Covid-19: Hilfestellung für Unternehmen
Die Konsequenzen der Covid-19-Pandemie sowie getroffene Schutzmaßnahmen zur Verhinderung der Infektionen sind in der Wirtschaft stark spürbar. Die geänderten Umstände stellen Unternehmen vor große Herausforderungen – nicht nur organisatorisch, sondern auch rechtlich: Maßnahmen zur Eindämmung der Pandemie (etwa Gesundheitsabfragen oder Home Office) und ihrer wirtschaftlichen Bewältigung bergen u.a. arbeitsrechtliche, sozialversicherungsrechtliche und datenschutzrechtliche Fragen.
Datenschutzbehörden äußern sich zur Pandemie
Zu den ergriffenen Maßnahmen gehören beispielsweise Nachfragen zum Gesundheitszustand der Mitarbeiter, dem Aufenthalt in einem als Risikogebiet eingestuften Territorium und zu Kontakten mit nachweisbar infizierten Personen. Diese Maßnahmen gehen häufig mit der Erfassung von personenbezogenen Daten und teilweise Gesundheitsdaten von eigenen Beschäftigten sowie von Gästen und Besuchern einher.
Insofern stellt sich die Frage, wieweit eine derartige Verarbeitung datenschutzrechtlich zulässig ist, insbesondere angesichts der engen Grenzen für die Verarbeitung von Gesundheitsdaten. Das europäische Gremium der Datenschutzaufsichtsbehörden, das European Data Protection Boards (EDPB), hat nun in einer Pressemitteilung vom 16. März 2020 betont, dass die DSGVO etwaigen Schutzmaßnahmen gegen die Covid-19-Pandemie nicht entgegenstünden. Dennoch müsse auch in diesen außergewöhnlichen Zeiten der Schutz von personenbezogenen Daten gewährleistet werden und Verantwortliche müssen eine Reihe von Überlegungen berücksichtigen. Demnach müssen derartige Maßnahmen u.a. verhältnismäßig sein und verarbeitete Daten müssen vertraulich behandelt werden.
In einer aktuellen Pressemitteilung der Konferenz der deutschen Datenschutzaufsichtsbehörden (Datenschutzkonferenz – DSK) heißt es sogar, dass die Fürsorgepflicht der Arbeitgeber bzw. Dienstherren diese verpflichte, den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen, was auch die Einführung angemessener Schutzmaßnahmen mit sich ziehe. Die DSK sieht damit offenbar noch eine weitergehende Berechtigung zur Verarbeitung personenbezogenen Daten im Zusammenhang mit Covid-19.
Rechtsgrundlagen für Schutzmaßnahmen von Unternehmen
Verarbeitungen können oftmals aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder zum Schutz lebenswichtiger Interessen oder zur Erfüllung einer anderen gesetzlichen Verpflichtung erforderlich sein.
Die Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren ist zulässig, soweit sie erforderlich sind, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählt insbesondere die Frage, ob eine Infektion festgestellt wurde (einschließlich der Abfrage eindeutiger Symptome), ob ein Kontakt mit einer nachweislich infizierten Person bestanden hat, sowie die Erhebung und Verarbeitung, ob Beschäftigte sich im relevanten Zeitraum in einem vom Robert-Koch-Institut als Risikogebiet eingestuften Gebiet aufgehalten haben. Nach Aussage der DSK könne sich die Rechtsgrundlage für die Verarbeitung personenbezogener Mitarbeiterdaten durch Unternehmen aus § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f DSGVO jeweils i.V.m. den einschlägigen tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts ergeben. Da im Rahmen einer solchen Abfrage regelmäßig besonders schutzbedürftige Gesundheitsdaten verarbeitet werden, sind darüber hinaus § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b DSGVO als Rechtsgrundlagen heranzuziehen. Einer Einwilligung bedarf es in diesen Fällen nicht.
Eine weitere Herausforderung stellt die Verarbeitung von Daten von Gästen, Besuchern und externem Personal dar. So besteht die Gefahr einer Infektion etwa auch, wenn ein infizierte Geschäftspartner, Freelancer oder Reinigungskräfte mit eigenem Personal in Kontakt kommt. Die Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Dritten ist in gleichem Umfang zulässig. Insoweit gilt Art. 6 Abs. 1 Satz 1 lit. f DSGVO, in Bezug auf Gesundheitsdaten Art. 9 Abs. 2 lit. i i.V.m. § 22 Abs. 1 Nr. 1 lit. c BDSG.
Unternehmen erwägen regelmäßig auch, die Namen der Infizierten innerhalb des Unternehmens offenzulegen. Eine solche Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist nur dann rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.
Herausforderungen von „Home Office“-Arbeit
Viele Unternehmen lassen Ihre Mitarbeiter derzeit von Zuhause aus arbeiten („Home Office“). Datenschutzrechtlich bringt diese Form des Arbeitens insofern erhöhte Risiken mit sich, als dass unzulässige Einflussnahmen auf die Mitarbeiter durch Dritte leichter möglich sind, da sich die Mitarbeiter nicht mehr in einem abgrenzbaren Kontroll- und Einflussbereich des Arbeitgebers befinden.
Für die datenschutzrechtliche Zulässigkeit gibt es keine klare gesetzliche Regelung. Nach einer im Januar 2019 vom Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) veröffentlichten Handlungsempfehlung zum Thema „Telearbeit und Mobiles Arbeiten“ sei für unter Berücksichtigung der Art der zu verarbeitenden Daten und ihres Verwendungszusammenhangs, sorgfältig und differenziert zu prüfen, ob die Wahrnehmung der jeweiligen Aufgaben oder Tätigkeiten im Rahmen von Telearbeit und Mobilem Arbeiten datenschutzrechtlich vertretbar ist. Sind zudem besondere Kategorien personenbezogener Daten oder Sozialdaten involviert, sei Telearbeit dann vertretbar, wenn deren Schutz durch angemessene technisch-organisatorische Maßnahmen und entsprechende Kontrollmöglichkeiten – sowohl für den Arbeitgeber als auch für Datenschutzbehörden – gewährleistet ist.
Es sollte insbesondere keine private Hard- oder Software oder private E-Mail-Postfächer genutzt werden. Als Faustregel gilt: Je umfangreicher die Verarbeitung und je höher die Sensibilität der Daten, desto eher sollte das Home Office ein reguliertes „Office“ sein – auch, wenn es sich im Zuhause des Arbeitnehmers befindet.
Praxisempfehlung für Unternehmen
Die Anforderungen des Datenschutzes gelten auch in Zeiten einer Pandemie, sind jedoch zu bewältigen. Unternehmen können mittels Fragebögen zum Aufenthaltsort, Dienstreisen, Kontakt zu Verdachtspersonen und Symptomen die Daten ihrer Beschäftigten, einschließlich ihrer Gesundheitsdaten, grundsätzlich rechtmäßig erheben und speichern. Selbiges gilt auch für Dritte (z.B. Besucher oder Freelancer), die mit Mitarbeitern in Kontakt kommen. Eine Mitteilung über eine Infektion – insbesondere an andere Mitarbeiter – ist jedoch nur in Ausnahmefällen zulässig. Einer dezidierten rechtlichen Würdigung bedürfen konkrete medizinische Maßnahmen (z.B. Fiebermessungen und Rachenabstriche) oder besonders eingriffsintensive Verarbeitungen (z.B. Handyortungen). Die Rechtsgrundlagen und die vom Verantwortlichen durchgeführten Abwägungen sollten sorgfältig dokumentiert werden.
In allen Fällen müssen die Betroffenen über die Erhebung, Speicherung und ggf. Offenlegung ihrer Daten nach Art. 13 und 14 DSGVO informiert werden. Zudem müssen derartige Verarbeitungen in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen und erforderlichenfalls – wegen der Verarbeitung von Gesundheitsdaten – eine Datenschutz-Folgenabschätzung durchgeführt oder aktualisiert werden. Letztlich müssen die gespeicherten Daten nach Zweckerreichung – regelmäßig mit Ende der Pandemie – gelöscht werden.
Das Arbeiten im Home Office könnte kurzfristig in einer Betriebsvereinbarung festgelegt und durch eine entsprechende Datenschutz-Richtlinie mit konkreten Handlungsanweisungen begleitet werden. Insbesondere sollte darauf geachtet werden, dass für den Arbeitgeber die notwendigen Kontrollrechte vorgesehen werden und technische sowie organisatorische Maßnahmen eine unbefugte Kenntnisnahme personenbezogener Daten verhindern.