Praxiswissen

5 Min

Coronatests als Arbeitgeber datenschutzkonform anbieten

Maren Wienands
Maren Wienands

Es ist das Thema der Woche: Das Bundeskabinett hat am 13.04. beschlossen, dass Arbeitgeber ab der kommenden Woche dazu verpflichtet sind, ihren Angestellten im Büro mindestens einmal pro Woche einen kostenlosen Coronatest zur Verfügung zu stellen.

Rund 70 % der Arbeitgeber waren bereits vor dem Beschluss dazu bereit oder testen schon freiwillig. Um die „dritte Welle“ der Pandemie ausbremsen zu können, forderten u. a. Verdi und der Deutsche Gewerkschaftsbund (DGB) eine Testpflicht für alle Betriebe. Gerade in Geschäftsfeldern, in denen Homeoffice sich nicht so einfach umsetzen lässt und Abstands- und Hygieneregeln nicht eingehalten werden können, soll eine solche Regelung das Infektionsrisiko senken.

Und die neue Verpflichtung zum Testangebot durch Arbeitgeber hat ihren Grund: Im Großraumbüro mit 50 % Auslastung ist das Risiko für eine Ansteckung mehr als dreimal so groß wie in einem Restaurant (ebenfalls bei 50 % Auslastung):

 

grafik_covidrisiko_office_01.01

(Quelle: TU Berlin, HRI, Grafik in Auszügen entnommen aus einem Beitrag des WDR)

Wer seine Mitarbeiter verantwortungsbewusst schützen möchte, sollte Tests in so kurzen Intervallen wie möglich anbieten (am besten täglich). Dabei darf der Datenschutz natürlich nicht zu kurz kommen.

In diesem Beitrag

Welche Regeln gelten für den Datenschutz von Corona-Testergebnissen?

Bei Corona-Testergebnissen handelt es sich um Gesundheitsdaten. Diese gehören nach Art. 9 DSGVO zu den besonderen Kategorien von personenbezogenen Daten und sind somit besonders schützenswert. Normalerweise dürfen sie nur verarbeitet werden, wenn strenge Voraussetzungen erfüllt werden – zum Beispiel, wenn eine ausdrückliche Einwilligung zur Datenverarbeitung durch die Betroffenen vorliegt.

Doch beim Thema Corona gelten etwas andere Regeln. Das Infektionsschutzgesetz sieht zum Beispiel vor, dass Kontaktpersonen über eine Infektion informiert werden müssen. Hier wird der Infektionsschutz über den Datenschutz gestellt und die Information über ein positives Testergebnis muss auch ohne Einwilligung des Betroffenen geteilt werden dürfen.

Das bedeutet allerdings noch lange nicht, dass der Datenschutz bei Corona-Testergebnissen keine Rolle spielt. Eine Offenlegung der Testergebnisse muss immer verhältnismäßig sein. Darüber hinaus gelten insbesondere die Prinzipien der Zweckbindung und Datenminimierung.

So können Arbeitgeber Coronatests datenschutzkonform anbieten

Leider kam es bereits in einigen Testzentren zu Datenpannen, bei denen die Testergebnisse in Kombination mit anderen personenbezogenen Daten (Name, Adresse, Geburtsdatum, …) an die Öffentlichkeit gelangten. Um Ihre Mitarbeiter zu schützen und das Vertrauen in Tests am Arbeitsplatz nicht aufs Spiel zu setzen, sollten Sie unbedingt einige Regeln beachten:

  1. Ermöglichen Sie anonyme Tests. Mitarbeiter sollten die Möglichkeit haben, ihren Test in einem abgetrennten Bereich (im Idealfall einem eigenen Raum, ansonsten z. B. hinter einer Trennwand) durchführen zu können. Kollegen sollten also nicht so einfach mitbekommen können, wie das Testergebnis ausgefallen ist.
  2. Erklären Sie Ihren Mitarbeitern, wie sie sich bei einem positiven Testergebnis verhalten sollten. Damit ein positiv getesteter Mitarbeiter sein Ergebnis nicht vor anderen preisgeben muss, sollte vorab geklärt sein, wie er sich verhalten sollte. In der Regel empfiehlt es sich, nach einem positiven Test umgehend nach Hause zu gehen, um weitere Kontakte zu vermeiden. Von dort aus kann bei Bedarf die Personalabteilung informiert werden.
  3. Bewahren Sie Testergebnisse nur für kurze Zeit und gut verschlossen auf. Die Tests können (zusammen mit dem Namen des Getesteten) nach Durchführung in einen Briefumschlag gesteckt werden. Die Briefumschläge können dann gesammelt in einer verschlossenen Box aufbewahrt werden, um u. U. auf Testergebnisse zugreifen zu können. Wir empfehlen, nur ein bis zwei Personen (aus der Personalabteilung) den Zugang zu den Testergebnissen zu gewähren.
  4. Vernichten Sie die Testergebnisse nach der Aufbewahrungszeit. Wir empfehlen eine Aufbewahrungszeit von sieben Tagen. Danach sollten die Ergebnisse (ungeöffnet) vernichtet werden. Diese Aufbewahrungszeit halten wie für verhältnismäßig und dem Zwecke der Nachverfolgung angemessen.
  5. Verzichten Sie auf eine digitale Erfassung der Testergebnisse, soweit möglich. Um dem Grundsatz der Datenminimierung zu entsprechen, sollten Sie Testergebnisse am besten nur analog vorhalten. Es sei denn, eine digitale Erfassung (zum Beispiel in einer Tabelle), ist zwingend erforderlich. Wenn Gesundheitsdaten nämlich digitalisiert werden, wird ihr Schutz automatisch komplexer.

Wer muss über ein positives Ergebnis in Kenntnis gesetzt werden?

Das kommt darauf an, wie oft Sie testen und ob Ihre Tests kontaktlos ablaufen. Wird täglich getestet und der Kontakt zu Kollegen so lange vermieden, bis das negative Testergebnis vorliegt, gibt es bei einem positiven Ergebnis keine Kontaktpersonen im Unternehmen. Besteht außerdem keine Anwesenheitspflicht, muss nicht einmal ein Vorgesetzter oder die Personalabteilung informiert werden.

Generell gilt: Nur die Personen, die direkt betroffen sind (zum Beispiel Kontaktpersonen oder Vorgesetzte bei Anwesenheitspflicht), sollten über ein positives Testergebnis informiert werden.

Hinweis: Ein positives Ergebnis nach einem Selbsttest sollte durch einen PCR-Test bestätigt werden. Fällt dieser ebenfalls positiv aus, ist das Ergebnis meldepflichtig.

Beispiel für einen datenschutzkonformen Testablauf

Nicht jeder Arbeitgeber kann alle der folgenden Aspekte beachten und umsetzen. Im Idealfall sähe ein Testablauf aber zum Beispiel folgendermaßen aus:

  1. Stellen Sie Testutensilien, Papier, Briefumschläge und Stifte (einen Becher mit desinfizierten, einen mit benutzen Stiften) auf einen Tisch in einem Raum zur Verfügung, der im besten Fall über einen eigenen Eingang verfügt.
  2. Von diesem Raum ausgehend sollten voneinander abgetrennte Testbereiche zur Verfügung stehen, die Mitarbeiter sich vorab für eine bestimmte Zeit buchen können.
  3. Mitarbeiter statten sich mit Testutensilien, Papier, frischem Stift und Briefumschlag aus und gehen direkt in ihren Testbereich. Dort führen sie den Selbsttest durch und warten auf das Testergebnis.
  4. Bei einem positiven Testergebnis gehen sie sofort nach Hause und informieren bei Bedarf von dort die Personalabteilung und/oder ihren Vorgesetzten.
  5. Bei einem negativen Testergebnis stecken sie das Testergebnis und einen Zettel mit ihrem Namen, Datum des Testtages und einer Unterschrift, der die Richtigkeit des Ergebnisses bestätigt, in einen Briefumschlag. Den Briefumschlag werfen sie in eine verschlossene Box.
  6. Verwahren Sie die Box mit den Briefumschlägen sieben Tage lang. Danach sollten die Testergebnisse vernichtet werden.

Gilt ein externer Corona-Testanbieter als Auftragsverarbeiter?

Manche Unternehmen lassen die Tests nicht durch ihre Mitarbeiter selbst durchführen, sondern entscheiden sich für einen externen Testanbieter (z. B. die Mitarbeiter einer Apotheke). In diesem Fall ist derzeit noch ungeklärt, ob ein solcher Anbieter als Auftragsverarbeiter (AV) einzuordnen ist und somit ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden muss.

Nimmt der Testanbieter keine Testergebnisse mit und verarbeitet die Testdaten ausschließlich vor Ort, reicht wahrscheinlich eine Verschwiegenheitsvereinbarung. Werden die Daten jedoch weiterverarbeitet – zum Beispiel bei einer Abrechnung über die vom Land bezahlten Bürgertests – könnte ein AVV erforderlich werden. Offizielle Richtlinien gibt es für diesen Fall aufgrund der Aktualität noch nicht. Viel mehr wird versucht, sich an analogen Verfahrensregeln und Best Practices aus ähnlichen Situationen zu orientieren.

Zusammenfassung

Auch wenn das Infektionsschutzgesetz bei gewissen Aspekten des Datenschutzes Vorrang hat, ist bei kostenlosen Selbsttests für Arbeitnehmer darauf zu achten, die Testergebnisse so wenig Personen wie möglich zugänglich zu machen. Mit einem durchdachten Vorgehen zeigen Sie Ihren Mitarbeitern, dass sie nicht nur ihre Gesundheit, sondern auch ihre Privatsphäre schätzen.

Mit den oben beschrieben Schritten erfüllen Sie die Anforderungen der DSGVO an Verhältnismäßigkeit, Zweckbindung und Datenminimierung.

Sie haben Fragen zur Einhaltung der DSGVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Kostenlose Erstberatung vereinbaren

 

 
Veröffentlicht am Aktualisiert am
Tags Praxiswissen

Über den Autor

Maren Wienands Maren Wienands
Maren Wienands

Maren Wienands ist Juristin, zertifizierte Datenschutzbeauftragte und Information Security Officer gem. ISO 27001 (TÜV) und besitzt umfangreiche Kenntnisse sowohl aus der datenschutzrechtlichen als auch der IT-sicherheitsrechtlichen Perspektive. Als Team Lead Privacy (Corporate) leitete sie bei DataGuard außerdem ein Team aus Konzernexperten und unterstützte unsere Kunden bei der pragmatischen Umsetzung der DSGVO. Durch ihr Jurastudium in Deutschland und der Schweiz hat sie über die EU-Grenzen hinaus einen umfassenden Einblick in die datenschutzrechtlichen Herausforderungen der Übermittlung von personenbezogenen Daten in ein Drittland erhalten können. Dabei standen insbesondere die informierte Einwilligung und ihre Grenzen sowie die Besonderheiten der gemeinsamen Verantwortlichkeit im grenzüberschreitenden Kontext im Fokus. Durch ihre langjährige detaillierte Befassung mit diesen Themen konnte sie einen umfassenden Einblick in die gesamte Materie des Datenschutzes gewinnen.

Mehr Artikel ansehen

Diese Themen sollten Sie nicht verpassen:

Weitere Artikel

Risikoanalyse IT-Sicherheit
Informationssicherheit

6 Min

Risikoanalyse IT-Sicherheit

Priorisieren von Risiken in der IT-Sicherheit durch Identifizierung, Bewertung und proaktive Minderung von Bedrohungen und Schwachstellen.

Weiterlesen
IT-Sicherheit: Grundlagen
Informationssicherheit

6 Min

IT-Sicherheit: Grundlagen

Schützen Sie Ihre Daten vor Cyberbedrohungen mit den Grundprinzipien der IT-Sicherheit. Bleiben Sie informiert und verteidigen Sie Ihre IT-Sicherheit.

Weiterlesen
Was ist IT-Grundschutz?
Informationssicherheit

5 Min

Was ist IT-Grundschutz?

Schützen Sie Ihre IT-Systeme mit IT-Grundschutz: Ein Rahmen für effektive Sicherheitskontrollen und Schutz kritischer Daten.

Weiterlesen
Was sind die häufigsten Compliance-Verstöße?
Informationssicherheit

6 Min

Was sind die häufigsten Compliance-Verstöße?

Entdecken Sie mit uns die Bedeutung der Compliance für Unternehmen. Von häufigen Verstößen bis hin zu Präventionsmaßnahmen.

Weiterlesen
Was ist Compliance im Unternehmen?
Informationssicherheit

5 Min

Was ist Compliance im Unternehmen?

Erfahren Sie alles über Compliance: Definition, Bedeutung, Arten, Herausforderungen und Vorteile. Wir decken die Welt der Einhaltung von Vorschriften ab.

Weiterlesen
Welche Cybersicherheitsmaßnahmen sollten Sie als Dienstleistungsunternehmen ergreifen?
Informationssicherheit

10 Min

Welche Cybersicherheitsmaßnahmen sollten Sie als Dienstleistungsunternehmen ergreifen?

Jedes Dienstleistungsunternehmen ist einzigartig. Erfahren Sie, wie Sie Ihre Cybersicherheitsstrategie optimal an die spezifischen Bedrohungen Ihres Unternehmens anpassen können.

Weiterlesen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt durchstarten

  • Datenschutzkonforme und transparente Einholung von Einwilligungen
  • Konform mit DSGVO, CCPS, LGPD, ePrivacy
  • Langfristig wertvollere Daten
  • Zentraler Überblick: Ihre Single Source of Truth
  • Persönlicher Support durch Experten bei jedem Schritt
  • Einfache Integration in alle Ihre Marketing-Tools und CRM

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Jetzt Termin vereinbaren