Der Umgang mit dem Datenschutz im Hinblick auf das Coronavirus

PrintMailRate-it

veröffentlicht am 20. März 2020 | Lesedauer ca. 3 Minuten

 

Das neuartige Coronavirus (Covid-19) beschäftigt zurzeit außerplanmäßig viele Länder sowie auch Deutschland und stellt für alle eine große Herausforderung dar. Das Ziel ist es, die Ausbreitung zu verlangsamen und Zeit zu gewinnen. Zum einen, um die Menschen mit einem potenziellen Impfstoff zu schützen und zum anderen, um die Kliniken, die Ärzte und das Pflegepersonal vor einer Überlastung zu bewahren und die Kapazitäten sowie die Standhaftigkeit des Gesundheitssystems aufrechtzuerhalten. Aus dem Grund werden weltweit zahlreiche Maßnahmen getroffen.

 

 

  

 

Es sind nicht nur die Staaten, die Entscheidungen und Maßnahmen treffen, sondern auch Unternehmen sind verpflichtet, die Gesundheit ihrer Mitarbeiter zu schützen. Zur Eindämmung der Corona-Pandemie erheben und verarbeiten zurzeit manche Arbeitgeber personenbezogene Daten (einschließlich Gesundheitsdaten) von Beschäftigten. Zu klären ist die Frage, ob Arbeitgeber das Recht haben, Informationen über den Gesund­heits­zustand der Arbeitnehmer in diesem Umfang einzuholen. Dieser Artikel soll Klarheit darüber schaffen, was im Allgemeinen erlaubt ist.

 

 

Zweck und Rechtsgrundlage der Datenerhebung

Die Datenerhebung setzt laut DSGVO immer einen Zweck und eine Rechtsgrundlage voraus, die Art der Daten (hier: Daten zur Gesundheit i.w.S.) und ihr Risiko-Umfeld definiert dann das einzuhaltende Schutzniveau und den weiteren Umgang damit. Selbst einfache Ortsangaben („Herr X war letzte Woche in China/ in der Lombardei/ in H-berg…”) können ungewollte Auswirkungen für die Person und das Unternehmen nach sich ziehen.

 

Nach der europäischen Datenschutz-Grundverordnung gelten Gesundheitsdaten wie genetische und bio­me­trische Daten als besonders schützenswerte Informationen (besondere Kategorien personen­bezogener Daten, Art. 9 DSGVO). Die Sammlung von Daten über Personen und ihren „Status” in Bezug auf das Covid-19 Virus bildet genau das ab: Einerseits steht der Arbeitgeber in der Fürsorgepflicht und ist daher verpflichtet, seine Mitarbeiter weitestgehend vor gesundheitlichen Risiken (z.B. eine Infizierung) zu schützen. Anderseits sind die Datenschutz- und Persönlichkeitsrechte der Arbeitnehmer und ggf. Dritter (externe Kontakte) sicherzustellen und dürfen nicht verletzt werden.

 

Schutzinteresse der Unternehmen

Im Allgemeinen ist der Bedarf, direkte Gesundheitsdaten im Tagesgeschäft zu verarbeiten, eher gering. Nun kommen neben dem eigenen Schutzinteresse des Unternehmens aber u.U. kurzfristig auch Melde-Auflagen der Behörden bis hin zu gezielten Eingriffen im Falle von Betriebsschließungen hinzu. Es ist wichtig für das Management, die damit verbundenen Rechte und Pflichten zu kennen und sie als Leitplanken zu beachten bzw. zu organisieren. Sind die Unternehmensbereiche durch Ausfälle eingeschränkt oder gar stillgelegt, müssen die hoffentlich vorhandenen Notfall-Pläne effizient ausgerollt werden. In vielen Fällen werden die nur einen vergleichsweise kurzen Zeitraum abdecken und müssen für längerfristige Krisen-Szenarien, die Covid-19 auslösen könnte, noch erweitert werden.

 

Bei allen Maßnahmen und Änderungen stehen die Prioritäten des einzelnen Unternehmens im Fokus. Die Zwecke und Mittel sind individuell festzulegen und zu bewerten – dazu zählt laut BfDI (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Bonn) der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage.

 

Am 11. März 2020 hat die Weltgesundheitsorganisation (World Health Organisation, WHO) das Covid-19 als Pandemie eingestuft. Im Erwägungsgrund 46 liefert die DSGVO bereits eine Rechtsgrundlage bzw. Rechtfertigung für gezielte Datenerfassung und Risikovermeidung:

„Die Verarbeitung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein lebenswichtiges Interesse der betroffenen Person oder einer anderen natürlichen Person zu schützen.“[1]   

  

Zulässige Maßnahmen

Als derzeit datenschutzrechtlich zulässig nennt das BfDI bspw. folgende Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie:

 

  • Die Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) beim Arbeitnehmer:
    Um eine Ausbreitung des Virus unter den Beschäftigten auf das Minimum zu bringen bzw. ganz zu ver­hin­dern, ist die Erhebung und Verarbeitung von Informationen zulässig. Z.B. ist es erlaubt zu fragen, ob ein Beschäftigter sich in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet befunden hat oder einen direkten Kontakt zu einem Erkrankten hatte.
  • Die Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) bei Besuchern und Gästen:
    Um eine Infektion der Beschäftigten im Unternehmen vorzubeugen, ist es erlaubt, im Rahmen der Corona-Pandemie personenbezogene Daten von Ihren Gästen und Besuchern zu erheben und zu verarbeiten. Z.B. durch Erfragung, ob eine Infektion festgestellt wurde oder ob der Gast bzw. der Besucher mit einer nachweislich infizierten Person in Kontakt stand.

 

Offenlegung personenbezogener Daten

Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber restriktiv zu sehen und nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.[2]

 

Das Unternehmen muss also sicherstellen, dass eine Bekanntgabe von Krisen-/Infektionsfällen eine geringst­mögliche Offenlegung von personenbezogenen oder -beziehbaren Daten einhält. Es empfiehlt sich auch, dass eine möglichst anonyme Sprachregelung in den Teams und v.a. nach außen gegenüber Dritten genutzt wird.

 

Regeln für nach der Corona-Krise

Auch wenn heute noch niemand abschätzen kann, wann und wie der Krisen-Modus wieder in normale Bahnen übergeht, müssen auch Regeln verfügbar sein, wo diese „Corona-Daten“ sicher gespeichert werden, wer unter welchen Bedingungen darauf zugreifen darf oder sie an öffentliche Stellen gemeldet werden müssen. Ebenso wichtig ist eine Festlegung, wann dieses Datenmaterial wieder gelöscht werden muss.

 

Fazit

In der Sache gelten die bereits bekannten Anforderungen der DSGVO auch für den Aktionsrahmen, den Covid-19 heute und morgen auslöst. Mit den täglichen Änderungen, die Sie in der Tagespresse nachvollziehen, kommen immer wieder neue Aspekte und Querverbindungen „hoch“, die zusätzliche Aufmerksamkeit fordern.

 

Wir versuchen, Sie dazu auf dem Laufenden zu halten und wichtige Hinweise zu liefern. Nutzen Sie dazu auch die in unserem Themenspecial und den Links genannten Informationen. Und selbstverständlich können Sie dazu auf Ihren Ansprechpartner zurückgreifen.

 


  
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu