de en
Nexia Ebner Stolz

Rechtsberatung

Datenschutz in Zeiten des Coronavirus

Bei Unternehmen besteht in Zeiten der Corona-Pandemie ein großes Interesse daran, Daten über den Gesundheitszustand ihrer Mitarbeiter zu erhalten, insb. um Infektionen schnell zu erkennen und mögliche Infektionsketten zu unterbrechen. Doch wie weit ist dies unter Berücksichtigung des Datenschutzes zulässig?

Infor­ma­tio­nen über Infek­tio­nen

Erkrankte Mit­ar­bei­ter haben ihrem Arbeit­ge­ber die Art ihrer Erkran­kung nicht mit­zu­tei­len. Dies gilt grund­sätz­lich auch im Fall einer Infek­tion mit dem Coro­na­vi­rus (COVID-19). Aller­dings wird der Arbeit­ge­ber im Falle eines posi­ti­ven Befunds, der den Gesund­heits­be­hör­den zu mel­den ist, von behörd­li­cher Seite aus infor­miert. Denn um eine Infek­ti­ons­kette zu unter­b­re­chen und die Aus­b­rei­tung des Coro­na­vi­rus zu ver­mei­den, ist es uner­läss­lich, Kon­takt­per­so­nen des Infi­zier­ten fest­zu­s­tel­len und auf eine Anste­ckung hin zu unter­su­chen. Auf die­sem Wege erhal­tene Gesund­heits­da­ten über Mit­ar­bei­ter müs­sen dazu durch den Arbeit­ge­ber ver­ar­beit­bar sein.

Diese Rechts­an­sicht deckt sich auch mit einer Stel­lung­nahme der Daten­schutz­kon­fe­renz (DSK), dem gemein­sa­men Gre­mium der unab­hän­gi­gen deut­schen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der. Die Auf­sichts­be­hör­den hal­ten die Erhe­bung und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten (ein­sch­ließ­lich Gesund­heits­da­ten) von Beschäf­tig­ten durch den Arbeit­ge­ber daten­schutz­recht­lich für zuläs­sig, um eine Aus­b­rei­tung des Coro­na­vi­rus unter den Beschäf­tig­ten best­mög­lich zu ver­hin­dern oder ein­zu­däm­men. Hierzu zäh­len ins­be­son­dere Infor­ma­tio­nen zu den Fäl­len, in denen eine Infek­tion fest­ge­s­tellt wurde oder Kon­takt mit einer nach­weis­lich infi­zier­ten Per­son bestan­den hat.

Infor­ma­tio­nen über all­ge­mei­nen Gesund­heits­zu­stand und Rei­se­ziele

Hin­ge­gen dürfte es nicht zuläs­sig sein, vor­sor­g­lich von allen Mit­ar­bei­tern Infor­ma­tio­nen über deren Gesund­heits­zu­stand zu ver­lan­gen, um so etwaige Anste­ckungs­ri­si­ken zu mini­mie­ren. Mög­lich könnte hin­ge­gen sein, auf frei­wil­li­ger Basis Selbs­t­aus­künfte der Mit­ar­bei­ter über ihren Gesund­heits­zu­stand ein­zu­ho­len. Auf die Ver­wen­dung der Daten sollte hin­ge­wie­sen und deren ent­sp­re­chend für diese Zwe­cke beschränkte Ver­wen­dung sicher­ge­s­tellt wer­den.

Dage­gen ist die Erhe­bung zu den letz­ten Rei­se­zie­len, ins­be­son­dere ob im rele­van­ten Zei­traum ein Auf­ent­halt in einem vom Robert-Koch-Insti­tut (RKI) als Risi­ko­ge­biet ein­ge­stuf­ten Gebiet statt­ge­fun­den hat unter dem Gesichts­punkt der Inter­es­sens­ab­wä­gung eben­falls zuläs­sig.

Dabei ist aber stets sicher­zu­s­tel­len, dass die erho­be­nen Daten ver­trau­lich behan­delt, nicht offen­ge­legt und maxi­mal bis zum Ende der Corona-Pan­de­mie gespei­chert und nach danach unver­züg­lich gelöscht wer­den.

Fie­ber­mes­sung

Bei Unter­neh­men könnte im Raum ste­hen, den Ein­lass von Mit­ar­bei­tern auf das Betriebs­ge­lände erst nach einer nega­ti­ven Fie­ber­mes­sung zu gewäh­ren. Auch dabei sind daten­schutz­recht­li­che Vor­ga­ben zu berück­sich­ti­gen, da dabei per­so­nen­be­zo­gene Daten erzeugt wer­den, die sich in Kom­bi­na­tion mit z. B. Ein­lass­kar­ten­le­se­ge­rä­ten oder Gerä­ten zur Arbeits­zei­t­er­fas­sung ein­deu­tig einer Per­son zuord­nen las­sen. Die Daten­ver­ar­bei­tung durch den Arbeit­ge­ber ist in die­sen Fäl­len zuläs­sig, wenn sie zur Aus­übung arbeits­recht­li­cher Pflich­ten oder aus Grün­den des Sozial­schut­zes erfor­der­lich wären und das Daten­schutz­in­ter­esse der Mit­ar­bei­ter nicht über­wiegt. Der Arbeit­ge­ber könnte ggf. aus sei­ner Für­sor­gepf­licht gegen­über sei­nen Mit­ar­bei­tern, die er vor einer Anste­ckung durch einen ande­ren infi­zier­ten Mit­ar­bei­ter zu schüt­zen hat, verpf­lich­tet sein, geeig­nete Maß­nah­men zu erg­rei­fen. Zwar ist nach der­zei­ti­gem Kennt­nis­stand die Fie­ber­mes­sung allein nicht geeig­net, um jeg­li­che Infi­zie­rung mit dem Coro­na­vi­rus fest­zu­s­tel­len. Nicht jede erkrankte Per­son lei­det unter Fie­ber. Aller­dings las­sen sich zu einem gewis­sen Grad Erkrankte dadurch iden­ti­fi­zie­ren. Ange­sichts des Umfangs der Corona-Pan­de­mie dürfte die Fie­ber­mes­sung trotz des ein­ge­schränk­ten Wir­kungs­grads man­gels einer geeig­ne­te­ren sch­nel­len Erken­nung von Infek­tio­nen damit daten­schutz­recht­lich zuläs­sig sein.

So emp­fiehlt auch das Bun­de­s­amt für Zivil­schutz und Katastro­phen­hilfe in einem Hand­buch zur inner­be­trieb­li­chen Vor­be­rei­tung auf eine Pan­de­mie, im Rah­men von Ein­lass­kon­trol­len durch den Arbeit­ge­ber die Tem­pe­ra­tur durch Infra­rot-Ohrther­mo­me­ter zu prü­fen.

Hin­weis

Deut­lich wird, dass viele Maß­nah­men, die im außer­eu­ro­päi­schen Aus­land von Unter­neh­men im Kampf gegen die Corona-Epi­de­mie ein­ge­setzt wer­den, in Deut­sch­land und Europa aus daten­schutz­recht­li­cher Sicht durch­aus kri­tisch betrach­tet wer­den. Obli­ga­to­ri­sche Fie­ber­kon­trol­len - auch wenn sie nicht für eine lücken­lose Iden­ti­fi­zie­rung von Erkrank­ten geeig­net sind - dürf­ten der­zeit ange­sichts des Aus­ma­ßes der Pan­de­mie aller­dings daten­schutz­recht­lich erlaubt sein. Rigi­dere Maß­nah­men, wie etwa Han­dy­or­tun­gen oder die Bekannt­gabe von Adres­sen Infi­zier­ter, sind nach dem EU-weit gel­ten­den Daten­schutz­recht jedoch unzu­läs­sig.

nach oben