Informationen über Infektionen
Erkrankte Mitarbeiter haben ihrem Arbeitgeber die Art ihrer Erkrankung nicht mitzuteilen. Dies gilt grundsätzlich auch im Fall einer Infektion mit dem Coronavirus (COVID-19). Allerdings wird der Arbeitgeber im Falle eines positiven Befunds, der den Gesundheitsbehörden zu melden ist, von behördlicher Seite aus informiert. Denn um eine Infektionskette zu unterbrechen und die Ausbreitung des Coronavirus zu vermeiden, ist es unerlässlich, Kontaktpersonen des Infizierten festzustellen und auf eine Ansteckung hin zu untersuchen. Auf diesem Wege erhaltene Gesundheitsdaten über Mitarbeiter müssen dazu durch den Arbeitgeber verarbeitbar sein.
Diese Rechtsansicht deckt sich auch mit einer Stellungnahme der Datenschutzkonferenz (DSK), dem gemeinsamen Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder. Die Aufsichtsbehörden halten die Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber datenschutzrechtlich für zulässig, um eine Ausbreitung des Coronavirus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen, in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
Informationen über allgemeinen Gesundheitszustand und Reiseziele
Hingegen dürfte es nicht zulässig sein, vorsorglich von allen Mitarbeitern Informationen über deren Gesundheitszustand zu verlangen, um so etwaige Ansteckungsrisiken zu minimieren. Möglich könnte hingegen sein, auf freiwilliger Basis Selbstauskünfte der Mitarbeiter über ihren Gesundheitszustand einzuholen. Auf die Verwendung der Daten sollte hingewiesen und deren entsprechend für diese Zwecke beschränkte Verwendung sichergestellt werden.
Dagegen ist die Erhebung zu den letzten Reisezielen, insbesondere ob im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat unter dem Gesichtspunkt der Interessensabwägung ebenfalls zulässig.
Dabei ist aber stets sicherzustellen, dass die erhobenen Daten vertraulich behandelt, nicht offengelegt und maximal bis zum Ende der Corona-Pandemie gespeichert und nach danach unverzüglich gelöscht werden.
Fiebermessung
Bei Unternehmen könnte im Raum stehen, den Einlass von Mitarbeitern auf das Betriebsgelände erst nach einer negativen Fiebermessung zu gewähren. Auch dabei sind datenschutzrechtliche Vorgaben zu berücksichtigen, da dabei personenbezogene Daten erzeugt werden, die sich in Kombination mit z. B. Einlasskartenlesegeräten oder Geräten zur Arbeitszeiterfassung eindeutig einer Person zuordnen lassen. Die Datenverarbeitung durch den Arbeitgeber ist in diesen Fällen zulässig, wenn sie zur Ausübung arbeitsrechtlicher Pflichten oder aus Gründen des Sozialschutzes erforderlich wären und das Datenschutzinteresse der Mitarbeiter nicht überwiegt. Der Arbeitgeber könnte ggf. aus seiner Fürsorgepflicht gegenüber seinen Mitarbeitern, die er vor einer Ansteckung durch einen anderen infizierten Mitarbeiter zu schützen hat, verpflichtet sein, geeignete Maßnahmen zu ergreifen. Zwar ist nach derzeitigem Kenntnisstand die Fiebermessung allein nicht geeignet, um jegliche Infizierung mit dem Coronavirus festzustellen. Nicht jede erkrankte Person leidet unter Fieber. Allerdings lassen sich zu einem gewissen Grad Erkrankte dadurch identifizieren. Angesichts des Umfangs der Corona-Pandemie dürfte die Fiebermessung trotz des eingeschränkten Wirkungsgrads mangels einer geeigneteren schnellen Erkennung von Infektionen damit datenschutzrechtlich zulässig sein.
So empfiehlt auch das Bundesamt für Zivilschutz und Katastrophenhilfe in einem Handbuch zur innerbetrieblichen Vorbereitung auf eine Pandemie, im Rahmen von Einlasskontrollen durch den Arbeitgeber die Temperatur durch Infrarot-Ohrthermometer zu prüfen.
Hinweis
Deutlich wird, dass viele Maßnahmen, die im außereuropäischen Ausland von Unternehmen im Kampf gegen die Corona-Epidemie eingesetzt werden, in Deutschland und Europa aus datenschutzrechtlicher Sicht durchaus kritisch betrachtet werden. Obligatorische Fieberkontrollen - auch wenn sie nicht für eine lückenlose Identifizierung von Erkrankten geeignet sind - dürften derzeit angesichts des Ausmaßes der Pandemie allerdings datenschutzrechtlich erlaubt sein. Rigidere Maßnahmen, wie etwa Handyortungen oder die Bekanntgabe von Adressen Infizierter, sind nach dem EU-weit geltenden Datenschutzrecht jedoch unzulässig.