Corona dominiert aktuell unser aller Leben. Wir möchten Ihnen daher gerne zur aktuellen Lage eine datenschutzrechtliche Einschätzung mit auf den Weg geben, wie aus unserer Sicht mit den Daten von Mitarbeitern/Besuchern/sonstigen Dritten umzugehen ist.

1.    Personenbezogene Daten von Mitarbeitern, Gästen und Besuchern

a.    Zulässige Maßnahmen

Es ist möglich die Mitarbeiter, Gäste oder Besucher zu fragen, ob diese sich in der letzten Zeit in einem Risikogebiet aufgehalten haben oder Kontakt mit einem Covid-19 Infizierten hatten. Auch ist die Übermittlung von Daten folgender Personengruppen an die lokale Gesundheitsbehörde bei Aufforderung zulässig: infizierte Beschäftigte; Beschäftigte, die in Risikogebieten waren und Beschäftigte, die Kontakt zu Infizierten hatten.

Diverse Selbstauskunfts- oder Fragebögen können bereitgestellt und von Mitarbeitern, Gästen und Besuchern zu Aufenthaltsorten innerhalb von Risikogebieten und Symptomen bezüglich Covid-19 freiwillig ausgefüllt werden. Auch kann eine freiwillige Fiebermessung erfolgen. Dies kann durch die Person selbst oder durch einen Betriebsarzt durchgeführt werden.

Bei einem, durch eine offizielle Stelle bestätigten, positiv auf Covid-19 getesteten Mitarbeiter oder bei Kontakt zu einer Person, die positiv auf Covid-19 positiv getestet wurde, ist die Verarbeitung von Informationen über Gesundheitsdaten beschränkt zulässig. Grundsätzlich hat der Arbeitgeber nicht das Recht, private Nummern seiner Mitarbeiter zu erfassen. Die einzige Möglichkeit besteht, wenn der Mitarbeiter die Daten freiwillig zur Verfügung stellt und somit eine gültige Einwilligung zur Nutzung der privaten Handynummer vorliegt. Hier ist darauf zu achten, dass die Daten auch wieder entsprechend gelöscht werden, wenn der Zweck der Erhebung erloschen ist. 

b.    Unzulässige Maßnahmen

Beschäftigte, die an Covid-19 erkrankt sind, dürfen nicht vom Arbeitgeber an andere Beschäftigte namentlich öffentlich gemacht werden. Als Alternative können in Abteilungen und Teams auch Maßnahmen ohne Namensnennung des Infizierten getroffen werden. Ebenso kann keine allgemeine Befragung der Mitarbeiter zu Reisezielen und jeweiligem Gesundheitszustand durchgeführt werden. Es gibt keine Regelung, die Beschäftigte dazu verpflichtet Meldung zu geben, wenn Mitarbeitende Symptome auf Covid-19 zeigen. Ebenso ist eine verpflichtende Fiebermessung bei Mitarbeitern unzulässig, außer sie dient der Einlasskontrolle bei Zutritt auf das Betriebsgelände.

Hier ist zu beachten, dass wenn Daten zur Einlasskontrolle erhoben werden, diese nicht dokumentiert werden dürfen. Diese Maßnahme ist jedoch sehr umstritten, da es sich um einen Eingriff in die Persönlichkeitsrechte des Einzelnen handelt. Außerdem stellt das reine Fiebermessen keine belastbare Methode dar, einen Infizierten zu erkennen. Wir wollen hier kleine klare Stellung beziehen. 

c.    Alternative Maßnahmen

Die Aufforderung zur Desinfektion von Händen auf dem Betriebsgelände ist eine Maßnahme, bei der keine personenbezogenen Daten eine Rolle spielen und somit unproblematisch. Dazu zählt auch Homeoffice für Beschäftigte zu gewährleisten. Ebenso können Zugangssperren für sensible Bereiche und neue Regeln für Besuchsmöglichkeiten umgesetzt werden. Es ist empfohlen einen Krisenstab einzurichten, welcher durch einen E-Mail-Verteiler tägliche Statements an die Beschäftigten des Unternehmens hinsichtlich der aktuellen Lage kommuniziert.

datenschutzbeauftragter-info.de

d.    Rechtlicher Hintergrund

Die Verarbeitung von personenbezogenen Daten aus den Gesundheitsdaten ist grundsätzlich nach Artikel 9 DSGVO untersagt. 

Die Rechtsgrundlage zur Verarbeitung personenbezogener Mitarbeiterdaten ergibt sich in den aktuellen Fällen für öffentlich-rechtliche Arbeitgeber grundsätzlich aus Art. 6 Abs. 1 Satz 1 lit. e) DSGVO und für Arbeitgeber im nicht-öffentlichen Bereich aus § 26 Abs 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO jeweils i.V.m. den einschlägigen beamtenrechtlichen sowie tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts.

Die Fürsorgepflicht der Arbeitgeber bzw. der Dienstherren verpflichtet diese den Gesundheitsschutz ihrer Beschäftigten sicherzustellen. Hierzu zählt nach Ansicht der unabhängigen Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die epidemische bzw. inzwischen pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und im Fall der Fälle der Nachverfolgbarkeit (also im Grunde nachgelagerte Vorsorge gegenüber den Kontaktpersonen) dient. Diese Maßnahmen müssen dabei natürlich immer auch verhältnismäßig sein. Die Daten müssen vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks (regelmäßig also spätestens dem Ende der Pandemie) müssen die erhobenen Daten unverzüglich gelöscht werden.

Eine Einwilligung der von Maßnahmen Betroffenen allein sollte hingegen vorliegend nur als datenschutzrechtliche Verarbeitungsgrundlage in Betracht gezogen werden, wenn die Betroffenen über die Datenverarbeitung informiert sind und freiwillig in die Maßnahme einwilligen können.

bfdi.bund.de

2.    Telearbeit (Homeoffice) oder mobile Telearbeit? Was ist zu beachten?

a.    Telearbeit (Homeoffice)

Bei der Telearbeit, umgangssprachlich oft Homeoffice genannt, handelt es sich um einen festen Arbeitsplatz, der in der Wohnung des Beschäftigten aufgebaut ist. Die Telearbeit ist in der Arbeitsstättenverordnung (ArbStättV) geregelt und verpflichtet den Arbeitgeber, die für den Telearbeitsplatz benötigte Ausstattung - wie Mobiliar und andere Arbeitsmittel - bereitzustellen und zu installieren. Hierzu gehören auch Kommunikationsmittel wie Telefon und Internet. Weiterhin ist der Arbeitgeber auch für die Einhaltung von Arbeitsschutz und Arbeitssicherheit verantwortlich. Der Arbeitgeber hat auch weiterhin die Pflicht, die Ergonomie sicherzustellen. Abschließend ist für die Einhaltung beider Regelungen eine schriftliche Ergänzung zum Arbeitsvertrag notwendig.

b.    Mobile Telearbeit

Im Unterschied zur Telearbeit ist das mobile Arbeiten ortsunabhängig. Der Beschäftigte stellt hier über ein mobiles Gerät eine Verbindung zur behördeninternen IT-Infrastruktur her. Das heißt natürlich nicht, dass der Arbeitgeber damit keine Pflichten mehr besitzt. Die Umsetzung dieser Anforderungen ist zwar etwas flexibler, sämtliche rechtliche Anforderungen, sowohl an die Sicherheit der Daten/Informationen als auch an die der Beschäftigten, gelten jedoch auch beim mobilen Arbeiten. Es müssen also klare Regelungen mit den Beschäftigten vereinbart werden, um den Anforderungen gerecht zu werden. In Zeiten, in denen schnelles Handeln erforderlich ist, keine leichte Sache.

Informationen zur Verarbeitung personenbezogener Daten in Corona Pandemie: bfdi.bund.de

Sollten noch weitere Fragen im Zusammenhang mit einer Datenverarbeitung, Umsetzung/Ankündigung von Maßnahmen, Kommunikation von Fällen mit Infektion oder Infektionsverdacht bestehen, kommen Sie gerne auf uns zu, wir unterstützen Sie dahingehend!

Bis dahin mit den besten Grüßen

Als PDF herunterladen

Lesen Sie hier auch alle bisher veröffentlichten Sonder-Newsletter.