Arbeitgeber und Dienstherren fragen sich vermehrt, ob sie Daten von Beschäftigten oder Besuchern des Betriebs bzw. der Behörde erheben dürfen, um Vorsichtsmaßnahmen gegen die Verbreitung des Corona-Virus` treffen zu können.
Der Bundesbeauftragte für den Datenschutz hat hierfür allgemeine Hinweise bereitgestellt.
Im Kern geht es um die Frage, welche Daten der Arbeitgeber bzw. der Dienstherr erheben darf, um die Pandemie zu bekämpfen, bzw. einzudämmen.
Daten von Beschäftigten und Besuchern
Folgende Fragen dürfen danach Beschäftigten und Besuchern gestellt werden:
- Wurde eine Infektion bei Ihnen festgestellt?
- Haben Sie sich im relevanten Zeitraum in einem vom Robert-Koch-Institut als Risikogebiet eingestuften Gebiet aufgehalten?
- Hatten Sie Kontakt mit einer nachweislich infizierten Person?
Weitergehende Datenabfrage bzw. -nutzung von Beschäftigten
Wenn der Arbeitgeber bzw. Dienstherr in seinem Betrieb bzw. Behörde Kenntnis über eine nachweislich infizierte oder unter Infektionsverdacht stehende Person erhält, darf die Identität dieser Person nur dann preisgegeben werden, wenn dies für Vorsorgemaßnahmen erforderlich ist. Dies kann dann der Fall sein, wenn geklärt werden muss, wer im Betrieb Kontakt mit der Person hatte.
Der LfDI Baden-Württemberg ist in dieser Frage in seinen FAQ restriktiver. Er geht davon aus, dass eine Warnung an die Beschäftigten ohne Nennung des Namens team- bzw. abteilungsbezogen erfolgen kann. Sollte dies nicht ausreichend sein, sollen die Gesundheitsbehörden um Rat gefragt werden. Sofern dies nicht möglich sei, könne über den konkreten Beschäftigten informiert werden, um Infektionsquellen zu lokalisieren und einzudämmen.
Ebenso stellt sich die Frage für Arbeitgeber bzw. Dienstherren, ob sie die privaten Kontaktdaten von den Beschäftigten erheben dürfen.
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe hat im Jahre 2011 bezogen auf Grippe ein Handbuch „Betriebliche Pandemieplanung“ herausgegeben. Hierin wird unter „Kommunikation und Information“ Ziffer 1.1 empfohlen, ein innerbetriebliches Kommunikationsnetz zu entwickeln. Dies soll dazu dienen „während einer Krise über Aktivitäten zur Krisenbewältigung einschließlich Maßnahmen zur Verhinderung oder Begrenzung von Vertrauensverlust nach innen und außen“ zu informieren. So kann es im konkreten Fall erforderlich sein, Beschäftigte darüber zu informieren, dass diese sich nicht zum Betrieb bzw. zur Behörde begeben sollen, da ein Coronafall bestehe. Soweit dazu auch private Kontaktdaten genutzt werden sollen, weist der LfDI Baden-Württemberg darauf hin, dass hierzu die Einwilligung des Beschäftigten notwendig sei.
Nach Auffassung der Aufsichtsbehörden kann der Beschäftigte aus Rücksichts-, Verhaltens- oder Mitwirkungspflichten darüber hinaus verpflichtet sein, seinen Arbeitgeber bzw. Dienstherren über eine Infektion zu informieren.
Weitergehende Datenabfrage bzw. -nutzung von Besuchern
Daneben stellt sich die Frage für den Betrieb bzw. Behörde, ob von Besuchern Name und Kontaktdaten erfragt werden dürfen.
Dies soll zu dem Zwecke geschehen, eine Nachverfolgung des Virus‘ zu ermöglichen und auch die Besucher darüber zu informieren, dass eine eigene Infektion möglich ist. Die Datenerhebung und -verarbeitung kann dann erfolgen, wenn eine entsprechende Anordnung der Gesundheitsbehörde vorliegt. Andernfalls können die Kontaktdaten nur auf freiwilliger Basis abgefragt werden.
Rechtsgrundlage der Datenerhebung und -verarbeitung bei Beschäftigten
Die Rechtsgrundlage für die Datenerhebung und -verarbeitung ergibt sich bei Beschäftigten im nicht-öffentlichen Bereich aus § 26 Abs. 1 S. 1 BDSG (Datenverarbeitung zur Durchführung des Beschäftigtenverhältnis) bzw. Art. 6 Abs. 1 lit. e) DSGVO i.V.m. den einschlägigen Normen der Beamtengesetze im öffentlichen Bereich, soweit es sich um Kontaktdaten handelt. Diese Datenerhebung und -verarbeitung ist erforderlich, um die Beschäftigten vor Gesundheitsrisiken durch die Pandemie am Arbeitsplatz zu warnen. Aber auch die Frage nach dem konkreten Aufenthalt in Risikogebieten in der Vergangenheit fallen unter die erforderliche Datenverarbeitung, um die restlichen Beschäftigten schützen zu können.
Sofern es um die Frage nach einer Infektion mit dem Virus geht, handelt es sich um die Erhebung und Verarbeitung von Gesundheitsdaten. Hier ist als Rechtsgrundlage § 26 Abs. 3 BDSG (Beschäftigte im nicht-öffentlichen Bereich) bzw. Art. 9 Abs. 2 lit. b) DSGVO einschlägig, wobei nach den Aufsichtsbehörden diese Norm auch für den öffentlichen Bereich einschlägig ist. Danach können Gesundheitsdaten erhoben und verarbeitet werden, wenn dies erforderlich ist, damit der Verantwortliche (Arbeitgeber bzw. Dienstherr) seine Rechte bzw. Pflichten aus dem Arbeitsrecht ausüben kann. So ergibt sich für den Arbeitgeber bzw. Dienstherr gegenüber seinen Beschäftigten eine Fürsorgepflicht hinsichtlich deren Gesundheit. Die Eindämmung der Verbreitung des Virus‘ im Betrieb bzw. in der Behörde kommt der Gesundheit der Beschäftigten zugute und ist damit Ausfluss der Fürsorgepflicht. Die privaten Kontaktdaten können auf Basis einer Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO genutzt werden.
Rechtsgrundlage der Datenerhebung und -verarbeitung bei Besuchern
Soweit es um den Aufenthalt in Risikogebieten geht, kann hier Art. 6 Abs. 1 lit. f) DSGVO herangezogen werden. Danach kann der Verantwortliche (Betrieb oder Behörde) Daten im eigenen berechtigten Interesse oder eines Dritten verarbeiten, sofern dies erforderlich ist und nicht Rechte der Betroffenen überwiegen.
Das berechtigte Interesse des Arbeitgebers liegt hier einmal im Schutz seiner Beschäftigten und auch des Betroffenen, um diesen zu informieren, falls eine Infektion möglich erscheint. Entgegenstehende Interessen des Betroffenen sind nicht ersichtlich, zumal die Datenverarbeitung auch in dessen Interesse erfolgt.
Die Erhebung und -verarbeitung der Kontaktdaten von Besuchern kann auf Grundlage einer Anordnung der Behörde aus § 16 Abs. 1 und Abs. 2 S. 3 Infektionsschutzgesetz, ansonsten bildet die Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO die korrekte Rechtsgrundlage.
Fazit
Das Datenschutzrecht verhindert keine Maßnahmen gegen eine Pandemie, sondern stellt die Rechtsgrundlagen hierfür zur Verfügung. Wichtig ist, dass die Beschäftigten bzw. Besucher entsprechend transparent über die Datenerhebung und -verarbeitung informiert werden, damit die Betroffenen diese nachvollziehen können.