Corona und Datenschutz – was Arbeitgeber beachten sollten

Die „Corona-Krise“ (Virus: Covid-19) stellt Unternehmen und deren Beschäftigte vor die Herausforderung, den Gesundheitsschutz und die Betriebsabläufe im Einklang zu bewältigen. Bisher gibt es keine ausreichenden Erfahrungen zum Umgang mit vergleichbaren besonderen Situationen. Die rechtlichen Anforderungen im Hinblick auf den Datenschutz jedoch sind relativ eindeutig, auch wenn Datenschutzbehörden und weitere Gremien geneigt sind, den individuellen Bedürfnissen einzelner Branchen zum Erhalt des Wirtschaftslebens gerecht zu werden.

Welche Maßnahmen sind grundsätzlich unbedenklich?

Kommen unterschiedliche Maßnahmen in Betracht, sind aus datenschutzrechtlicher Sicht stets die Maßnahmen am günstigsten, die keinen unmittelbaren Zusammenhang zu personenbezogenen Daten haben. Solche einfachen Mittel könnten insbesondere sein:

  • Strenge Hygienemaßnahmen, bspw. Pflicht zur häufigen Desinfektion der Hände
  • Kein Empfang von Fremdbesuchern in den Geschäftsräumlichkeiten
  • Keine Wahrnehmung von Außenterminen, bspw. Verbot von Dienstreisen
  • Hinweise an die Beschäftigten, jeweils für sich vor dem Betreten der betrieblichen Räumlichkeiten zu klären, ob sie einschlägige Krankheitssymptome wie z.B. Fieber aufweisen, Kontakt zu infizierten Personen hatten oder sich selbst kürzlich in einem Risikogebiet aufgehalten haben


Sollen weitere Maßnahmen, speziell vor dem Hintergrund der arbeitsrechtlichen Fürsorgepflicht des Arbeitgebers getroffen werden, richtet sich die Zulässigkeit dieser Maßnahmen nach Art. 9 Datenschutz-Grundverordnung (DSGVO), der den Umgang mit besonders schützenswerten personenbezogenen Daten regelt. Darunter fallen gerade auch Gesundheitsdaten, die im Kontext der Covid-19-Krisenabwehr Verarbeitungsgegenstand sein können. Begrüßenswert ist demnach, dass seitens der Datenschutzkonferenz (Zusammenschluss der deutschen Datenschutz-Aufsichtsbehörden) erste Hinweise und Informationen hierzu veröffentlicht wurden. Nach deren Ansicht können, auch wenn eine Verarbeitung von Gesundheitsdaten grundsätzlich nur restriktiv möglich ist, für verschiedene Maßnahmen von Arbeitgebern, die der Eindämmung der Corona-Pandemie oder zum Schutz von Beschäftigten dienen, datenschutzkonform Daten erhoben und verwendet werden.

Geeignete und im gegebenen Kontext datenschutzrechtlich zulässige Maßnahmen dürften außerdem sein:

  • Weitreichende Homeoffice-Regelungen, um die Minimierung des physischen Umgebungskontakts zu erreichen
  • Befragung der Mitarbeiter hinsichtlich einer positiven Testung auf das Covid-19-Virus
  • Befragung der Mitarbeiter, ob sie Kontakt zu einem positiv auf das Covid-19-Virus getesteten Menschen hatten
  • Befragung der Mitarbeiter, ob sie sich in einem Risikogebiet (derzeit: u.a. Kreis Heinsberg (Nordrhein-Westfalen), Norditalien einschl. Südtirol, Österreich insb. Ischgl, Wuhan (VR China), einige Regionen Frankreichs und Spaniens) aufgehalten haben
  • Befragung der Mitarbeiter, ob sie Kontakt zu einem Menschen mit Aufenthalt in einem Risikogebiet hatten


Gleiches gilt für den Zutritt von Gästen und Besuchern.

Nach Auffassung einiger Juristen sind ebenfalls freiwillige Körpertemperaturmessungen (sog. „Fiebermessung“) zulässig; ob der Maßstab der Freiwilligkeit bei dem arbeitgeberseitigen Anbieten dieser Maßnahme gegenüber Beschäftigten tatsächlich gewahrt ist, erscheint sehr zweifelhaft. Jedenfalls kann die besondere Situation einen sozialen Druck gegenüber den Beschäftigten auslösen, was einer Freiwilligkeit entgegenstehen dürfte.  So ist der Arbeitgeber zwar verpflichtet, den Gesundheitsschutz seiner Beschäftigten so weit möglich sicherzustellen, die hierzu getroffenen Maßnahmen müssen dabei jedoch immer verhältnismäßig sein.
Daher können diese Messungen der Körpertemperatur lediglich eine Entscheidungsgrundlage für den Arbeitgeber schaffen, ob Personen Zutritt zum Unternehmensgelände gewährt werden soll. Die Daten müssen dabei vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Folglich sollten die Messwerte nach Zutritt der Beschäftigten unmittelbar gelöscht werden. Welches Vorgehen letztlich gewählt wird, ist anhand der Gesamtumstände und unter einer Abwägung der Risiken durch das Unternehmen selbst zu entscheiden.

Generell unzulässige Maßnahmen dürften sein:

  • Jegliche pauschalen bzw. allgemeinen Befragungen zum Gesundheitszustand
  • Jegliche pauschale bzw. allgemeine Befragungen zu Aufenthaltsorten
  • Mitteilung an Kollegen über die positive Testung eines anderen Beschäftigten auf Covid-19 unter Angabe seiner Identität; stattdessen sollten abteilungs- oder teambezogene Hinweise erteilt werden, um die weitere Ausbreitung des Virus zu verlangsamen
  • Aufforderung an Beschäftigte, Kollegen zu melden, die typische Symptome zeigen


Fazit

Als abstrakte Grundregel, ob eine Maßnahme eher zulässig oder unzulässig ist, kann demnach herausgearbeitet werden: Eine Maßnahme, die sich auf einen abstrakten Personenkreis bezieht und die Betroffenen gleichermaßen betrifft sowie untereinander den Schutz ihrer Daten wahrt, ist eher zulässig. Regelungen hingegen, die sich auf konkret feststellbare natürliche Personen beziehen und den Schutz ihrer Identität untereinander aufheben, sind typischerweise unzulässig. Entscheidend ist stets das Ergebnis einer jeden Einzelfallprüfung, die aber auch immer die besonderen praktischen Herausforderungen ihrer Branche zu berücksichtigen hat.

Autor:
Diplom-Jurist Alexander Schmidt, Ass. jur.
Senior Consultant Data Protection Services
Creditreform Compliance Services GmbH

image descriptionKontakt