Datenschutz im Arbeitsverhältnis – Was gilt in der Corona-Krise?

Die Auswirkungen des Coronavirus sind allgegenwärtig. Insbesondere in Arbeitsverhältnisses werden in den letzten Wochen einschneidende Veränderungen ersichtlich. Für Arbeitgeber ist die aktuelle Situation regelmäßig mit der großen Herausforderung verbunden, auf der einen Seite der Fürsorgepflicht gegenüber den Arbeitnehmern zu genügen und auf der anderen Seite den Betrieb bestmöglich am Laufen zu halten.

Dieser Zwiespalt erfordert in der Praxis oft rasche Entscheidungen. Arbeitnehmer werden nach Krankheitssymptomen oder Reisezielen befragt, Dienstreisen werden verschoben oder gänzlich abgesagt und Mitarbeiter werden ins „Home-Office“ geschickt um das Risiko einer Ausbreitung des Coronavirus im Betrieb zu verringern und Arbeitsabläufe bestmöglich aufrecht zu erhalten. Eine Vielzahl der getroffenen Maßnahmen betreffen Sachverhalte an der Schnittstelle zwischen Arbeits- und Datenschutzrecht. Fraglich ist, ob die derzeitige Ausnahmesituation die datenschutzrechtliche Zulässigkeit der Maßnahmen erleichtert.

Grundsatz

Selbstverständlich sind bei sämtlichen arbeitgeberseitigen Maßnahmen, die die Verarbeitung von personenbezogenen Daten erforderlich machen, die datenschutzrechtlichen Vorschriften der DSGVO bzw. des BDSG und der Grundsatz der Verhältnismäßigkeit uneingeschränkt zu beachten. Dies gilt umso mehr, weil im Rahmen der Corona-Prävention oftmals auch besonders geschützte Gesundheitsdaten von Arbeitnehmern verarbeitet werden.

Information der DSK

Die Datenschutzkonferenz, das Gremium der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat nunmehr Informationen für Arbeitgeber betreffend den Umgang mit personenbezogenen Daten von Beschäftigten in der Corona-Krise herausgegeben. Demnach sollen eine Vielzahl von Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie als datenschutzrechtlich legitimiert betrachtet werden können. Hierzu zählen insbesondere:

  • Die Erhebung und Verarbeitung personenbezogene Daten von Beschäftigten zur Vermeidung einer Ausbreitung des Coronavirus in Fällen, in denen im relevanten Zeitraum eine Reise in ein vom Robert-Koch-Institut als Risikogebiet eingestuftes Land erfolgt ist, eine Corona-Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person stattgefunden hat;
  • Die Erhebung und Verarbeitung personenbezogener Daten von Gästen und Besuchern, insbesondere um eine etwaige Infektion bzw. einen etwaigen Kontakt mit einer infizierten Person festzustellen.

Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen soll demgegenüber nur rechtmäßig sein, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Rechtsgrundlagen

Informationen über Corona-relevante Symptome eines Mitarbeiters sind aus datenschutzrechtlicher Sicht Informationen über den gegenwärtigen und den zukünftigen Gesundheitsstand einer Person und damit Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO. Diese Gesundheitsdaten unterliegen einem besonderen datenschutzrechtlichen Schutz (Art. 9 Abs. 1 DSGVO).

Arbeitgeberseitige Maßnahmen zur Corona-Prävention betreffend die personenbezogenen Daten von Beschäftigten lassen sich in der Regel über § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO rechtfertigen. Für den Fall der Verarbeitung von personenbezogenen Gesundheitsdaten sind § 26 Abs. 3 BDSG bzw. Art. 9 Abs. 2 lit. b) DSGVO einschlägig.

Der Arbeitgeber hat zugleich auch die Vorschriften des § 618 Abs. 1 BGB i.V.m. § 3 ArbSchG einzuhalten und der Fürsorgepflicht nachzukommen. Nach dem Arbeitsschutzgesetz ist der Arbeitgeber grundsätzlich verpflichtet die Gefahren für die Sicherheit und Gesundheit für seine Beschäftigten am Arbeitsplatz einzuschätzen (Gefährdungsbeurteilung), hieraus bestimmte Maßnahmen zu entwickeln und somit den Gesundheitsschutz für sämtliche Beschäftigte sicherzustellen.

Zulässige Maßnahmen

Zulässig dürfte vor diesem Hintergrund die Befragung von Urlaubsrückkehrern sein, ob diese sich in einem Risikogebiet (nach Einschätzung des RKI) aufgehalten haben. Ebenfalls zulässig sind Maßnahmen auf Basis freiwilliger Auskünfte der Mitarbeiter (z.B. Fragebögen) oder sonstiger freiwilliger Mithilfe der Mitarbeiter (z.B. freiwilliges Fiebermessen vor Ort).

Unzulässige Maßnahmen

Wohl eher unzulässig sind die pauschale Befragung aller Mitarbeitern nach künftigen Reisezielen oder nach individuellen Krankheitssymptomen. Grundsätzlich unzulässig ist die Preisgabe der Person eines Infizierten gegenüber der Gesamtbelegschaft (durch Namensnennung oder auf sonstige Weise, die eine Identifizierung ermöglicht).

Fazit

Arbeitgeber sollten auch in der aktuellen Corona-Situation datenschutzrechtliche Vorschriften nicht aus den Augen verlieren. Die arbeitgeberseitige Fürsorgepflicht beinhaltet jedoch in der Regel auch den Gesundheitsschutz der Beschäftigten zu gewährleisten. Nach Ansicht der Datenschutzkonferenz sind in diesem Zusammenhang aus datenschutzrechtlicher Sicht regelmäßig auch angemessene Reaktionen im Hinblick auf die Verbreitung des meldepflichtigen Coronavirus gerechtfertigt, soweit die allgemeinen Grundsätze und Rechtsvorschriften beachtet werden.

Ein vertraulicher Umgang mit den Daten der Mitarbeiter und die streng zweckgebundene Verarbeitung der Daten sind dabei maßgeblich. Ist der anlassbezogene Verarbeitungszweck – spätestens nach Ende der Pandemie und Anordnung der behördlichen Maßnahmen – entfallen, müssen die diesbezüglich erhobenen Daten unverzüglich gelöscht werden.

Firmenkontakt und Herausgeber der Meldung:

Schomerus & Partner, Steuerberater Rechtsanwälte Wirtschaftsprüfer
Deichstraße 1
20459 Hamburg
Telefon: +49 (40) 37601-00
Telefax: +49 (40) 37601-199
http://www.schomerus.de

Ansprechpartner:
Jannis Sothmann
Rechtsanwalt
Telefon: +49 (40) 37601-2396
E-Mail: jannis.sothmann@schomerus.de
Viviane Messan-Lawson
Bachelor of Laws (LL.B.)
Telefon: +49 (40) 37601-2401
E-Mail: viviane.messan-lawson@schomerus.de
Dr. Christian Freudenberg
Fachanwalt für Gewerblichen Rechtsschutz
Telefon: +49 (40) 3760122-75
E-Mail: christian.freudenberg@schomerus.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel