Datenschutzrechtliche Hinweise zur Verarbeitung personenbezogener Daten durch Arbeitgeber in Zeiten der Corona-Pandemie


Corona Datenschutz

© garloon

Sowohl die DSK wie auch einige Länder haben auf zahlreiche Anfragen zeitnah reagiert und Stellungnahmen zum Beschäftigtendatenschutz in Zeiten des Corona-Virus verbreitet.

Eine besondere Fürsorgepflicht des Arbeitgebers ist die betriebliche Sicherheit und Gesundheit der Belegschaft. Dies ergibt sich auch bereits aus § 618 Abs. 1 BGB i.V.m. § 3 ArbSchG. Um angemessene Vorkehrungen oder nachträgliche Maßnahmen zu treffen, kommen Unternehmen dabei nicht umher, personenbezogene Daten von betroffenen oder zu schützenden Personen zu erheben.

Viele Arbeitgeber sind dabei unsicher, wie sie den Datenschutz in Zeiten der Corona-Pandemie korrekt umsetzen sollen und wo Grenzen bestehen bleiben.

Nach Hinweisen der Datenschutzkonferenz (DSK) ist auch in diesen Fällen der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage stets zu beachten. Gleichzeitig wird klargestellt, dass der Schutz personenbezogener Daten und Maßnahmen zur Bekämpfung der Infektion sich nicht entgegenstehen.

Datenschutzrechtlich legitime Maßnahmen, um Corona-Pandemie einzudämmen und zu bekämpfen

Zahlreiche Maßnahmen und damit einhergehende Verarbeitungen von Gesundheitsdaten von Beschäftigten sind demnach datenschutzrechtlich möglich und zulässig. Dazu gehören u.a. nach Ansicht der DSK insbesondere:

  1. Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber, um eine Ausbreitung des Coronavirus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen.

    Dies kann auch bedeuten, dass Arbeitgeber von ihren Beschäftigten die aktuelle private Handynummer etc. abfragen und temporär speichern dürfen (so nach „Handbuch Betriebliche Pandemieplanung“, Version v. 16.03.2020). Auch wenn dies regelmäßig in ihrem eigenen Interesse liegt, besteht eine Pflicht zur Offenlegung privater Kontaktdaten für die Beschäftigten nicht. Spätestens nach Ende der Corona-Pandemie sind die erhobenen Kontaktdaten vom Arbeitgeber auch wieder zu löschen. 
  2. Die Offenlegung personenbezogener Daten von nachweislich Infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist nur eingeschränkt möglich. Hierzu müsste die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen unbedingt erforderlich sein.

    Am datensparsamsten ist es nach Ansicht des LfDI RPL, den betroffenen Beschäftigten selbst um die Vorlage einer Liste von Kollegen zu bitten und diese gezielt anzusprechen. Eine unternehmens- oder behördenweite namentliche Benennung des erkrankten Arbeitnehmers erübrigt sich so. Regelmäßig kann eine Maßnahme abteilungs-/ bzw. teambezogen auch ohne konkrete Namensnennung „aus gegebenem Anlass“ erfolgen.

    Auch dürfen Arbeitnehmer nicht dazu aufgerufen werden, Mitarbeiter bei etwaig auffälligen Symptomen zu melden (so richtigerweise z.B. die italienische Datenschutzbehörde). Der Arbeitgeber darf aber beispielsweise unter Umständen Urlaubsrückkehrer befragen, ob sie sich in einem, etwa durch das Robert Koch-Institut festgelegten Corona-Risikogebiet, aufgehalten haben. Eine Negativauskunft des Beschäftigten genügt regelmäßig. Liegen weitere Anhaltspunkte vor, kann gegebenenfalls eine weitere Nachfrage erfolgen.
  3. Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese
    • selbst infiziert sind oder in Kontakt mit einer nachweislich infizierten Person standen, oder
    • sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.

Übermittlung personenbezogener Beschäftigten- und Besucherdaten an Gesundheitsbehörden kann zulässig sein

Besonders bedeutsam mit Blick auf den betrieblichen Pandemieschutz sind nach Ansicht des LfDI BaWü die Vorschriften der §§ 30, 31 des Infektionsschutzgesetzes (IfSG), welche die Quarantäneanordnung und das berufliche Tätigkeitsverbot durch das Gesundheitsamt regeln, sowie die Generalklauseln in § 16 Absatz 1 und Absatz 2 Satz 3 IfSG.

Der Arbeitgeber kann und darf nach Aufforderung durch Gesundheitsbehörden grundsätzlich Daten über erkrankte Beschäftigte, über Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten an die Behörden übermitteln. Die Rechtsgrundlage hängt von der konkreten behördlichen Anfrage ab, welche dort erfragt werden kann.

Auch Besucher- bzw. Kundendaten dürfen für den Fall, dass von der zuständigen Behörde eine auf Speicherung von Besucherdaten gerichtete Verfügung ergangen ist, erhoben und gespeichert werden. Ohne entsprechende Anordnung ist die Datenerfassung jedoch nur bei informierter Einwilligung möglich.

Hintergrund: Verarbeitung personenbezogener Beschäftigtendaten mit mehreren rechtlichen Regelungen zu begründen

Für viele Maßnahmen ergibt sich nach Ansicht der DSK die rechtliche Erlaubnis bereits aus § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO jeweils i. V. m. den einschlägigen beamtenrechtlichen sowie tarif-, arbeits- und sozialrechtlichen Regelungen.

Maßgeblich für Maßnahmen im arbeitsrechtlichen Bereich dürften zudem Art. 9 Abs. 2 lit. b DSGVO i. V. m. § 26 Abs. 3 BDSG sein. Demnach ist die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses unter anderem zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Personenbezogene Daten sind für die Aufgabenerfüllung der verantwortlichen Stelle unabdingbar und damit erforderlich, wenn die Aufgabe ohne die Kenntnis der Information nicht, nicht rechtzeitig, nur mit unverhältnismäßigem Aufwand oder nur mit sonstigen unverhältnismäßigen Nachteilen erfüllt werden kann.

Auch in Zeiten des Coronavirus gilt: Schutz der (Arbeitnehmer-)Daten sicherstellen & Maßnahmen dokumentieren

Auch wenn Erhebung und Speicherung vieler (Gesundheits-)Daten u.a. zur Bekämpfung des Coronavirus möglich ist, dürfen Unternehmen die Grundlagen der DSGVO wie Datenminimierung und Zweckerreichung nicht vernachlässigen. Sie sind angehalten, die getroffenen Maßnahmen gut zu dokumentieren und die etwaig gesicherten Daten ausreichend vor Zugriffen unbefugter Personen zu schützen. Es müssen mithin die TOM und entsprechende Regelungen vorliegen, um auch den Missbrauch der Daten zu verhindern.

Arbeitnehmer sind also nicht nur vor dem Coronavirus zu schützen, sondern auch vor dem Missbrauch ihrer personenbezogenen (Beschäftigten-)Daten.

Unsere Schwerpunktreihe: Die Wirtschaft in der Coronakrise

Unsere Blogbeiträge zum Themenbereich “Coronavirus – die wichtigsten rechtlichen Auswirkungen” informieren Sie über die fortlaufenden Entwicklungen, was Sie nun besonders beachten müssen und welche Maßnahmen Ihnen helfen könnten.

Bisher haben wir die Themen der Kurzarbeit aus Sicht von Arbeitgebern, der Fürsorge- und Schutzpflichten von Arbeitgebern, den Auswirkungen von Corona für arbeitende Eltern sowie zur Arbeit im Home-Office durch jeweils eigene Beiträg vertieft. Darüber hinaus finden Sie bei uns bereits Beiträge zum Datenschutz für Arbeitgeber in der Coronakrise, Informationen zur Aussetzung der Insolvenzantragspflicht, zur Möglichkeit von Fristverlängerungen, einen Überblick über mögliche Entschädigungszahlungen und was bei Veranstaltungsabsagen zu beachten ist. Weitere Beiträge widmen sich den steuerlichen Hilfsmaßnahmen, dem Kündigungsschutz für Mieter sowie den besonderen Hilfsangeboten für Künstler und andere Kreative.

Abgerundet werden unsere Beiträge durch eine Übersicht auch bezüglich der wichtigsten Anlaufstellen und Informationen zu finanziellen Hilfsangeboten und Maßnahmen, Hinweise zur Antragstellung auf die Corona-Soforthilfen sowie dazu, dass man sich bei allzu leichtfertiger Antragstellung wegen Betrugs strafbar machen könnte.


Bewertung: 1 Stern2 Sterne3 Sterne4 Sterne5 Sterne 5,00 von 5 Sterne, basierend auf 6 abgegebenen Stimmen.
Loading...

Hinterlasse einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Absendung eines Kommentars erfolgt auf Grundlage von Art. 6 I a) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Newsletter abonnieren
Die Datenverarbeitung im Zusammenhang mit der Eintragung in den Newsletter erfolgt primär auf Grundlage von Art. 6 I a) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Weitere Blogbeiträge zum Thema Corona
Newsletter abonnieren
Die Datenverarbeitung im Zusammenhang mit der Eintragung in den Newsletter erfolgt primär auf Grundlage von Art. 6 I a) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Weitere Blogbeiträge zum Thema Corona
Newsletter der Kanzlei: Gerne senden wir Ihnen regelmäßig kostenlose Informationen aus unseren Rechtsgebieten.
Holler Box