IT-Recht und Datenschutz26.03.2020 Newsletter
Umgang mit Arbeitnehmerdaten während der Corona-Krise
(Stand: 26. März 2020)
Der Ausbruch des Coronavirus wirft (unter vielen anderen) die Frage auf, welche Befugnisse und Pflichten Arbeitgeber bei der Verarbeitung personenbezogener Daten der Arbeitnehmer und Dritter, die in Kontakt mit dem Unternehmen stehen, haben. Als Prämisse ist auch von den Aufsichtsbehörden anerkannt, dass der Datenschutz in einer derartigen Ausnahmesituation notwendigen Maßnahmen der Gesundheitsvorsorge nicht entgegenstehen darf. Er ist allerdings auch nicht außer Kraft gesetzt. Es gelten vielmehr die allgemeinen Regeln der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG), ggf. in Verbindung mit dem Infektionsschutz- oder dem Arbeitsrecht. Diese Regeln stellen einen ausreichenden Interessenausgleich auch in einer derartigen Ausnahmesituation sicher.
Einzelne Maßnahmen und deren rechtliche Zulässigkeit
Grundsätzlich dürfen personenbezogene Daten verarbeitet werden, wenn die betroffene Person eingewilligt hat, um Verpflichtungen und Verträge zu erfüllen, wenn dies im berechtigten Interessen des Unternehmens oder eines Dritten erforderlich ist, um gesetzliche Pflichten zu erfüllen oder um lebenswichtige Interessen der betroffenen Person oder anderer Personen zu schützen.
Private Kontaktdaten der Arbeitnehmer
Private Arbeitgeber dürfen als Verantwortliche auf Grundlage des § 26 I BDSG, Art. 6 I 1 f) DSGVO, ggf. in Verbindung mit ihrer allgemeinen Fürsorgepflicht aus dem Arbeitsrecht, in dieser Situation auch private personenbezogene Daten von Beschäftigten erheben. Dies betrifft zum Beispiel private Kontaktdaten, die für die weitergehende Information des Arbeitnehmers und die betriebliche Organisation unerlässlich sind (bspw. private Handynummern). Diese Kontaktdaten dürfen auch nach Ansicht des Landesbeauftragten für Datenschutz und die Informationsfreiheit Baden-Württemberg allerdings ausschließlich soweit erforderlich zur Information in Notfällen verwendet werden.
Gesundheitsdaten der Arbeitnehmer und Gäste
Um eine Ansteckungsgefahr einzudämmen oder einen Test bzw. eine Behandlung einzuleiten, wird es regelmäßig auch erforderlich sein, Gesundheitsdaten zu erheben, deren Verarbeitung eigentlich nach der DSGVO untersagt ist. Dass dies zulässig ist, wurde in aktuellen Stellungnahmen sowohl von den deutschen Datenschutzbehörden des Bundes und der Länder als auch von dem europäischen Datenschutzausschuss bestätigt. Üblicherweise darf der Arbeitgeber Gesundheitsdaten nur in seltenen gesetzlich geregelten Fällen oder aufgrund einer wirksamen Einwilligung verarbeiten; Gesundheitsdaten gehören zu einer Gruppe sensitiver personenbezogener Daten, die einem stärkeren Schutz unterfallen. Im Fall der Corona-Pandemie ist dies auch nach § 26 III BDSG, Art. 9 II b) DSGVO (Verarbeitung für Zwecke der Gesundheitsvorsorge) möglich, z.B. um einen konkreten Infektionsverdacht festzustellen. Möglich ist es demnach, Urlaubsrückkehrer nach einem Aufenthalt in einem Risikogebiet oder nach einem Kontakt mit nachweislich Infizierten zu befragen. Eine detaillierte Befragung aller Beschäftigten mithilfe eines Fragebogens ist allerdings nicht erforderlich. Zudem soll es nach Ansicht der Aufsichtsbehörde in Rheinland-Pfalz nicht zulässig sein, die Messung der Körpertemperatur der Arbeitnehmer als Voraussetzung für das Betreten der Räumlichkeiten des Unternehmens zu verlangen.
Jedoch darf eine Datenerhebung von Besuchern und Gästen zur Feststellung einer Infektion oder eines Infektionsverdachts erfolgen. Hier kann man sich auf die Erlaubnis des berechtigten Interesses (Art. 6 I 1 f) DSGVO) bzw. für sensible Gesundheitsdaten auf öffentliche Interessen des Gesundheitsschutzes (§ 22 I Nr. 1 c) BDSG, Art. 9 II i) DSGVO) berufen.
Zur Eindämmung kann es zudem im Einzelfall notwendig sein, Gesundheitsdaten eines Arbeitnehmers gegenüber seinen Kollegen offenzulegen. Dies sollte jedoch soweit möglich anonymisiert erfolgen. Des Weiteren können Arbeitgeber Informationen darüber erheben, zu welchen Personen ein erkrankter Mitarbeiter Kontakt hatte, um diese Personen gezielt zu informieren. Die Befugnisse folgen auch hier aus den gesetzlichen Anforderungen bzw. dem berechtigten Unternehmensinteresse (Art. 6 I c) und f) DSGVO).
Schließlich darf und muss der Arbeitgeber auf behördliche Anfragen hin (zum Beispiel nach § 16 Infektionsschutzgesetz) erhobene Daten an Behörden übermitteln.
Arbeiten im Home Office
Viele Mitarbeiter arbeiten jetzt im Home Office. Dort bestehen aber auch die Pflichten des Arbeitgebers und damit der jeweiligen Arbeitnehmer zur Einhaltung des Datenschutzes, was nochmals von dem Landesbeauftragten für Datenschutz Schleswig-Holstein bestätigt wurde. Dokumente sollten nicht unbeaufsichtigt und offen zugänglich sein, sondern in einem verschlossenen Raum oder Behälter aufbewahrt werden. Zudem sollten die eingesetzten Laptops oder andere Computer mit einem sicheren Passwort geschützt und die Festplatte sowie externe Speichermedien verschlüsselt sein. Selbst bei kurzzeitigem Verlassen des Arbeitsplatzes sollte der Mitarbeiter den Computer sperren, sodass niemand unberechtigt auf dienstliche Daten zugreifen kann. Arbeitgeber sollten zudem ein schriftliches Konzept für den Umgang mit Daten im Home Office erstellen und den Mitarbeitern bekannt machen. Darin sollte zudem geregelt werden, an welche Stelle sich der Mitarbeiter bei Datenverlust unverzüglich zu wenden hat.
Verhältnismäßiger Umgang mit den Daten
Entscheidend ist es, bei allen Maßnahmen die Verhältnismäßigkeit zu wahren. Dazu gehört das Prinzip, (a) so wenig Daten wie nötig zu sammeln, (b) diese nur für die angegebenen Zwecke, also den Gesundheitsschutz und -vorsorge, zu verarbeiten und (c) diese besonderen Daten sobald und soweit möglich wieder zu löschen. Außerdem ist die Pflicht zur Information der betroffenen Person gemäß der Vorschriften der Artt. 13 ff. DSGVO zu berücksichtigen. Die Anfertigung von Protokollen und die Anpassung von Datenschutzbestimmungen an die neuen Herausforderungen, die die Bekämpfung des Coronavirus mit sich bringt, können bei der Schaffung der nötigen Transparenz von großem Wert sein.
Dr. Jürgen Hartung, Patrick Schwarze