Für viele Organisationen dürfte Datenschutz in diesen Tagen nicht das vordringlichste Thema sein. Vielfach herrscht jedoch Unsicherheit, was der Datenschutz konkret für die Vielzahl von Maßnahmen, welche Arbeitgeber zum Schutz ihrer Beschäftigten aktuell ergreifen wollen oder müssen, bedeutet, z.B.: Welche Maßnahmen sind dem Arbeitgeber / dem Dienstherrn gestattet? Dürfen zum Schutz der Bediensteten, Bürger, Kunden oder Besucher sensible (Gesundheits-) Daten von Mitarbeitern und Besuchern erhoben werden?
Gesundheitsdaten genießen hohes Schutzniveau
Die im Zusammenhang mit der Pandemie erhobenen personenbezogenen Daten ermöglichen es, Bezüge zwischen Personen und deren Gesundheitszustand herstellen. Damit handelt es sich vorwiegend um Gesundheitsdaten, die nach Artikel 9 der Datenschutz-Grundverordnung (DSGVO) besonders geschützt sind und nur restriktiv verarbeitet werden dürfen.
Allgemeine Datenschutzgrundsätze gelten auch in der Krise
Grundsätzlich gilt, dass Arbeitgeber alle Informationen erheben dürfen, die sie benötigen, um ihrer Fürsorgepflicht nachzukommen, den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Die Maßnahmen müssen dabei immer notwendig und verhältnismäßig sein. Nach Wegfall des jeweiligen Verarbeitungszwecks, also typischerweise spätestens am Ende der Pandemie, müssen die erhobenen Daten unverzüglich gelöscht werden.
Position der Konferenz der Datenschutzaufsichtsbehörden
Zur Eindämmung der Pandemie oder zum Schutz anderer Mitarbeiter(innen) sind nach Auffassung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) insbesondere folgende Verarbeitungen möglich:
- Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten, um eine Ausbreitung des Virus unter den Beschäftigten zu verhindern oder einzudämmen.
- Erhebung und Verarbeitung personenbezogener Daten von Gästen und Besuchern, um etwa festzustellen, ob diese infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen oder sich in einem relevanten Zeitraum in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet aufgehalten haben.
- Dies umfasst für Arbeitgeber insbesondere die Erlaubnis, von ihren Beschäftigten grundsätzlich auch die aktuelle private Handynummer abzufragen und temporär zu speichern, damit die Beschäftigten kurzfristig gewarnt werden können und z.B. nicht bei der Arbeit erscheinen. Dies ist allerdings nur mit Einverständnis des Beschäftigten zulässig und muss der Verringerung der Infektionsgefährdung dienen. Zu anderen Zwecken darf die Handynummer in keinem Fall verwendet werden.
- Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen ist ein heikles Thema. Nach Auffassung der DSK ist dies zur Information von Kontaktpersonen nur rechtmäßig, wenn die Kenntnis der Identität unbedingt erforderlich ist (zum Beispiel für die Vorsorgemaßnahmen der Kontaktpersonen).
Fazit
Die Entwicklungen sind dynamisch und eine allgemeingültige Antwort auf die Frage der datenschutzrechtlichen Zulässigkeit einer Maßnahme ist kaum möglich.
Es ist daher unumgänglich, immer den konkreten Einzelfall zu beurteilen und unter Einbindung des Betriebs- / Personalrates und des internen oder externen Datenschutzbeauftragten zu entscheiden, welche konkrete Maßnahme erforderlich und angemessen ist.
Gerne unterstützen wir Sie bei der Beurteilung der datenschutzkonformen Verarbeitung von Daten im Zusammenhang mit der Umsetzung von Maßnahmen zur Eindämmung der Corona-Pandemie und zum Schutz der Beschäftigten.
Auf den Internetseiten des Bayerischen Landesbeauftragten für den Datenschutz erhalten Sie Sonderinformationen zur Zulässigkeit der Verarbeitung von personenbezogenen Daten im Rahmen der Corona-Pandemie zum Download