Menu

Rechtliche Fragen zur Corona-Krise – Teil 1: Corona und Datenschutz

Home / Allgemein / Rechtliche Fragen zur Corona-Krise – Teil 1: Corona und Datenschutz

Das Coronavirus stellt uns alle vor neue Herausforderungen mit denen wir umgehen müssen. Nach Auffassung einiger Experten wird uns diese Krise noch Monate beschäftigen. Die Auswirkungen dürften enorm sein. 

Oberstes Ziel muss es jetzt sein, die weitere Ausbreitung des Virus zu verhindern oder wenigstens merklich zu verlangsamen (FlattenTheCurve). Gleichzeitig müssen Unternehmen versuchen, Schäden von Mitarbeitern und dem Unternehmen selbst abzuhalten. Hier werden viele Fragen auftauchen, die man im Zweifel jetzt noch nicht abschließend beantworten kann. 

Wir wollen in diesem und den folgenden Artikeln auf ein paar Punkte eingehen, die nach unserer Auffassung “krisenrelevant” sind und die Unternehmen beachten sollten. 

Wir werden folgende Themen behandeln:

  1. Corona und Datenschutz
  2. Fragen um das Arbeitsrecht (folgt)
  3. Entschädigungen (folgt)
  4. Fakenews (folgt)
  5. Was wenn es kracht? (folgt)

Corona und Datenschutz 

Der Umgang mit Corona ist aus Sicht des Datenschutzes ein heikles Thema. Die Informationen um eine Coronainfektion sind gesundheitsbezogene Daten. Diese dürfen nicht ohne Weiteres verarbeitet werden. Demgegenüber muss gerade oberstes Ziel die Eindämmung der Pandemie und der Schutz der eigenen Mitarbeiter sein. Insofern sollte hier ein pragmatischer Umgang mit dem Datenschutz stattfinden und ein Ausgleich der Interessen stattfinden. 

Corna und Gesundheitsdaten

Die erste Frage die sich stellt, ist ob und welche Daten Unternehmen im Zusammenhang mit Corona verarbeiten darf. Informationen im Zusammenhang mit einer Coronainfektion sind in der Regel Gesundheitsdaten. Gesundheitsdaten sind Daten besonderer Kategorien nach Art. 9 DSGVO. Die Verarbeitung ist nur unter strengen Voraussetzungen möglich. Gleichzeitig muss der Arbeitgeber Schutzmaßnahmen treffen, um seine Mitarbeiter vor Gefahren zu schützen (§ 618 BGB). Im Normalfall ist die Verarbeitung von Gesundheitsdaten durch den Arbeitgeber nahezu ausgeschlossen. Die deutschen Datenschutzbehörden halten gleichwohl bestimmte Maßnahmen für zulässig. Empfehlungen gibt sowohl die DSK (ein Zusammenschluss der unabhängigen Datenschutzbehörden der Länder) als auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit  Baden-Württemberg. Wir halten beide Empfehlungen/Stellungnahmen für pragmatisch und schließen uns an. 

Möglich sind danach folgende Maßnahmen:

Aufbau eines innerbetrieblichen Kommunikationsnetzwerkes unter Verwendung der privaten Handynummern der Mitarbeiter. Hierdurch können Arbeitgeber einen schnellen Informationsfluss gewährleisten. Voraussetzung für die Nutzung der operivaten Handynummer ist allerdings, dass der einzelne Mitarbeiter seine Einwilligung erteilt hat. 

Arbeitgeber dürfen Daten erheben und verarbeiten, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:

    • in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
    • in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.

Dabei können zum Beispiel Daten erhoben werden, mit wem die Person Kontakt hatte. Urlaubsrückkehrer können befragt werden ob sie aus einem Risikogebiet kommen. In der Regel genügt hier eine Negativauskunft. Weiter Nachfragen können aber bei besonderen Umständen gerechtfertigt sein. 

Gegebenenfalls kann auch die Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern notwendig sein, insbesondere um festzustellen, ob diese Personen selbst infiziert sind, in Kontakt mit einer nachweislich infizierten Person standen, oder sich in einem Risikogebiet aufgehalten haben.

Vorsicht bei namentlicher Nennung

Einschränkungen gibt es aber bei der Offenlegung der Daten von Infizierten oder Verdachtsfällen gegenüber Dritten. Die Offenlegung ist nur in engen Grenzen zulässig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist. Das kann zum Beispiel im Rahmen des Contact-Tracing der Fall sein, also zum Nachverfolgen einer Infektionskette. Die Offenlegung gegenüber eine Behörde, etwa dem Gesundheitsamt wird in vielen Fällen zulässig sein.Die Offenlegung gegenüber Dritten zum Beispiel anderen Mitarbeitern ohne besonderen Grund ist unzulässig. 

Viele Fragen offen

Beim Thema Corona und Datenschutz sind längst nicht alle Fragen geklärt. Unternehmen sollten hier jedoch pragmatisch mit ein bisschen gesundem Menschenverstand an die Sache herangehen. Im Rahmen der Krisenbewältigung werden viele Verarbeitungen zulässig sein. Bevor man eine Information verarbeitet sollte man sich überlegen, ob die Maßnahme zur Krisenbewältigung geeignet, notwendig und angemessen ist. Wenn ich zum Schutz der Mitarbeiter Fiebermessungen am EIngang durchführe, muss ich die Messwerte nicht zwingend von jedem Mitarbeiter speichern. 

Wenn ich Daten von Mitarbeitern, Gästen und Lieferanten verarbeite, sollte ich auch die entsprechenden Informationspflichten nach Art. 13,14 DSGVO anpassen.

Der bisherige Umgang mit Corona und Datenschutz durch die deutschen Aufsichtsbehörden ist pragmatisch und aus unserer Sicht sehr zu begrüßen. Wir wollen aber nicht verheimlichen, dass andere europäische Aufsichtsbehörden das Thema durchaus restriktiver handhaben; eine Netzschau hierzu gibt es bei Telemedicus.

Corona und Datenschutz im Homeoffice

Wer seine Mitarbeiter ins Homeoffice schickt, sollte auch hier den Datenschutz nicht außer Acht lassen. Unternehmen müssen sicherstellen, dass das Schutzniveau im Homeoffice dem des Unternehmens entspricht. Außerdem sollte man generell seine Auftragsverarbeitungsverträge im Blick behalten. Oftmals ist dort das Homeoffice für Mitarbeiter untersagt. Hier sollten Unternehmen aufgrund der speziellen Situation eine Ausnahmeregelung zu treffen. 

 

Comments(0)

    Leave a Comment