Datenschutz in Zeiten des Coronavirus

Infor­ma­tio­nen über Infek­tio­nen

Erkrankte Mit­ar­bei­ter haben ihrem Arbeit­ge­ber die Art ihrer Erkran­kung nicht mit­zu­tei­len. Dies gilt grund­sätz­lich auch im Fall einer Infek­tion mit dem Coro­na­vi­rus (COVID-19). Aller­dings wird der Arbeit­ge­ber im Falle eines posi­ti­ven Befunds, der den Gesund­heits­be­hör­den zu mel­den ist, von behörd­li­cher Seite aus infor­miert. Denn um eine Infek­ti­ons­kette zu unter­b­re­chen und die Aus­b­rei­tung des Coro­na­vi­rus zu ver­mei­den, ist es uner­läss­lich, Kon­takt­per­so­nen des Infi­zier­ten fest­zu­s­tel­len und auf eine Anste­ckung hin zu unter­su­chen. Auf die­sem Wege erhal­tene Gesund­heits­da­ten über Mit­ar­bei­ter müs­sen dazu durch den Arbeit­ge­ber ver­ar­beit­bar sein.

Diese Rechts­an­sicht deckt sich auch mit einer jüngst ver­öf­f­ent­lich­ten Stel­lung­nahme der Daten­schutz­kon­fe­renz (DSK), dem gemein­sa­men Gre­mium der unab­hän­gi­gen deut­schen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der. Die Auf­sichts­be­hör­den hal­ten die Erhe­bung und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten (ein­sch­ließ­lich Gesund­heits­da­ten) von Beschäf­tig­ten durch den Arbeit­ge­ber daten­schutz­recht­lich für zuläs­sig, um eine Aus­b­rei­tung des Coro­na­vi­rus unter den Beschäf­tig­ten best­mög­lich zu ver­hin­dern oder ein­zu­däm­men. Hierzu zäh­len ins­be­son­dere Infor­ma­tio­nen zu den Fäl­len, in denen eine Infek­tion fest­ge­s­tellt wurde oder Kon­takt mit einer nach­weis­lich infi­zier­ten Per­son bestan­den hat.

Infor­ma­tio­nen über all­ge­mei­nen Gesund­heits­zu­stand und Rei­se­ziele

Hin­ge­gen dürfte es nicht zuläs­sig sein, vor­sor­g­lich von allen Mit­ar­bei­tern Infor­ma­tio­nen über deren Gesund­heits­zu­stand zu ver­lan­gen, um so etwaige Anste­ckungs­ri­si­ken zu mini­mie­ren. Mög­lich könnte hin­ge­gen sein, auf frei­wil­li­ger Basis Selbs­t­aus­künfte der Mit­ar­bei­ter über ihren Gesund­heits­zu­stand ein­zu­ho­len. Auf die Ver­wen­dung der Daten sollte hin­ge­wie­sen und deren ent­sp­re­chend für diese Zwe­cke beschränkte Ver­wen­dung sicher­ge­s­tellt wer­den.

Dage­gen ist die Erhe­bung zu den letz­ten Rei­se­zie­len, ins­be­son­dere ob im rele­van­ten Zei­traum ein Auf­ent­halt in einem vom Robert-Koch-Insti­tut (RKI) als Risi­ko­ge­biet ein­ge­stuf­ten Gebiet statt­ge­fun­den, hat unter dem Gesichts­punkt der Inter­es­sens­ab­wä­gung eben­falls zuläs­sig.

Dabei ist aber stets sicher­zu­s­tel­len, dass die erho­be­nen Daten ver­trau­lich behan­delt, nicht offen­ge­legt und maxi­mal bis zum Ende der Corona-Pan­de­mie gespei­chert und nach danach unver­züg­lich gelöscht wer­den.

Fie­ber­mes­sung

Mit Ans­tieg der Infek­ti­ons­zah­len könnte bei Unter­neh­men auch im Raum ste­hen, den Ein­lass von Mit­ar­bei­tern auf das Betriebs­ge­lände erst nach einer nega­ti­ven Fie­ber­mes­sung zu gewäh­ren. Auch dabei sind daten­schutz­recht­li­che Vor­ga­ben zu berück­sich­ti­gen, da dabei per­so­nen­be­zo­gene Daten erzeugt wer­den, die sich in Kom­bi­na­tion mit z. B. Ein­lass­kar­ten­le­se­ge­rä­ten oder Gerä­ten zur Arbeits­zei­t­er­fas­sung ein­deu­tig einer Per­son zuord­nen las­sen. Die Daten­ver­ar­bei­tung durch den Arbeit­ge­ber ist in die­sen Fäl­len zuläs­sig, wenn sie zur Aus­übung arbeits­recht­li­cher Pflich­ten oder aus Grün­den des Sozial­schut­zes erfor­der­lich wären und das Daten­schutz­in­ter­esse der Mit­ar­bei­ter nicht über­wiegt. Der Arbeit­ge­ber könnte ggf. aus sei­ner Für­sor­gepf­licht gegen­über sei­nen Mit­ar­bei­tern, die er vor einer Anste­ckung durch einen ande­ren infi­zier­ten Mit­ar­bei­ter zu schüt­zen hat, verpf­lich­tet sein, geeig­nete Maß­nah­men zu erg­rei­fen. Zwar ist nach der­zei­ti­gem Kennt­nis­stand die Fie­ber­mes­sung allein nicht geeig­net, um jeg­li­che Infi­zie­rung mit dem Coro­na­vi­rus fest­zu­s­tel­len. Nicht jede erkrankte Per­son lei­det unter Fie­ber. Aller­dings las­sen sich zu einem gewis­sen Grad Erkrankte dadurch iden­ti­fi­zie­ren. Ange­sichts des Umfangs der Corona-Pan­de­mie dürfte die Fie­ber­mes­sung trotz des ein­ge­schränk­ten Wir­kungs­grads man­gels einer geeig­ne­te­ren sch­nel­len Erken­nung von Infek­tio­nen damit daten­schutz­recht­lich zuläs­sig sein.

So emp­fiehlt auch das Bun­de­s­amt für Zivil­schutz und Katastro­phen­hilfe in einem Hand­buch zur inner­be­trieb­li­chen Vor­be­rei­tung auf eine Pan­de­mie, im Rah­men von Ein­lass­kon­trol­len durch den Arbeit­ge­ber die Tem­pe­ra­tur durch Infra­rot-Ohrther­mo­me­ter zu prü­fen.

Hin­weis

Deut­lich wird, dass viele Maß­nah­men, die im außer­eu­ro­päi­schen Aus­land von Unter­neh­men im Kampf gegen die Corona-Epi­de­mie ein­ge­setzt wer­den, in Deut­sch­land und Europa aus daten­schutz­recht­li­cher Sicht durch­aus kri­tisch betrach­tet wer­den. Obli­ga­to­ri­sche Fie­ber­kon­trol­len - auch wenn sie nicht für eine lücken­lose Iden­ti­fi­zie­rung von Erkrank­ten geeig­net sind - dürf­ten der­zeit ange­sichts des Aus­ma­ßes der Pan­de­mie aller­dings daten­schutz­recht­lich erlaubt sein. Rigi­dere Maß­nah­men, wie etwa Han­dy­or­tun­gen oder die Bekannt­gabe von Adres­sen Infi­zier­ter, sind nach dem EU-weit gel­ten­den Daten­schutz­recht jedoch unzu­läs­sig.