Corona - rechtliche Einordnung

 

Beschäftigtendatenschutz in Zeiten der Corona-Pandemie

Auch in außergewöhnlichen Zeiten sind die Bestimmungen zum Datenschutz nach der DSGVO grundsätzlich einzuhalten.

Verfasserin: Maren Muke (Bielefeld)
weitere Ansprechpartner: Jeannine Lorenz (Potsdam), Dr. Nils Rümpker (Hamm / Münster)

 

Update vom 17. April 2020:

 

Die für NRW zuständige Datenschutzbehörde (Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, kurz LDI NRW) hat zwischenzeitlich  > FAQs zu Fragen und Maßnahmen des Arbeitgebers zum Schutz vor Corona-Infektionen veröffentlicht (siehe hierzu Gliederungspunkt I).

 

Am 03.04.2020 veröffentlichte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) außerdem noch eine > Entschließung zur Datenverarbeitung im Zusammenhang mit der Corona-Pandemie (siehe hierzu Gliederungspunkt II).

 

Mit Blick auf die am 15.04.2020 beschlossene nur langsame und schrittweise Lockerung der Schutzmaßnahmen ist eine Ergänzung im Verarbeitungsverzeichnis erforderlich (siehe hierzu Gliederungspunkt III).

 

I. FAQs der LDI NRW zu Fragen und Maßnahmen des Arbeitgebers zum Schutz vor Corona-Infektionen

Im Kern ist es bei dem geblieben, worüber wir in dem untenstehendem Artikel vom 23. März 2020 bereits berichteten. Ein paar – nicht unbedingt der Klarstellung dienende – Ergänzungen der Datenschutzbehörde und unsere Einschätzung hierzu möchten wir Ihnen aber nicht vorenthalten:

  1. Laut LDI NRW ist eine Befragung der Beschäftigten zu Krankheitssymptomen nur insoweit zulässig ist, als die Fragen auf typische Symptome einer Corona-Infektion beschränkt ist und ein erhöhtes Infektionsrisiko besteht, etwa wenn bei anderen Beschäftigten im Betrieb bereits eine Infektion positiv festgestellt wurde. Als typische Krankheitszeichen werden Fieber und Husten genannt. Direkt im Anschluss erfolgt aber der Hinweis, dass es nach derzeitigem Stand keine eindeutigen und unverwechselbaren Corona-Symptome gebe, die mit bloßem Auge erkennbar wären. Fieber und Husten könnten ebenso von anderen Krankheiten ausgelöst werden. Eine Infektion mit dem Corona-Virus könne auch ganz ohne Symptome verlaufen. Was genau mit diesem Hinweis bezweckt wird, erklärt die LDI nicht. Aus unserer Sicht lässt dies aber darauf schließen, dass Fragen nach Krankheitssymptomen einen „Corona-Bezug“ aufweisen müssen. Statt allgemeiner Fragen nach (Erkältungs-)Symptomen wie Husten oder Fieber, sollten Fragen also besser darauf gerichtet werden, ob der Mitarbeiter es anhand seiner Symptome für möglich hält, an Corona erkrankt zu sein. Dies hat zudem den Vorteil, dass die Symptome nicht im Detail abgefragt werden müssen.

  2. Interessant ist auch, dass die Datenschutzbehörden ihre Einschätzung zu Fiebermessungen am Eingang von Betriebsgeländen oder -gebäuden augenscheinlich etwas gelockert haben. Hatten sie zuvor Fiebermessungen als Voraussetzung für den Zutritt zu Betriebsräumen noch für zu weitgehend gehalten (wir berichteten), schreibt die LDI NRW jetzt, die Temperaturkontrolle könne ein geeignetes Mittel sein, um Hinweise auf etwaige Corona-Verdachtsfälle zu erhalten. Betont wird allerdings, dass die Umstände des Einzelfalles bei der Beurteilung der Zulässigkeit eine maßgebliche Rolle spielen. Von einer generellen Temperaturkontrolle am Eingang sollte also nach wie vor abgesehen werden. Eine Speicherung der aus der Fiebermessung gewonnen Daten bleibt – so die Datenschutzbehörde – aber unzulässig. Es bestehe kein Grund für die Speicherung, wenn die Fiebermessung lediglich für die Entscheidung benötigt werde, ob jemand für den betreffenden Tag Einlass erhält oder nicht.

  3. Der im Hinblick auf die Fiebermessungen dann folgende Rat der Datenschutzbehörde, eine möglichst einvernehmliche Lösung mit den Beschäftigten, dem Betriebs- oder Personalrat sowie der oder dem Datenschutzbeauftragten herbeizuführen, ist allerdings irreführend: Sicherlich richtig und sinnvoll ist es, eine Abstimmung mit dem bzw. der Datenschutzbeauftragten des Betriebes oder der Dienststelle vorzunehmen und nach einer Einigung mit dem Betriebs- oder Personalrat zu suchen. Bei den Fiebermessungen handelt es sich schließlich um Zugangskontrollen, die Mitbestimmungsrechte auslösen – sowohl nach dem Betriebsverfassungsgesetz als auch nach dem Personalvertretungsgesetz. Weitere Mitbestimmungsrechte können sich ergeben, wenn technische Einrichtungen eingesetzt werden sollen, die dazu bestimmt oder auch nur geeignet sind, (auch) das Verhalten oder die Leistungen der Beschäftigten zu überwachen.

    Die Fiebermessungen aber auf eine „freiwillige Einwilligung“ der Arbeitnehmer zu stützen, ist jedoch kein guter Rat: Im Mitarbeiterkontext taugen Einwilligungen regelmäßig nicht als datenschutzrechtliche Rechtsgrundlage, da sie von Arbeitnehmern nicht wirklich freiwillig erteilt werden. Dies liegt an der strukturellen Unterlegenheit der Arbeitnehmer, die sich aus der persönlichen Abhängigkeit vom Bestand ihrer Arbeitsplätze ergibt. Insbesondere dann, wenn mit der Nichterteilung der Einwilligung Nachteile oder Einschränkungen für den oder die Beschäftigten verbunden wären, fehlt es an einer echten Freiwilligkeit, die zur Unwirksamkeit der Einwilligung führt.

    So auch bei der Einlasskontrolle mit Fiebermessung: Verweigert der Arbeitnehmer die Messung, muss er damit rechnen, dass ihm der Zugang zum Gebäude bzw. Gelände verweigert wird und ihm möglicherweise weitere Konsequenzen (z.B. Gehaltseinbußen wegen Nichterbringung der Arbeitsleistung) drohen. Eine unter diesen Umständen gegebene Einwilligung zur Verarbeitung auch noch sensibler Gesundheitsdaten (Körpertemperatur) ist nicht „freiwillig“ und damit unwirksam. Die Verarbeitung erfolgt dann ohne Rechtsgrundlage.

    Vor diesem Hintergrund sollten derartige Maßnahmen unter den engen Voraussetzungen des § 26 Abs. 3 S. 1 BDSG in Verbindung mit Artikel 9 DSGVO durchgeführt werden. Liegen die Voraussetzungen vor, bedarf es einer zusätzlichen Zustimmung der Arbeitnehmer nicht. Schaden kann die Zustimmung der Arbeitnehmer aber natürlich trotzdem nicht – insoweit ist der Datenschutzbehörde beizupflichten.

    Die LDI spricht im Übrigen ausschließlich von kontaktlosen Fiebermessungen. Hierbei sollte es unbedingt belassen werden. Arbeitgeber sind nicht zu körperlichen Untersuchungen befugt.

 

II. Entschließung der unabhängigen Datenschutzbehörden des Bundes und der Länder

In ihrer jüngsten Entschließung betont die DSK zunächst den Stellenwert des Datenschutzes zur Sicherung des Grundrechts auf informationelle Selbstbestimmung, das „nur so weit und so lange eingeschränkt werden [dürfe], wie es zwingend erforderlich und angemessen [ist], um die Gesundheit der Bevölkerung wirksam zu schützen“. Wie auch schon der europäische Datenschutzausschuss legt die DSK besonderen Wert auf die Einhaltung der Verarbeitungsgrundsätze (Artikel 5 DSGVO). Über diese Kernprinzipien der DSGVO hatten wir bereits in untenstehendem Artikel berichtet. Hier haben sich keine nennenswerten Änderungen ergeben.

 

III. Ergänzung im Verarbeitungsverzeichnis

Mit Blick darauf, dass die Sicherheitsmaßnahmen im Zusammenhang mit der Corona-Pandemie voraussichtlich nur langsam und schrittweise gelockert werden, müssen wir ferner davon ausgehen, dass die Corona-Maßnahmen am Arbeitsplatz, zumindest noch eine gewisse Zeit aufrechterhalten werden müssen. Der Vollständigkeit halber sollten die zusätzlichen Verarbeitungstätigkeiten deshalb in das nach Artikel 30 DSGVO zu führende Verarbeitungsverzeichnis eingefügt werden, sofern nicht schon geschehen. Gerade weil es sich vorrangig um die Verarbeitung von Gesundheitsdaten, also besonders sensiblen Daten handelt, ist Transparenz, die auch über das Verzeichnis hergestellt wird, besonders wichtig.

 

Text vom 23. März 2020

 

Beschäftigtendatenschutz

Auch in außergewöhnlichen Zeiten sind die Bestimmungen zum Datenschutz nach der DSGVO grundsätzlich einzuhalten.

Verfasserin: Maren Muke (Bielefeld)
weitere Ansprechpartner: Jeannine Lorenz (Potsdam), Dr. Nils Rümpker (Hamm / Münster)

 

Nach zahlreichen Anfragen verunsicherter Arbeitgeber, die sich an die nationalen Datenschutzbehörden gewandt hatten, hat nun auch der Europäische Datenschutzausschuss in seinem Statement vom 19.03.2020 noch einmal ausdrücklich klargestellt, dass die Datenschutzgrundverordnung der Verarbeitung von personenbezogenen Daten im Kampf gegen die Pandemie nicht entgegensteht. Der Europäische Datenschutzausschuss betont aber, dass auch in außergewöhnlichen Zeiten wie diesen die Bestimmungen zum Datenschutz einzuhalten sind.

 

I. Allgemeine Grundsätze zur Verarbeitung von Mitarbeiterdaten in Zeiten der Krise

Die Kernprinzipien der DSGVO sind wie gewohnt zu beachten. Das bedeutet, dass

  • Daten so sparsam wie möglich verarbeitet werden müssen;
  • die Daten nur für festgelegte, eindeutige und legitime Zwecke und ausschließlich auf Basis einer Rechtsgrundlage verarbeitet werden dürfen;
  • die verarbeiteten Daten vertraulich behandelt werden müssen;
  • der Grundsatz der Verhältnismäßigkeit bei der Verarbeitung gewahrt sein muss, also immer das mildeste von verschiedenen gleich geeigneten Mitteln gewählt werden muss;
  • die Betroffenen über die Verarbeitung präzise, transparent und in leicht verständlicher Sprache informiert und über ihre Betroffenenrechte belehrt werden müssen;
  • eine angemessene Sicherheit der Daten gewährleistet sein muss, insbesondere vor unbefugtem oder unrechtmäßigem Zugriff Dritter;
  • die zur Eindämmung der Pandemie getroffenen Maßnahmen und die den Entscheidungen zu Grunde liegenden Gründe hinreichend dokumentiert werden müssen
    und
  • die verarbeiteten Daten nach Wegfall des Verarbeitungszwecks (meist schon nach der Inkubations- bzw. Entdeckungszeit, spätestens aber zum Ende der Pandemie) gelöscht werden müssen.

 

II. Zulässige Verarbeitungen durch den Arbeitgeber

Die konkrete Rechtsgrundlage der Verarbeitung hängt maßgeblich von der Art der verarbeiteten Daten und der konkreten Maßnahme ab.

Ganz grundsätzlich können private Arbeitgeber Mitarbeiterdaten auf Grundlage von § 26 BDSG i.V.m. Art. 6 Abs. 1f DSGVO oder Art. 6 Abs. 1c DSGVO in Verbindung mit den tarif-, arbeits- und sozialrechtlichen Pflichten des Arbeitgebers verarbeiten.

In Zeiten der Pandemie werden allerdings vorrangig Daten im Zusammenhang mit der Gesundheit der betroffenen Person verarbeitet. Solche Gesundheitsdaten sind sog. sensible Daten und werden von Art. 9 DSGVO deshalb besonders geschützt. Einschlägig sind hier insbesondere Art. 9 Abs. 2b DSGVO und § 26 Abs. 3 BDSG, wenn die Verarbeitung zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht erforderlich ist. Sofern keine gesonderte Rechtsgrundlage besteht, ist eine Verarbeitung nur auf Basis einer wirksamen Einwilligung des/r Betroffenen zulässig.

Zu den Pflichten, deren Erfüllung auch ohne Einwilligung zur Verarbeitung berechtigt, gehört u.a. die Fürsorgepflicht des Arbeitgebers, seine Mitarbeiter bestmöglich vor einer Infektion zu schützen.

Nach Einschätzung des Europäischen Datenschutzausschusses und der unabhängigen Datenschutzbehörden des Bundes und der Länder sind auf dieser Grundlage angemessene Reaktionen auf die pandemische Verbreitung des Coronavirus, die insbesondere der Vorsorge und im Fall der Fälle auch der Nachverfolgbarkeit (als nachgelagerte Vorsorge gegenüber den Kontaktpersonen) dienen, zulässig. Hierzu zählen etwa:

  • Befragungen der an Covid-19 erkrankten Mitarbeiter, zu welchen Personen sie im Betrieb Kontakt hatten;
  • Befragungen von Urlaubsrückkehrern, ob sie in einem vom Robert-Koch-Institut festgelegten Risikogebiet waren;
  • Befragungen von Mitarbeitern, ob sie mit nachweislich an Covid-19 erkrankten oder unter Infektionsverdacht stehenden Menschen Kontakt hatten;
    aber auch
  • die temporäre Speicherung der aktuellen privaten Handynummer etc. für Notfälle, um etwa die Beschäftigten kurzfristig vor Ansteckungsgefahren aus der Sphäre des Arbeitgebers zu warnen.

Die Handynummern sollten ausschließlich bei den Mitarbeitern direkt erfragt und – nach Auffassung der Datenschutzbehörden – ausschließlich mit deren Einverständnis gespeichert und genutzt werden. Eine Pflicht zur Offenlegung privater Kontaktdaten bestehe für die Beschäftigten nicht, liege regelmäßig aber im eigenen Interesse der Beschäftigten.

Mit Blick auf die Zielrichtung des seit dem 22.03.2020 bestehenden Kontaktverbots sind grundsätzlich auch weitere Fragen zur besseren Risikobewertung denkbar, etwa die Frage, ob Arbeitnehmer mit öffentlichen Verkehrsmitteln zur Arbeit fahren oder an Großveranstaltungen teilgenommen haben. Der Zeitraum, nach dem gefragt wird, und die Speicherung der Daten sollte sich auch hier an der mutmaßlichen Inkubations- und Entdeckungszeit von Infektionen orientieren.

Den Zutritt zu Betriebsräumen davon abhängig zu machen, dass sich die Mitarbeiter z.B. einer Messung ihrer Körpertemperatur unterziehen, soll nach Auffassung der Behörden aber zu weit gehen.

 

III. Pflichten der Arbeitnehmer

Die Datenschutzbehörden sehen aber nicht nur die Arbeitgeber in der Pflicht, sondern auch die Arbeitnehmer:

Ausdrücklich verweisen sie darauf, dass auch die Beschäftigten verschiedene Nebenpflichten, unter anderem Rücksichts-, Verhaltens- und Mitwirkungspflichten, aus dem Tarifrecht bzw. dem Arbeitsrecht für Beschäftigte gegenüber ihrem Arbeitgeber haben. Aus diesen Nebenpflichten sind Arbeitnehmer verpflichtet, alles ihnen Zumutbare zu unternehmen, um Schaden von ihrem Arbeitgeber abzuwenden.

Nach Auffassung der Datenschutzaufsichtsbehörden besteht so jedenfalls die Pflicht zur Information des Arbeitgebers über das Vorliegen einer Infektion mit dem Coronavirus oder das Bestehen eines Infektionsverdachts, z.B. nach dem Kontakt mit einer infizierten Person.

 

IV. Offenlegung gegenüber der Belegschaft, der Gesundheitsbehörde oder Dritten (z.B. Kunden)

Zum Schutz hochrangiger Interessen Dritter ist der Arbeitgeber unter gewissen Voraussetzungen berechtigt, Daten weiterzugeben. Bei der namentlichen Nennung nachweislich an Covid-19 erkrankter oder unter Infektionsverdacht stehender Mitarbeiter gegenüber der Belegschaft oder Dritten (z.B. Kunden) ist aber höchste Zurückhaltung geboten:

Die Bekanntmachung der Corona-Erkrankung eines/r Mitarbeiters/in kann für diese(n) zu einer enormen Stigmatisierung führen. Der Europäische Datenschutzausschuss mahnt daher ausdrücklich dazu, Würde und Unversehrtheit des/der Betroffenen unbedingt zu schützen!

Die Nennung des Namens des/der Betroffenen sollte grundsätzlich vermieden und allenfalls in solchen Fällen erfolgen, in denen die Bekanntgabe des Namens zwingend für die Vorsorgemaßnahmen der Kontaktpersonen erforderlich ist. Dies sei – so die Datenschutzbehörden – aber nur sehr selten der Fall. Regelmäßig reiche es aus, Warnungen oder Maßnahmen wie etwa eine Freistellung zur Eindämmung der Ansteckungsgefahr, abteilungs-/ bzw. teambezogen ohne Namensnennung vorzunehmen. Dies gilt in der Regel auch für die Benachrichtigung von Geschäftspartnern oder Besuchern des Unternehmens, die mit dem/der Mitarbeiter/in ggf. in Kontakt waren.

Die Namensnennung sollte also die absolute Ausnahme bleiben und allenfalls streng vertraulich gegenüber einem möglichst kleinen Empfängerkreis erfolgen – und auch nur dann, wenn alle anderen Maßnahmen ausnahmsweise nicht ausreichen.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit des Landes Baden-Württemberg, auf den sich auch die Datenschutzbehörde NRW bezieht, rät Arbeitgebern außerdem dazu, in Zweifelsfällen zunächst Kontakt mit den Gesundheitsbehörden aufzunehmen und deren konkrete Weisung zu erbitten.

Meldungen erkrankter Mitarbeiter an Gesundheitsbehörden sind vom Arbeitgeber grundsätzlich nicht vorzunehmen. Fordert die zuständige Behörde den Arbeitgeber aber z.B. nach § 16 Abs. 2 S. 3 IfSG auf, Daten erkrankter Mitarbeiter zu übermitteln, ist die Verarbeitung zur Erfüllung dieser rechtlichen Verpflichtung nach Auffassung der Datenschutzbehörden zulässig. Aus der Anordnung der zuständigen Behörde, die Daten erkrankter Mitarbeiter offenzulegen, ergebe sich regelmäßig eine entsprechende Befugnis für die Datenverarbeitung.

Solange eine behördliche Anordnung aber nicht vorliegt, sollten die Daten der betroffenen Mitarbeiter, insb. Namen und Kontaktdaten, regelmäßig nicht weitergegeben werden, wenn der/die Betroffene zuvor nicht ausdrücklich und wirksam in Textform in die Weitergabe eingewilligt hat.

 

V. Information über die Verarbeitung der Beschäftigtendaten

Wichtig ist außerdem, dass der/die Betroffene vor jeder beabsichtigten Verarbeitung präzise, transparent und in leicht verständlicher Sprache informiert und über seine/ihre Betroffenenrechte belehrt wird. In diesem Zusammenhang sollte geprüft werden, ob die vom Arbeitgeber verwendete Beschäftigteninformation nach Artikel 13, 14 DSGVO alle Verarbeitungssituationen abdeckt. Hier sind ggf. Anpassungen erforderlich.