Kategorien
Datenschutzrecht

Corona-Warn-App verpflichtet?

Seit diesem Dienstag steht sie zum Download bereit: die offizielle deutsche Corona-Warn-App. Die Anwendung, für die sich das Robert-Koch-Institut verantwortlich zeichnet, ist von der Telekom und der SAP im Auftrag der Bundesregierung entwickelt worden. Lange sah es danach aus, als ließe sich eine Pandemie wirksam nur mit den bewährten Mitteln der Vergangenheit bekämpfen. Abschottung und Quarantäne gehören seit dem Mittelalter zum Standardrepertoire der Seuchenbekämpfung. Die Corona-Apps, die in vielen betroffenen Staaten in diesen Tagen veröffentlicht werden, stellen die erste echte Antwort des 21. Jahrhunderts auf diese Krise dar. Es wird sich zeigen, ob die Tracing-Technologie zur Eindämmung des Krankheitsgeschehens taugt. Die Erwartungen sind jedenfalls immens.

Deutsche Corona-Warn-App vorbildlich

Nach einigem Hin und Her, Kritik aus der Wissenschaft und mehreren Kurskorrekturen, kann sich die deutsche Corona-Warn-App sehen lassen. Die Anwendung ist transparent und datenschutzfreundlich ausgestaltet. So steht ihr gesamter Quellcode auf Github und kann dort von der Entwickler-Community auf Herz und Nieren überprüft werden. Verbesserungsvorschläge und Mitarbeit sind ausdrücklich erwünscht. Bei den Apps einiger anderer Staaten fällt die Bilanz weniger rosig aus. Amnesty International hat elf verschiedene Anwendungen untersucht und dabei eklatante Datenschutzverstöße festgestellt:

„Bahrain’s ‘BeAware Bahrain’, Kuwait’s ‘Shlonik’ and Norway’s ‘Smittestopp’ apps stood out as among the most alarming mass surveillance tools assessed by Amnesty, with all three actively carrying out live or near-live tracking of users’ locations by frequently uploading GPS coordinates to a central server.“

Amnesty International

Auf dem Rücken der Pandemiebekämpfung werden in vielen Ländern bewusst oder unbewusst Werkzeuge zur Totalüberwachung der eigenen Bevölkerung ausgerollt. Norwegen hat inzwischen die Reißleine gezogen und seine „Smittestopp“-App zurückgezogen.

Die Grenzen der Freiwilligkeit

Mit der Vorstellung der deutschen Corona-Warn-App ist immer wieder darauf verwiesen worden, dass ihre Nutzung freiwillig sei. Niemand werde gezwungen, diese App auf sein Smartphone zu laden. Soweit stimmt das auch. Kein Gesetz und keine Verordnung enthalten eine Verpflichtung zur Installation der Anwendung. Die Behörden wollen und können die Verbreitung der App nicht erzwingen. Zwar gibt es Vorschläge aus der Union, die Installation der Corona-Warn-App etwa mit Steuervergünstigungen oder einem früheren Zugang zu Kulturveranstaltungen zu belohnen und zu fördern. Doch diese Stimmen haben sich bislang nicht durchgesetzt.

Ganz so einfach ist das aber dennoch nicht mit der Freiwilligkeit. Neben dem Staat gibt es noch andere Akteure, die zumindest mittelbar eine Verpflichtung zur Installation der Corona-Warn-App durchdrücken könnten. In Zeiten der Pandemie ergreifen Unternehmen Schutzmaßnahmen für Kunden, Gäste und Mitarbeiter. Teilweise liegen ihnen behördliche Vorgaben, teilweise selbst ausgebrütete Ideen zu Grunde. Schritte zur Eindämmung von Corona sind wichtig. Aber was ist bei der Einbindung der Corona-Warn-App in das eigene „Hygiene-Konzept“ rechtlich zulässig? Schauen wir uns ein paar Beispiele an:

Darf ich einem Gast den Besuch meines Restaurants, meines Ladens oder meiner Veranstaltung untersagen, wenn er die Corona-Warn-App nicht installiert hat? Ist es erlaubt, das Betreten von dem Status in der Corona-Warn-App „Niedriges Risiko“ abhängig zu machen?

Grundsätzlich haben Unternehmen das Hausrecht in ihren eigenen Räumlichkeiten. Sie machen die Regeln, wer rein kommt und und wer nicht. Ein Unternehmen kann prinzipiell entscheiden, dass die installierte App als Eintrittskarte dienen soll. Das folgt auch aus der Privatautonomie. Die Datenschutzaufsichtsbehörden sehen das ganz anders:

„Der Zugang zu behördlichen Einrichtungen, Arbeitsstätten, Handelsgeschäften, Gastrono-mie betrieben und Beherbergungsstätten, Sportstätten, etc. darf nicht vom Vorweisen der App abhängig gemacht werden. Hierbei würde es sich um eine zweckwidrige Verwendung handeln, die bereits mit dem Konzept der Freiwilligkeit nicht vereinbar ist. Eine Diskriminierung von Personen, die die App nicht anwenden, ist auszuschließen“

Datenschutzkonferenz

Das Argument der Aufsichtsbehörden geht so: wenn sich ein Unternehmen am Eingang zeigen lässt, dass ein Gast die App installiert hat, dann stellt das bereits eine Datenverarbeitung dar. Denn das Unternehmen hat die Information erhoben, dass ein – ihm ansonsten vielleicht unbekannter – Gast auf seinem Smartphone die geforderte Anwendung aufgespielt hat. Die Datenschutzgrundverordnung verlangt nun für jede Datenverarbeitung eine Rechtsgrundlage. Es gilt grundsätzlich ein Verbot mit sogenanntem Erlaubnisvorbehalt („alles ist verboten, außer es ist ausnahmsweise erlaubt“). Eine Rechtsgrundlage kann in einem Vertrag, in einer gesetzlichen Verpflichtung zur Datenverarbeitung oder in einer Einwilligung liegen. Dem Unternehmen fehlt aus Sicht der Datenschutzbehörde hier aber auf eine solche taugliche Rechtsgrundlage. Eine Einwilligung des Gastes, die er mit dem Vorzeigen seines Handys konkludent erteilt, ist es jedenfalls nicht. Denn Einwilligungen verlangen wiederum eine Freiwilligkeit und an einer solchen Freiwilligkeit fehlt es, sofern dem Besucher der Zutritt verwehrt wird, wenn er sein Smartphone eben nicht vorzeigt.  

Fast schon drohend bringt sich der Bundesdatenschutzbeauftragte in einer Pressemitteilung in Stellung:

 „Beim Umgang mit der App gibt es für den BfDI eine wichtige Grenze: Es ist in keinem Fall zulässig, dass Dritte Einblick in die App fordern. ‚Ich kann die Inhaber von Geschäften oder öffentlichen Verkehrsmitteln nur dringend warnen: Versucht es erst gar nicht!‘“

Bundesdatenschutzbeauftragter Ulrich Kelber

Um Ärger und mögliche Bußgeldverfahren zu vermeiden, sollten Restaurants, Veranstalter, Sportvereine, etc. die Vorgaben der Datenschutzaufsichtsbehörden berücksichtigen. Das wäre der Weg des geringsten Widerstands.

Rechtsdogmatisch ist die Position der Datenschutzbehörden aber weder nachvollziehbar, noch haltbar. Das bloße Vorzeigen der App auf dem Smartphone und das Anschauen durch einen Türsteher fällt nämlich überhaupt nicht in den Anwendungsbereich der DSGVO. Laut Art. 2 Abs. 1 DSGVO greift die DSGVO nur „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“ Das Anschauen des Smartphones eines Gastes ist in diesem Sinne zwar eine nichtautomatisierte Verarbeitung. Aber die Netzhaut und das Gehirn des Einlassmitarbeiters sind keine Dateisysteme. Die DSGVO gilt vorliegend also gar nicht.

Das mag man als Mindermeinung abtun. In einem anderen Zusammenhang wurde diese Position aber selbst vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) vertreten. Dieser äußerte sich in seinem Tätigkeitsbericht 2019 zur Kontrolle von digitalen Fahrscheinen im Hamburger Nahverkehr. Fahrgäste, die ihr Ticket über die App der lokalen Verkehrsbetriebe erworben hatten (HVV-App), wurden vom Prüfdienst zum Vorzeigen des Smartphones aufgefordert. Für den HmbBfDI fällt das nicht in den Anwendungsbereich der DSGVO:

Ein aufsichtsbehördliches Einschreiten war allerdings aus seiner Sicht nicht veranlasst, schon weil die Sichtkontrolle des Handy-Tickets durch Kontrolleurinnen und Kontrolleuren der HVV-Mitgliedsunternehmen nicht der DSGVO unterfällt. Diese regelt nämlich nur die (ganz oder teilweise) automatisierte Datenverarbeitung (Art. 2 Abs. 1 Var. 1 und 3 DSGVO). Die nichtautomatisierte Verarbeitung ist nur umfasst, wenn personenbezogene Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Var. 3). Keiner dieser Fälle liegt bei der Kontrolle von Handy-Tickets vor.

Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, Tätigkeitsbericht 2019, S. 125

Auch weil die Anwendbarkeit der DSGVO zweifelhaft ist, wird aktuell ein Begleitgesetz zur Corona-Warn-App gefordert. Ein solches Gesetz bräuchte es tatsächlich, wenn man solche mittelbaren Zwangswirkungen durch die Privatwirtschaft ausschließen möchte. Nur wenn das explizit untersagt ist, können Unternehmen und Vereine das Betreten ihrer Räume nicht vom Vorzeigen der Corona-Warn-App abhängig machen.

Kann ein Arbeitgeber seine Mitarbeiter anweisen, die Corona-Warn-App auf den Privathandys oder den Diensthandys zu laden?

Das Direktionsrecht des Arbeitgebers geht nicht soweit, dass er Beschäftigte dazu verpflichten kann, eigene Hard- und Software für berufliche Zwecke zu verwenden. Daher kann er nicht fordern, dass Arbeitnehmer bestimmte Apps auf ihren privaten Endgeräten installieren. Der Arbeitgeber hat im Hinblick auf die eigenen Smartphones der Mitarbeiter auch keinerlei Kontrollrechte.

Selbst bei Diensthandys können Arbeitgeber ihren Beschäftigten keine Vorgaben machen. Werden dienstliche Smartphones ausgegeben und sind diese auch nur für den dienstlichen Gebrauch zugelassen, so kann der Arbeitgeber diese zwar mit der, für die Durchführung des Beschäftigungsverhältnisses erforderlichen Software bespielen. Die Corona-Warn-App ist jedoch gerade nicht erforderlich, damit ein Mitarbeiter seine Aufgaben erfüllen kann. Zudem kann man den Status und die Warnmeldungen der App als Gesundheitsdaten werten, so dass den Arbeitgeber ohnehin höhere Anforderungen an eine Rechtsgrundlage treffen würden, die er kaum erfüllen kann. Statt § 26 Abs. 1 BDSG wird dann der strengere § 26 Abs. 3 BDSG als Rechtsgrundlage zur Anwendung kommen. Die Verarbeitung von Gesundheitsdaten für Zwecke des Beschäftigungsverhältnisses wäre nur dann zulässig, „wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.“ Diese Hürde kann man als Arbeitgeber kaum nehmen. Zu guter Letzt scheitert eine Verpflichtung der Corona-Warn-App auch an dem Umstand, dass die Anwendung 24 Stunden am Tag, also auch nach Feierabend Daten des Beschäftigten auf dem Diensthandy erfasst. Aus diesem Grund können Arbeitgeber den Mitarbeitern lediglich raten und empfehlen, die App zu nutzen, wenn sie ihren Einsatz im Unternehmen für wichtig halten.

Kategorien
Datenschutzrecht

Videokonferenzen ja, aber (noch) nicht mit Zoom

Aktualisiert am 11.06.2020

In Corona-Zeiten gehen Besprechungen oft nur auf Distanz. Als Ersatz für unmittelbare Begegnungen nehmen Video-Meetings rasant zu. Eine der aktuell beliebtesten Software-Lösungen für diesen Zweck kommt vom US-Anbieter Zoom. Für den Einsatz im Unternehmen eignet sie sich (noch) nicht.

Die Videokonferenz-Anwendung Zoom hat einiges zu bieten. Sie funktioniert stabil mit guter Bild- und Tonqualität auch in größeren Gruppen. Aus diesem Grund wird der Dienst in der aktuellen Situation überrannt. Die Entwicklung der Zoom-Nutzer-Zahlen dürfte ähnlich aussehen, wie die Ausbreitungskurve des Corona-Virus. Und doch wurde Zoom Opfer des eigenen Erfolges. Denn mit einer stärkeren Verbreitung, wird auch stärker hingeschaut. So sind in den letzten Wochen diverse Datenschutzbedenken zu Tage getreten. Eines der Hauptprobleme ist die mangelnde Absicherung von Videokonferenzen. Jeder Meeting-Raum verfügt über eine ID, bestehend aus mehreren Ziffern. Wer diese Zahlenkombination jedoch kennt oder sie einfach durch Ausprobieren errät, landet in Besprechungen von Dritten, in denen er oder sie nichts zu suchen hat. Das Phänomen scheint so verbreitet zu sein, dass dafür eigens ein neues Wort die Runde macht: Zoom-Bombing. Darüber hinaus wurden gravierende Verschlüsselungsprobleme erkannt. Zudem soll Zoom Daten der Nutzer an Facebook übermittelt haben, ohne dass darüber informiert worden wäre. Nahezu täglich kommen weitere mögliche Sicherheitslücken hinzu. Inzwischen beschäftigt sich selbst der New Yorker Generalstaatsanwalt wegen möglicher Datenschutzverstöße mit Zoom.

Man muss Zoom aber zugestehen, auf die Kritik zu reagieren. Das Unternehmen hat seine Datenschutzbestimmungen schnell angepasst und sich in Blogposts zu den Vorwürfen geäußert. Zoom verfolgt nun einen 90-Tage-Plan zur Stärkung wichtiger Datenschutz- und Sicherheitsmaßnahmen, über dessen Fortschritt auf dem Blog des Startups informiert wird. So haben die Zoom-Apps bereits Updates erfahren, die neue Sicherheitsfeatures enthalten. Der Anbieter hat sich auch personell verstärkt und den Stanford-Cybersicherheitsexperten Alex Stamos an Bord geholt. Das Unternehmen befindet sich in einer Datenschutzoffensive und versucht unter Hochdruck, den eigenen Laden in Ordnung zu bringen. Eine Entwarnung ist das jedoch (noch) nicht. Versäumnisse aus mehreren Jahren dürften sich nicht über Nacht komplett beheben lassen.

Daher ist es wenig überraschend, dass einige Datenschutzbehörden den Einsatz von Zoom für nicht datenschutzkonform halten. In einem Interview mit dem Handelsblatt vom 24.05.2020 warnt der Bundesdatenschutzbeauftragte Ulrich Kelber vor dem Videokonferenz-Anbieter. Von dieser Kommunikationsform sei abzuraten, wenn personenbezogene Daten im Spiel sind, da es bei Zoom an einer tauglichen Ende-zu-Ende-Verschlüsselung mangele.

Auch dieser Punkt steht auf der Zoom-To-Do-Liste. Um die Entwicklung hier zu beschleunigen, hat die Firma das Krypto-Startup Keybase gekauft. Allerdings dämpft Zoom die Erwartungen. Die Ende-zu-Ende-Verschlüsselung soll in Zukunft nicht sämtlichen Nutzern, sondern nur den Bezahlkunden zur Verfügung stehen. So verkündete der Zoom-CEO Eric Yuan:

„Free users for sure we don’t want to give [end-to-end encryption] because we also want to work together with FBI, with local law enforcement in case some people use Zoom for a bad purpose“

Eric Yuan, CEO von Zoom

Zoom will den Sicherheitsbehörden die Arbeit erleichtern und wird mit diesem vorauseilenden Gehorsam ganz sicher nicht zum Datenschutz-Musterschüler.

Andere Schwachstellen des Dienstes hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit ausfindig gemacht. Sie hat sich zu den gängigen Videokonferenz-Diensten geäußert und eine Checkliste mit Vorgaben zur Auswahl von Anbietern, sowie eine ausführliche Einschätzung veröffentlicht. Die Kernaussage in ihrem Fazit lautet:

„Wir weisen darauf hin, dass einige verbreitet eingesetzte Anbieter zu Redaktionsschluss (22.Mai 2020) nicht alle Rechtmäßigkeitsvoraussetzungen erfüllen, darunter gängige Produkte von Microsoft, Skype Communications und Zoom Video Communications.“

Berliner Beauftragte für Datenschutz und Informationsfreiheit

Eine Begründung, an welchen Rechtmäßigkeitsvoraussetzung es fehlt, bleibt die Behörde an dieser Stelle aber schuldig.

Einen Anhaltspunkt liefert ein internes Kurzgutachten des Berliner Beauftragten für Datenschutz und Informationsfreiheit. Ein Mitarbeiter hat den Auftragsverarbeitungsvertrag von Zoom geprüft, den man in jedem Fall beim Einsatz des Dienstes im Unternehmen abschließen muss. Bereits bei einer Kurzprüfung seien „teilweise schwerwiegende Verstöße gegen das Datenschutzrecht aufgefallen“. Der Vertrag entspreche nicht den gesetzlichen Vorgaben.

Als Unternehmen sollte man daher nach datenschutzfreundlichen Alternativen suchen – und die gibt es. Der Landesdatenschutzbeauftragte Baden-Würtemberg etwa gibt eine Hilfestellung:

„Bei der Auswahl von Video- oder Telefonkonferenzsystemen sollte aus technischer Sicht darauf geachtet werden, dass der Anbieter weder Metadaten (wer hat wann mit wem kommuniziert) noch die Inhaltsdaten der Kommunikation für eigene Zwecke auswertet oder an Dritte weitergibt. Dies können datenschutzrechtlich Verantwortliche am besten sicherstellen, wenn sie oder ihr Dienstleister (…) eine entsprechende Softwarelösung ‚On-Premises‘ – also im eigenen Rechenzentrum – bereitstellen oder aufbauen. Dadurch ist es möglich, alle Datenflüsse und Datenerhebungen selbst zu kontrollieren. Dazu bieten sich zahlreiche Lösungen auf Basis von Open-Source-Software an (z.B. Nextcloud Talk, Jitsi Meet, RocketChat oder Matrix), die prinzipiell datenschutzgerecht einsetzbar sind.“

Landesdatenschutzbeauftragter Baden-Würtemberg

Die Software-Lösung Jitsi Meet funktioniert und kann bei Unternehmen in der eigenen IT-Infrastruktur-Umgebung installiert werden. Das hat auch den Vorteil, dass keine Daten auf Servern von Dritten (wie dem Videokonferenz-Dienstleister) gespeichert werden. Daher muss datenschutzrechtlich bei einer solchen Lösung auch kein Auftragsverarbeitungsvertrag mit dem Videokonferenz-Anbieter geschlossen werden.

Wem die Auswahl eines Videokonferenzsystems schwer fällt oder wer sich die Entscheidung aufgrund der Sensibilität der eigenen Daten und Geschäftsgeheimnisse nicht zu einfach machen sollte, dem sei diese Praxishilfe der Gesellschaft für Datenschutz und Datensicherheit (GDD) nahegelegt. Die GDD hat auch einen guten Marktüberblick der Videokonferenzsystem-Anbieter erstellt. Über Sicherheitsanforderungen an ein solches System informiert erschöpfend das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Kompendium.

Kategorien
Datenschutzrecht

Coronavirus und Beschäftigtendatenschutz

Aktualisiert am 01.04.2020

Nicht überall ist es möglich, sämtliche Mitarbeiter ins Homeoffice zu schicken. In vielen Unternehmen müssen sich Beschäftigte nach wie vor in den Büros ihrer Unternehmen aufhalten. Es stellt sich daher die Frage, was ein Arbeitgeber in dieser Situation für den Infektionsschutz unternehmen kann bzw. muss und welche Angaben kann er dafür von seinen Mitarbeitern verlangen oder sogar an Dritte rausgeben darf.

In diesen Tagen wird unter Hochdruck versucht, die Ausbreitung des Coronavirus zu verlangsamen und Neuansteckungen zu vermeiden. Auch Unternehmen sehen sich in der Verantwortung, ihren Teil dazu beizutragen. Dies erfolgt auch im eigenen Interesse, um möglichst keine oder wenige krankheitsbedingte Ausfälle hinnehmen zu müssen. Ist es Arbeitgebern im Rahmen der betrieblichen Infektionsschutzmaßnahmen daher erlaubt, die Mitarbeiter anzuweisen, Corona-Symptome unverzüglich zu melden? Darf ein Unternehmen am Beginn eines Arbeitstages verpflichtende Temperaturmessungen bei seinen Beschäftigten durchführen? Und wie muss ein Arbeitgeber die anderen Mitarbeiter über die Erkrankung eines Mitarbeiters informieren? Um diese Fragen wird es im Folgenden gehen.

1. Das sagen die Datenschutzbehörden

Maßnahmen zum Infektionsschutz kommen nicht ohne den Angstgegner Datenschutz aus. Auch in der aktuellen Ausnahmesituation ist das Datenschutzrecht nicht außer Kraft gesetzt. Es muss nach wie vor beachtet werden.

Um Unsicherheiten in der Rechtsanwendung zu begegnen, haben sich inzwischen auch die Datenschutz-Aufsichtsbehörden positioniert. So wurden vom Koordinierungsgremium der Landesdatenschutzbeauftragten – der sogenannten Datenschutzkonferenz – „Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie“ herausgegeben. Zudem hat der Landesdatenschutzbeauftragte Rheinland-Pfalz Hinweise und einen Podcast zu diesem Thema veröffentlicht. Der Landesdatenschutzbeauftragte Baden-Württemberg stellt FAQs zum Beschäftigtendatenschutz in der Corona-Krise bereit. Auch vom Landesdatenschutzbeauftragten Hamburg wurde eine Stellungnahme mit dem Titel „Datenschutz in Zeiten von COVID-19“ online publiziert. Auf europäischer Ebene hat das European Data Protection Board (edpb) eine Stellungnahme herausgegeben.

2. Rechtlicher Rahmen: Datenschutz

Seit der Einführung der Datenschutzgrundverordnung (DSGVO) hält sich der Mythos, nahezu jede Erhebung von Daten sei heikel. Dies umso mehr, wenn Gesundheitsdaten betroffen sind. Die Verarbeitung solcher „besonderen Kategorien personenbezogener Daten“ ist tatsächlich durch die DSGVO mit Hürden versehen, weil diese Informationen als höchstpersönlich und sensibel gelten. Maßnahmen zur Erfassung des Gesundheitszustands von Mitarbeitern fallen in diesen Bereich.

Im Datenschutz gilt ein Verbot mit Erlaubnisvorbehalt. D.h. personenbezogene Daten dürfen nur erhoben, gespeichert oder genutzt werden, wenn es eine Rechtsgrundlage dafür gibt. Die Berechtigung zur Verarbeitung personenbezogener Mitarbeiterdaten ergibt sich grundsätzlich aus § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f DSGVO. Soweit Gesundheitsdaten Gegenstand der Datenverarbeitung sind, kann man sich auf § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b DSGVO berufen. Eine Verarbeitung besonderer Kategorien personenbezogener Daten – also auch von Gesundheitsdaten – ist danach für Zwecke des Beschäftigungsverhältnisses u.a. zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht erforderlich ist und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person am Ausschluss der Verarbeitung überwiegt.

3. Das darf ich als Arbeitgeber

Die Fürsorgepflicht verpflichtet Arbeitgeber zur Sicherstellung des Gesundheitsschutzes für die gesamte Belegschaft. Hierzu zählt nach Ansicht der unabhängigen Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die derzeitige Corona-Pandemie, die insbesondere der Vorsorge und bei Erkrankungen der Nachverfolgbarkeit (also im Grunde nachgelagerte Vorsorge gegenüber den Kontaktpersonen) dient. Folgende Maßnahmen von Arbeitgebern wurden von den Behörden für zulässig erachtet:

  • Temporäre Erhebung, Speicherung und Nutzung der privaten Handynummer der Beschäftigten, um sie kurzfristig z.B. über Betriebsschließungen informieren oder sie auffordern zu können, nicht im Büro zu erscheinen, um so die Infektionsgefährdung der Beschäftigten zu verringern. Die erhobenen Kontaktdaten der Mitarbeiter sind mit dem Ende der Corona-Pandemie jedoch wieder zu löschen.
  • Befragung von Urlaubsrückkehrern, ob sie sich in einem, durch das Robert Koch-Institut festgelegten Risikogebiet aufgehalten haben. Eine Negativauskunft des Beschäftigten genügt regelmäßig. Liegen weitere Anhaltspunkte vor, darf auch eine weitere Nachfrage erfolgen. Die Abfrage des konkreten Ziels, des Zwecks oder der Dauer des Aufenthalts ist nicht erlaubt.
  • Anordnung eines Besuches bzw. einer Konsultation des Betriebsarztes, sofern begründete Zweifel an der Arbeitsfähigkeit bestehen. Davon kann beispielsweise ausgegangen werden, wenn bekannt ist, dass sich der Beschäftigte zuvor in einem Risikogebiet aufgehalten hat und somit Ansteckungsrisiken ausgesetzt war.
  • Befragung erkrankter Mitarbeiter, zu welchen Personen im Unternehmen sie Kontakt hatten.  Betroffene Beschäftigt sollten um die Vorlage einer Liste von Kollegen gebeten werden, die dann ihrerseits  vom Arbeitgeber angesprochen werden. Eine unternehmensweite namentliche Nennung des erkrankten Beschäftigten ist grundsätzlich untersagt.
  • Übermittlung von Informationen über erkrankte Mitarbeiter an Behörden. Es ist denkbar, dass sich Hoheitsträger in Zukunft an Unternehmen wenden und Daten von Mitarbeitern anfordern, die an Covid19 erkrankt sind. Es ist im Einzelfall zu prüfen, ob ein solches Auskunftsersuchen von einer Rechtsgrundlage gedeckt ist. Der Landesdatenschutzbeauftragte Baden-Württemberg geht jedoch grundsätzlich von einer mit der Übermittlungspflicht korrespondierenden Übermittlungsbefugnis der Arbeitgeber aus.

4. Das darf ich nicht als Arbeitgeber

Zur Eindämmung der Seuche ist jedoch nicht alles erlaubt. Vor allem der Grundsatz der Verhältnismäßigkeit verbietet eine Reihe an denkbaren Maßnahmen. So wurden die folgenden Handlungen von Arbeitgebern von den Datenschutzbehörden für unzulässig erklärt:

  • Keine Messung der Körpertemperatur der Mitarbeiter vor Betreten des Büros. Denn eine solche Maßnahme ist weder geeignet noch erforderlich. Weder belegt eine erhöhte Körpertemperatur eine Infektion mit dem Corona-Virus, noch geht eine Erkrankung zwangsläufig mit Fieber einher. Wir wollen jedoch darauf hinweisen, dass dieser Punkt von den Aufsichtsbehörden aktuell unterschiedlich bewertet wird. So hält der Landesdatenschutzbeauftragte Hamburg eine Temperaturmessung ausnahmsweise für zulässig: „In Arbeitsumfeldern mit besonders engem Kontakt ist in der derzeitigen Lage auch ausnahmsweise die Messung der Körpertemperatur (…) denkbar. Dasselbe gilt für Mitarbeiterinnen und Mitarbeitern in Einrichtungen, die für die akute Versorgung der Bevölkerung unverzichtbar sind, etwa Krankenhäuser oder Medizinproduktehersteller. In diesen Fällen sind nicht die (…) Körpertemperatur zu speichern, sondern lediglich die Information, dass aufgrund des Eingangs-Checks der Betroffene aufgefordert wurde, sich für einen definierten Zeitpunkt nicht an die Arbeitsstätte zu begeben.“
  • Keine Veröffentlichung oder Mitteilung der Namen von Erkrankten oder unter Infektionsverdacht stehenden Personen im Unternehmen. Dies ist nur ein Grundsatz. Gerade in großen Unternehmen muss nicht jeder Mitarbeiter wissen, ob ein anderer Beschäftigter mit Covid19 infiziert ist. Eine Offenlegung ist nach Auffassung der Datenschutzbehörden nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Die oben unter Ziffer 3 und 4 skizzierten Leitlinien sind zu beachten. Arbeitgeber können ihre Befugnisse zur Nutzung von Daten in diesem Kontext auch nicht dadurch ausweiten, dass sie sich von den Mitarbeitern weitergehende Einwilligungen einholen. Denn solche Einwilligungen sind unzulässig, da es ihnen an der erforderlichen Freiwilligkeit fehlt. Der Mitarbeiter befindet sich in einem wirtschaftlichen Abhängigkeitsverhältnis und kann hier faktisch nicht frei wählen, ob er/sie die Einwilligung erteilen oder verweigern möchte, weil ihm/ihr sonst (wirtschaftliche) Nachteile drohen.

5. Das kann ich von meinen Mitarbeitern verlangen

Beschäftigte müssen bei Infektionsschutzmaßnahmen kooperieren und den Arbeitgeber unterstützen. Dies folgt aus den Nebenpflichten ihres Arbeitsvertrages, insbesondere den sich daraus hergeleiteten Rücksichts-, Verhaltens- und Mitwirkungspflichten gegenüber dem Arbeitgeber oder Dritten. Nach Ansicht der Datenschutzbehörden beinhaltet dies die Pflicht zur Information des Arbeitgebers über das Vorliegen einer Corona-Infektion oder des Verdachts einer solchen Infektion.

Kategorien
Hilfen

Servicehotline der Firmenhilfe Hamburg

Servicehotline der Firmenhilfe (von der Freien und Hansestadt Hamburg geförderte Hotline für Selbstständige: Freiberufler, Solo-Selbständige, und Kleinunternehmen mit bis zu fünf Mitarbeiterinnen und Mitarbeitern)

Telefon: +49 40 43216949