Datenschutz versus Pandemieschutz?

Viele Arbeitgeber haben gerade erst mit viel Mühe die Vorschriften der DSGVO implementiert, als sie nun plötzlich damit konfrontiert sind, besonders sensible personenbezogene Daten wie z.B. Gesundheitsdaten von Mitarbeitern und Kunden oder Besuchern kurzfristig und ohne echte gesetzgeberische Leitlinien speichern zu sollen. Dieser Blogbeitrag gibt eine einfache Anleitung zum rechtssicheren Umgang mit dieser Situation.

Das Problem

In den Medien ist verstärkt die Rede von Arbeitgebern, die Mitarbeiter erst nach Fiebermessung aufs Betriebsgelände lassen oder Geschäften, die Namen und Kontaktdaten von Kunden notieren, um sie im Falle einer Infektionsgefahr benachrichtigen zu können.

Grundsätzlich sind Informationen und Aufzeichnungen – seien sie handschriftlich oder elektronisch erfasst – über den Gesundheitszustand eines klar identifizierbaren Menschen besonders geschützte Daten gemäß Art. 9 DSGVO. Solche Daten dürfen nur unter bestimmten, engen Voraussetzungen verarbeitet werden. Gleichzeitig ist jedem, der die Nachrichten verfolgt, die besondere Wichtigkeit des aktuellen Schutzes vor der Ausbreitung des Corona-Virus bekannt. Hierzu gehört eben auch, Ketten von möglichen Infizierten nachvollziehen zu können oder Mitarbeiter, die vorsorglich im Home-Office arbeiten, weiterhin erreichen zu können.

Was ist also wichtiger – Gesundheits- oder Datenschutz?

Die Lösung

Zunächst möchte ich klarstellen, dass dies keine „entweder oder“-Frage ist. Beides ist gleichermaßen möglich, wenn man sich an einige einleuchtende Regeln hält.

Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten in diesem Zusammenhang ist § 618 Abs. 1 BGB (Pflicht zu Schutzmaßnahmen) i.V.m. § 3 ArbSchG (Grundpflichten des Arbeitgebers). Den Arbeitgeber trifft also eine Fürsorgepflicht.

Der Bundesbeauftragte für den Datenschutz und Informationsfreiheit hat einige Standardbeispiele herausgegeben, um diesen Grundsatz zu skizzieren. Legitim, weil verhältnismäßig, sind z.B. die folgenden Verarbeitungstätigkeiten:

• Erhebung von Daten eines Mitarbeiters bzgl. Aufenthalt in einem Risikogebiet oder Kontakt mit einer nachweislich infizierten Person
• Erhebung und Verarbeitung von Kontaktdaten eines Besuchers in eng umrissenen Rahmen und unter Beachtung strenger Löschungsvorschriften
• Offenlegung von Kontaktdaten von unter Infektionsverdacht stehenden Personen, wenn dies erforderlich ist, um die Kontaktperson zu warnen

Unzulässig dagegen sind die folgenden Maßnahmen:

• Information an andere Mitarbeiter, dass ein bestimmter Mitarbeiter erkrankt ist
• Aufruf, Kollegen mit Symptomen zu melden

Auch außerhalb eines Arbeitsverhältnisses ist die Weitergabe von personenbezogenen Daten nach dem Infektionsschutzgesetz (IfSG) erlaubt. Die Meldepflichten und sonstigen Vorschriften nach IfSG, die eine solche Datenerhebung von Gesundheitsdaten erlauben, bleiben trotz der DSGVO künftig anwendbar. Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten ist Art. 9 II h) DSGVO iVm § 22 I Nr. 1 b) Bundesdatenschutzgesetz (BDSG). Die Rechtmäßigkeit der Meldungen und Übermittlungen von Gesundheitsdaten bleibt somit im Rahmen des IfSG auch bei Geltung der DSGVO unberührt.

Das Fazit:

Datenschutz und Gesundheitsschutz schließen sich nicht gegenseitig aus. Gerade die Beachtung der DSGVO ermöglicht einen ausgewogenen Umgang mit beidem (Stichwort: Löschfristen u.a.). Bei Fragen steht Ihnen unsere Task Force 20 jederzeit gerne zur Verfügung.

Bei allen rechtlichen Fragen rund um das Thema Corona-Virus helfen wir Ihnen gerne!

Besuchen Sie die Website: https://fps-law.de/corona-task-force/

Schreiben Sie uns: taskforce20@fps-law.de