Datenschutz in Zeiten des Coronavirus

Informationen über Infektionen

Er­krankte Mit­ar­bei­ter ha­ben ih­rem Ar­beit­ge­ber die Art ih­rer Er­kran­kung nicht mit­zu­tei­len. Dies gilt grundsätz­lich auch im Fall ei­ner In­fek­tion mit dem Coro­na­vi­rus (CO­VID-19). Al­ler­dings wird der Ar­beit­ge­ber im Falle ei­nes po­si­ti­ven Be­funds, der den Ge­sund­heits­behörden zu mel­den ist, von behörd­li­cher Seite aus in­for­miert. Denn um eine In­fek­ti­ons­kette zu un­ter­bre­chen und die Aus­brei­tung des Coro­na­vi­rus zu ver­mei­den, ist es un­erläss­lich, Kon­takt­per­so­nen des In­fi­zier­ten fest­zu­stel­len und auf eine An­ste­ckung hin zu un­ter­su­chen. Auf die­sem Wege er­hal­tene Ge­sund­heits­da­ten über Mit­ar­bei­ter müssen dazu durch den Ar­beit­ge­ber ver­ar­beit­bar sein.

Diese Rechts­an­sicht deckt sich auch mit ei­ner Stel­lung­nahme der Da­ten­schutz­kon­fe­renz (DSK), dem ge­mein­sa­men Gre­mium der un­abhängi­gen deut­schen Da­ten­schutz­auf­sichts­behörden des Bun­des und der Länder. Die Auf­sichts­behörden hal­ten die Er­he­bung und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten (ein­schließlich Ge­sund­heits­da­ten) von Be­schäftig­ten durch den Ar­beit­ge­ber da­ten­schutz­recht­lich für zulässig, um eine Aus­brei­tung des Coro­na­vi­rus un­ter den Be­schäftig­ten bestmöglich zu ver­hin­dern oder ein­zudämmen. Hierzu zählen ins­be­son­dere In­for­ma­tio­nen zu den Fällen, in de­nen eine In­fek­tion fest­ge­stellt wurde oder Kon­takt mit ei­ner nach­weis­lich in­fi­zier­ten Per­son be­stan­den hat.

Informationen über allgemeinen Gesundheitszustand und Reiseziele

Hin­ge­gen dürfte es nicht zulässig sein, vor­sorg­lich von al­len Mit­ar­bei­tern In­for­ma­tio­nen über de­ren Ge­sund­heits­zu­stand zu ver­lan­gen, um so et­waige An­ste­ckungs­ri­si­ken zu mi­ni­mie­ren. Möglich könnte hin­ge­gen sein, auf frei­wil­li­ger Ba­sis Selbst­auskünfte der Mit­ar­bei­ter über ih­ren Ge­sund­heits­zu­stand ein­zu­ho­len. Auf die Ver­wen­dung der Da­ten sollte hin­ge­wie­sen und de­ren ent­spre­chend für diese Zwecke be­schränkte Ver­wen­dung si­cher­ge­stellt wer­den.

Da­ge­gen ist die Er­he­bung zu den letz­ten Rei­se­zie­len, ins­be­son­dere ob im re­le­van­ten Zeit­raum ein Auf­ent­halt in einem vom Ro­bert-Koch-In­sti­tut (RKI) als Ri­si­ko­ge­biet ein­ge­stuf­ten Ge­biet statt­ge­fun­den hat un­ter dem Ge­sichts­punkt der In­ter­es­sens­abwägung eben­falls zulässig.

Da­bei ist aber stets si­cher­zu­stel­len, dass die er­ho­be­nen Da­ten ver­trau­lich be­han­delt, nicht of­fen­ge­legt und ma­xi­mal bis zum Ende der Corona-Pan­de­mie ge­spei­chert und nach da­nach un­verzüglich gelöscht wer­den.

Fiebermessung

Bei Un­ter­neh­men könnte im Raum ste­hen, den Ein­lass von Mit­ar­bei­tern auf das Be­triebs­gelände erst nach ei­ner ne­ga­ti­ven Fie­ber­mes­sung zu gewähren. Auch da­bei sind da­ten­schutz­recht­li­che Vor­ga­ben zu berück­sich­ti­gen, da da­bei per­so­nen­be­zo­gene Da­ten er­zeugt wer­den, die sich in Kom­bi­na­tion mit z. B. Ein­lass­kar­ten­le­se­geräten oder Geräten zur Ar­beits­zeit­er­fas­sung ein­deu­tig ei­ner Per­son zu­ord­nen las­sen. Die Da­ten­ver­ar­bei­tung durch den Ar­beit­ge­ber ist in die­sen Fällen zulässig, wenn sie zur Ausübung ar­beits­recht­li­cher Pflich­ten oder aus Gründen des So­zi­al­schut­zes er­for­der­lich wären und das Da­ten­schutz­in­ter­esse der Mit­ar­bei­ter nicht über­wiegt. Der Ar­beit­ge­ber könnte ggf. aus sei­ner Fürsor­ge­pflicht ge­genüber sei­nen Mit­ar­bei­tern, die er vor ei­ner An­ste­ckung durch einen an­de­ren in­fi­zier­ten Mit­ar­bei­ter zu schützen hat, ver­pflich­tet sein, ge­eig­nete Maßnah­men zu er­grei­fen. Zwar ist nach der­zei­ti­gem Kennt­nis­stand die Fie­ber­mes­sung al­lein nicht ge­eig­net, um jeg­li­che In­fi­zie­rung mit dem Coro­na­vi­rus fest­zu­stel­len. Nicht jede er­krankte Per­son lei­det un­ter Fie­ber. Al­ler­dings las­sen sich zu einem ge­wis­sen Grad Er­krankte da­durch iden­ti­fi­zie­ren. An­ge­sichts des Um­fangs der Corona-Pan­de­mie dürfte die Fie­ber­mes­sung trotz des ein­ge­schränk­ten Wir­kungs­grads man­gels ei­ner ge­eig­ne­te­ren schnel­len Er­ken­nung von In­fek­tio­nen da­mit da­ten­schutz­recht­lich zulässig sein.

So emp­fiehlt auch das Bun­des­amt für Zi­vil­schutz und Ka­ta­stro­phen­hilfe in einem Hand­buch zur in­ner­be­trieb­li­chen Vor­be­rei­tung auf eine Pan­de­mie, im Rah­men von Ein­lass­kon­trol­len durch den Ar­beit­ge­ber die Tem­pe­ra­tur durch In­fra­rot-Ohrther­mo­me­ter zu prüfen.

Hinweis

Deut­lich wird, dass viele Maßnah­men, die im außer­eu­ropäischen Aus­land von Un­ter­neh­men im Kampf ge­gen die Corona-Epi­de­mie ein­ge­setzt wer­den, in Deutsch­land und Eu­ropa aus da­ten­schutz­recht­li­cher Sicht durch­aus kri­ti­sch be­trach­tet wer­den. Ob­li­ga­to­ri­sche Fie­ber­kon­trol­len - auch wenn sie nicht für eine lücken­lose Iden­ti­fi­zie­rung von Er­krank­ten ge­eig­net sind - dürf­ten der­zeit an­ge­sichts des Ausmaßes der Pan­de­mie al­ler­dings da­ten­schutz­recht­lich er­laubt sein. Ri­gi­dere Maßnah­men, wie etwa Han­dy­or­tun­gen oder die Be­kannt­gabe von Adres­sen In­fi­zier­ter, sind nach dem EU-weit gel­ten­den Da­ten­schutz­recht je­doch un­zulässig.