. In Frankreich ergreifen die Behörden Maßnahmen zur Ausbreitungseindämmung und Einschränkung der Auswirkungen des Virus.

Unternehmen sind zwar verpflichtet, Maßnahmen zur Gewährleistung der Gesundheit ihrer Mitarbeiter zu ergreifen und die Ausbreitung des Virus zu verhindern, sie müssen jedoch  auch die Wahrung der Privatsphäre der Betroffenen sowie die Einhaltung der DSGVO sicherstellen.

Die französische Datenschutzbehörde (CNIL) hat Empfehlungen an die Arbeitgeber darüber herausgegeben, was in Übereinstimmung mit der DSGVO und für die Wahrung der Privatsphäre der Mitarbeiter zulässig ist und was nicht.

Einige wichtige Hinweise

Informationen, die die Gesundheit der Mitarbeiter betreffen, werden als „sensible persönliche Daten“ im Sinne von Artikel 9 der DSGVO eingestuft, und die Verarbeitung dieser Daten ist Gegenstand besonderer Überwachung.

Arbeitgeber sind berechtigt, medizinische Daten über eine betroffene Person zu verarbeiten, wenn dies erforderlich ist, damit der Arbeitgeber seinen gesetzlichen Verpflichtungen in Bezug auf Gesundheit und Sicherheit nachkommen kann. 

Selbst im Falle einer Epidemie müssen die Grundprinzipien der DSGVO eingehalten werden:

• Die Aufbewahrungsfrist ist begrenzt und darf das für die Verarbeitung unbedingt erforderliche Maß nicht überschreiten;
• Die Rechtsgrundlage der Verarbeitung muss angegeben werden: In diesem Fall sollte es sich um eine „rechtliche Verpflichtung" (z.B. die rechtliche Verpflichtung des Arbeitgebers, die Gesundheit der Arbeitnehmer zu gewährleisten, staatliche Maßnahmen) oder um das „berechtigte Interesse" des Arbeitgebers handeln;
• Bei der Erhebung personenbezogener Daten muss der Grundsatz der Datenminimierung beachtet werden: So ist es z.B. zulässig, Mitarbeiter zu fragen, ob sie aus einem „Risikogebiet" zurückgekehrt sind, und ihnen zu raten, sich nicht in solche Gebiete zu begeben, jedoch nicht möglich, sich nach den privaten Aktivitäten der Mitarbeiter zu erkundigen oder sie zu zwingen, Auskunft darüber zu geben, ob ihre Angehörigen in solche Gebiete gereist sind;
• Datensicherheit muss in hohem Maße gewährleistet sein, und die Identität der betroffenen Personen sollte nicht ohne klare Begründung an Dritte oder ihre Kollegen weitergegeben werden; 
• Alle Maßnahmen zur Bekämpfung des Virus, die die Verarbeitung personenbezogener Daten beinhalten, müssen im Namen des Verantwortlichkeitsprinzips dokumentiert werden;
• Die Unternehmen müssen über die von ihnen in diesem Zusammenhang durchgeführten Maßnahmen transparent  sein und ihren Mitarbeitern Informationen über die Verarbeitung ihrer persönlichen Daten, den Zweck der Erhebung und die Dauer der Aufbewahrung der Daten zur Verfügung stellen. Diese Angaben müssen in präziser, leicht zugänglicher und leicht verständlicher Form und in klarer und einfacher Sprache bereitgestellt werden.

Was darf ein Arbeitgeber im Einklang mit der DSGVO tun?

Bei Meldung einer Kontamination sind Arbeitgeber zur Erhebung folgender Daten berechtigt: 

• Datum und die Identität der Person, die im Verdacht steht, mit dem Virus in Berührung gekommen zu sein;
• organisatorische Maßnahmen (Eindämmung, Telearbeit, Orientierung und Kontakt mit dem Arbeitsmediziner usw.);
   

Der Arbeitgeber wird somit in der Lage sein, auf Anfrage den Gesundheitsbehörden die Informationen über die Ansteckung mitzuteilen, die für die gesundheitliche oder medizinische Versorgung der betroffenen Person erforderlich sind, und kann gleichzeitig die Kontamination begrenzen.

Was darf ein Arbeitgeber im Rahmen der DSGVO nicht tun?

Gemäß der CNIL ist die systematische und generelle Erhebung von Daten oder die Suche nach möglichen Symptomen eines Mitarbeiters oder seiner Angehörigen anhand von individuellen Anfragen unzulässig.  

So ist es zum Beispiel nicht möglich,  

• täglich die Temperatur seiner Mitarbeiter oder Besucher zu messen;
• Mitarbeiter nach ihrer Patientenakte zu fragen; 
• Informationen über die Gesundheit der Angehörigen von Mitarbeitern zu erheben und zu verarbeiten.
   

Diese Empfehlungen können sich im Zuge der Ausbreitung des Virus ändern. In diesem Zusammenhang wird empfohlen, sich über die Website der Regierung zu informieren und die offiziellen Richtlinien zu beachten. Die Empfehlungen der CNIL sind (in französischer Sprache) auf der Homepage zugänglich und können sich weiterentwickeln.