Empfehlungen und Hintergründe: Datenschutz in Zeiten von Covid-19

Dr. Carlo Piltz

Die zunehmende Verbreitung des Corona-Virus (Covid-19) und die Bemühung dessen epidemiologische Ausbreitung einzudämmen, machen es sowohl für öffentliche Stellen als auch für private Unternehmen notwendig, besondere datenschutzrechtliche Aspekte zu beachten. Aus diesem Grund haben wir eine Reihe von Praxisempfehlungen sowie eine Hintergrundanalyse zum Thema erstellt.

Unsere Praxisempfehlungen

  • Orientieren Sie sich an den Empfehlungen der Gesundheitsbehörden und des Robert-Koch-Instituts. Nur strukturierte Maßnahmen haben signifikante Auswirkungen auf die Verbreitung des Virus.
  • Treffen Sie angemessene Maßnahmen zum Schutz Ihrer Mitarbeiter. Bewerten Sie hierfür zunächst das Risiko. Entscheiden Sie dann, ob Sie Mitarbeiter ins Homeoffice schicken, Fiebermessungen sinnvoll sind oder allgemeine Hygienehinweise ausreichen. Homeoffice kann insbesondere bei Angehörigen von Risikogruppen eine sinnvolle Maßnahme sein.
  • Wenn Sie es für notwendig halten, Mitarbeiter oder Besucher Ihres Unternehmens mittels Fragebogen nach dem Aufenthalt in Risikogebieten oder Kontakt zu infizierten Personen fragen, formulieren Sie die Frage negativ (z.B.: Waren Sie in den letzten 14 Tagen nicht in einem der folgenden Risikogebiete?).
  • Wenn Fiebermessungen vor dem Einlass auf das Unternehmensgelände notwendig sind, sollten die Messdaten nicht gespeichert werden, um eine Verarbeitung im datenschutzrechtlichen Sinne zu vermeiden. Wenn Besucher sich einer Messung verweigern, kann der Zutritt auf Grundlage des Hausrechts verwehrt werden. Wenn Mitarbeiter sich einer Messung verweigern, kann der Mitarbeiter unter Risikoabwägung ins Homeoffice geschickt werden.
  • Werden Sie von Mitarbeitern über eine Infektion, den Aufenthalt in Risikogebieten oder den Kontakt zu infizierten Personen informiert, schicken Sie die Person in jedem Fall nach Hause und empfehlen Sie eine Kontaktaufnahme mit den Behörden. Wichtig dabei ist, dass sich der Betroffene telefonisch anmeldet. Eine Meldepflicht von Unternehmen gegenüber den Behörden besteht derzeit nicht.

Zum Hintergrund

Was sind Gesundheitsdaten?

Art. 4 Nr. 15 DSGVO definiert Gesundheitsdaten als personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Nach Art. 9 Abs. 1 DSGVO handelt es sich bei Gesundheitsdaten um besondere Kategorien von personenbezogenen Daten, die einem noch strengeren Verarbeitungsverbot unterliegen als "normal" personenbezogene Daten. Eine Verarbeitung ist nur unter den Ausnahmetatbeständen des Art. 9 Abs. 2 DSGVO zulässig.

Beispiele für Gesundheitsdaten sind Aufzeichnungen über Temperaturmessungen oder Symptome von Personen, Informationen über eingenommene Medikamente oder die konkrete Information über eine Ansteckung.

Auf welcher Rechtsgrundlage dürfen Gesundheitsdaten verarbeitet werden?

Als Legitimation für eine Verarbeitung von Gesundheitsdaten durch Unternehmen kommen im Wesentlichen nur eine Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, eine Erforderlichkeit für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten nach Art. 9 Abs. 2 lit. h DSGVO oder – deutlich seltener – eine Erforderlichkeit aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren in Betracht (Art. 9 Abs. 2 lit. i DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c BDSG).

Eine Verarbeitung von Gesundheitsdaten auf Grundlage einer Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) oder eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) kommt hingegen nicht in Betracht, da in Art. 9 Abs. 2 DSGVO entsprechende Erlaubnistatbestände nicht vorhanden sind. Unternehmen finden sich daher aktuell schnell in einem Spannungsfeld zwischen Maßnahmen zu einer Eindämmung des Virus sowie dem Schutz ihrer Arbeitnehmer und der Einhaltung datenschutzrechtlicher Vorgaben wieder.

Eine Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis kann jedoch auch nach § 26 Abs. 3 BDSG zulässig sein, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist. Dies gilt jedoch nur, wenn kein Grund zu der Annahme besteht, dass schutzwürdige Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen. Die Legitimation bedarf demnach einer Abwägung mit den Interessen der betroffenen Person. Hierbei ist die Privatsphäre der Mitarbeiter zu achten.

Niedrige Hürden für die Klassifizierung als Gesundheitsdatum

Die systematische Speicherung möglicher Virussymptome kann bereits ausreichend sein für die Klassifizierung als Gesundheitsdatum. Die Abfrage (und somit Verarbeitung) von Gesundheitsdaten, z.B. mittels Fragebögen, ist in der Regel nur auf Grundlage einer Einwilligung im Sinne des Art. 9 Abs. 2 lit. a DSGVO der betroffenen Person zulässig. Zu berücksichtigen ist hierbei, dass die Einwilligung ausdrücklich, freiwillig und in transparent informierter Art und Weise abgegeben wird. Gleichzeitig ist sie jederzeit widerruflich. Insbesondere innerhalb eines Arbeitsverhältnisses ergeben sich Probleme hinsichtlich des Kriteriums der Freiwilligkeit. Damit eine Freiwilligkeit gegeben ist, muss die Einwilligung ohne jeden Zwang oder Druck erfolgen und aus einer Verweigerung der Einwilligung dürfen der betroffenen Person keine negativen Konsequenzen erwachsen. Wenn der Arbeitgeber Auskünfte von seinem Arbeitnehmer in Bezug auf eine mögliche Infektion erfragt, wird sich regelmäßig wohl ein gewisser Druck für den Arbeitnehmer nicht von der Hand weisen lassen. Daher stellt sich die Verarbeitung von Gesundheitsdaten insbesondere im Arbeitsverhältnis auf Grundlage einer Einwilligung als problematisch dar.

Pflichten des Arbeitgebers als Grundlage der erforderlichen Datenverarbeitung

Nach den Vorgaben von § 618 Abs. 1 BGB haben Arbeitgeber dafür Sorge zu tragen, dass die Angestellten vor einer Ansteckung durch andere Beschäftigte hinreichend geschützt sind. Diese Schutzpflicht des Arbeitgebers erstreckt sich jedoch nicht nur auf mitarbeitende Kollegen, sondern auch auf eine mögliche Infektion durch Dritte, mit denen Beschäftigte  bestimmungsgemäß in Kontakt kommen. Hier muss der Arbeitgeber sofern die konkrete Möglichkeit einer Infektion besteht, geeignete Gegenmaßnahmen ergreifen. Dies gilt insbesondere für den medizinischen Bereich. Maßnahmen können beispielsweise eine Aufklärung des Arbeitnehmers über ein bestehendes Risiko und die Möglichkeiten, die Realisierung des Risikos zu verhindern sein.

Für derartige Maßnahmen muss unter Berücksichtigung des jeweiligen Arbeitsumfelds ein konkretes Risiko bestehen. Seitens der Gesundheitsbehörden wird für eine Risikobeurteilung auf die Kriterien des Robert-Koch-Instituts (RKI) hingewiesen. Das RKI hat die Kriterien für Risikogebiete in Bezug auf das Corona-Virus definiert. Insofern dürfte gelten, dass ein Aufenthalt in den Risikogebieten oder ein Kontakt mit infizierten Personen, den Arbeitgeber zu präventiven Maßnahmen verpflichtet. Andererseits dürfen Arbeitnehmer nicht zu einer Aussage gezwungen werden.

Was sind angemessene Maßnahmen für Unternehmen?

Unternehmen haben demnach angemessene Maßnahmen zu ergreifen, um Mitarbeiter (und Dritte) vor einer möglichen Infektion zu schützen.

Die verpflichtende Abfrage von Daten aller Mitarbeiter von Informationen zu Reisezielen und Reisezeiten, Gesundheitszuständen oder gar die Mitteilung über das pauschale Vorkommen von Grippe-Symptomen gegenüber anderen Mitarbeitern ist in Ermangelung einer datenschutzrechtlichen Rechtsgrundlage unzulässig.

Es steht Unternehmen allerdings frei, strengere Regeln zum Beispiel für die Einlasskontrolle festzulegen und beispielsweise Fiebermessungen durchzuführen. Solange keine Speicherung der Messergebnisse stattfindet, unterfällt dies wohl nicht dem Datenschutzrecht. Fiebermessen dürfte aber wohl ohnehin nur eine Datenverarbeitung darstellen, wenn die Messergebnisse aufgezeichnet werden. Der bloße temporäre Messvorgang ist eventuell keine Datenverarbeitung und würde demnach nicht unter die Anforderungen des Datenschutzrechts fallen. Wenn Messdaten länger aufgezeichnet werden sollen, bedarf es einer Rechtsgrundlage für die Datenverarbeitung der systemischen Erfassung.

Bei Torkontrollen lässt sich die Verarbeitung „normaler“ personenbezogener Daten, wie des Namens eines Besuchers, auf Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO stützen. Sofern auch Fiebermessungen vor dem Einlass stattfinden sollen, gilt das Vorerwähnte. Ohne eine Speicherung der Messergebnisse bedarf es keiner datenschutzrechtlichen Erlaubnisnorm. Wenn die Daten gespeichert werden sollen, bedarf es einer ausdrücklichen Einwilligung der betroffenen Person nach Art. 9 Abs. 1 lit. a DSGVO oder einer behördlichen Anordnung nach Art. 9 Abs. 2 lit. i DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c BDSG.

Die Abfrage von Risikodaten mittels einer Excelliste, ob Personen in den letzten 2 Wochen (also der max. Inkubationszeit) in einem Risikogebiert waren oder Kontakt mit einem Infizierten hatten, lässt sich in Bezug auf die "normalen" personenbezogener Daten, wie den Namen, auf Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO stützen. Die Abfrage der Risikokriterien sollte idealerweise negativ formuliert werden (z.B.: Ich war in den letzten zwei Wochen nicht in einem der Risikogebiete) und binär mittels ja oder nein zu beantworten sein. In dieser Variante lässt sich die Angabe nämlich aller Voraussicht nach noch nicht als Gesundheitsdatum ansehen. Dann wäre auch keine zusätzliche Ausnahme nach Art. 9 Abs. 2 DSGVO erforderlich.  Die Abfrage der Risikokriterien wird auch seitens der irischen Aufsichtsbehörde als zulässig erachtet.

Aufgrund der Risikolage einer möglichen Infektion im Falle der Erfüllung der örtlichen und personellen Risikokriterien ließe sich aus Sicht eines Arbeitgebers eine Datenverarbeitung auch von Gesundheitsdaten der Mitarbeiter wohl auf Grundlage von § 26 Abs. 3 BDSG (zur Erfüllung rechtlicher Pflichten aus dem Arbeitsverhältnis) rechtfertigen. Eine Abwägung mit den Persönlichkeitsrechten der Mitarbeiter ist aber durchzuführen.

Weitere Informationen

[März 2020]