CORONA - UNSERE HILFE

 

Unsere Antworten zu den häufigsten Fragen zu Corona und Datenschutz

Nutzen Sie unsere Hotline von 7.00 bis 19.00 Uhr: +49 6102 8150 556 oder auch 24h per Email: 

ds-service@expertree.de 

Verfahren mit Mitarbeiter- bzw. Kundendaten vor dem Hintergrund des Infektionsschutzgesetz (betroffen oder präventiv) 

1. Was sind Gesundheitsdaten?

Gesundheitsdaten sind gem. Art. 9 DSGVO besonders zu schützende Daten, da diese weit in die Privatsphäre des Arbeitnehmers eingreifen.

Hierunter fallen: Krankmeldungen, Symptome, Gesundheitszustand, ggf. Besuch von Risikogebieten

 

2. Unter welchen Voraussetzungen dürfen Gesundheitsdaten verarbeitet werden?

Bei der Verarbeitung von Gesundheitsdaten handelt es sich um besondere personenbezogene Daten im Sinne des Art. 9 EU-DSGVO. Die Verarbeitung solcher Daten ist grundsätzlich untersagt, sofern keine triftigen Gründe hierfür ersichtlich sind.

Die Weltgesundheitsorganisation hat den Corona-Virus mittlerweile als Pandemie eingestuft. Öffentliche Stellen dürfen Gesundheitsdaten verarbeiten, wenn sie zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls zwingend erforderlich sind. Unternehmen dürfen aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie beim Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, ausnahmsweise Gesundheitsdaten auch verarbeiten.

In jedem Fall ist jedoch eine Interessenabwägung durchzuführen. Denn die Rechte der betroffenen Personen dürfen auch in einem Ausnahmefall wie bei der vorliegenden Corona-Pandemie nicht eingeschränkt werden. Folgende Daten können im Rahmen der Corona-Prävention erfragt werden:

  • Krankheitssymtome

  • Aufenthalt in Risikogebieten

  • Kontakt mit (möglicherweise) infizierten Personen

  • Körpertemperaturmessung

  • Weitergabe der Informationen an andere Personen, wenn sie aufgrund einer möglichen Infektion informiert werden müssen

  • Weitergabe der Informationen an Behörden, wie z.B. das Gesundheitsamt

Wenn die oben erwähnten Rechtfertigungsgründe nicht mehr greifen, weil etwa das Corona-Virus nicht mehr als Pandemie eingestuft wird, so kann auch eine Einwilligung der betroffenen Personen als alleinige Rechtfertigungsgrundlage angewendet werden.

In diesem Fall muss die Freiwilligkeit der Einwilligung zweifelsfrei feststehen. Es gilt ein striktes Kopplungsverbot, z.B. mit dem Arbeitsvertrag. Eine nicht erteilte Einwilligung darf keine Konsequenzen für den Mitarbeiter nach sich ziehen. Spezialfall: Verarbeitung von Gesundheitsdaten im Home-Office

3. Dürfen Arbeitgeber Informationen darüber erheben und weiterverarbeiten, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte etc.?

Arbeitgeber sind auf Grund ihrer Fürsorgepflicht und nach dem Arbeitsschutzgesetz (ArbSchG) verpflichtet, die erforderlichen Maßnahmen zu treffen, um die betriebliche Sicherheit und Gesundheit der Belegschaft zu gewährleisten. Hiervon ist auch die Pflicht des Arbeitgebers umfasst, dafür zu sorgen, die anderen Beschäftigten vor einer Infektion durch eine erkrankte Person zu schützen. Für diesen Zweck ist es datenschutzrechtlich zulässig, Informationen darüber zu erheben, zu welchen Personen der erkrankte Mitarbeiter Kontakt hatte. Gemäß Artikel 6 Absatz 1 Buchstabe c der Datenschutz-Grundverordnung (DS-GVO) i.V.m. Artikel 9 Absatz 1, Absatz 4 DS-GVO und § 26 Absatz 3 Satz 1, § 22 Absatz 1 Nummer 1 Buchstabe b des Bundesdatenschutzgesetzes (BDSG) kann der Arbeitgeber die erforderlichen Daten zum Zweck der arbeitsmedizinischen Vorsorge verarbeiten.

Der Arbeitgeber darf demnach beispielsweise auch Urlaubsrückkehrer befragen, ob sie sich in einem, etwa durch das Robert Koch-Institut festgelegten Risikogebiet, aufgehalten haben. Eine Negativauskunft des Beschäftigten genügt regelmäßig. Liegen weitere Anhaltspunkte vor, kann gegebenenfalls eine weitere Nachfrage erfolgen.

 

4. Dürfen Unternehmen Informationen von Besuchern darüber erheben und weiterverarbeiten, ob ein Besucher in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte etc.?

Die Weltgesundheitsorganisation hat den Corona-Virus mittlerweile als Pandemie eingestuft. Öffentliche Stellen dürfen Gesundheitsdaten verarbeiten, wenn sie zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls zwingend erforderlich sind. Unternehmen dürfen aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie beim Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, ausnahmsweise Gesundheitsdaten auch verarbeiten.

 

Gemäß Artikel 6 Absatz 1 Buchstabe c der Datenschutz-Grundverordnung (DS-GVO) i.V.m. Artikel 9 Absatz 1, Absatz 4 DS-GVO kann das Unternehmen die Daten zu einem festgelegten Zweck (Infektionsgefährdung der Beschäftigten, zur Corona-Prävention) verarbeiten. Empfohlen wird, dass die Daten nicht gespeichert, sondern lediglich im Vorfeld abgefragt werden.

 

 

5. Dürfen Arbeitgeber aktuelle private Handynummern oder andere Kontaktdaten von ihren Beschäftigten erheben, um Beschäftigte im Falle einer Schließung des Betriebs oder in ähnlichen Fällen kurzfristig warnen oder auffordern zu können, zu Hause zu bleiben?

Ja. Damit die Beschäftigten auch kurzfristig gewarnt werden können und nicht zunächst im Betrieb oder bei der Arbeit erscheinen, dürfen Arbeitgeber von ihren Beschäftigten auch die aktuelle private Handynummer etc. abfragen und temporär speichern. Dies kann allerdings nur im Einverständnis mit dem Beschäftigten erfolgen; eine Pflicht zur Offenlegung privater Kontaktdaten besteht für die Beschäftigten nicht, wird jedoch regelmäßig in ihrem eigenen Interesse liegen.

Entscheidend ist hierbei, dass die Erhebung der privaten Kontaktdaten für eindeutige, konkrete und legitime Zwecke erfolgt. In Betracht kommt insbesondere der Zweck, die Infektionsgefährdung der Beschäftigten durch Aufbau eines innerbetrieblichen Kommunikationsnetzwerks zur Corona-Prävention zu verringern. Spätestens nach Ende der Pandemie sind die erhobenen Kontaktdaten vom Arbeitgeber wieder zu löschen. Es wäre datenschutzrechtlich nicht zulässig, wenn diese Daten „durch die Hintertür“ später für Kontaktaufnahmen nach Feierabend oder am Wochenende oder für andere Zwecke genutzt werden.

 

6. Dürfen Arbeitgeber den Namen eines infizierten Beschäftigten den restlichen Beschäftigten nennen, um mögliche Kontaktpersonen zu identifizieren?

Die Kenntnis von der Corona-Erkrankung eines Mitarbeiters kann für diesen zu einer enormen Stigmatisierung führen. Die Nennung des Namens des betroffenen Mitarbeiters ist daher grundsätzlich zu vermeiden. Gleichzeitig sind Mitarbeiter, welche in direktem Kontakt mit einem Infizierten waren, zu warnen und werden in der Regel selbst zur Eindämmung der Ansteckungsgefahr von der Arbeit freigestellt. Regelmäßig kann eine derartige Maßnahme abteilungs-/ bzw. teambezogen ohne konkrete Namensnennung erfolgen.

Ist dies ausnahmsweise nicht ausreichend, so muss der Arbeitgeber Kontakt mit den Gesundheitsbehörden aufnehmen und um deren Entscheidung ersuchen.

Ist auch dies nicht möglich, dürfen auch die übrigen Mitarbeiter über den Verdacht der Ansteckung oder der Erkrankung des konkreten Mitarbeiters informiert werden, um Infektionsquellen zu lokalisieren und einzudämmen.

 

 

7. Dürfen Arbeitgeber nach Aufforderung durch Gesundheitsbehörden Daten über erkrankte Beschäftigte, über Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten an die Behörden übermitteln?

Bei Auskunftsersuchen von zuständigen Behörden, etwa bzgl. erkrankter Beschäftigter im Betrieb, ist von einer mit der Übermittlungspflicht korrespondierenden Übermittlungsbefugnis der Arbeitgeber auszugehen. Dies ist abhängig von der Art der behördlichen Anfrage. Im Zweifel wenden Sie sich an uns – wir helfen gerne weiter!

 

 

8. Ausruf des Katastrophenfalls: Welches Gesetz hat nun Vorrang?

Wenn ein Bundesland den „Katastrophenfall“ auf Basis der Corona-Pandemie verkündet, dann will ein Bundesland das Ordnungsrecht sowie den medizinischen Bereich unter eine einheitliche staatliche Obhut stellen. 

Nach Art. 19 des Bayerischen Katastrophenschutzgesetzes können beispielsweise das Recht auf körperliche Unversehrtheit, die Freiheit der Person, die Versammlungsfreiheit, die Freizügigkeit und die Unverletzlichkeit der Wohnung eingeschränkt werden. 

Im Sinne des § 64 des Hessischen Gesetzes über den Brandschutz, die allgemeine Hilfe und den Katastrophenschutz (HBKG), können die körperliche Unversehrtheit der Person, die Freiheit der Person, die Freizügigkeit, der Unverletzlichkeit der Wohnung sowie die Gewährleistung des Eigentums eingeschränkt werden. 

Die Katastrophenschutzgesetze sind von Bundesland zu Bundesland verschieden. Da diese jedoch meist immer in Krisen Geltung haben, sind diese meist vorrangig. Diese schränken Rechte ein, die jedoch nur ausschließlich durch Behörden (nicht nur Unternehmen) eingeschränkt werden können. Folglich sind – ohne Anordnung einer Behörde – keine Gesetze zu vernachlässigen. Damit ist die EU-DSGVO ausschließlich auch im Katastrophenfall anzuwenden.

Home-Office: Worauf achten der Mitarbeiter und der Arbeitgeber? 

1. Welche Voraussetzungen sollten aufgesetzt werden, damit meine Mitarbeiter aus dem Home-Office agieren können?

Im besten Fall haben Sie bereits Sicherheitsrichtlinien im Unternehmen verabschiedet, welche das o.g. Thema behandeln. Ist dies nicht der Fall, empfiehlt es sich eine Arbeitsempfehlung mit den wichtigsten Rechten und vor allem Pflichten für Mitarbeiter aufzusetzen, welche im Home Office umzusetzen sind. Idealerweise können Sie jedem Beschäftigten ein Endgerät zur Verfügung stellen, mit welchem der Beschäftigte von zu Hause ausarbeiten kann.

Folgende Aspekte sollten abgedeckt werden: räumliche Bedingungen, Datenträgerverwaltung, verschlüsselte Übertragung (z.B. VPN), Umgang mit Fremdnetzwerken (WLAN), Umgang mit privaten Endgeräten, Sicherheitsmindeststandards (Virenschutz, Back Up), Kennwortsperre, abschließbare Schränke.

2. Wie gehe ich mit Papierdokumenten im Home Office um?

Grundsätzlich gilt, dass Papierdokumente datenschutzkonform vernichtet werden müssen, dies ist in der Regel bei einem Schredder ab Sicherheitsstufe 3 gegeben. Nun haben die wenigstens Mitarbeiter solch einen Papierschredder zu Hause. Wir empfehlen daher, dass Dokumente, welche vernichtet werden müssen, von dem Mitarbeiter im Home-Office in einem sicheren Behältnis gesammelt und bei Rückkehr in das Unternehmen datenschutzkonform entsorgt werden.

 

3. Geschäftliche Telefonate im Home Office

Grundsätzlich gilt kein generelles Verbot von zu Hause aus zu telefonieren. Wenn mehrere Personen in der Wohnung leben oder sich aufhalten sollten allerdings ein paar Regeln beachtet werden, um den Schutz von personenbezogenen Daten zu gewährleisten. Es empfiehlt sich eine kurze Arbeitsanweisung für Ihre Beschäftigten zu verfassen.

Folgende Aspekte sollten beachtet werden: „geschütztes“ Telefonieren, keine Nennung von personenbezogenen Daten im Beisein eines Dritten, im Vorfeld ist die Identität des Anrufenden sicher zu stellen.

4. Darf ich im Home Office besondere personenbezogen Daten verarbeiten?

Bei der Verarbeitung von besonderen personenbezogenen Daten wie Gesundheitsdaten gelten besondere Sicherheitsvorschriften. Grundsätzlich sollten besondere personenbezogene Daten nicht im Home-Office verarbeitet werden. Die Frage, ob und in welchem Umfang Home Office umgesetzt werden kann, ist stets eine Einzelfallentscheidung, da mit ihr Risiken für die Persönlichkeitsrechte der Betroffenen einhergehen. In der aktuellen Situation wird man die Frage eher bejahen als verneinen.

5. Wie ist mit Mitarbeitern zu verfahren, welche ihr eigenes Gerät im Home Office verwenden?

Im besten Fall haben Sie bereits Sicherheitsrichtlinien im Unternehmen verabschiedet, welche das o.g. Thema behandeln. Ist dies nicht der Fall, empfiehlt es sich eine Arbeitsempfehlung mit den wichtigsten Rechten und vor allem Pflichten für Mitarbeiter aufzusetzen, welche mit privaten Endgeräten Zugang zu dem Firmennetzwerk erhalten.

Folgende Aspekte sollten abgedeckt werden: verschlüsselte Übertragung (z.B. VPN), Umgang mit Fremdnetzwerken (WLAN), Sicherheitsmindeststandards (Virenschutz, Back Up).