Nicht nur, aber insbesondere in Arbeitsverhältnissen stellt sich in Zeiten der Corona-Pandemie die Frage, ob entsprechende Daten über die Mitarbeiter erhoben und verarbeitet werden dürfen. Darf der Arbeitgeber wissen, ob ein Mitarbeiter sich infiziert hat? Wenn dies der Fall sein sollte, was gilt dann im Hinblick auf die Daten der näheren Kontaktpersonen dieses Mitarbeiters? Und was gilt für sonstige Gäste und Besucher des Unternehmens? Die Datenschutzaufsichtsbehörden des Bundes und der Länder haben am vergangenen Freitag, den 13. März 2020, in der Datenschutzkonferenz (DSK) eine gemeinsame Empfehlung zum Umfang der zulässigen Verarbeitung von Gesundheitsdaten veröffentlicht.
Die Kernaussage der Aufsichtsbehörden lautet, dass der Schutz personenbezogener Daten und Maßnahmen zur Bekämpfung der Infektion sich nicht entgegenstehen, solange diese Maßnahmen verhältnismäßig sind. Zwar handelt es sich bei personenbezogenen Daten im Zusammenhang mit der Corona-Pandemie in der Regel um Gesundheitsdaten im Sinne des Art. 9 DSGVO, weil ein Bezug zwischen der jeweiligen Person und ihrem Gesundheitszustand hergestellt wird. Gesundheitsdaten sind sehr sensible Daten und daher vom Gesetz besonders geschützt, so dass sie grundsätzlich nur sehr restriktiv verarbeitet werden dürfen. Dennoch können für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz der eigenen Mitarbeiter bei einer datenschutzkonformen Verarbeitung auch solche Daten verarbeitet werden, weil die Gesundheit der Bürgerinnen und Bürger nach Auffassung des Bundesdatenschutzbeauftragten (BfDI) Ulrich Kelber jetzt im Mittelpunkt steht.
Aber auch in Zeiten von Corona sind die Grundsätze einer rechtmäßigen Datenverarbeitung der DSGVO zu beachten. Konkret heißt das vor allem: Jede Datenverarbeitung muss auf eine Rechtsgrundlage gestützt werden können und darf nicht unverhältnismäßig sein.
In der Regel werden die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie zulässig sein:
Diese Datenverarbeitungen können alle auf gesetzliche Erlaubnistatbestände aus der DSGVO und dem BDSG gestützt werden. Eine Einwilligung der betroffenen Personen ist daher regelmäßig nicht erforderlich und dürfte im Zweifel an der fehlenden Freiwilligkeit scheitern.
Allerdings sind darüber hinausgehende Datenverarbeitungen nicht mehr ohne weiteres erlaubt. So ist die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist. In der Regel ist der Name des Betroffenen daher nicht zu nennen.
Unverändert gelten natürlich die Grundsätze der Datensparsamkeit und der Vertraulichkeit der verarbeiteten Daten weiter. Auch dürfen die Daten ausschließlich zweckgebunden verarbeitet werden. Nach Wegfall des konkreten Verarbeitungszweckes, hier also spätestens mit dem Ende der Corona-Pandemie, sind die in diesem Zusammenhang erhobenen Daten unverzüglich zu löschen.
Der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink stellt darüber hinaus in einem eigenen FAQ zum Thema Corona klar, dass Ermittlungs- und Eingriffsbefugnisse in der Regel nicht dem Arbeitgeber zustehen, sondern nur den staatlichen Gesundheitsbehörden. Die Arbeitgeber seien daher aufgefordert, im Zweifel den Kontakt zu den Gesundheitsbehörden zu suchen und nicht „auf eigene Faust“, schon gar nicht gegen den Willen der Beschäftigten, Gesundheitsdaten zu erheben (vgl. https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/03/FAQ-Corona.pdf).
Unbeschadet dessen bestehen jedoch auch für die Beschäftigten selbst regelmäßig Rücksichts-, Verhaltens- und Mitwirkungspflichten gegenüber ihrem Arbeitgeber und Dritten. Insbesondere stellt nach Auffassung der Datenschutzbehörden die Pflicht zur Information des Arbeitgebers bzw. Dienstherrn über das Vorliegen einer Infektion mit dem Corona-Virus eine solche Nebenpflicht zum Schutz hochrangiger Interessen Dritter dar, aus der unter gewissen Voraussetzungen auch eine Offenlegungsbefugnis bezüglich personenbezogener Daten der direkten Kontaktpersonen folgt.
Die ausführlichen Hinweise der DSK sind hier abrufbar.