“Neben den gesetz­li­chen Vor­aus­set­zun­gen der Daten­über­mitt­lung an Behör­den stel­len häu­fig die kon­kre­te Art der Über­mitt­lung und der hier­bei zu For­dern­den Daten­si­cher­heit hohe Anfor­de­run­gen an die Arbeitgeber.”

Das Vor­lie­gen einer Infek­ti­on mit dem neu­ar­ti­gen Coro­na­vi­rus SARS-CoV‑2 aber auch bereits der rei­ne Ver­dacht einer sol­chen Infek­ti­on kann für den Betrof­fe­nen neben den gra­vie­ren­den gesund­heit­li­chen Risi­ken auch eine erheb­li­che Stig­ma­ti­sie­rung zur Fol­ge haben. An die Ver­ar­bei­tung und ins­be­son­de­re an die Über­mitt­lung die­ser Infor­ma­tio­nen sind daher hohe recht­li­che Anfor­de­run­gen zu stellen.

Kei­ne Daten­über­mitt­lung ohne Rechtsgrund

Um etwa die Maß­nah­men der Qua­ran­tä­ne­a­n­ord­nung gemäß § 30 Infek­ti­ons­schutz­ge­setz (IfSG) oder eines beruf­li­chen Tätig­keits­ver­bo­tes gemäß § 31 IfSG tref­fen zu kön­nen, sind für die zustän­di­gen Behör­den, in der Regel das zustän­di­ge Gesund­heits­amt, Infor­ma­tio­nen über das Vor­lie­gen von Coronavirus-Infektionen notwendig.

In vie­len Fäl­len besteht über § 16 Abs. 2 S. 3 IfSG eine Über­mitt­lungs­pflicht an die zustän­di­ge Behör­de sowie eine damit kor­re­spon­die­ren­de Über­mitt­lungs­be­fug­nis des Unter­neh­mens oder der Ein­rich­tung. Die Über­mitt­lung der per­so­nen­be­zo­ge­nen Daten, die Vor­la­ge der gefor­der­ten Unter­la­gen und die Ertei­lung der erfor­der­li­chen Aus­künf­te ist in die­sen Fäl­len auf Arti­kel 6 Abs. 1 S. 1 lit. c, Abs. 2 und 3 DSGVO zu stützen.

Anfor­de­run­gen an die Sicher­heit der Ver­ar­bei­tung beachten

Ins­be­son­de­re bei der elek­tro­ni­schen Über­mitt­lung der behörd­li­chen ange­frag­ten Daten sind die gesetz­li­chen Anfor­de­run­gen des Arti­kels 32 DSGVO an die Sicher­heit der Ver­ar­bei­tung zu beach­ten. Da in die­sen Fäl­len von einer erheb­li­chen »Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen« aus­ge­gan­gen wer­den muss, sind vom Arbeit­ge­ber ent­spre­chen­de tech­ni­sche Maß­nah­men, wie etwa eine ent­spre­chen­de Ver­schlüs­se­lung der Kom­mu­ni­ka­ti­on, zu ergrei­fen. Ist das Unter­neh­men oder die Ein­rich­tung hier­zu tech­nisch nicht in der Lage, schei­det eine elek­tro­ni­sche Über­mitt­lung der Daten in den meis­ten Fäl­len aus.

Daten­schutz­in­for­ma­tio­nen prü­fen und bei Bedarf ergänzen

Da die ent­spre­chen­den Über­mitt­lun­gen in vie­len Daten­schutz­in­for­ma­tio­nen zur Erfül­lung der Anfor­de­run­gen der Arti­kel 13, 14 DSGVO in der Pra­xis feh­len dür­fen, sind die­se zwin­gend um die Daten­ver­ar­bei­tungs­zwe­cke der Erhe­bung und Spei­che­rung der betref­fen­den (Gesundheits-)Daten und gege­be­nen­falls die Über­mitt­lung an Behör­de zu ergänzen.

Fazit

Abhän­gig von den spe­zi­fi­schen Rege­lun­gen der jewei­li­gen Bun­des­län­der kön­nen behörd­li­che Maß­nah­men im Kon­text der Corona-Pandemie auch die Über­mitt­lung sen­si­bler, per­so­nen­be­zo­ge­ner Gesund­heits­da­ten durch Arbeit­ge­ber erfor­der­lich machen. Neben den gesetz­li­chen Vor­aus­set­zun­gen hier­für, ist in der Pra­xis ins­be­son­de­re auch die Art der kon­kre­ten Über­mitt­lung die­ser Daten für vie­le Unter­neh­men und Ein­rich­tun­gen eine Her­aus­for­de­rung. Aber auch in die­sen Fäl­len ver­hin­dert der Daten­schutz kei­nes­falls Maß­nah­men des Gesund­heits­schut­zes zur Ein­däm­mung und Bekämp­fung der Pan­de­mie – er schafft viel­mehr den Rechts­rah­men zum Schutz per­so­nen­be­zo­ge­ner Daten auch in glo­bal sehr schwe­ren Zeiten