Seien Sie anders als die Anderen! Ihre Daten gehören Ihnen! Lassen Sie uns gemeinsam mit einem kostenfreien Erstgespräch starten! Gern sind wir Ihr Ansprechpartner, Berater oder Dienstleister zum Thema Datenschutz und Datensicherheit in Dresden und Radebeul, Sachsen sowie Europa. Bestellen Sie uns als externe Datenschutzbeauftragte oder Konzerndatenschutzbeauftragte.
Hinweise Corona-Pandemie / SARS Covid 19, Update Januar 2022
Hinweise für Arbeitgeber zur Verarbeitung von personenbezogenen Daten im Zusammenhang mit der Corona-Pandemie, Update Januar 2022
Das Bundesministerium für Arbeit und Soziales hat einen SARS-CoV-2-Arbeitsschutzstandard veröffentlicht. Weitere Verbände, Berufsgenossenschaften und Ministerien haben ebenfalls Regeln zum Schutz von Mitarbeitern, Kunden und Betroffenen erlassen. Im Folgenden soll auf einzelne datenschutzrechtliche Aspekte und Veröffentlichungen eingegangen werden, um Arbeitgebern eine Hilfe zur gesetzeskonformen Verarbeitung personenbezogener Daten zu geben.
Werden im Zusammenhang mit der Corona-Pandemie personenbezogene Daten erhoben, ist davon auszugehen, dass in den meisten Fällen ein Bezug zwischen einzelnen Personen und deren Gesundheitszustand hergestellt wird. Wenn dies erfolgt, handelt es sich bei den erfassten personenbezogenen Daten um Gesundheitsdaten im Sinne des Art. 9 DSGVO, die besonders geschützt sind und deren Risiko der Veröffentlichung durch geeignete technische und organisatorische Maßnahmen minimiert werden muss.
Im Punkt 12 des Arbeitsschutzstandards wird empfohlen, Betriebsfremde und Besucher zu registrieren, Kontaktdaten und Zeitpunkt des Besuches zu notieren.
Es wird weiterhin im Punkt 13 eine Regelung zur Information von Kontaktpersonen von Infizierten durch den Arbeitgeber vorausgesetzt.
Der bayerische Landesbeauftragte für den Datenschutz hält eine Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von den Beschäftigten, Gästen und Besuchern eines Unternehmens für legitim, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Dazu können Informationen, in denen eine Infektion festgestellt wurde, ein Kontakt mit Infizierten und ein Aufenthalt in Risikogebieten zählen. Es ist zu beachten, dass der Betroffene keine konkrete Kontaktperson benennen muss. Es ist ausreichend, dass ein Kontakt zu einer positiv getesteten Person bestand.
Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen ausnahmsweise erforderlich ist.
Die Grundsätze von Datenminimierung, Rechtmäßigkeit, Verhältnismäßigkeit, Integrität und Vertraulichkeit sind stets zu beachten.
Die vorstehenden Maßnahmen lassen sich rechtlich auf Grundlage der DSGVO und des BDSG legitimieren. Als Rechtsgrundlage zur Verarbeitung der personenbezogenen Daten kann Art. 6 Abs. 1 Satz 1 lit. c, e, f herangezogen werden. Soweit Gesundheitsdaten verarbeitet werden, ist Art. 9 Abs. 2 lit. b DSGVO und §26 Abs. 3 BDSG einschlägig.
Die Daten müssen vertraulich behandelt und dürfen ausschließlich zum benannten Zweck verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks müssen die erhobenen Daten unverzüglich gelöscht werden. Die bayerische Datenschutzbehörde sieht hier spätestens das Ende der Pandemie als Löschzeitpunkt. Veröffentlichungen anderer Datenschutzaufsichtsbehörden gehen von einer Löschfrist von 4 Wochen aus.
Zusätzlich zu bestehenden Rechtsgrundlagen für den Arbeitgeber ergeben sich auch Mitwirkungspflichten der Beschäftigten. Die Information des Arbeitgebers über das Vorliegen einer Infektion mit dem Corona-Virus gehört zu diesen Pflichten zum Schutz hochrangiger Interessen Dritter. Daraus ergibt sich unter gewissen Voraussetzungen eine Offenlegungsbefugnis bezüglich personenbezogener Daten der Kontaktpersonen.
Bei begründetem Verdacht der Infektion kann der Arbeitgeber die Beibringung eines ärztlichen Attestes oder die Untersuchung durch den Betriebsarzt fordern. Die Abfrage SARS-CoV-2 spezifischer Symptome (z. B. das Messen der Körpertemperatur) durch den Arbeitgeber kann lt. Hamburger Datenschutzbehörde aus der Besonderheit des Arbeitsplatzes legitimiert sein, z. B. wenn Körperkontakt nicht ausgeschlossen werden kann. Hier sind jedoch nur der Zeitraum, wann der Zutritt verwehrt wurde, und nicht die Gesundheitsdaten zu speichern.
Ein Einsatz von Wärmebildkameras ist nicht zulässig, da es regelmäßig zu einer Speicherung von Gesundheitsdaten kommt. Der Einsatz von Videoaufzeichnungen zur Einhaltung und zum Nachweis von Abstandsregeln kann datenschutzkonform geregelt werden. Es ist jedoch, wenn möglich auf mildere Mittel auszuweichen.
Das Weisungsrecht des Arbeitgebers geht nicht so weit, dass eine Installation der Corona-Warn-App oder ähnlicher Anwendungen auf privaten Smartphones der Beschäftigten verpflichtet werden kann. Auf rein dienstlich ausgegeben Smartphones, die nur dienstlich verwendet werden, kann der Arbeitgeber die Software installieren. Es ist zu beachten, dass dieser Sachverhalt mitbestimmungspflichtig ist und nicht zum Zweck der Leistungs- oder Verhaltenskontrolle eingesetzt werden darf. Da dies nie ganz ausgeschlossen werden kann, sollte eine Verwendung auf Freiwilligkeit beruhen. Dies gilt ebenfalls bei dienstlichen Smartphones, die auch privat genutzt werden.
Arbeitgebern könnte es ein Anliegen sein, dass die Beschäftigten mit direkten Kundenkontakt geimpft oder geboostert sind. Vielleicht möchten einzelne Mitarbeitende auch nur noch mit geimpften Kollegen zusammenarbeiten. Bei Impfdaten handelt es sich um Gesundheitsdaten. Diese sind besonders geschützt und müssen nicht an den Arbeitgeber übermittelt werden. Nur wenn der Gesetzgeber eine Impflicht regelt und deren Einhaltung vom Arbeitgeber kontrolliert werden muss, dürfen diese Informationen verarbeitet werden. Bei Vorliegen einer Einwilligung des Mitarbeiters kann der Impfnachweis bis zum Ende der Pandemie verarbeitet werden.
Ist geregelt, dass nur geimpfte, genesene oder getestete Personen das Unternehmen betreten dürfen, so sollen nicht zwangsläufig Impf- und Testnachweise verarbeitet werden. Laut sächsischem Datenschutzbeauftragten ist ein geeigneter Prozess zur Erfüllung der Vorgaben zu organisieren, jedoch keine Speicherung von Impf- und Testnachweisen durchzuführen. Andere Aufsichtsbehörden gehen davon aus, dass auf Grund gesetzlichen Regelungen eine Rechtsgrundlage zur Führung einer Übersicht über Impfstatus und Testdurchführung gegeben ist z. B wenn eine tägliche Kontrolle nicht möglich oder zumutbar ist. Dies sollte im Zweifel immer der Datenschutzbeauftragte prüfen.
Ihr Thomas Töpfer
Externer Datenschutzbeauftragter für Unternehmen und Konzerne in Radebeul und Europa
TT Datenschutz – Uns können Sie Vertrauen – Ihre Daten gehören Ihnen!
Quellen:
GDD, FAQ, Datenschutz und Corona
BMfAS, SARS-CoV-2-Arbeitsstandard
BayLfD: Datenschutzrechtliche Information zur Verarbeitung pbD durch Arbeitgeber und Dienstherren
HmbBfDI: Datenschutz in Zeiten von Covid-19
intersoft consulting services AG, Dr. Datenschutz