Dieser Zwiespalt erfordert in der Praxis oft rasche Entscheidungen. Arbeitnehmer werden nach Krankheitssymptomen oder Reisezielen befragt, Dienstreisen werden verschoben oder gänzlich abgesagt und Mitarbeiter werden ins „Home-Office“ geschickt um das Risiko einer Ausbreitung des Coronavirus im Betrieb zu verringern und Arbeitsabläufe bestmöglich aufrecht zu erhalten. Eine Vielzahl der getroffenen Maßnahmen betreffen Sachverhalte an der Schnittstelle zwischen Arbeits- und Datenschutzrecht. Fraglich ist, ob die derzeitige Ausnahmesituation die datenschutzrechtliche Zulässigkeit der Maßnahmen erleichtert.
Grundsatz
Selbstverständlich sind bei sämtlichen arbeitgeberseitigen Maßnahmen, die die Verarbeitung von personenbezogenen Daten erforderlich machen, die datenschutzrechtlichen Vorschriften der DSGVO bzw. des BDSG und der Grundsatz der Verhältnismäßigkeit uneingeschränkt zu beachten. Dies gilt umso mehr, weil im Rahmen der Corona-Prävention oftmals auch besonders geschützte Gesundheitsdaten von Arbeitnehmern verarbeitet werden.
Information der DSK
Die Datenschutzkonferenz, das Gremium der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat nunmehr Informationen für Arbeitgeber betreffend den Umgang mit personenbezogenen Daten von Beschäftigten in der Corona-Krise herausgegeben. Demnach sollen eine Vielzahl von Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie als datenschutzrechtlich legitimiert betrachtet werden können. Hierzu zählen insbesondere:
- Die Erhebung und Verarbeitung personenbezogene Daten von Beschäftigten zur Vermeidung einer Ausbreitung des Coronavirus in Fällen, in denen im relevanten Zeitraum eine Reise in ein vom Robert-Koch-Institut als Risikogebiet eingestuftes Land erfolgt ist, eine Corona-Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person stattgefunden hat;
- Die Erhebung und Verarbeitung personenbezogener Daten von Gästen und Besuchern, insbesondere um eine etwaige Infektion bzw. einen etwaigen Kontakt mit einer infizierten Person festzustellen.
Rechtsgrundlagen
Informationen über Corona-relevante Symptome eines Mitarbeiters sind aus datenschutzrechtlicher Sicht Informationen über den gegenwärtigen und den zukünftigen Gesundheitsstand einer Person und damit Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO. Diese Gesundheitsdaten unterliegen einem besonderen datenschutzrechtlichen Schutz (Art. 9 Abs. 1 DSGVO).
Arbeitgeberseitige Maßnahmen zur Corona-Prävention betreffend die personenbezogenen Daten von Beschäftigten lassen sich in der Regel über § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO rechtfertigen. Für den Fall der Verarbeitung von personenbezogenen Gesundheitsdaten sind § 26 Abs. 3 BDSG bzw. Art. 9 Abs. 2 lit. b) DSGVO einschlägig.
Der Arbeitgeber hat zugleich auch die Vorschriften des § 618 Abs. 1 BGB i.V.m. § 3 ArbSchG einzuhalten und der Fürsorgepflicht nachzukommen. Nach dem Arbeitsschutzgesetz ist der Arbeitgeber grundsätzlich verpflichtet die Gefahren für die Sicherheit und Gesundheit für seine Beschäftigten am Arbeitsplatz einzuschätzen (Gefährdungsbeurteilung), hieraus bestimmte Maßnahmen zu entwickeln und somit den Gesundheitsschutz für sämtliche Beschäftigte sicherzustellen.
Zulässige Maßnahmen
Zulässig dürfte vor diesem Hintergrund die Befragung von Urlaubsrückkehrern sein, ob diese sich in einem Risikogebiet (nach Einschätzung des RKI) aufgehalten haben. Ebenfalls zulässig sind Maßnahmen auf Basis freiwilliger Auskünfte der Mitarbeiter (z.B. Fragebögen) oder sonstiger freiwilliger Mithilfe der Mitarbeiter (z.B. freiwilliges Fiebermessen vor Ort).
Unzulässige Maßnahmen
Wohl eher unzulässig sind die pauschale Befragung aller Mitarbeitern nach künftigen Reisezielen oder nach individuellen Krankheitssymptomen. Grundsätzlich unzulässig ist die Preisgabe der Person eines Infizierten gegenüber der Gesamtbelegschaft (durch Namensnennung oder auf sonstige Weise, die eine Identifizierung ermöglicht).
Fazit
Arbeitgeber sollten auch in der aktuellen Corona-Situation datenschutzrechtliche Vorschriften nicht aus den Augen verlieren. Die arbeitgeberseitige Fürsorgepflicht beinhaltet jedoch in der Regel auch den Gesundheitsschutz der Beschäftigten zu gewährleisten. Nach Ansicht der Datenschutzkonferenz sind in diesem Zusammenhang aus datenschutzrechtlicher Sicht regelmäßig auch angemessene Reaktionen im Hinblick auf die Verbreitung des meldepflichtigen Coronavirus gerechtfertigt, soweit die allgemeinen Grundsätze und Rechtsvorschriften beachtet werden.
Ein vertraulicher Umgang mit den Daten der Mitarbeiter und die streng zweckgebundene Verarbeitung der Daten sind dabei maßgeblich. Ist der anlassbezogene Verarbeitungszweck – spätestens nach Ende der Pandemie und Anordnung der behördlichen Maßnahmen – entfallen, müssen die diesbezüglich erhobenen Daten unverzüglich gelöscht werden.