Der Bundesbeauftragte für Datenschutz und Informationsfreiheit

Ausgangssituation

In der momentanen Situation herrscht in vielen Bereichen Unsicherheit hinsichtlich der datenschutzrechtlich rechtmäßigen Behandlung verschiedener Informationen. So fragen sich beispielsweise Arbeitgeber, ob und wie personenbezogene Daten von Mitarbeitern verarbeitet werden können, die im Zusammenhang mit Maßnahmen der COVID-19-Pandemie stehen.

Hinweise

Die Erhebung personenbezogener Daten im Zusammenhang mit der Corona-Pandemie geht zumeist damit einher, dass Bezüge zwischen einzelnen Personen und deren Gesundheitszuständen hergestellt werden. Deswegen geht es üblicherweise um Gesundheitsdaten im Sinne von Artikel 9 der Datenschutz-Grundverordnung (DSGVO), welche unter besonderem Schutz stehen. Unter sensibler Beachtung des Verhältnismäßigkeitsgrundsatzes können Gesundheitsdaten jedoch erhoben und verarbeitet werden. Insbesondere wenn diese Daten der Eindämmung der Pandemie oder dem Schutz der eigenen Mitarbeiter/innen dienen.

Als im obigen Sinne datenschutzrechtlich legitimiert gelten folgende Maßnahmen des Arbeitgebers:

  • Erhebung und Verarbeitung personenbezogener Daten (insbesondere Gesundheitsdaten) von Arbeitnehmern, die der Verhinderung oder Verlangsamung der Ausbreitung der COVID-19-Pandemie dienen. Damit sind gerade Fälle gemeint, in denen beim Arbeitnehmer eine Infektion festgestellt wurde, ein Kontakt zu einer nachweislich infizierten Person bestanden hat oder der Arbeitnehmer sich im relevanten Zeitraum an einem vom Robert-Koch-Institut als Risikogebiet eingestuften Ort aufgehalten hat.
  • Erhebung und Verarbeitung personenbezogener Daten (insbesondere Gesundheitsdaten) von Gästen und Besuchern. Auch hier muss die Feststellung im Vordergrund stehen, die sich auf die Infektion des Besuchers selbst bzw. dessen Kontakt mit einer ihrerseits infizierten Person oder auf den Aufenthalt in einem Risikogebiet bezieht.
  • Die Offenlegung personenbezogener Daten von bewiesen infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist jedoch nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktperson ausnahmsweise erforderlich ist.

Rechtliche Einordnung

Aus rechtlicher Sicht lassen sich die obigen Maßnahmen auf die DSGVO sowie das BDSG (erforderlichenfalls in Verbindung mit etwaigen Landes- oder anderen Fachgesetzen) stützten. Dabei hängt die konkrete Rechtsgrundlage von der jeweiligen Maßnahme ab. Grundsätzlich gilt:

  • Für öffentlich-rechtliche Arbeitgeber ergibt sich die Legitimation zur Mitarbeiterdatenverarbeitung grundsätzlich aus Art. 6 Abs. 1 Satz 1 lit. e) DSGVO. Außerdem können zu seinen Gunsten zusätzlich Art. 9 Abs. 2 lit. g) DSGVO herangezogen werden, da die Fürsorgepflicht im Sinne der Gesundheitsvorsorge hier auch einem wichtigen öffentlichen Interesse dient.
  • Für Arbeitgeber im nicht-öffentlichen Bereich gilt § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO jeweils i.V.m. den einschlägigen beamtenrechtlichen sowie tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts. Soweit es um oben besagte Gesundheitsdaten geht, sind zudem auch § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO einschlägig.
  • Sobald es um Maßnahmen gegenüber Dritten geht, sind bei öffentlichen Stellen Art. 6 Abs. 1 Satz 1 lit. c) und e) ggf. in Verbindung mit den jeweiligen Landesdatenschutzgesetzen und bei nicht-öffentlichen Stellen 6 Abs. 1 Satz 1 lit. f) DSGVO heranzuziehen. Bei Gesundheitsdaten ist zudem jeweils Art. 9 Abs. 2 lit. i) i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG anzuwenden.

Die Fürsorgepflicht der Arbeitgeber  verpflichtet diesen zur Sicherstellung des gesamtheitlichen Gesundheitsschutzes seiner Beschäftigten. Hierzu zählt nach Auffassung der unabhängigen Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und im Fall der Fälle der Nachverfolgbarkeit dient. Bei Anwendung der Maßnahmen gilt es stets, den Verhältnismäßigkeitsgrundsatz sensibel zu beachten. Dazu zählt die vertrauliche Behandlung der Daten sowie deren ausschließlich zweckmäßige Verwendung. Außerdem müssen die erhobenen Daten nach Wegfall des Verarbeitungszwecks unverzüglich gelöscht werden.

Dr. iur. Christoph Roos
Fachanwalt für Arbeitsrecht

Lesen Sie mehr zum Thema „Rechtliche Besonderheiten im Rahmen der COVID-19-Pandemie“ auf unserer Website.