COVID-19: Datenschutzrechtliche Herausforderungen für Unternehmen im Krisenmanagement
Locations
Gerade in Krisenzeiten zeigt sich die Stärke von Grundrechten und auch eine Ausnahmesituation rechtfertigt nicht jeglichen Eingriff in das Datenschutzrecht von Mitarbeitern. Diese FAQ bieten daher leicht verständliche Antworten auf alle Fragen zu COVID-19 und Datenschutz im Beschäftigtenkontext in Deutschland. Wir wollen die vorhandenen Spielräume ausloten und konkrete Ratschläge zu den Handlungsoptionen geben.
Dürfen Arbeitgeber die personenbezogenen Daten ihrer Angestellten für Zwecke im Zusammenhang mit COVID-19 verarbeiten?
Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten ist abhängig von dem Bestehen einer entsprechenden Rechtsgrundlage. Da personenbezogene Daten, die für Zwecke im Zusammenhang mit COVID-19 verarbeitet werden, in den meisten Fällen die Gesundheit eines Mitarbeiters betreffen werden, muss der Verantwortliche den hohen Anforderungen an die Verarbeitung besonderer Kategorien von personenbezogenen Daten nach Artikel 9 DSGVO genügen. Andererseits sind aber durchaus auch Verarbeitungsvorgänge denkbar, die allein auf Artikel 6 DSGVO als Rechtsgrundlage gestützt werden könnten. Jedenfalls aber werden Arbeitgeber unter Einhaltung des Grundsatzes der Datenminimierung gemäß Artikel 5 (1) (c) DSGVO nur solche Daten verarbeiten dürfen, die notwendigerweise für die unten beschriebenen Zwecke verarbeitet werden müssen.
Dürfen Arbeitgeber die privaten Kontaktdaten ihrer Angestellten erheben und nutzen, um ihre Belegschaft über aktuelle Ereignisse und eine Schließung der Bürogebäude zu informieren?
Ja, das dürfen sie. Allerdings wird bisher uneinheitlich beurteilt, auf welche Rechtsgrundlage dieser Datenverarbeitungsvorgang gestützt werden kann. Kontaktdaten (z. B. Telefonnummer oder E-Mail-Adressen) zählen nicht zu den besonderen Kategorien personenbezogener Daten. Daher wird der Arbeitgeber, verfügt er bereits über private Kontaktdaten des Angestellten, nach unserer Einschätzung die zu anderen Zwecken gespeicherten Kontaktdaten im Rahmen einer Zweckänderung gemäß Art. 6 (4) DSGVO zur Information der Belegschaft über wichtige Neuigkeiten verwenden dürfen.
Kann der Arbeitgeber hingegen nicht auf bestehende private Kontaktinformationen zurückgreifen, so hält der Landesdatenschutzbeauftragte von Baden-Württemberg das "Einverständnis" der Angestellten in die Erhebung für erforderlich. Nach unserer Einschätzung müsste allerdings auch die Erhebung und Nutzung der privaten Kontaktdaten der Mitarbeiter auf Grundlage von § 26 (1) BDSG erfolgen können, mithin auch ohne Einwilligung.
Dürfen Arbeitgeber Informationen zu den Reisezielen ihrer Angestellten erheben?
Ja, das dürfen sie. Arbeitgeber sind von Gesetzes wegen zur Fürsorge für ihre Angestellten verpflichtet. Insoweit dürfen sie Informationen zu Umständen erheben, aus denen sich Gefahren für die Gesundheit der Belegschaft ergeben könnten. Die Rechtsgrundlagen für die betreffende Verarbeitung personenbezogener Daten sind Artikel 6 (1) (c) DSGVO sowie Artikel 9 (2) (b), 88 (1) DSGVO in Verbindung mit § 26 (3) BDSG und §§ 618, 242 BGB entsprechend. In der Praxis dürfen Arbeitgeber somit Daten darüber erheben, ob ein Angestellter in ein Risikogebiet gereist ist. Um das Wohlergehen der Belegschaft zu sichern, ist es jedoch nicht erforderlich, dass das exakte Reiseziel des Angestellten mitgeteilt wird.
Dürfen Arbeitgeber Informationen über soziale Kontakte der Angestellten zu (möglicherweise) infizierten Personen erheben?
Unsere Antwort zur Frage über Informationen zu Reisezielen gilt entsprechend. Allerdings gilt in dieser Hinsicht, dass ein Arbeitgeber nur über den Kontakt zu infizierten Personen informiert sein muss, damit er oder sie die Belegschaft vor Gesundheitsrisiken schützen kann. Ein Angestellter ist hingegen nicht dazu verpflichtet, sämtliche seiner sozialen Kontakte offenzulegen. Weiterhin ist der Angestellte auch nicht dazu verpflichtet, die Identität des Infizierten preiszugeben, sondern lediglich den Umstand, dass er Kontakt zu einem Infizierten hatte.
Dürfen Arbeitgeber die Belegschaft über die Infektion eines anderen Angestellten informieren?
Der einzig redliche Grund, weshalb ein Arbeitgeber die Belegschaft über die Infektion eines anderen Angestellten informieren wollen würde, ist die Verhinderung der Übertragung des Virus innerhalb der Belegschaft. Ist der Arbeitgeber in der Lage, die Kollegen zu ermitteln, die mit dem infizierten Angestellten in Kontakt waren, ohne dessen Identität preiszugeben, oder müsste der Arbeitgeber ohnehin sämtliche Angestellte nach Hause schicken, wäre die Offenlegung der Identität des Infizierten zum Beispiel nicht erforderlich. Kann hingegen die Verbreitung des Virus nur durch Offenlegung der Identität des infizierten Angestellten verhindert werden (z. B., weil unklar ist, mit wem der Infizierte Kontakt hatte), darf der Arbeitgeber die Kollegen informieren. Hierbei ist eine restriktive Herangehensweise zu empfehlen.
Dürfen Arbeitgeber medizinische Tests (z. B. Fiebermessungen) vornehmen und die betreffende Datenverarbeitung durchführen?
Personenbezogene Daten, die in Rahmen von medizinischen Tests verarbeitet werden, sind Gesundheitsdaten im Sinne des Artikels 9 (1) DSGVO. Daher würde Artikel 9 (2) (b), 88 (1) DSGVO in Verbindung mit § 26 (3) BDSG und §§ 618, 242 BGB die dazugehörige Rechtsgrundlage darstellen. Dies gilt jedoch nur, sofern solche medizinischen Tests auch erforderlich sind, um das Wohlergehen der Belegschaft sicherzustellen. Dies ist nach dem jeweiligen Einzelfall zu beurteilen, dürfte bei Fiebermessungen oder dem Einsatz von Wärmebildkameras in der Regel jedoch der Fall sein. In der Praxis wird gegebenenfalls auch das Mitbestimmungsrecht des Betriebsrates gemäß § 26 (1) BDSG in Verbindung mit § 87 (1) Nr. 6, 7 BetrVG zu beachten sein. Ferner ist zu berücksichtigen, dass solche medizinischen Tests nicht lediglich bei der Belegschaft durchgeführt werden, sondern auch betriebsfremde Personen erfasst werden können, die das Firmengelände oder Arbeitsräume betreten. In diesem Fall ist die Rechtsgrundlage im Hausrecht des Betriebes zu suchen.
Jedenfalls sollten Arbeitgeber das am wenigsten invasive Vorgehen wählen und die erhobenen Daten wieder löschen, sobald der eigentliche Schutzzweck erreicht ist. Sofern die Durchführung der Tests nicht erkenntlich ist, sollten entsprechende Hinweisschilder an Orten platziert werden, an denen sie von jeder das Gebäude betretenden Person wahrgenommen werden können.
Dürfen Arbeitgeber ihre Belegschaft im Home-Office arbeiten lassen?
Ja, das dürfen sie, da dies einen effizienten Weg darstellen kann, die Fürsorgepflicht für die Belegschaft zu erfüllen. Im Hinblick auf die Verarbeitung personenbezogener Daten vom Home-Office aus, die in Ausübung der jeweiligen Tätigkeit erfolgt, muss der Arbeitgeber auch insoweit geeignete technische und organisatorische Maßnahmen im Sinne des Art, 32 DSGVO implementieren, um ein dem Risiko der jeweiligen Verarbeitung angemessenes Schutzniveau zu gewährleisten. Auch hier können ggf. einschlägige Betriebsvereinbarungen weitere Einzelheiten zu solchen Schutzmaßnahmen vorgeben. Die Arbeitnehmer sollten im Übrigen auch auf die Notwendigkeit des Schutzes personenbezogener Daten im Home Office und auf die ggf. zu treffenden Maßnahmen hingewiesen werden (z. B. Unzugänglichkeit des Laptops für weitere Familienmitglieder, Bildschirmsperre, Wegsperren von Dokumenten etc.).
Dürfen Arbeitgeber (auf Anfrage) Behörden über die COVID-19 Erkrankung eines Angestellten informieren und entsprechende Daten mitteilen?
Ja, das dürfen sie, es besteht allerdings keine dahingehende Verpflichtung. Arbeitgeber können aber durchaus ein legitimes Interesse daran haben, solche Daten an Behörden weiterzugeben, um das Wohlergehen der weiteren Belegschaft sicherzustellen. Ob dies jedoch auch rechtlich erforderlich ist, muss in jedem Einzelfall beurteilt werden. Rechtsgrundlage hierfür wäre erneut Artikel 6 (1) (c) DSGVO sowie Artikel 9 (2) (b), 88 (1) DSGVO in Verbindung mit § 26 (3) BDSG und §§ 618, 242 BGB. Abgesehen davon ist in Deutschland nur medizinisches Fachpersonal rechtlich verpflichtet, Informationen an Behörden über die Infizierung mit COVID-19 weiterzugeben.
Sind Arbeitnehmer dazu verpflichtet, ihrem Arbeitgeber offenzulegen, dass und wann sie sich mit COVID-19 infiziert haben?
Nein, das sind sie nicht. Sie sind lediglich dazu verpflichtet, mitzuteilen, dass sie erkrankt sind, nicht jedoch woran. Nichtsdestoweniger wird der Arbeitgeber hierüber von den Behörden informiert werden, da das medizinische Fachpersonal, das die Erkrankung diagnostiziert hat, wiederum dazu verpflichtet ist, die Diagnose den Behörden mitzuteilen.
Können Angestellte auch in Zeiten von COVID-19 ihre Betroffenenrechte ausüben?
Mit Blick auf die fortwährende Geltung der DSGVO können Angestellte natürlich ihre Betroffenenrechte ausüben. Dies umfasst die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenportabilität und auf Widerspruch. Bitte beachten Sie jedoch, dass, sollte eine große Menge betroffener Personen den Verantwortlichen mit betreffenden Anfragen kontaktieren, es nach Art. 12 (3) DSGVO einen oder sogar bis zu drei Monate dauern könnte, bis der Arbeitgeber die geltend gemachten Ansprüche erfüllt.
Für weitere Informationen zu diesem Thema lesen Sie bitte unseren Artikel mit dem Titel "Coronavirus and the GDPR – keep calm and carry on?" und viele weitere Beiträge zu den rechtlichen Auswirkungen durch COVID-19 auf unserer Webseite.