In vielen Unternehmen und Einrichtungen werden derzeit im Zusammenhang mit dem CoronavirusSARS-CoV‑2 Gesundheitsdaten von Beschäftigten verarbeitet. Da hierbei regelmäßig ein eindeutigerBezug zwischen der Person des jeweiligen Beschäftigten und dessen Gesundheitszustand hergestelltwird, handelt es sich bei diesen Daten um »Gesundheitsdaten« im Sinne des Artikel 4 Nr. 15 DSGVOund damit um über Artikel 9 DSGVO besonders geschützte personenbezogene Daten.
“DSGVO und BDSG stehen der Eindämmung und Bekämpfung der Corona-Pandemie keinesfalls imWeg. Vielmehr bieten sie das Fundament, auf dem eine zweckgerichtete und angemessene Bekämp-fung der Pandemie auch datenschutzrechtlich möglich ist.” – Matthias Herkert
Verarbeitung von Gesundheitsdaten nur restriktiv möglich
Da es sich beim Umgang mit Gesundheitsdaten um die Verarbeitung einer »besonderen Art personenbezogener Daten handelt« und auch während der aktuellen Corona-Pandemie jede Personendatenverarbeitung über eine gesetzliche Grundlage der DSGVO und des BDSG zu legitimieren ist, sollten die betrieblichen Datenschutzbeauftragten in jedem Fall in das Krisenmanagement der Unternehmen und Einrichtungen einbezogen werden.
Dabei ist klar, dass zum Gesundheitsschutz der Beschäftigten wie auch zur Eindämmung der Corona-Pandemie eine Verarbeitung personenbezogener Daten möglich ist. Klar ist aber auch, dass die gesetzlichen Grundlagen wie auch die datenschutzrechtlichen Grundsätze, insbesondere der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) sowie die Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO), jederzeit zu beachten sind.
Führsorgepflicht des Arbeitgebers gegenüber Beschäftigten
Aus der allgemeinen Fürsorgepflicht des Arbeitgebers zum Schutz von Leben und Gesundheit der für ihn tätigen Beschäftigten (insb. § 618 BGB) leitet sich aus Sicht der Aufsichtsbehörden wie auch der Datenschutzaufsichten der evangelischen und katholischen Kirchen die Verpflichtung ab, angemessene Maßnahmen zu ergreifen, um eine Eindämmung und Bekämpfung der aktuellen Pandemie zu erreichen.
Das Fragerecht des Arbeitgebers umfasst in diesen Fällen insbesondere die Nachfrage ob bei den Beschäftigten eine Infektion mit dem Coronavirus SARS-CoV‑2 festgestellt wurde oder ob Kontakt mit einer Person (Dritten) bestand, bei der eine Infektion festgestellt wurde. Auch die Frage, ob im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) bezeichneten Risikogebiet stattgefunden hat, ist für die Erfüllung der Fürsorgepflichten erforderlich (HIER finden Sie internationalen Risikogebiete und besonders betroffene Gebiete in Deutschland auf der Homepage des RKI).
Als Rechtsgrundlage für die Frage nach einem Aufenthalt in einem Risikogebiet sowie für den grundsätzlichen Umgang mit den Stammdaten des Beschäftigten in diesem Kontext dient § 26 Abs. 1 S. 1 BDSG (Durchführung des Beschäftigungsverhältnisses), da die Datenverarbeitung erforderlich ist, um den Gesundheitsschutz der (übrigen) Beschäftigten zu gewährleisten. Die Frage nach einer Infektion mit dem Coronavirus SARS-CoV‑2 oder dem Kontakt zu einem nachweislich Infizierten und somit die Verarbeitung von Gesundheitsdaten ist auf die arbeitsrechtliche Verpflichtung zur arbeitsmedizinischen Vorsorge zu stützen und daher über Artikel 9 Abs. 4 DSGVO, § 26 Abs. 3 S. 1, § 22 Abs. 1 Nr. 1 lit. b BDSG zu legitimieren.
Offenlegung von Infektions- und Verdachtsfällen bei Beschäftigten
Der Umgang mit den Daten nachweislich infizierter Beschäftigter oder unter Infektionsverdacht stehenden Personen ist betrieblich äußerst restriktiv zu handhaben.
Soweit möglich sollte eine namentliche Ofenlegung unterbleiben, um eine Stigmatisierung des Betroffenen zu vermeiden. Nur in Ausnahmefällen, in denen etwa eine Eindämmung der Ansteckungsgefahr ohne namentliche Benennung des Betroffenen nicht möglich erscheint, kommt eine Offenlegung gegenüber Kontaktpersonen in Betracht und nur insoweit als die Kenntnis der Identität des Betroffenen für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist (HIER finden Sie eine Erklärung zum Thema Kontaktperson auf der Homepage des RKI). Die Offenlegung sollte in diesen Fällen soweit möglich auf eine Entscheidung der Gesundheitsbehörden gestützt werden.
Informationspflicht des Beschäftigten gegenüber dem Arbeitgeber
Neben der präventiven Führsorgepflicht des Arbeitgebers besteht nach Auffassung der Aufsichtsbehörden für jeden einzelnen Beschäftigten aus dem Arbeitsrecht über die Rücksichts‑, Verhaltens- und Mitwirkungspflichten die Verpflichtung zur Information des Arbeitgebers bei Vorliegen einer nachgewiesenen Infektion mit dem Coronavirus SARS-CoV‑2, aus der unter gewissen Voraussetzungen auch eine Offenlegungsbefugnis gemäß Artikel 6 Abs. 1 lit. c und f DSGVO bezüglich personenbezogener Daten der Kontaktpersonen folge.
Fazit
Auch in schweren Zeiten dürfen Fragen des Datenschutzes nicht »hinten angestellt werden«. Die zum Teil exzessive Verarbeitung von Gesundheitsdaten, die für die Eindämmung und Bekämpfung der Corona-Pandemie erforderlich ist, muss staatlich wie auch innerhalb der Betriebe und Einrichtungen auf der Grundlage des geltenden Datenschutzrechtes erfolgen. Hierbei stehen die Vorgaben der DSGVO und des BDSG diesen Zielen keinesfalls im Weg. Vielmehr bieten sie das Fundament, auf dem eine zweckgerichtete und angemessene Bekämpfung der Pandemie auch datenschutzrechtlich möglich ist.
Artikel zum selben Thema:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]