WISSENSWERTES | 24.03.2020

Corona-Pandemie: Herausforderung im Beschäftigten-Datenschutz

 

Vermehrt erreichen uns jetzt Anfragen besorgter Arbeitgeber, Unternehmensvertreter und Dienstherren dahingehend, wie in Zeiten der Corona-Pandemie Datenschutz und Gesundheitsfürsorge noch in Einklang zu bringen sind. Die Frage danach, welche Gesundheitsinformationen ausgetauscht werden dürfen, ist berechtigt und die Antwort orientiert sich im Wesentlichen an einem verhältnismäßigen Umgang mit der Gefährdungslage durch COVID-19. Der Europäische Datenschutzausschuss hat es dabei in seiner Pressemitteilung vom 16. März 2020 auf den Punkt gebracht:

 

“Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data.” (Andrea Jelinek)

 

Die Datenschutzgrundverordnung (DSGVO) und die Umsetzungsgesetze in den Mitgliedstaaten dürfen kein unnötiges Hindernis im Kampf gegen COVID-19 darstellen, wenngleich der Datenschutz der Betroffenen gerade auch in Ausnahmesituationen Beachtung finden muss.

 

Gesundheitsdaten stehen unter besonderem Schutz

 

Wenn im Zusammenhang mit der COVID-19-Krise personenbezogene Daten verarbeitet werden, wird dadurch regelmäßig ein Zusammenhang zwischen den betroffenen Personen und ihrem Gesundheitszustand hergestellt. Es handelt sich dann definitionsgemäß um Gesundheitsdaten, die nach  Art. 9 Abs. 1 DSGVO besonderen Schutz genießen.

 

Maßnahmen zum Kampf gegen die Pandemie greifen in vielen Fällen notwendigerweise auf solche Gesundheitsdaten zu. Auch wenn dies nach wie vor nur unter strengen Voraussetzungen möglich ist, kann die Bekämpfung der COVID-19-Pandmie ein datenschutzrechtlich legitimiertes Ziel sein. Die Datenschutzaufsichtsbehörden des Bundes und der Länder haben sich dazu abgestimmt und erachten beispielsweise folgende Maßnahmen für gerechtfertigt:

 

  • Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:
    • in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
    • in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
  • Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese
    • selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
    • sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.
  • Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

 

Den Arbeitgeber bzw. Dienstherrn trifft die Verpflichtung, die Gesundheit seiner Beschäftigten zu schützen. Umgekehrt kann es für Beschäftigte geboten sein, angemessen auf mögliche Krankheitserscheinungen zu reagieren, sich von der Arbeit fern zu halten und zur Vorsorge und Nachverfolgbarkeit der Infektion an Maßnahmen des Arbeitgebers bzw. Dienstherrn mitzuwirken. Diese Maßnahmen müssen – beiderseits – stets verhältnismäßig sein. Soweit es den Datenschutz angeht, entbindet die derzeitige Notlage die Verantwortlichen nicht davon, die Daten vertraulich und ausschließlich zweckgebunden zu verarbeiten. Nach Wegfall des Verarbeitungszwecks – spätestens also mit dem „Ende“ der Pandemie – müssen die während der Notlage erhobenen Daten unverzüglich gelöscht werden. Wann die Pandemie in diesem Sinne rechtlich als „beendet“ gilt, ist zum jetzigen Zeitpunkt eine offene Frage.

 

Häufig gestellte Fragen

 

In der derzeitigen Ausnahmesituation stellen sich viele Arbeitgeber und Beschäftigte häufig die gleichen Fragen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württembergs hat hierzu ein hilfreiches Merkblatt veröffentlicht, das einige Fragen und Antworten zusammenfasst. Da täglich neue Fragen hinzukommen, müssen Arbeitgeber und Dienstherren stets auf dem Laufenden bleiben, um in jeder Hinsicht angemessen auf die gesamtgesellschaftliche Aufgabe der Bekämpfung von COVID-19 reagieren zu können.

 

Bei (nicht nur) datenschutzrechtlichen Fragestellungen zögern Sie bitte nicht, uns zu kontaktieren.


Current articles of Dr. Knut Karnapp

NEWS | 24.03.2020

Corona-Pandemie: Herausforderung im Beschäftigten-Datenschutz

Vermehrt erreichen uns jetzt Anfragen besorgter Arbeitgeber, Unternehmensvertreter und Dienstherren dahingehend, wie in Zeiten der Corona-Pandemie Datenschutz und Gesundheitsfürsorge noch in Einklang zu bringen sind. Die Frage danach, welche Gesundheitsinformationen ausgetauscht werden dürfen, ist berechtigt und die A...

NEWS | 30.01.2020

Vermeidung und Minimierung von DSGVO-Bußgeldern – Teil 1

Nicht zuletzt, weil auch in Deutschland inzwischen teils erhebliche Bußgelder wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) verhängt wurden, zuletzt etwa wie berichtet gegen die „Deutsche Wohnen SE“, ist die DSGVO inzwischen im Alltag der Unternehmen angekommen. Mit einer dreiteiligen Blogbeitragsreihe ...