Zu den
vielen Rechtsunsicherheiten, die Arbeitgeber seit dem Ausbruch der
Corona-Pandemie verfolgen, zählen auch datenschutzrechtliche Fragen. Wer einer
Verbreitung des Virus und dem Schutz der Mitarbeiter gerecht werden und
gleichzeitig nur im erlaubten Umfang Daten über seine Mitarbeiter verarbeiten
will, hat schnell das Gefühl, sich in Widersprüche zu verstricken. Der
Bundesdatenschutzbeauftragte und die unabhängigen Datenschutzaufsichtsbehörden
der Länder haben nun in Form allgemeiner Hinweise darüber informiert, wann und
wie Arbeitgeber personenbezogene Daten zum Infektionsschutz verarbeiten dürfen.
Wenn
Arbeitgeber wegen der Corona-Pandemie personenbezogene Daten erheben, handelt
es sich meist um Gesundheitsdaten gemäß Art. 9 DSGVO, da eine Verbindung
zwischen Personen und ihrem Gesundheitszustand hergestellt wird. Als
Gesundheitsdaten gelten für die Verarbeitung dieser Daten besonders strenge
Schutzvorschriften. Allerdings können auch Gesundheitsdaten zur Eindämmung der
Corona-Pandemie oder zum Schutz von Arbeitnehmern datenschutzkonform Daten
durch den Arbeitgeber erhoben und verwendet werden, wenn dies verhältnismäßig
ist und es für die Verarbeitung eine gesetzliche Grundlage gibt.
Die Verarbeitung von Arbeitnehmerdaten
Nach Ansicht
der Datenschutzbehörden kann der Arbeitgeber daher durchaus personenbezogene
Daten, auch Gesundheitsdaten, von
Arbeitnehmern erheben oder verarbeiten, um eine Ausbreitung des Virus unter
den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Dies soll insbesondere
dann gelten, wenn eine Infektion festgestellt wurde oder Kontakt mit einer
nachweislich infizierten Person bestanden hat. Außerdem soll es in Fällen
gelten, in denen im relevanten Zeitraum ein Aufenthalt in einem vom
Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden
hat. Wissenswert ist hierbei, dass das RKI due französische Region Grand Est am
11.03.2020 als internationales Risikogebiet hinzugefügt hat.
Die Verarbeitung von Besucherdaten
Personenbezogene
(Gesundheits-) Daten von Gästen und
Besuchern sollen nach Ansicht der Aufsichtsbörden insbesondere verarbeitet
werden können, um festzustellen, ob sie selbst infiziert sind oder im Kontakt
mit einer nachweislich infizierten Person standen oder sich im relevanten
Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten
haben. Aber Achtung: die Daten von Personen, die (mutmaßlich) infiziert sind,
um Kontaktpersonen zu informieren, dürfen nur übermittelt werden, wenn die
Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen
ausnahmsweise erforderlich ist.
Fazit
Je nach Maßnahme können die Rechtsgrundlagen zwar voneinander abweichen, Arbeitgebern bleiben aber Handlungsmöglichkeiten. Dies auch deshalb, da nach Ansicht der Datenschutzbehörden Arbeitgeber aufgrund ihrer Fürsorgepflicht den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen haben, was auch die angemessene Reaktion auf die epidemische bzw. inzwischen pandemische Verbreitung einer meldepflichtigen Krankheit umfasst.