03.04.2020

Datenschutzkonferenz (DSK) zum Beschäftigtendatenschutz während der Corona-Pandemie

Portrait von Detlef Grimm
Detlef Grimm

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat eine datenschutzrechtliche Information zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der „Corona-Pandemie“ herausgegeben (Beschluss vom 13.3.2020, veröffentlicht etwas später am 25.3.2020).

Die nach Art. 9 DSGVO besonders geschützten Gesundheitsdaten sind dem Ausgangspunkt nach grundsätzlich zur Eindämmung der Pandemie und zum Schutz von Beschäftigten datenschutzkonform zu erheben und zu verwenden. Dabei soll der Grundsatz der Verhältnismäßigkeit beachtet werden. In Deutschland gilt zudem § 26 Abs. 3 BDSG, der den öffentlichen Gesundheitsschutz wohl nicht im Blick hat. Die Fürsorge- und Schutzpflicht des Arbeitgebers (vgl. nur § 618 BGB) in Bezug auf die Gesundheit der Arbeitnehmer stellt einen „Zweck des Beschäftigungsverhältnisses“ dar.

Datenschutzrechtlich legitimiert ist es, die Gesundheitsdaten von Beschäftigten zu erheben und zu verarbeiten, um eine Ausbreitung des Virus unter den Beschäftigten (Anmerkung des Verf.: nur unter diesen?) bestmöglich zu verhindern oder einzudämmen.

  • Dies ist beispielsweise dann der Fall, wenn eine Infektion festgestellt worden ist oder Kontakt mit einer nachweislich infizierten Person bestanden hat (was heißt hier nachweislich?),
  • oder „im relevanten Zeitraum“ ein Aufenthalt in einem vom Robert-Koch-Institut als Risikogebiet eingestuften Gebiet stattgefunden hat.
  • Auch die personenbezogenen Daten bzw. Gesundheitsdaten von Gästen und Besuchern können zu diesen Zwecken erhoben und verarbeitet werden. Insbesondere um festzustellen, ob diese selbst infiziert sind oder im Kontakt zu einer nachweislich infizierten Person standen oder sich „im relevanten Zeitraum“ in einem vom Robert-Koch-Institut als Risikogebiet eingestuften Gebiet aufgehalten haben.

Herausgestellt wird ferner, dass die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen demgegenüber nur rechtmäßig ist, wenn die Kenntnisse der Identität für die Vorsorgemaßnahmen ausnahmsweise (so die DSK, was bedeutet hier „ausnahmsweise“) erforderlich ist.

Es soll – das war es schon in der Vergangenheit bei Infektionen so – nicht erforderlich sein, die Risikofälle im Betrieb öffentlich, also namentlich zu veröffentlichen. Wir bei Loschelder sehen das differenziert anders, damit die anderen Beschäftigten ihre Kontakte zum Infizierten bewerten können und ggfls. Medizinisches veranlassen können (so unser Leitfaden vom 24.3.2020, Seiten 4 bis 6).

Arbeitgeber können zudem selbstverständlich Kontakt mit den Betroffenen aufnehmen und Maßnahmen, wie beispielsweise die Entfernung vom Arbeitsplatz (etwa Freistellung) ergreifen. Sie sind bei Infektionen hierzu verpflichtet, bei Verdachtsfällen wohl auch im Rahmen einer dann vorzunehmenden Interessenabwägung (Risiko/Wahrscheinlichkeit/Risikopotential für betroffene Beschäftigte im Betrieb).

Ich möchte ergänzend auf die Treue- und Schutzpflicht der Arbeitnehmer nach 241 Abs. 2 BGB hinweisen. Diese verpflichtet Arbeitnehmer dazu, Auskunft über den Aufenthalt in einem Risikogebiet innerhalb der Inkubationszeit (mindestens vergangene 14 Tage eher eine Woche mehr) zu geben. Hier gilt das, was im ArbRB Blog und insbesondere auch von Frau Kollegin Bonanni (ArbRB 2020, S1 Ziffer II, VI) dargestellt ist.

Auch der Europäische Datenschutzausschuss (EDPB) hat sich geäußert (unter Ziff. 4). Diese Stellungnahme finden Sie hier.

Von den Datenschutzbehörden wünsche ich mir, dass sie Ihre Leitlinien schneller bekannt machen und auch – entsprechend der Bedeutung der Rechtsgüter – die Gewichtung des Datenschutzes hinter der des Gesundheitsschutzes zurücktreten lassen.

Zurück