Datenschutz in der Corona-Krise – viele Unternehmen haben Fragen
Hier eine Auswahl von Q&As
Die Corona-Krise stellt Unternehmen derzeit vor viele Herausforderungen und rechtliche Probleme. Das betrifft auch den Datenschutz: Wie umgehen mit Informationen über mögliche Erkrankungen von Beschäftigten oder Besuchern? Was und wie lange speichern? Welche Informationen an die Belegschaft weitergeben?
Im Folgenden haben wir eine Auswahl wichtiger Fragen und Antworten zusammengestellt:
Dürfen Informationen über eine eigene Erkrankung, den Aufenthalt eines Beschäftigten in einem Risikogebiet oder über den Kontakt mit einem Erkrankten erhoben werden?
Grundsätzlich ja. Aufgrund seiner gesetzlichen Fürsorgepflichten nach dem Arbeitsschutzgesetz ist der Arbeitgeber verpflichtet, erforderliche Maßnahmen zum Schutz der Arbeitnehmer zu treffen. Insbesondere hat der Arbeitgeber bestmöglich dafür Sorge zu tragen, dass die übrigen Beschäftigten vor einer Infektion durch eine erkrankte Person geschützt werden. Der Arbeitgeber darf daher (i) Informationen darüber erheben, zu welchen Personen ein erkrankter Beschäftigter Kontakt hatte, (ii) Informationen von Urlaubsrückkehrern darüber erheben, ob sie sich in einem Risikogebiet aufgehalten haben, und (iii) Informationen von Beschäftigten darüber erheben, ob sie Kontakt zu einem Erkrankten und/oder positiv auf Covid-19 Getesteten hatten. Eine gesonderte Einwilligung der Beschäftigten ist dafür nicht erforderlich. Den Interessen der Beschäftigten hat der Arbeitgeber dadurch Rechnung zu tragen, dass eine Negativauskunft des Beschäftigten regelmäßig ausreicht. Es bedarf also regelmäßig keiner genauen Informationen über konkrete Reiseziele, sondern lediglich einer Auskunft darüber, ob es sich um ein Risikogebiet handelt oder nicht. Außerdem sind die Daten unverzüglich zu löschen, nachdem der legitime Zweck der Datenverarbeitung weggefallen ist.
Dürfen private Handynummern oder andere Kontaktdaten der Belegschaft erhoben werden?
Grundsätzlich ja. Private Handynummern oder andere Kontaktdaten dürfen erhoben werden, um die Beschäftigten im Falle einer Schließung des Betriebs oder in ähnlichen Fällen kurzfristig warnen oder auffordern zu können, zu Hause zu bleiben. Dies dient dem legitimen Zweck, eine Infektionsgefährdung der Beschäftigten zu verhindern oder jedenfalls zu verringern. Allerdings bedarf es dafür des Einverständnisses des jeweiligen Beschäftigten. Vor dem Hintergrund der gleichlaufenden Interessen dürfte dies in der Praxis jedoch kein Hindernis darstellen.
Zu beachten ist allerdings, dass die Erhebung und Verarbeitung nur zu den oben genannten legitimen Zwecken erfolgen darf. Die Daten dürfen also nicht für andere Zwecke genutzt werden und sie sind nach dem Ende der Covid-19-Krise zu löschen.
Darf der Name eines Erkrankten und/oder positiv auf Covid-19 Getesteten an Beschäftigte mitgeteilt werden, um darauf aufbauend mögliche Kontaktpersonen freizustellen?
Regelmäßig nein. Um eine Stigmatisierung und Ausgrenzung des Beschäftigten zu vermeiden, dürfte dies nur in äußerst begrenzten Ausnahmefällen zulässig sein. Vielmehr hat der Arbeitgeber dem folgenden, abgestuften Vorgehen zu folgen:
- 1. Stufe: Regelmäßig kann eine derartige Maßnahme abteilungs-/ bzw. teambezogen ohne konkrete Namensnennung erfolgen.
- 2. Stufe: Ist dies ausnahmsweise nicht ausreichend, so hat der Arbeitgeber Kontakt mit der zuständigen Gesundheitsbehörde aufzunehmen und deren Entscheidung herbeizuführen.
- 3. Stufe: Ist auch dies nicht möglich, so dürfen auch die übrigen Beschäftigten über den Verdacht der Ansteckung oder der Erkrankung informiert werden.
Der Grundsatz, dass personenbezogene Daten, insbesondere zum Gesundheitsstatus, auf einer „need-to-know-basis“ zu verarbeiten sind, ist auch hier zu berücksichtigen. Das heißt, personenbezogene Daten dürfen nur offengelegt werden, soweit dies erforderlich ist.
Ist die Erhebung, Speicherung oder Übermittlung von Daten über Kunden oder Besucher von Veranstaltungen durch ein Unternehmen zulässig für den Fall, dass später bekannt wird, dass eine infizierte Person auf der Veranstaltung war?
Soweit ein Veranstalter plant, Besucherdaten zu speichern, um diese Daten später an Gesundheitsbehörden auf deren Anforderung zu übermitteln, sind folgende Konstellationen zu unterscheiden:
- Die zuständige Behörde hat eine Verfügung erlassen, die Besucherdaten zu speichern: In diesem Fall darf und muss der Veranstalter diese Daten häufig nicht nur speichern, sondern auf Verlangen der Behörde auch an diese übermitteln.
- Eine Verfügung der zuständigen Behörde, die Besucherdaten zu speichern, besteht nicht: In diesem Fall muss der Veranstalter die Einwilligung der Besucher einholen, wenn er die Namen und Kontaktdaten der Besucher erheben und speichern möchte, um diese Daten später an Gesundheitsbehörden auf Aufforderung übermitteln zu können. Die Daten dürfen in der Regel nur so lange gespeichert werden, wie die Inkubations- und Entdeckungszeit der Infektion dauert. Vor dem Hintergrund der Inkubationszeit von 14 Tagen und eines Sicherheitsaufschlags weiterer 14 Tage sind die Daten jedenfalls nach circa einem Monat zu löschen.
In beiden Fällen sollte der Veranstalter allerdings überprüfen, ob seine Datenschutzerklärung die Speicherung und Übermittlung der betreffenden Daten an Gesundheitsbehörden umfasst und die Datenschutzerklärung erforderlichenfalls anpassen.