23
Mar
2020

Datenschutz und IT-Recht

Coronavirus und Datenschutz

Dr. Oliver Stegmann

Die Bekämpfung der Coronavirus-Pandemie soll durch datenschutzrechtliche Vorschriften nicht erschwert werden. Firmen dürfen daher personenbezogene Daten von Mitarbeitern und Dritten verarbeiten. Infizierte dürfen allerdings grundsätzlich nicht namentlich genannt werden.
 
Das Verarbeiten von Daten im Zusammenhang mit der Corona-Pandemie ist datenschutzrechtlich deshalb brisant, weil sich personenbezogene Daten auf den Gesundheitszustand der Betroffenen beziehen. Solche Daten sind als Gesundheitsdaten nach Art. 9 der DSGVO besonders geschützt.

Die Verarbeitung von Gesundheitsdaten handhabt die DSGVO restriktiv. Dennoch können Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeitern datenschutzkonform erhoben und verarbeitet werden. Wichtig ist, dass die Maßnahmen der Arbeitgeber oder Dienstherren verhältnismäßig sind. Sofern das der Fall ist, steht der Datenschutz der Infektionsbekämpfung nichts im Weg, weil die Gesundheit der Menschen stärker wiegt als der Datenschutz.

Laut einer Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI) sind beispielweise folgende Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie rechtlich zulässig:

  • Der Arbeitgeber oder Dienstherr darf personenbezogene Daten (einschließlich Gesundheitsdaten) von Beschäftigten verarbeiten, um eine Ausbreitung des Coronavirus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Das gilt insbesondere in Fällen,

    • in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat oder
    • in denen sich die Person im relevanten Zeitraum in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet aufgehalten hat.

  • Ebenso dürfen Arbeitgeber oder Dienstherren personenbezogene Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern verarbeiten, wenn festgestellt werden soll, ob diese

    • selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen oder
    • sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.

Arbeitgeber dürfen den anderen Beschäftigten grundsätzlich nicht mitteilen, welcher Kollege mit dem Virus infiziert ist. Grund: Das kann für den Infizierten zu einer enormen Stigmatisierung führen. Ausnahmen gelten allerdings dann, wenn für Vorsorgemaßnahmen der Kontaktperson die Kenntnis der Identität des Infizierten erforderlich ist.

Grundlage für die Verarbeitung personenbezogener Daten von Mitarbeitern für Arbeitgeber im nicht-öffentlichen Bereich sind § 26 Abs 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO, für öffentlich-rechtliche Arbeitgeber Art. 6 Abs. 1 Satz 1 lit. e) DSGVO, jeweils i.V.m. den einschlägigen beamtenrechtlichen sowie tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts. Soweit Gesundheitsdaten verarbeitet werden, sind zudem auch § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO einschlägig.

Werden personenbezogene Daten von Dritten verarbeitet, können Arbeitgeber im nicht-öffentlichen Bereich Art. 6 Abs. 1 Satz 1 lit. f) DSGVO als Rechtsgrundlage heranziehen; öffentliche Stellen können sich auf Art. 6 Abs. 1 Satz 1 lit. c) und e) ggf. in Verbindung mit den jeweiligen Landesdatenschutzgesetzen stützen. Soweit es um Gesundheitsdaten geht, findet außerdem Art. 9 Abs. 2 lit. i) i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG Anwendung.

Praxistipp
Die Einwilligung der von Maßnahmen Betroffenen sollte nur dann als datenschutzrechtliche Verarbeitungsgrundlage nach Art. 6 Abs. 1 Satz 1 lit. a) DSGVO in Betracht gezogen werden, wenn die Betroffenen über die Datenverarbeitung informiert sind und freiwillig in die Maßnahme einwilligen können. Da sich Letzteres derzeit praktisch kaum umsetzen lässt, sollten Daten auf dieser Grundlage nicht verarbeitet werden – vor allem, wenn es sich um sensible Gesundheitsdaten handelt.

Sämtliche datenverarbeitende Maßnahmen müssen verhältnismäßig sein. Das bedeutet, dass die Daten vertraulich zu behandeln sind und ausschließlich zweckgebunden verwendet werden dürfen. Nach Wegfall des Verarbeitungszwecks (also spätestens am Ende der Pandemie) müssen die erhobenen Daten unverzüglich gelöscht werden.

Weitere Blogbeiträge zu diesem Thema:

» zur Übersicht