Kategorien
Datenschutzrecht

Coronavirus und Beschäftigtendatenschutz

Nicht überall ist es möglich, sämtliche Mitarbeiter ins Homeoffice zu schicken. In vielen Unternehmen müssen sich Beschäftigte nach wie vor in den Büros ihrer Unternehmen aufhalten. Es stellt sich daher die Frage, was ein Arbeitgeber in dieser Situation für den Infektionsschutz unternehmen kann bzw. muss und welche Angaben kann er dafür von seinen Mitarbeitern verlangen oder sogar an Dritte rausgeben darf.

Aktualisiert am 01.04.2020

Nicht überall ist es möglich, sämtliche Mitarbeiter ins Homeoffice zu schicken. In vielen Unternehmen müssen sich Beschäftigte nach wie vor in den Büros ihrer Unternehmen aufhalten. Es stellt sich daher die Frage, was ein Arbeitgeber in dieser Situation für den Infektionsschutz unternehmen kann bzw. muss und welche Angaben kann er dafür von seinen Mitarbeitern verlangen oder sogar an Dritte rausgeben darf.

In diesen Tagen wird unter Hochdruck versucht, die Ausbreitung des Coronavirus zu verlangsamen und Neuansteckungen zu vermeiden. Auch Unternehmen sehen sich in der Verantwortung, ihren Teil dazu beizutragen. Dies erfolgt auch im eigenen Interesse, um möglichst keine oder wenige krankheitsbedingte Ausfälle hinnehmen zu müssen. Ist es Arbeitgebern im Rahmen der betrieblichen Infektionsschutzmaßnahmen daher erlaubt, die Mitarbeiter anzuweisen, Corona-Symptome unverzüglich zu melden? Darf ein Unternehmen am Beginn eines Arbeitstages verpflichtende Temperaturmessungen bei seinen Beschäftigten durchführen? Und wie muss ein Arbeitgeber die anderen Mitarbeiter über die Erkrankung eines Mitarbeiters informieren? Um diese Fragen wird es im Folgenden gehen.

1. Das sagen die Datenschutzbehörden

Maßnahmen zum Infektionsschutz kommen nicht ohne den Angstgegner Datenschutz aus. Auch in der aktuellen Ausnahmesituation ist das Datenschutzrecht nicht außer Kraft gesetzt. Es muss nach wie vor beachtet werden.

Um Unsicherheiten in der Rechtsanwendung zu begegnen, haben sich inzwischen auch die Datenschutz-Aufsichtsbehörden positioniert. So wurden vom Koordinierungsgremium der Landesdatenschutzbeauftragten – der sogenannten Datenschutzkonferenz – „Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie“ herausgegeben. Zudem hat der Landesdatenschutzbeauftragte Rheinland-Pfalz Hinweise und einen Podcast zu diesem Thema veröffentlicht. Der Landesdatenschutzbeauftragte Baden-Württemberg stellt FAQs zum Beschäftigtendatenschutz in der Corona-Krise bereit. Auch vom Landesdatenschutzbeauftragten Hamburg wurde eine Stellungnahme mit dem Titel „Datenschutz in Zeiten von COVID-19“ online publiziert. Auf europäischer Ebene hat das European Data Protection Board (edpb) eine Stellungnahme herausgegeben.

2. Rechtlicher Rahmen: Datenschutz

Seit der Einführung der Datenschutzgrundverordnung (DSGVO) hält sich der Mythos, nahezu jede Erhebung von Daten sei heikel. Dies umso mehr, wenn Gesundheitsdaten betroffen sind. Die Verarbeitung solcher „besonderen Kategorien personenbezogener Daten“ ist tatsächlich durch die DSGVO mit Hürden versehen, weil diese Informationen als höchstpersönlich und sensibel gelten. Maßnahmen zur Erfassung des Gesundheitszustands von Mitarbeitern fallen in diesen Bereich.

Im Datenschutz gilt ein Verbot mit Erlaubnisvorbehalt. D.h. personenbezogene Daten dürfen nur erhoben, gespeichert oder genutzt werden, wenn es eine Rechtsgrundlage dafür gibt. Die Berechtigung zur Verarbeitung personenbezogener Mitarbeiterdaten ergibt sich grundsätzlich aus § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f DSGVO. Soweit Gesundheitsdaten Gegenstand der Datenverarbeitung sind, kann man sich auf § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b DSGVO berufen. Eine Verarbeitung besonderer Kategorien personenbezogener Daten – also auch von Gesundheitsdaten – ist danach für Zwecke des Beschäftigungsverhältnisses u.a. zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht erforderlich ist und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person am Ausschluss der Verarbeitung überwiegt.

3. Das darf ich als Arbeitgeber

Die Fürsorgepflicht verpflichtet Arbeitgeber zur Sicherstellung des Gesundheitsschutzes für die gesamte Belegschaft. Hierzu zählt nach Ansicht der unabhängigen Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die derzeitige Corona-Pandemie, die insbesondere der Vorsorge und bei Erkrankungen der Nachverfolgbarkeit (also im Grunde nachgelagerte Vorsorge gegenüber den Kontaktpersonen) dient. Folgende Maßnahmen von Arbeitgebern wurden von den Behörden für zulässig erachtet:

  • Temporäre Erhebung, Speicherung und Nutzung der privaten Handynummer der Beschäftigten, um sie kurzfristig z.B. über Betriebsschließungen informieren oder sie auffordern zu können, nicht im Büro zu erscheinen, um so die Infektionsgefährdung der Beschäftigten zu verringern. Die erhobenen Kontaktdaten der Mitarbeiter sind mit dem Ende der Corona-Pandemie jedoch wieder zu löschen.
  • Befragung von Urlaubsrückkehrern, ob sie sich in einem, durch das Robert Koch-Institut festgelegten Risikogebiet aufgehalten haben. Eine Negativauskunft des Beschäftigten genügt regelmäßig. Liegen weitere Anhaltspunkte vor, darf auch eine weitere Nachfrage erfolgen. Die Abfrage des konkreten Ziels, des Zwecks oder der Dauer des Aufenthalts ist nicht erlaubt.
  • Anordnung eines Besuches bzw. einer Konsultation des Betriebsarztes, sofern begründete Zweifel an der Arbeitsfähigkeit bestehen. Davon kann beispielsweise ausgegangen werden, wenn bekannt ist, dass sich der Beschäftigte zuvor in einem Risikogebiet aufgehalten hat und somit Ansteckungsrisiken ausgesetzt war.
  • Befragung erkrankter Mitarbeiter, zu welchen Personen im Unternehmen sie Kontakt hatten.  Betroffene Beschäftigt sollten um die Vorlage einer Liste von Kollegen gebeten werden, die dann ihrerseits  vom Arbeitgeber angesprochen werden. Eine unternehmensweite namentliche Nennung des erkrankten Beschäftigten ist grundsätzlich untersagt.
  • Übermittlung von Informationen über erkrankte Mitarbeiter an Behörden. Es ist denkbar, dass sich Hoheitsträger in Zukunft an Unternehmen wenden und Daten von Mitarbeitern anfordern, die an Covid19 erkrankt sind. Es ist im Einzelfall zu prüfen, ob ein solches Auskunftsersuchen von einer Rechtsgrundlage gedeckt ist. Der Landesdatenschutzbeauftragte Baden-Württemberg geht jedoch grundsätzlich von einer mit der Übermittlungspflicht korrespondierenden Übermittlungsbefugnis der Arbeitgeber aus.

4. Das darf ich nicht als Arbeitgeber

Zur Eindämmung der Seuche ist jedoch nicht alles erlaubt. Vor allem der Grundsatz der Verhältnismäßigkeit verbietet eine Reihe an denkbaren Maßnahmen. So wurden die folgenden Handlungen von Arbeitgebern von den Datenschutzbehörden für unzulässig erklärt:

  • Keine Messung der Körpertemperatur der Mitarbeiter vor Betreten des Büros. Denn eine solche Maßnahme ist weder geeignet noch erforderlich. Weder belegt eine erhöhte Körpertemperatur eine Infektion mit dem Corona-Virus, noch geht eine Erkrankung zwangsläufig mit Fieber einher. Wir wollen jedoch darauf hinweisen, dass dieser Punkt von den Aufsichtsbehörden aktuell unterschiedlich bewertet wird. So hält der Landesdatenschutzbeauftragte Hamburg eine Temperaturmessung ausnahmsweise für zulässig: „In Arbeitsumfeldern mit besonders engem Kontakt ist in der derzeitigen Lage auch ausnahmsweise die Messung der Körpertemperatur (…) denkbar. Dasselbe gilt für Mitarbeiterinnen und Mitarbeitern in Einrichtungen, die für die akute Versorgung der Bevölkerung unverzichtbar sind, etwa Krankenhäuser oder Medizinproduktehersteller. In diesen Fällen sind nicht die (…) Körpertemperatur zu speichern, sondern lediglich die Information, dass aufgrund des Eingangs-Checks der Betroffene aufgefordert wurde, sich für einen definierten Zeitpunkt nicht an die Arbeitsstätte zu begeben.“
  • Keine Veröffentlichung oder Mitteilung der Namen von Erkrankten oder unter Infektionsverdacht stehenden Personen im Unternehmen. Dies ist nur ein Grundsatz. Gerade in großen Unternehmen muss nicht jeder Mitarbeiter wissen, ob ein anderer Beschäftigter mit Covid19 infiziert ist. Eine Offenlegung ist nach Auffassung der Datenschutzbehörden nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Die oben unter Ziffer 3 und 4 skizzierten Leitlinien sind zu beachten. Arbeitgeber können ihre Befugnisse zur Nutzung von Daten in diesem Kontext auch nicht dadurch ausweiten, dass sie sich von den Mitarbeitern weitergehende Einwilligungen einholen. Denn solche Einwilligungen sind unzulässig, da es ihnen an der erforderlichen Freiwilligkeit fehlt. Der Mitarbeiter befindet sich in einem wirtschaftlichen Abhängigkeitsverhältnis und kann hier faktisch nicht frei wählen, ob er/sie die Einwilligung erteilen oder verweigern möchte, weil ihm/ihr sonst (wirtschaftliche) Nachteile drohen.

5. Das kann ich von meinen Mitarbeitern verlangen

Beschäftigte müssen bei Infektionsschutzmaßnahmen kooperieren und den Arbeitgeber unterstützen. Dies folgt aus den Nebenpflichten ihres Arbeitsvertrages, insbesondere den sich daraus hergeleiteten Rücksichts-, Verhaltens- und Mitwirkungspflichten gegenüber dem Arbeitgeber oder Dritten. Nach Ansicht der Datenschutzbehörden beinhaltet dies die Pflicht zur Information des Arbeitgebers über das Vorliegen einer Corona-Infektion oder des Verdachts einer solchen Infektion.