Die Rückkehr an den Arbeitsplatz wirft viele Fragen auf und stellt Gesundheitskonzepte in den Mittelpunkt des Interesses, die Betriebssicherheit und die Gesundheit der Belegschaft gewährleisten sollen. Doch wie sieht es nach dem Lockdown in der immer noch andauernden Pandemie mit dem Datenschutz der Beschäftigten aus?
Diese und weitere datenschutzrechtliche Fragen beantwortet Dr. Frank Schemmel, Head of Privacy (Corporate) von DataGuard, in diesem Gastbeitrag.
Das sagt die DSGVO
Laut der Datenschutz-Grundverordnung (DSGVO) versteht man unter Gesundheitsdaten all jene personenbezogenen Daten, die Rückschlüsse auf die körperliche oder geistige Gesundheit einer natürlichen Person zulassen. Diese sind besonders schützenswert, wie in Art. 9 Abs. 1 DSGVO festgeschrieben ist.
Folglich gelten deutlich strengere Anforderungen an die Rechtmäßigkeit der Verarbeitung solcher Daten. Im Zusammenhang mit einer Covid-19-Infektion werden folgende Informationen als Gesundheitsdaten eingestuft: Aufenthalt in Risikogebieten, Angaben zu bestehenden Symptomen sowie die Einstufung als Kontaktperson einer nachweislich infizierten Person.
Rückkehr an den Arbeitsplatz – diese Fragen sind erlaubt
Kommt ein Mitarbeiter aus dem Urlaub oder dem Homeoffice zurück ins Büro, stellt sich die Frage, ob er/sie Auskunft über Krankheitssymptome und Aufenthaltsorte geben muss. Die Antwortet lautet: In Normalfall unterliegen Angestellte datenschutzrechtlich nicht der Verpflichtung, Diagnosen oder Krankheitssymptome zu offenbaren.
Doch in der Coronakrise ist vieles anders, da der Arbeitgeber in der Pandemie seiner Fürsorgepflicht nachkommen muss. Unternehmen sind dazu verpflichtet, das Ansteckungsrisiko innerhalb der Belegschaft so gering wie möglich zu halten. Deshalb können Angestellte bei ihrer Rückkehr auch nach denjenigen Gesundheitsinformationen gefragt werden, die für die Umsetzung der Fürsorgepflicht notwendig sind.
Die Datenschutzaufsichtsbehörden Hamburg und Nordrhein-Westfalen stellen diesbezüglich fest, dass lediglich Fragen zu typischen Covid-19-Symptomen zulässig sind. Und dies auch nur dann, wenn ein erhöhtes Ansteckungsrisiko besteht. Erlaubt ist die Frage, ob jemand Kontakt zu nachweislich infizierten Personen hatte.
Arbeitgeber sollten allerdings nicht weiter nachbohren, um wen es sich dabei handelt. Dafür geht die pauschale Frage nach einem Aufenthalt in einem vom Robert-Koch-Institut ausgewiesenen Risikogebiet in Ordnung, allerdings ohne genaue Orts- und Landesangaben.
Risikogruppen
Darf man danach fragen, ob Beschäftigte zu einer Risikogruppe gehören? Eine entsprechende Auskunft kann nicht erzwungen werden. Mitarbeiter können jedoch von sich aus darauf hinweisen, dass sie zu einer Risikogruppe zählen, um beispielsweise länger im Homeoffice bleiben zu dürfen.
In diesem Fall ist die Verarbeitung dieser Daten grundsätzlich für den Zweck des Arbeits- und Gesundheitsschutzes zulässig. Die Grundlage für die Rechtmäßigkeit bildet hier neben der entsprechenden Einwilligung des Betroffenen wiederum die Verpflichtung des Arbeitgebers, die betriebliche Sicherheit wie auch Gesundheit der Belegschaft zu unterstützen.
Ist das Fiebermessen zulässig?
Wir alle kennen die Bilder aus den Nachrichten: Vor Büros und Fabriken lassen Menschen morgens messen, ob sie eine erhöhte Temperatur aufweisen oder nicht. Diese Maßnahme ist im Rahmen der Pandemie vor dem Betreten des Betriebsgeländes tatsächlich zulässig. Die Rechtsgrundlage bildet § 26 Abs. 3 des Bundesdatenschutzgesetzes (BDSG).
Es müssen allerdings nach Aussagen von Datenschutzbehörden bestimmte Umstände vorliegen, damit das kontaktlose Fiebermessen in Ordnung geht: In der Firma gab es bereits nachweislich Infektionen – oder der Beschäftigte hatte Kontakt zu Erkrankten. Wenn die Arbeitsstätte in einem ausgewiesenen Risikogebiet liegt, ist die Sache ebenfalls klar.
Ein weiteres Kriterium: Enger Körperkontakt am Arbeitsplatz lässt sich kaum vermeiden, wodurch das Ansteckungsrisiko stark steigt. Zeigt das Thermometer eine erhöhte Temperatur an und muss der Beschäftige dann sofort nach Hause gehen. Es darf in den Akten entsprechend vermerkt werden, dass eine erhöhte Temperatur vorlag, nicht aber der genaue Messwert.
Die Identität von Infizierten
Grundsätzlich gilt: Die Identität positiv getesteter Personen ist so vertraulich wie möglich zu handhaben, damit es keine Stigmatisierung geben kann. Die Identität von nachweislich oder möglicherweise Infizierten darf nur dann enthüllt werden, wenn es die entsprechende Kenntnis für Vorsorgemaßnahmen gegenüber Kontaktpersonen zwingend erfordert.
Jeder Fall muss auf seine Verhältnismäßigkeit überprüft werden. So reicht zum Beispiel die Information, dass eine nicht näher benannte Person aus einer bestimmten Abteilung positiv getestet wurde, für die Kommunikation auf Abteilungsebene oft aus.
Dennoch muss in manchen Fällen die Identität eines Infizierten verraten werden, um die Kollegen zu schützen, etwa in besonders ansteckungskritischen Zweierbüros. Nach § 26 Abs. 3 BDSG kann hier die Identität des Infizierten gegenüber den gefährdeten Kollegen preisgegeben werden.
Die Corona-Warn-App
Kann ein Arbeitgeber seine Angestellten dazu zwingen, die Corona-App zu benutzen? Nein, denn eine entsprechende Verpflichtung der Arbeitnehmer ist arbeitsrechtlich wohl nicht zulässig und damit auch eine entsprechende Datenverarbeitung rechtswidrig.
Das Bayerische Landesamt für Datenschutzaufsicht hat zu dieser Thematik klargestellt, dass niemand verpflichtet werden kann, Kontakte und Gesundheitszustand dauerhaft erfassen zu lassen – zu groß sei der Eingriff in die Freiheitsrechte.
Hinzu kommt, dass das Robert-Koch-Institut, der Anbieter der Corona-Warn-App, betont, dass die Verwendung der App auf Freiwilligkeit beruht. Unternehmen dürfen die App auf Dienstgeräten installieren, aber die Entscheidung über die Nutzung oder Nichtnutzung liegt allein beim jeweiligen Arbeitnehmer.
Löschung von privaten Kontaktdaten
Und noch eine Frage stellt sich: Wann müssen private Kontaktdaten von Beschäftigten, die zur Reduzierung des Infektionsrisikos erhoben wurden, wieder gelöscht werden? Antwort: Die Daten dürfen prinzipiell so lange aufbewahrt werden, wie dies für den Zweck der Verarbeitung erforderlich ist.
Und: Spätestens nach Ende der Pandemie müssen Informationen, die für das Beschäftigungsverhältnis nicht zwingend erforderlich sind, gelöscht werden. Es kann jedoch sein, dass sich aus den Infektionsschutzverordnungen des jeweiligen Bundeslandes aktuell bestimmte Aufbewahrungspflichten ergeben.
Übermittlung an Behörden
Daten über erkrankte Beschäftigte oder jene, die Kontakt zu Infizierten hatten oder sich in einem Risikogebiet aufhielten, dürfen an die Behörden übermittelt werden. Behördlichen Auskunftsersuchen seitens der Polizei oder der Gesundheitsämter ist grundsätzlich Folge zu leisten. Diese Auskunftsverpflichtung ergibt sich aus den Corona-Schutzverordnungen und dem Infektionsschutzgesetz, hierin sind sich deutsche Datenschützer einig.
Fazit
Unternehmen müssen in der Coronakrise Gesundheitskonzepte entwickeln und durchsetzen. Diese sollen einerseits die Gesundheit der Menschen schützen, andererseits aber auch die Aufrechterhaltung des Betriebs gewährleisten. An dieser Stelle kommen die Gesundheitsdaten ins Spiel, die zwar besonderen Schutz genießen, in der Pandemie aber dennoch teilweise erhoben werden müssen.
Viele Datenschutz-Detailfragen müssen in der aktuellen Ausnahmesituation individuell beantwortet werden – je nach Firma. Es empfiehlt sich auf jeden Fall, den oder die Datenschutzbeauftragten von Beginn an eng in die Planung einzubinden. Falls innerhalb der Belegschaft Covid-19-Infektionen auftreten, ist schnelles Handeln gefragt.
Alle Verantwortlichen sollten sich deshalb so früh wie möglich mit den DGSVO-konformen Handlungsanweisungen vertraut machen.