“DSGVO und BDSG ste­hen der Ein­däm­mung und Bekämp­fung der Corona-Pandemie kei­nes­falls imWeg. Viel­mehr bie­ten sie das Fun­da­ment, auf dem eine zweck­ge­rich­te­te und ange­mes­se­ne Bekämp-fung der Pan­de­mie auch daten­schutz­recht­lich mög­lich ist.” – Mat­thi­as Herkert

Ver­ar­bei­tung von Gesund­heits­da­ten nur restrik­tiv möglich

Da es sich beim Umgang mit Gesund­heits­da­ten um die Ver­ar­bei­tung einer »beson­de­ren Art per­so­nen­be­zo­ge­ner Daten han­delt« und auch wäh­rend der aktu­el­len Corona-Pandemie jede Per­so­nen­da­ten­ver­ar­bei­tung über eine gesetz­li­che Grund­la­ge der DSGVO und des BDSG zu legi­ti­mie­ren ist, soll­ten die betrieb­li­chen Daten­schutz­be­auf­trag­ten in jedem Fall in das Kri­sen­ma­nage­ment der Unter­neh­men und Ein­rich­tun­gen ein­be­zo­gen werden. 

Dabei ist klar, dass zum Gesund­heits­schutz der Beschäf­tig­ten wie auch zur Ein­däm­mung der Corona-Pandemie eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten mög­lich ist. Klar ist aber auch, dass die gesetz­li­chen Grund­la­gen wie auch die daten­schutz­recht­li­chen Grund­sät­ze, ins­be­son­de­re der Daten­mi­ni­mie­rung (Art. 5 Abs. 1 lit. c DSGVO) sowie die Inte­gri­tät und Ver­trau­lich­keit (Art. 5 Abs. 1 lit. f DSGVO), jeder­zeit zu beach­ten sind. 

Führ­sor­ge­pflicht des Arbeit­ge­bers gegen­über Beschäftigten

Aus der all­ge­mei­nen Für­sor­ge­pflicht des Arbeit­ge­bers zum Schutz von Leben und Gesund­heit der für ihn täti­gen Beschäf­tig­ten (insb. § 618 BGB) lei­tet sich aus Sicht der Auf­sichts­be­hör­den wie auch der Daten­schutz­auf­sich­ten der evan­ge­li­schen und katho­li­schen Kir­chen die Ver­pflich­tung ab, ange­mes­se­ne Maß­nah­men zu ergrei­fen, um eine Ein­däm­mung und Bekämp­fung der aktu­el­len Pan­de­mie zu erreichen. 

Das Fra­ge­recht des Arbeit­ge­bers umfasst in die­sen Fäl­len ins­be­son­de­re die Nach­fra­ge ob bei den Beschäf­tig­ten eine Infek­ti­on mit dem Coro­na­vi­rus SARS-CoV‑2 fest­ge­stellt wur­de oder ob Kon­takt mit einer Per­son (Drit­ten) bestand, bei der eine Infek­ti­on fest­ge­stellt wur­de. Auch die Fra­ge, ob im rele­van­ten Zeit­raum ein Auf­ent­halt in einem vom Robert-Koch-Institut (RKI) bezeich­ne­ten Risi­ko­ge­biet statt­ge­fun­den hat, ist für die Erfül­lung der Für­sor­ge­pflich­ten erfor­der­lich (HIER fin­den Sie inter­na­tio­na­len Risi­ko­ge­bie­te und beson­ders betrof­fe­ne Gebie­te in Deutsch­land auf der Home­page des RKI).

Als Rechts­grund­la­ge für die Fra­ge nach einem Auf­ent­halt in einem Risi­ko­ge­biet sowie für den grund­sätz­li­chen Umgang mit den Stamm­da­ten des Beschäf­tig­ten in die­sem Kon­text dient § 26 Abs. 1 S. 1 BDSG (Durch­füh­rung des Beschäf­ti­gungs­ver­hält­nis­ses), da die Daten­ver­ar­bei­tung erfor­der­lich ist, um den Gesund­heits­schutz der (übri­gen) Beschäf­tig­ten zu gewähr­leis­ten. Die Fra­ge nach einer Infek­ti­on mit dem Coro­na­vi­rus SARS-CoV‑2 oder dem Kon­takt zu einem nach­weis­lich Infi­zier­ten und somit die Ver­ar­bei­tung von Gesund­heits­da­ten ist auf die arbeits­recht­li­che Ver­pflich­tung zur arbeits­me­di­zi­ni­schen Vor­sor­ge zu stüt­zen und daher über Arti­kel 9 Abs. 4 DSGVO, § 26 Abs. 3 S. 1, § 22 Abs. 1 Nr. 1 lit. b BDSG zu legitimieren.

Offen­le­gung von Infektions- und Ver­dachts­fäl­len bei Beschäftigten

Der Umgang mit den Daten nach­weis­lich infi­zier­ter Beschäf­tig­ter oder unter Infek­ti­ons­ver­dacht ste­hen­den Per­so­nen ist betrieb­lich äußerst restrik­tiv zu handhaben.

Soweit mög­lich soll­te eine nament­li­che Ofen­le­gung unter­blei­ben, um eine Stig­ma­ti­sie­rung des Betrof­fe­nen zu ver­mei­den. Nur in Aus­nah­me­fäl­len, in denen etwa eine Ein­däm­mung der Anste­ckungs­ge­fahr ohne nament­li­che Benen­nung des Betrof­fe­nen nicht mög­lich erscheint, kommt eine Offen­le­gung gegen­über Kon­takt­per­so­nen in Betracht und nur inso­weit als die Kennt­nis der Iden­ti­tät des Betrof­fe­nen für die Vor­sor­ge­maß­nah­men der Kon­takt­per­so­nen aus­nahms­wei­se erfor­der­lich ist (HIER fin­den Sie eine Erklä­rung zum The­ma Kon­takt­per­son auf der Home­page des RKI). Die Offen­le­gung soll­te in die­sen Fäl­len soweit mög­lich auf eine Ent­schei­dung der Gesund­heits­be­hör­den gestützt werden. 

Infor­ma­ti­ons­pflicht des Beschäf­tig­ten gegen­über dem Arbeitgeber

Neben der prä­ven­ti­ven Führ­sor­ge­pflicht des Arbeit­ge­bers besteht nach Auf­fas­sung der Auf­sichts­be­hör­den für jeden ein­zel­nen Beschäf­tig­ten aus dem Arbeits­recht über die Rücksichts‑, Verhaltens- und Mit­wir­kungs­pflich­ten die Ver­pflich­tung zur Infor­ma­ti­on des Arbeit­ge­bers bei Vor­lie­gen einer nach­ge­wie­se­nen Infek­ti­on mit dem Coro­na­vi­rus SARS-CoV‑2, aus der unter gewis­sen Vor­aus­set­zun­gen auch eine Offen­le­gungs­be­fug­nis gemäß Arti­kel 6 Abs. 1 lit. c und f DSGVO bezüg­lich per­so­nen­be­zo­ge­ner Daten der Kon­takt­per­so­nen folge. 

Fazit

Auch in schwe­ren Zei­ten dür­fen Fra­gen des Daten­schut­zes nicht »hin­ten ange­stellt wer­den«. Die zum Teil exzes­si­ve Ver­ar­bei­tung von Gesund­heits­da­ten, die für die Ein­däm­mung und Bekämp­fung der Corona-Pandemie erfor­der­lich ist, muss staat­lich wie auch inner­halb der Betrie­be und Ein­rich­tun­gen auf der Grund­la­ge des gel­ten­den Daten­schutz­rech­tes erfol­gen. Hier­bei ste­hen die Vor­ga­ben der DSGVO und des BDSG die­sen Zie­len kei­nes­falls im Weg. Viel­mehr bie­ten sie das Fun­da­ment, auf dem eine zweck­ge­rich­te­te und ange­mes­se­ne Bekämp­fung der Pan­de­mie auch daten­schutz­recht­lich mög­lich ist.