Immer mehr Arbeitgeber fragen sich, ob und wie eine Verarbeitung von personenbezogenen Daten von Mitarbeitern, Gästen und Besuchern im Zusammenhang mit der Corona-Pandemie bewerkstelligt werden kann. Denn auch in einem solchen Ausnahmezustand sollte der Datenschutz gewahrt bleiben, damit keine Personen unbegründet stigmatisiert und diskriminiert werden. Arbeitgebern sind deshalb nicht sämtliche Maßnahmen erlaubt, um die Belegschaft auf eine mögliche Infektion zu überprüfen. Wir möchten hiermit einen Überblick zu erlaubten Maßnahmen geben, die Arbeitgeber treffen können, um die Gesundheit ihrer Mitarbeiter zu schützen.

Zunächst handelt es sich bei personenbezogenen Daten, die in Zusammenhang mit der Viruserkrankung erhoben werden, meist um Gesundheitsdaten, welche nach Art. 9 DS-GVO einem besonderen Schutz unterstehen. Dennoch ist es möglich, zum Schutz von Mitarbeitern und zur Eindämmung der Corona-Pandemie datenschutzkonform Daten zu erheben und zu verwenden. Die arbeitsrechtliche Fürsorgepflicht des Arbeitgebers, Gefahren für die Gesundheit seiner Mitarbeiter zu beurteilen und abzuwenden, steht im Konflikt mit dem Schutz der Daten und der Persönlichkeit von Betroffenen.

Der Datenschutz soll sinnvollen Vorkehrungen jedoch nicht im Weg stehen, weshalb Folgende Maßnahmen aus datenschutzrechtlicher Sicht legitim sein sollten:

• Personenbezogene sowie Gesundheitsdaten dürfen, zum Schutz der Mitarbeiter und zur Eindämmung der Ausbreitung, in den Fällen durch den Arbeitgeber erhoben und verarbeitet werden,
  • wenn es sich um die Erhebung von Informationen darüber handelt, ob eine Infektion festgestellt wurde, oder
  • Kontakt zu einer nachweislich infizierten Person bestand oder Aufenthalt in einem als Risikogebiet eingestuften Gebiet stattgefunden hat.
• Weitergabe von Daten: Wenn die Gesundheitsbehörden dazu aufgefordert haben, Angaben zu erkrankten Beschäftigten, Kontakten zu nachweislich infizierten Personen oder Aufenthalte der Beschäftigten in Risikogebieten an die Behörden zu machen.
• Von Besuchern und Gästen dürfen personenbezogene sowie Gesundheitsdaten erhoben und verarbeitet werden, um festzustellen, ob eine Infektion vorliegt, Kontakt zu einer infizierten Person bestand oder ein Aufenthalt in einem als Risikogebiet eingestuften Gebiet stattgefunden hat.
• Eine Offenlegung dieser Daten von infizierten oder unter Infektionsverdacht stehenden Personen gegenüber Kontaktpersonen sollte nur dann erfolgen, wenn diese Informationen für die Vorsorgemaßnahmen unbedingt erforderlich sind.

Folgende Maßnahmen können auf freiwilliger Basis bzw. mit Einwilligung der Mitarbeiter erfolgen:

• Fiebermessung durch den Mitarbeiter selbst oder durch einen Arzt
• Freiwillige Selbstauskünfte über Aufenthaltsorte, Kontaktpersonen und Krankheitssymptomen
• Erhebung von privaten Kontaktdaten (Handynummern, E-Mail), falls der Betrieb geschlossen werden sollte oder andere Maßnahmen getroffen werden

Alle Maßnahmen die darüber hinausgehen, sollten unterlassen oder nur mit Zustimmung der Beschäftigten und in Rücksprache mit dem Datenschutzbeauftragten getroffen werden.

Weitere Maßnahmen, die natürlich jederzeit getroffen werden können, sind die Einführung von strengeren Hygienevorschriften, Einführung von Homeoffice und sämtliche andere Maßnahmen, von den Behörden empfohlen werden, um das Virus einzudämmen.

Die Verwendung der Daten muss vertraulich und zweckgebunden erfolgen. Wenn der Verwendungszweck der Daten wegfällt, in diesem Falle spätestens mit Ende der Pandemie, müssen die Daten unverzüglich gelöscht werden.

Der Datenschutzkreis hat hierzu eine Mitteilung herausgegeben. Den genauen Wortlaut und eine Auflistung der Rechtsgrundlagen für die genannten Datenverarbeitungen finden Sie hier: https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html?nn=5216976