Beschäftigtendatenschutz während der Corona-Pandemie

 

Das Wichtigste in Kürze

  • Aufgrund der Corona-Krise sind Unternehmen verpflichtet, belastbare Gesundheitskonzepte umzusetzen, etwa zum Schutz vor Infektionen am Arbeitsplatz.
  • Angaben zu Krankheitssymptomen, Kontakten zu Infizierten oder Aufenthalten in Risikogebieten sind datenschutzrechtlich als besonders sensible Gesundheitsdaten einzuordnen.
  • Die Identität positiv getesteter Personen ist so vertraulich wie möglich zu behandeln.
  • Wurden private Kontaktdaten erhoben, um bei Bedarf Mitarbeiter zügig informieren zu können, sind diese Daten spätestens nach Ende der Pandemie zu löschen.
  • Mitarbeiter können nicht gezwungen werden, die Corona-Warn-App zu nutzen.

In diesem Beitrag

  1. Gesundheitsdaten nach DS-GVO: Welche sind im Rahmen der Corona-Krise relevant?
  2. Rückkehr aus dem Homeoffice oder aus dem Urlaub: Darf ich Beschäftigte nach Krankheitssymptomen oder ihren Aufenthaltsorten fragen?  
  3. Ist die Messung der Körpertemperatur am Eingang der Arbeitsstätte zulässig?
  4. Ist die Offenlegung der Identität von Infizierten an Kollegen erlaubt? 
  5. Dürfen Beschäftigte gefragt werden, ob sie zu einer Risikogruppe gehören (etwa zur entsprechenden Einteilung in Schichten)?
  6. Wann müssen Kontaktdaten von Beschäftigten, die zur Verringerung des Infektionsrisikos erhoben wurden, wieder gelöscht werden?
  7. Darf ich meine Beschäftigten verpflichten, die Corona-Warn-App im Betrieb zu nutzen?
  8. Darf ich Daten über erkrankte Beschäftigte bzw. jene, die Kontakt zu Infizierten hatten oder in einem Risikogebiet waren, an die Behörden übermitteln?
  9. Fazit und Empfehlungen

Home-Office, Kurzarbeit oder gar ganze Betriebsschließungen: Die Folgen der Corona-Pandemie haben den Arbeitsalltag vielerorts auf den Kopf gestellt. Für die allmähliche Rückkehr zur Normalität sind von den Unternehmen nun entsprechende Gesundheitskonzepte gefragt, die sowohl die Sicherheit im Betrieb als auch die Gesundheit der Belegschaft gewährleisten sollen.

Zur Vermeidung von Infektionen am Arbeitsplatz ist die Erhebung bestimmter personenbezogener Daten – etwa zum Vorhandensein von typischen Symptomen – oftmals schlicht notwendig. Dies stellt jedoch keineswegs einen Freibrief dar, den geltenden Datenschutz außer Acht zu lassen. Im Folgenden klären wir die häufigsten Fragen rund um den Datenschutz für Beschäftigte für die Zeit nach dem Lockdown.

Gesundheitsdaten nach DS-GVO: Welche sind im Rahmen der Corona-Krise relevant?

Gesundheitsdaten sind laut Datenschutz-Grundverordnung (DS-GVO) all jene personenbezogenen Daten, die Rückschlüsse auf die körperliche oder geistige Gesundheit einer natürlichen Person zulassen. Diese gelten nach Art. 9 Abs. 1 DSGVO als besonders schutzwürdig. Entsprechend gelten deutlich strengere Anforderungen an die Rechtmäßigkeit der Verarbeitung solcher Daten.

Geht es darum, das Risiko einer bestehenden Infektion mit Covid-19 zu ermitteln, gelten folgende Informationen als Gesundheitsdaten:

  • Angaben zu bestehenden Symptomen
  • die Einstufung als Kontaktperson einer nachweislich infizierten Person
  • der Aufenthalt in Risikogebieten

Sogenannte Negativauskünfte – die Verneinung relevanter Symptome, Kontakte oder Aufenthalte – sind im Umkehrschluss nicht als Gesundheitsdaten anzusehen.

Rückkehr aus dem Homeoffice oder aus dem Urlaub: Darf ich Beschäftigte zu Krankheitssymptomen oder nach ihren Aufenthaltsorten befragen? 

Wenngleich sich arbeitsrechtlich in bestimmten Berufen wie z.B. Berufskraftfahrer eine aktive Auskunftspflicht ergeben kann, gibt es im Normalfall datenschutzrechtlich für Arbeitnehmer keine Verpflichtung, Diagnosen oder Krankheitssymptome zu offenbaren.

Die gegenwärtige Coronakrise schafft hier nun eine weitere Ausnahme. Im Rahmen ihrer Fürsorgepflicht sind Arbeitgeber verpflichtet, das Risiko einer Ansteckung innerhalb der Belegschaft gering zu halten. Sind bestimmte Gesundheitsdaten für die Umsetzung dieser Fürsorgepflicht erforderlich, ist deren Erhebung zulässig. Mitarbeiter können also vor ihrer Rückkehr an den Arbeitsplatz im Betrieb um Auskunft gebeten werden.

Die Datenschutzaufsichtsbehörden Hamburg und Nordrhein-Westfalen stellen diesbezüglich klar, was erlaubt ist und was nicht:

  • Lediglich Fragen zu typischen Covid-19-Symptomen sind zulässig. Aber auch nur dann, wenn aufgrund der Gegebenheiten von einem erhöhten Infektionsrisiko ausgegangen werden kann.
  • Sie dürfen nach Kontakt zu nachweislich infizierten Personen fragen. Grundsätzlich sollten Sie aber nicht nachhaken, wer diese Personen sind.
  • Das Unternehmen darf seine Beschäftigten fragen, ob sie sich zuvor in einem vom Robert-Koch-Institut ausgewiesenen Risikogebiet aufgehalten haben, jedoch nicht an welchem Ort oder in welchem Land.

Negativauskünfte der Beschäftigten müssen als hinreichend akzeptiert werden. Weitere Nachfragen sind dann zumindest datenschutzrechtlich erst einmal nicht erlaubt.

Ist die Messung der Körpertemperatur am Eingang der Arbeitsstätte zulässig? 

Im Zuge der Corona-Pandemie ist unter bestimmten Umständen eine kontaktlose Fiebermessung vor Betreten des Betriebsgeländes bzw. des Arbeitsplatzes erlaubt. Die Rechtsgrundlage dazu bildet § 26 Abs. 3 des Bundesdatenschutzgesetzes (BDSG). Allerdings ist dabei immer abzuwägen und eine Einzelfallentscheidung zu treffen. Folgende Umstände rechtfertigen laut Datenschutzbehörden die kontaktlose Temperaturmessung:

  • Es gab bereits nachweisliche Infektionen im Unternehmen.
  • Die Arbeitsstätte befindet sich in einem ausgewiesenen Risikogebiet bzw. Umfeld mit erhöhtem Infektionsgeschehen.
  • Der Beschäftigte hatte Kontakt zu Infizierten.
  • Der enge Körperkontakt am Arbeitsplatz lässt sich kaum vermeiden, was bei einer Infektion verheerende Folgen nach sich ziehen kann (z. B. bei Krankenhäusern oder bei Herstellern von Medizinprodukten).

Wird eine erhöhte Temperatur gemessen, kann der Beschäftige daraufhin nach Hause geschickt werden. Der Messwert selbst darf allerdings nicht gespeichert werden (wohl aber der Umstand der Zurückweisung).

Ist die Offenlegung der Identität von Infizierten an Kollegen erlaubt?  

Die Identität positiv getesteter Personen ist so vertraulich wie möglich zu handhaben, um eine mögliche Stigmatisierung zu verhindern. Die Offenlegung der Identität von nachweislich oder möglicherweise Infizierten ist nur dann zulässig, wenn die entsprechende Kenntnis für Vorsorgemaßnahmen gegenüber Kontaktpersonen zwingend erforderlich ist. Diesbezüglich ist im Einzelfall immer die Verhältnismäßigkeit zu prüfen.

Ferner ist je nach Empfängerkreis und Unternehmensgröße möglichst differenziert vorzugehen. So ist etwa die Information, dass eine nicht näher benannte Person aus einer bestimmten Abteilung positiv getestet wurde, für die Kommunikation auf Abteilungsebene in vielen Fällen hinreichend. Wird beispielsweise eine Person im HR positiv getestet, ist es ausreichend, wenn im Unternehmen darauf verwiesen wird, dass sich die Person in der Personalabteilung befand.

Trotzdem wird es Situationen geben, in denen die Identität eines positiv getesteten Kollegen zum Schutz der anderen Beschäftigten offenbart werden muss. Typisches Beispiel ist das Zweierbüro, das ein hohes individuelles Ansteckungsrisiko birgt. Hier kann die Identität des Infizierten unter Verweis auf § 26 Abs. 3 BDSG gegenüber den gefährdeten Kollegen preisgegeben werden.

Dürfen Beschäftigte gefragt werden, ob sie zu einer Risikogruppe gehören (etwa zur entsprechenden Einteilung in Schichten)? 

Weisen Beschäftigte freiwillig und von sich aus darauf hin, dass sie zu einer Risikogruppe gehören – beispielsweise um Vorteile wie eine verlängerte Homeoffice-Nutzung zu genießen – ist die Verarbeitung dieser Daten grundsätzlich für den Zweck des Arbeits- und Gesundheitsschutzes zulässig. Die Grundlage für die Rechtmäßigkeit bildet hier neben der entsprechenden Einwilligung des Mitarbeiters wiederum die Verpflichtung des Arbeitgebers, die betriebliche Sicherheit wie auch Gesundheit der Belegschaft sicherzustellen. Eine entsprechende Auskunft kann jedoch nicht erzwungen werden.

Wann müssen private Kontaktdaten von Beschäftigten, die zur Verringerung des Infektionsrisikos erhoben wurden, wieder gelöscht werden? 

Prinzipiell dürfen Daten so lange aufbewahrt werden, wie dies für den Zweck der Verarbeitung erforderlich ist. Ist der Zweck erfüllt, d.h. nicht mehr gegeben, müssen auch die Daten gelöscht werden. Aus den Infektionsschutzverordnungen des jeweiligen Bundeslandes können sich jedoch aktuell bestimmte Aufbewahrungspflichten ergeben. Spätestens nach Ende der Pandemie sind Daten, die für das Beschäftigungsverhältnis nicht zwingend erforderlich sind, zu löschen. Dies gilt insbesondere für private Kontaktdaten.

Darf ich meine Beschäftigten verpflichten, die Corona-Warn-App im Betrieb zu nutzen? 

Eine entsprechende Verpflichtung der Arbeitnehmer ist arbeitsrechtlich wohl nicht zulässig und damit auch eine entsprechende Datenverarbeitung rechtswidrig. Das Bayerische Landesamt für Datenschutzaufsicht hat diesbezüglich klargestellt, dass niemand verpflichtet werden kann, Kontakte und Gesundheitszustand dauerhaft erfassen zu lassen. Dies wäre ohnehin nur zielführend, wenn das entsprechende Tracking auch außerhalb der Arbeitszeit erfolgte. Ein derart massiver Eingriff in die Freiheitsrechte sei jedoch nicht statthaft.

Zum anderen weist das Robert-Koch-Institut als Anbieter der Corona-Warn-App darauf hin, dass deren Verwendung freiwillig ist. Eine verpflichtende Nutzung würde somit auch einen Verstoß gegen die Nutzungsbestimmungen der App darstellen.

Zwar dürfen Unternehmen die App auf Dienstgeräten bereitstellen, die Nutzung obliegt jedoch ausschließlich dem jeweiligen Arbeitnehmer. Sollte der Arbeitgeber eine entsprechende datenschutzrechtliche Einwilligungserklärung von seinen Beschäftigten verlangen, ist diese als unwirksam anzusehen. Die deutschen Datenschutzbehörden haben mitgeteilt, dass sie ein derartiges Vorgehen mit strengen Geldbußen ahnden werden.

Darf ich Daten über erkrankte Beschäftigte bzw. jene, die Kontakt zu Infizierten hatten oder in einem Risikogebiet waren, an die Behörden übermitteln? 

Behördlichen Auskunftsersuchen seitens der Polizei oder der Gesundheitsämter ist Folge zu leisten. Diese Auskunftsverpflichtung ergibt sich aus den Corona-Schutzverordnungen bzw. dem Infektionsschutzgesetz und geht nach übereinstimmender Auffassung deutscher Datenschützer mit einer datenschutzrechtlichen Übermittlungsbefugnis einher.

Fazit und Empfehlungen

Die aktuelle Corona-Krise verpflichtet Unternehmen, angemessene Gesundheitskonzepte zu entwickeln. Diese sollen die Gesundheit der Angestellten ebenso wie die Kontinuität der Arbeitsabläufe sicherstellen. Hierfür ist in vielen Fällen die Verarbeitung von Gesundheitsdaten notwendig. Aufgrund der besonderen Schutzwürdigkeit solcher Daten müssen Unternehmen die entsprechenden, teilweise strikten Vorgaben beachten.

Viele Detailfragen zum Datenschutz müssen in der aktuellen Ausnahmesituation unternehmensspezifisch beantwortet werden. Es empfiehlt sich daher, den Datenschutzbeauftragten von Beginn an eng in die Planung mit einzubinden. Tritt eine Covid-19-Infektion innerhalb der Belegschaft auf, muss in der Regel sehr schnell gehandelt werden. Daher empfiehlt es sich, rechtzeitig für DG-SVO-konforme Handlungsanweisungen für alle Verantwortlichen zu sorgen.

 

Über den Autor

Dr. Frank Schemmel Dr. Frank Schemmel
Dr. Frank Schemmel

Dr. Frank Schemmel, CIPP/E, CIPP/US, CIPM, CIPT, ist seit 2018 bei DataGuard in verschiedenen Managementpositionen tätig (zuletzt als Head of Privacy) und derzeit verantwortlich für die unternehmensweite inhaltliche und strategische Gestaltung sowie Optimierung der DataGuard Service Lines "Privacy" und "Compliance", einem hybriden Modell aus erstklassiger Beratung und Unterstützung durch selbstentwickelte, skalierbare Softwarelösungen. Als zertifizierter Datenschutzbeauftragter (TÜV) und Compliance Officer (Univ.) berät er zu allen Themen des Datenschutzes, der IT-Sicherheit und der allgemeinen Compliance. Vor seinem Wechsel zu DataGuard war er fünf Jahre für Allen & Overy LLP im Bereich Datenschutz und Arbeitsrecht als Berater und Legal Project Manager tätig. Er publiziert regelmäßig in einschlägigen Medien und gibt seine Erfahrung als Dozent an Hochschulen (u.a. Düsseldorf, Augsburg), Sprecher auf Konferenzen (u.a. euroforum Datenschutzkongress, bitkom Privacy Conference, IAPP Data Protection Intensive: Deutschland) und als Webinar-Host weiter.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren