Nach Pressemeldungen ist die Mehrheit der Deutschen bereit, für die Bekämpfung der Corona-Krise Einschränkungen des Schutzes ihrer personenbezogenen Daten gegenüber Behörden und öffentlichen Stellen hinzunehmen. Das alleine aber rechtfertigt noch keine Maßnahmen, die Arbeitgeber im Angesicht der Corona-Pandemie treffen, um eine Ausbreitung im Unternehmen zu verhindern. Auch in Krisenzeiten bedarf die Verarbeitung personenbezogener Daten einer ausreichenden Rechtsgrundlage in der Datenschutzgrundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) bzw. datenschutzrechtlichen Spezialgesetzen, denn die Einwilligung des Einzelnen ist häufig nicht geeignet, um schnell und effektiv handeln zu können.
Am 13. März 2020 hat die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie veröffentlicht. Bereits zuvor hatten einzelne Landesdatenschutzbehörden, so insbesondere der Landesbeauftragte für den Datenschutz und die Informationssicherheit Baden-Württemberg, Leitfäden und FAQs herausgegeben, um die am häufigsten gestellten Fragen zu beantworten.
Relevante Informationen bei der Vorsorge und Abwendung von Corona-Fällen sind für den Arbeitgeber insbesondere solche über den Aufenthalt der eigenen Beschäftigten, aber auch von Besuchern oder Gästen in Risikogebieten, über den Kontakt zu nachweislich Infizierten sowie Angaben zu aktuellen Symptomen und Corona-Testergebnissen. Aber auch Vorsorgemaßnahmen wie Temperaturmessungen aller Personen vor Betreten des Betriebsgelände oder des Bürogebäude stehen vielfach im Raum.
Datenschutzrechtlich bedürfen die einzelnen Maßnahmen jeweils einer Rechtsgrundlage. Wenn es um Gesundheitsdaten geht, die datenschutzrechtlich als sensibel und daher besonders schützenswert eingestuft werden, greifen für die Verarbeitung spezielle Vorschriften. Im Bereich des Arbeitsrechts sind dabei insbesondere § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO einschlägig. Danach ist der Arbeitgeber berechtigt, Gesundheitsdaten zu verarbeiten, wenn dies zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Außerhalb eines Beschäftigungsverhältnisses, also beispielsweise gegenüber Besuchern oder anderen Externen, kann, je nach Art der betroffenen Daten, auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f) DSGVO unter Abwägung schutzwürdiger Interessen des Betroffenen, oder aber nach der insoweit wohl Covid-19-bedingt eher großzügigen Auslegung der DSK auf Art. 9 Abs. 2 lit. i) DSGVO in Verbindung mit § 22 Abs. 1 Nr. 1 lit. c) BDSG zurückgegriffen werden. Hiernach ist die Verarbeitung gesundheitsbezogener Angaben im erforderlichen Umfang unter anderem aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, zulässig, unterliegt allerdings insbesondere weiteren technisch-organisatorischen Schutzmaßnahmen.
Daneben gelten für alle Verarbeitungen selbstredend die allgemeinen Grundsätze der DSGVO, denen jede Verarbeitung personenbezogener Daten unterlieg. Zu wahren sind daher das Prinzip der Verhältnismäßigkeit, der Transparenz, der Vertraulichkeit und der Zweckbindung sowie die Verpflichtung, Daten zu löschen, sobald sie nicht mehr erforderlich sind.
In Bezug auf die eigenen Beschäftigten umfasst die Fürsorgepflicht des Arbeitgebers, so die DSK in ihrer aktuellen Information, jede angemessene Reaktion auf die epidemische bzw. pandemische Verbreitung einer meldepflichtigen Krankheit, die der Vorsorge und der Nachverfolgbarkeit im Sinne der Verhinderung weiterer Ausbreitung dient. Nach der Corona-Stellungnahme der DSK sind daher im Einzelnen zulässig:
Eine Weitergabe von Daten über erkrankte Beschäftigte, über den Kontakt zu Infizierten oder den Aufenthalt in Risikogebieten durch den Arbeitgeber an Dritte ist nur dann zulässig, wenn hierfür eine Rechtsgrundlage besteht. Ein Austausch solcher Informationen im Konzern ist vor diesem Hintergrund nur in seltenen Ausnahmefällen zulässig. Soweit es um die Weitergabe von Informationen dieser Art an Behörden geht, weist der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg zutreffend darauf hin, dass diese einer dies ausdrücklich anordnenden gesetzlichen Grundlage oder beispielsweise einer behördlicher Anordnungen auf Grundlage des Infektionsschutzgesetzes (IfSG) bedürfen. In behördlichen Anordnungen muss die jeweilige Rechtsgrundlage ausdrücklich genannt sein. Die Unternehmen müssen prüfen, ob die genannte Rechtsgrundlage auch einschlägig ist.
Die datenschutzrechtlichen Fragestellungen im Zusammenhang mit der Ausbreitung des Corona-Virus sind vielfältig. Die nun herausgegebenen Handreichungen der Aufsichtsbehörden sind hilfreich und wohl Covid-19-bedingt eher großzügig, entheben den Arbeitgeber aber nicht der Pflicht, die verschiedenen einzelne Maßnahmen im Einzelfall datenschutzrechtlich zu prüfen und sicherzustellen, dass die allgemeinen Anforderungen des Datenschutzrechts beachtet werden.
Auf unserer Themenseite finden Sie weitere, täglich aktualisierte Hinweise zur Corona-Krise.
