Auch wenn das Arbeiten im Home-Office in vielen Unternehmen zum festen Bestandteil des „New Normal“ geworden ist: Sobald die Anwesenheit im Büro wieder zunimmt, darf auch der Datenschutz nicht aus dem Blick geraten. TÜV SÜD Sec-IT Datenschutzexpertin Mareike Vogt zeigt auf, wie eine Verarbeitung von Gesundheitsdaten nach den Anforderungen der EU-DSGVO aussehen sollte.
„Viele Unternehmen überlegen, entsprechende Maßnahmen zum Schutz der Mitarbeiter vor einer Corona-Infektion einzuleiten, beispielsweise durch pauschale Temperaturmessungen. Dabei werden sensible Daten in Form von Gesundheitsdaten erhoben, die nur entsprechend den Vorgaben der EU-DSGVO verarbeitet werden dürfen.
Für jede Datenerhebung ist ein legitimer Zweck erforderlich, der durch die Verarbeitung erfüllt wird. Eine erhöhte Temperatur ist aber noch keine Bestätigung einer Infektion mit Covid-19. Es ist daher fraglich, welche Aussagekraft die Temperatur des Mitarbeiters hat und ob diese Maßnahme daher überhaupt sinnvoll ist.
Artikel 9 Absatz 1 der EU-DSGVO verbietet die Verarbeitung von besonderen Kategorien personenbezogener Daten, wie z. B. Gesundheitsdaten. Allerdings weist der Gesetzgeber konkrete Ausnahmetatbestände auf, unter denen eine Verarbeitung von besonders sensiblen Daten möglich ist.
Dies betrifft beispielsweise die konkrete Einwilligung des Betroffenen sowie gesetzliche Anforderungen des Arbeitsrechts oder eine Verarbeitung zum Schutz lebensnotwendiger Interessen des Betroffenen oder einer anderen natürlichen Person. Unternehmen benötigen daher in Kombination zu einer Rechtsgrundlage aus Art. 6 Abs. 1 EU-DSGVO ebenso eine der Voraussetzungen des Art. 9 EU-DSGVO zur Verarbeitung von Gesundheitsdaten.
Richtiges Verhalten im Krankheitsfall
Arbeitnehmer unterliegen grundsätzlich erst einmal keiner Verpflichtung, ihrem Arbeitgeber den Grund einer Arbeitsunfähigkeit mitzuteilen. Durch das Infektionsschutzgesetz ist jedoch bereits der Arzt dazu verpflichtet, dem zuständigen Gesundheitsamt einen Verdacht sowie eine Erkrankung an Covid-19 mitzuteilen. Dieses leitet dann weitere Maßnahmen ein und kann infolgedessen auch den Arbeitgeber des Infizierten kontaktieren.
Wird dieser durch den Arbeitnehmer selbst oder das Gesundheitsamt über eine Covid-19-Erkrankung informiert, so darf der Name des infizierten Mitarbeiters nicht an die breite Belegschaft kommuniziert werden. Es sollte jedoch geklärt werden, zu welchen Kollegen er Kontakt hatte und welche Maßnahmen im Sinne der Fürsorgepflicht des Arbeitgebers getroffen werden müssen.
Das könnte auch die zeitweise Rückkehr ins Home-Office sein. Das zuständige Gesundheitsamt kümmert sich gemäß § 25 Infektionsschutzgesetz um die weiteren Ermittlungen. Zu diesem Zweck kann das Unternehmen dazu aufgefordert werden, personenbezogene Daten von Mitarbeitenden an das Gesundheitsamt zu übermitteln."
Checkliste zur EU-DSGVO-konformen Datenverarbeitung:
- Wofür werden die Daten benötigt und was soll mit der Verarbeitung erreicht werden? Kann der Zweck mit alternativen Maßnahmen erreicht werden?
- Welche Daten werden tatsächlich zur Erfüllung des Zwecks benötigt? Ist es notwendig, besonders sensible Daten zu erheben?
- Ist eine Rechtsgrundlage für die Datenerhebung vorhanden?
- Wenn die Verarbeitung personenbezogener Daten auf einer gesetzlichen Anforderung basiert, kann eine Aufbewahrungsfrist damit einhergehen.
- Den Datenschutzbeauftragten des Unternehmens frühzeitig einbinden, wenn eine neue Maßnahme zur Datenverarbeitung geplant ist.