Datenschutz beim Umgang mit Corona in privaten Unternehmen und sozialen Einrichtungen

Globale Vernetzung der Arbeitswelt sowie komfortable und bezahlbare Reisemöglichkeiten für Privatpersonen fördern die Verbreitung von Infektionskrankheiten. Derzeit steigt das Verbreitungsrisiko von Sars-CoV-2 oder dem „Corona-Virus“, enorm an. Behörden bereiten sich mit Epidemie- und Pandemieplänen vor und auch Unternehmen und soziale Einrichtungen treffen Vorkehrungen für den Umgang mit der „neuartigen“ Bedrohung. Zur Aufrechterhaltung des Betriebes und aus Aspekten der Fürsorgepflicht gegenüber dem Arbeitnehmer, ist es aus Sicht eines Arbeitgebers von essentieller Bedeutung Infektionsquellen „in den eigenen Reihen“ so früh wie möglich zu erkennen. Das ist häufig nur mit Daten möglich. So können Maßnahmen ergriffen werden, um andere Mitarbeiter, Kunden, Klienten oder Patienten davor zu schützen, sich zu infizieren. Der Arbeitnehmer profitiert somit von einer geringeren Wahrscheinlichkeit sich zu infizieren und bleibt gesund. Der Arbeitgeber stellt die Aufrechterhaltung des Betriebes und somit im Zweifelsfall den Arbeitsplatz der Arbeitnehmer sicher. Dennoch ist Datenschutz auch beim Umgang mit dem Corona-Virus sicherzustellen.

In aller Regel wird im Falle von Epidemien eine Meldekette etabliert. Der Infizierte begibt sich zu seinem Hausarzt, dieser stellt die Infektion fest und meldet dem Gesundheitsamt den Status. Das Gesundheitsamt versucht dann Infektionsherde zu isolieren. Hierzu werden die Personen, zu denen der Infizierte Kontakt hatte, aufgesucht und ebenfalls getestet. In diesem Szenario wird der Arbeitgeber direkt vom Gesundheitsamt informiert. Es werden alle Kollegen getestet, die Kontakt zu der infizierten Person hatten.

Reaktionen in Unternehmen und sozialen Einrichtungen zu Datenschutz und Corona

In der Beraterpraxis stellen wir fest, dass zur Beschleunigung dieser Informationskette und der Reaktion auf Verdachtsfälle, einige Arbeitgeber ihre Mitarbeiter anweisen, Infektionen bzw. Verdachtsfälle umgehend zu melden. An dieser Stelle schließt sich der Kreis zum Datenschutz. Grundsätzlich dürfen personenbezogene Daten und insbesondere Gesundheitsdaten gemäß Artikel 9 der Datenschutz-Grundverordnung (DS-GVO) ausschließlich auf Basis geeigneter Rechtsgrundlagen verarbeitet werden, die in Artikel 6 DS-GVO näher ausgeführt werden.

Unternehmen und soziale Einrichtungen, die eine Meldepflicht für Ihre Beschäftigten für den Fall von Infektionskrankheiten etablieren wollen, sind dazu verpflichtet, die daraus resultierende Datenverarbeitung datenschutzkonform umzusetzen. Aus unserer Sicht kommen für diesen speziellen Fall folgende Möglichkeiten in Frage:

  1. Information auf freiwilliger Basis
  2. Betriebsvereinbarungen zu Infektionskrankheiten
  3. Interessenabwägung, die zu einer Meldepflicht führt
  4. Artikel 6 Abs. 2 lit d DS-GVO
  5. Artikel 6 Abs. 1 lit. c DS-GVO

Information auf freiwilliger Basis über Corona

Der einfachste und zugleich unverbindlichste Weg um ist es, die Arbeitnehmer darum zu bitten, Hinweise auf eine Erkrankung mitzuteilen, um Präventionsmaßnahmen zu einer weiteren Ausbreitung ergreifen zu können. Es handelt sich hierbei nicht um eine Arbeitsanweisung des Arbeitgebers, dementsprechend unsicher ist die Wirksamkeit der Maßnahme. Sofern die Informationen auf freiwilliger Basis an den Arbeitgeber übergeben werden, handelt es sich um eine konkludente Einwilligung, gemäß DS-GVO Artikel 6 I a) die dem Arbeitgeber als Rechtsgrundlage zur Datenverarbeitung dient. Die Daten dürfen jedoch nur für diesen Zweck (Hinweis an Kollegen, ob ebenfalls Symptome auftreten, Schutz von Risikoklienten) verwendet werden.

Vielen Unternehmen und sozialen Einrichtungen ist dieser Lösungsansatz jedoch zu unverbindlich, weshalb nach Wegen gesucht wird Mitarbeiter konkret darauf zu verpflichten, Verdachtsfälle zu kommunizieren.

Betriebsvereinbarung zu Datenschutz und Corona

Sofern es im Unternehmen einen Betriebsrat oder eine Mitarbeitervertretung gibt, kann auch eine Betriebs- bzw. Dienstvereinbarung eine einschlägige Rechtsgrundlage darstellen. Gemäß Artikel 6 Absatz 1, Buchstabe b ist eine Verarbeitung dann rechtmäßig, wenn die Verarbeitung für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, notwendig ist.

Bei der Vertragsausgestaltung kann Ihnen insbesondere im Hinblick auf die datenschutzrechtlichen Aspekte Ihr Datenschutzberater unterstützend zur Seite stehen.

Artikel 6 Absatz 1, Buchstabe f – Interessenabwägung

Eine denkbare Rechtsgrundlage wäre die Verarbeitung auf Basis des berechtigten Interesses des Arbeitsgebers in Verbindung mit arbeitsrechtlichen Schutzpflichten für die Beschäftigten. Insbesondere Unternehmen und soziale Einrichtungen, die engen Kunden-, Klienten- oder Patientenkontakt haben, können auf Basis der folgenden Argumentation ein berechtigtes Interesse formulieren. Im Bereich der ambulanten oder stationären Pflege und Versorgung besteht in vielen Fällen Kontakt zu Risikopatienten, bei denen Corona nach Ausbruch einen schlimmeren Verlauf nehmen kann als beim „Rest“ der Bevölkerung. Eine Ausbreitung im stationären Umfeld könnte bedeuten, dass ein Großteil der Klienten/Patienten betroffen wird. Eine wirksame Eindämmung der Epidemie würde so ausgeschlossen. Durch entschlossenes und schnelles Handeln können Arbeitgeber frühzeitig sicherstellen, dass betroffene Mitarbeiter keinen Kontakt zu Risiko-Patienten oder anderen Mitarbeitern pflegen. Dies sichert zum einen den laufenden Betrieb und schützt Patienten und Klienten.

Interessen der Unternehmen der sozialen Einrichtung

Ein „Business as usual“ kann neben Imageschäden für das Unternehmen / die Einrichtung unter Umständen sogar lebensbedrohliche Folgen für die Klienten / Patienten oder Kollegen nach sich ziehen.

In die Interessenabwägung könnten ebenfalls Überlegungen und Argumente aus dem Arbeitsschutz, sowie des Infektionsschutzgesetzes einfließen.

Interessen der erkrankten Personen

Bei der Interessenabwägung zwischen Datenschutz und Corona sind auch die Interessen der erkrankten Personen zu berücksichtigen. Eine Kenntnisnahme könnte zu einer Isolation und Meidung durch andere Personen führen.

Auf Basis dieser Argumentation könnte eine Interessenabwägung zu dem Schluss kommen, dass die Interessen des Arbeitgebers überwiegen und das berechtigte Interesse als Rechtsgrundlage für die angestrebte Datenverarbeitung dienen kann. In welchem Umfang diese Verarbeitung zu erfolgen hat, sollte in engen Leitplanken definiert werden. Neben dieser Rechtsgrundlage gibt es jedoch weitere, belastbarere Rechtsgrundlagen.

Auch auf Basis der oben genannten Rechtsgrundlage gilt: Die Verarbeitung muss sich an den Grundsätzen für die Verarbeitung personenbezogener Daten (Artikel 5 DS-GVO) orientieren. Konsultieren Sie unbedingt Ihren Datenschutzbeauftragten, um etwaige Unsicherheiten auszuräumen.

Artikel 6 Absatz 1, Buchstabe d – Schutz lebenswichtiger Interessen

Neben den bisher beschriebenen Rechtsgrundlagen könnte auch die selten im Fokus stehende Rechtsgrundlage gemäß Artikel 6 Absatz 1, Buchstabe d eine einschlägige Rechtsgrundlage darstellen. In diesem Fall ist die Verarbeitung personenbezogener Daten gestattet, sofern die Verarbeitung notwendig ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Erwägungsgrund 46 führt weiter aus: „Einige Arten der Verarbeitung können sowohl wichtigen Gründen des öffentlichen Interesses als auch lebenswichtigen Interessen der betroffenen Person dienen; so kann beispielsweise die Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen erforderlich sein.“

Die aktuelle Einschätzung des Robert-Koch Instituts im Steckbrief zu SARS-CoV-2 vom 06.03.2020 offenbart, dass es nach wie vor Ziel ist, die Epidemie unter Kontrolle zu bringen. Die Voraussetzungen für die Anwendung des Artikel 6 Absatz 1, Buchstabe d) sind somit bereits gegeben. Entscheidend an dieser Stelle ist die Einschätzung, in welchem Stadium sich die jeweilige Infektionskrankheit befindet.

Das diese Rechtsgrundlage auch Anwendung auf sensible Gesundheitsdaten findet, verdeutlicht DS-GVO Artikel 9 Absatz 2, Buchstabe i) „die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren … erforderlich.“

Jedoch ist zwingend zu berücksichtigen, dass Ermittlungs- und Eingriffsbefugnisse in der Regel nicht dem Arbeitgeber, sondern den staatlichen Gesundheitsbehörden zustehen. Eine Verarbeitung auf Basis der o.g. Rechtsgrundlage sollte durch die verantwortliche Stelle und unter Konsultation des Datenschutzbeauftragten genauestens geprüft werden. 

Artikel 6 Absatz 1, Buchstabe c – Rechtliche Verpflichtung

Eine weitere Rechtsgrundlage ist auf Basis der folgenden Argumentation denkbar: Jede Verantwortliche Stelle ist auf Basis des Arbeitsschutzgesetzes (ArbSchG) dazu verpflichtet alle erforderlichen Maßnahmen zu treffen, um die betriebliche Sicherheit, sowie die Gesundheit der Belegschaft zu gewährleisten. Gemäß dieser Verpflichtung ist es legitim, dass Arbeitgeber versuchen andere Mitarbeiter und Kunden / Klienten vor einer Corona Infektion durch einen infizierten Mitarbeiter zu schützen. Eine Verarbeitung könnte auf die Rechtsgrundlage Artikel 6 Abs. 1 lit. c i.V.m. Artikel 9 Abs. 2 lit. g gestützt werden, sofern mit einem „erheblichen öffentlichen Interesse“ argumentiert wird. Angesichts der aktuellen Entwicklung sicherlich eine angemessene Beurteilung, die auch die Landesregierung Baden-Würrtemberg mit einer Rechtsverordnung über infektionsschützende Maßnahmen untermauert hat.

Ebenfalls zu beachten sind nationale Anpassungen der DS-GVO, die auf Basis der Öffnungsklauseln spezifischere Reglungen treffen. So ist bei Abstellung auf Artikel 6 Ab.s 1 lit. c auch § 26 Abs. 3 BDSG zu berücksichtigen, der definiert, dass eine Verarbeitung „zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes„ möglich ist. In Kombination mit § 22 Abs. 2 Nr. 1 lit. b BDSG kann der Arbeitgeber die erforderlichen Daten zum Zweck der arbeitsmedizinischen Vorsorge verarbeiten.

Speziell für Soziale Einrichtungen gilt das Infektionsschutzgesetz

Das Infektionsschutzgesetz (IfSG) ist das Spezialgesetz für den Umgang mit Infektionskrankheiten. Darin ist geregelt, wer die Meldungen für welche Erkrankungen mit welchen Daten an wen durchführt. Neben Ärzten unterliegen auch soziale Einrichtungen nach § 8 Abs. 1 Nr. 7 i.V.m § 36 Abs. 1 Nr. 7 IfSG i.V.m. § 36 Abs. 1 Nr. 2 IfSG i.V.m. § 23 Abs. 5 IfSG der Meldepflicht. Diese sind verpflichtet, die in § 6 IfSG aufgelistete Krankheiten sowie sonstige meldepflichtige Krankheiten wie Corona nach § 6 Abs. 1 Nr. 5 IfSG den Gesundheitsämtern zu melden. Sofern ein solcher Fall auftritt, sind umfassende Daten zur Verfügung zu stellen, die in § 9 IfSG genannt sind: u.a. Name, Vorname, Geschlecht, Geburtsdatum, Anschrift, Diagnose, Tag der Erkrankung; die diagnostizierende Stelle mit Kontaktdaten und Methode etc. Über Belehrungsblätter müssen Soziale Einrichtungen ihre Mitarbeitenden auf diese Sachverhalte sensibilisieren. Muster vom Robert-Koch-Institut helfen dabei.

Auf den Punkt gebracht: Mitarbeitende müssen eine Corona Erkrankung ihrem Arbeitgeber mitteilen, sobald sie davon erfahren. Der Arbeitgeber muss den Datenschutz einhalten und natürlich sensibel mit dieser Information umgehen und ist dann in der Lage präventive Maßnahmen in den betroffenen Bereichen durchzuführen.

Umsetzungshinweise zu Datenschutz und Corona

Bei der angestrebten Datenverarbeitung handelt es sich um höchst schützenswerte Gesundheitsdaten der Arbeitnehmer. Bei der Verarbeitung ist dementsprechend ein hohes Maß an Sorgfalt walten zu lassen. Darüber hinaus sind angemessene technische und organisatorische Maßnahmen zu ergreifen, um das Risiko der Verarbeitung weitestgehend zu reduzieren. Folgende Überlegungen sind vor Beginn der Verarbeitung zu treffen:

  • Sind Mitarbeiter angehalten bei bloßen Verdachtsfällen Meldung zu machen oder ist definiert, wann ein begründeter Verdacht vorliegt?
  • Wie soll der Meldung erfolgen (technischer Weg)?
  • Wer soll der Meldung erhalten?
  • Wie wird mit der Information umgegangen (Speicherung oder zur Kenntnisnahme)?
  • Welche weiteren Personen müssen informiert werden?
  • Berücksichtigung, ob unter Umständen eine Meldung an das Gesundheitsamt erforderlich ist?
  • Wann werden die Meldungen gelöscht?
  • Ist sichergestellt, dass der betroffenen Person keine Nachteile entstehen?

Binden Sie bei einer beabsichtigten Verarbeitung unbedingt frühzeitig Ihren Datenschutzbeauftragten mit ein.

Dieser Artikel stellt keine Rechtsberatung dar, sondern lediglich eine Erstbetrachtung zum Thema „Datenschutz und das Corona-Virus“. Sobald neue Erkenntnisse vorliegen, aktualisieren wir diesen Beitrag. Wenn Sie Hilfe bei der Umsetzung benötigen, wenden Sie sich gern an das ENSECUR-Team

Hilfreiche Links:

Coronavirus: Arbeitsrechtliche Auswirkungen vom Bundesministerium für Arbeit und Soziales

Tagesaktuelle Informationen zum Coronavirus des Bundesministeriums für Gesundheit

Empfehlungen des Robert Koch-Instituts zur Meldung von Verdachtsfällen von COVID-19

Informationen zum Coronavirus vom Landesgesundheitsamt Baden-Württemberg

FAQs zum Thema Corona der Aufsichtsbehörde Baden-Württemberg

Rechtsverordnung der Landesregierung Badem-Württemberg

Autoren: Steven Bösel und Julian Häcker, 11.03.2020. Letzte Aktualisierung am 17.03.2020.

Bild von TheDigitalArtist auf Pixabay 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert