Datenschutz und Corona – Was Arbeitgeber beachten müssen

Datenschutz und Corona – Was Arbeitgeber beachten müssen

Zu den vielen Rechtsunsicherheiten, die Arbeitgeber seit dem Ausbruch der Corona-Pandemie verfolgen, zählen auch datenschutzrechtliche Fragen. Wer einer Verbreitung des Virus und dem Schutz der Mitarbeiter gerecht werden und gleichzeitig nur im erlaubten Umfang Daten über seine Mitarbeiter verarbeiten will, hat schnell das Gefühl, sich in Widersprüche zu verstricken. Der Bundesdatenschutzbeauftragte und die unabhängigen Datenschutzaufsichtsbehörden der Länder haben nun in Form allgemeiner Hinweise darüber informiert, wann und wie Arbeitgeber personenbezogene Daten zum Infektionsschutz verarbeiten dürfen.

Wenn Arbeitgeber wegen der Corona-Pandemie personenbezogene Daten erheben, handelt es sich meist um Gesundheitsdaten gemäß Art. 9 DSGVO, da eine Verbindung zwischen Personen und ihrem Gesundheitszustand hergestellt wird. Als Gesundheitsdaten gelten für die Verarbeitung dieser Daten besonders strenge Schutzvorschriften. Allerdings können auch Gesundheitsdaten zur Eindämmung der Corona-Pandemie oder zum Schutz von Arbeitnehmern datenschutzkonform Daten durch den Arbeitgeber erhoben und verwendet werden, wenn dies verhältnismäßig ist und es für die Verarbeitung eine gesetzliche Grundlage gibt.

Die Verarbeitung von Arbeitnehmerdaten

Nach Ansicht der Datenschutzbehörden kann der Arbeitgeber daher durchaus personenbezogene Daten, auch Gesundheitsdaten, von Arbeitnehmern erheben oder verarbeiten, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Dies soll insbesondere dann gelten, wenn eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat. Außerdem soll es in Fällen gelten, in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat. Wissenswert ist hierbei, dass das RKI due französische Region Grand Est am 11.03.2020 als internationales Risikogebiet hinzugefügt hat.

Die Verarbeitung von Besucherdaten

Personenbezogene (Gesundheits-) Daten von Gästen und Besuchern sollen nach Ansicht der Aufsichtsbörden insbesondere verarbeitet werden können, um festzustellen, ob sie selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen oder sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben. Aber Achtung: die Daten von Personen, die (mutmaßlich) infiziert sind, um Kontaktpersonen zu informieren, dürfen nur übermittelt werden, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Fazit

Je nach Maßnahme können die Rechtsgrundlagen zwar voneinander abweichen, Arbeitgebern bleiben aber Handlungsmöglichkeiten. Dies auch deshalb, da nach Ansicht der Datenschutzbehörden Arbeitgeber aufgrund ihrer Fürsorgepflicht den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen haben, was auch die angemessene Reaktion auf die epidemische bzw. inzwischen pandemische Verbreitung einer meldepflichtigen Krankheit umfasst.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert