blog.esche

Die Bekämpfung der Coronavirus-Pandemie soll durch datenschutzrechtliche Vorschriften nicht erschwert werden. Firmen dürfen daher personenbezogene Daten von Mitarbeitern und Dritten verarbeiten. Infizierte dürfen allerdings grundsätzlich nicht namentlich genannt werden.
 
Das Verarbeiten von Daten im Zusammenhang mit der Corona-Pandemie ist datenschutzrechtlich deshalb brisant, weil sich personenbezogene Daten auf den Gesundheitszustand der Betroffenen beziehen. Solche Daten sind als Gesundheitsdaten nach Art. 9 der DSGVO besonders geschützt.

Die Verarbeitung von Gesundheitsdaten handhabt die DSGVO restriktiv. Dennoch können Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeitern datenschutzkonform erhoben und verarbeitet werden. Wichtig ist, dass die Maßnahmen der Arbeitgeber oder Dienstherren verhältnismäßig sind. Sofern das der Fall ist, steht der Datenschutz der Infektionsbekämpfung nichts im Weg, weil die Gesundheit der Menschen stärker wiegt als der Datenschutz.

Laut einer Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI) sind beispielweise folgende Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie rechtlich zulässig:

• Der Arbeitgeber oder Dienstherr darf personenbezogene Daten (einschließlich Gesundheitsdaten) von Beschäftigten verarbeiten, um eine Ausbreitung des Coronavirus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Das gilt insbesondere in Fällen,
  • in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat oder
  • in denen sich die Person im relevanten Zeitraum in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet aufgehalten hat.
• Ebenso dürfen Arbeitgeber oder Dienstherren personenbezogene Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern verarbeiten, wenn festgestellt werden soll, ob diese
  • selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen oder
  • sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.

Arbeitgeber dürfen den anderen Beschäftigten grundsätzlich nicht mitteilen, welcher Kollege mit dem Virus infiziert ist. Grund: Das kann für den Infizierten zu einer enormen Stigmatisierung führen. Ausnahmen gelten allerdings dann, wenn für Vorsorgemaßnahmen der Kontaktperson die Kenntnis der Identität des Infizierten erforderlich ist.

Grundlage für die Verarbeitung personenbezogener Daten von Mitarbeitern für Arbeitgeber im nicht-öffentlichen Bereich sind § 26 Abs 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO, für öffentlich-rechtliche Arbeitgeber Art. 6 Abs. 1 Satz 1 lit. e) DSGVO, jeweils i.V.m. den einschlägigen beamtenrechtlichen sowie tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts. Soweit Gesundheitsdaten verarbeitet werden, sind zudem auch § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO einschlägig.

Werden personenbezogene Daten von Dritten verarbeitet, können Arbeitgeber im nicht-öffentlichen Bereich Art. 6 Abs. 1 Satz 1 lit. f) DSGVO als Rechtsgrundlage heranziehen; öffentliche Stellen können sich auf Art. 6 Abs. 1 Satz 1 lit. c) und e) ggf. in Verbindung mit den jeweiligen Landesdatenschutzgesetzen stützen. Soweit es um Gesundheitsdaten geht, findet außerdem Art. 9 Abs. 2 lit. i) i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG Anwendung.

Praxistipp
Die Einwilligung der von Maßnahmen Betroffenen sollte nur dann als datenschutzrechtliche Verarbeitungsgrundlage nach Art. 6 Abs. 1 Satz 1 lit. a) DSGVO in Betracht gezogen werden, wenn die Betroffenen über die Datenverarbeitung informiert sind und freiwillig in die Maßnahme einwilligen können. Da sich Letzteres derzeit praktisch kaum umsetzen lässt, sollten Daten auf dieser Grundlage nicht verarbeitet werden – vor allem, wenn es sich um sensible Gesundheitsdaten handelt.

Sämtliche datenverarbeitende Maßnahmen müssen verhältnismäßig sein. Das bedeutet, dass die Daten vertraulich zu behandeln sind und ausschließlich zweckgebunden verwendet werden dürfen. Nach Wegfall des Verarbeitungszwecks (also spätestens am Ende der Pandemie) müssen die erhobenen Daten unverzüglich gelöscht werden.

Weitere Blogbeiträge zu diesem Thema:

• 15.06.2020: +++ Update +++ Steuerliche Maßnahmen gegen die Auswirkungen der Corona-Pandemie
• 09.06.2020: +++ Update +++ Erhöhung des Kurzarbeitergeldes – Wer bekommt bald mehr Geld?
• 26.05.2020: Gemeinnützigkeit und Aufstockung von Kurzarbeitergeld in der Corona-Pandemie
• 26.05.2020: +++ Update +++ Arbeitsrechtlicher Handlungsbedarf in der Corona-Krise: Lohnfortzahlung und Kurzarbeit
• 19.05.2020: Personalmaßnahmen trotz Kurzarbeit Teil 6: Voraussetzungen der Transfergesellschaft beim Personalabbau?
• 18.05.2020: Personalmaßnahmen trotz Kurzarbeit Teil 5: Erleichterung von Restrukturierungsmaßnahmen durch Einbeziehung einer Transfergesellschaft
• 13.05.2020: Personalmaßnahmen trotz Kurzarbeit – Teil 4: Fahrplan Restrukturierungen
• 11.05.2020: Personalmaßnahmen trotz Kurzarbeit – Teil 3: Neueinstellungen während Kurzarbeit – Möglichkeiten und Risiken
• 07.05.2020: Personalmaßnahmen trotz Kurzarbeit – Teil 2: Auswirkungen von Kündigungen während Kurzarbeit auf den KuG-Bezug
• 06.05.2020: Personalmaßnahmen trotz Kurzarbeit – Teil 1: Betriebsbedingte Kündigungen während Kurzarbeit
• 30.04.2020: Weitere Corona-Sofortmaßnahme des BMF: Antrag auf pauschalierte Herabsetzung bereits geleisteter Vorauszahlungen für 2019
• 30.04.2020: Vertragstreue in der Abfallwirtschaft zu Zeiten der Corona-Pandemie
• 17.04.2020: Neuer SARS-CoV-2-Arbeitsschutzstandard veröffentlicht!
• 17.04.2020: Unternehmen in der Krise! - Wie kann der Wirtschaftsprüfer unterstützen?
• 14.04.2020: KfW Kredite für kommunale Unternehmen und gemeinnützige Organisationen im Bereich der kommunalen und sozialen Infrastruktur
• 14.04.2020: +++ Update +++ Non-Profit-Organisationen in der Corona-Pandemie – Erste Praxis-Tipps für die aktuelle Krise
• 09.04.2020: Die Corona-Krise und deren Auswirkung auf die Pflicht zur Mietzahlung
• 08.04.2020: Corona und der Baubereich
• 08.04.2020: Arbeitsrecht in der Corona-Krise: Urlaub, Feiertage und Kurzarbeit richtig kombiniert
• 07.04.2020: Kurzarbeit und erbschaftsteuerliche Lohnsummen-Prüfung infolge SARS-Covid 19 (Corona)
• 31.03.2020: Stundung von Sozialversicherungsbeiträgen – der GKV-Spitzenverband vereinfacht vorübergehend die Voraussetzungen
• 30.03.2020: +++ Update +++ Corona und die Wirtschaft
• 30.03.2020: +++ Update +++ Gesetz zur Abmilderung der wirtschaftlichen Folgen des Coronavirus
• 30.03.2020: Aussetzung der Insolvenzantragspflicht wegen Corona
• 27.03.2020: +++ Update +++ Gesellschafterversammlungen und Beschlussfassungen in Zeiten von Corona
• 26.03.2020: Erleichterte öffentliche Auftragsvergabe bei Corona-relevanten Beschaffungen
• 26.03.2020: Aufatmen für die Wirtschaft?
• 24.03.2020: Der Lagebericht in Zeiten von Corona
• 20.03.2020: Coronakrise und D&O-/Managerhaftungsrisiken
• 28.02.2020: Aus gegebenem Anlass: Coronavirus SARS-CoV-2 als Grund für Home-Office