Coronavirus: Verarbeitung von Gesundheitsdaten durch Arbeitgeber

Während der Coronakrise stehen die Arbeitgeber vor der Herausforderung, einerseits der Fürsorgepflicht ihren Mitarbeitern gegenüber zu entsprechen und andererseits den Beschäftigtendatenschutz zu wahren. Besonders heikel sind dabei die Fragen der Zulässigkeit der Verarbeitung von Gesundheitsdaten im Rahmen einer Infektion eines Mitarbeiters und der angemessenen Information von anderen Mit

Arbeitgeber und die Einhaltung des Beschäftigtendatenschutzes in Zeiten des Coronavirus

 

Fürsorgepflicht vs. Beschäftigtendatenschutz

Während der Coronakrise stehen die Arbeitgeber vor der Herausforderung, einerseits der Fürsorgepflicht ihren Mitarbeitern gegenüber zu entsprechen und andererseits den Beschäftigtendatenschutz zu wahren. Besonders heikel sind dabei die Fragen der Zulässigkeit der Verarbeitung von Gesundheitsdaten im Rahmen einer Infektion eines Mitarbeiters und der angemessenen Information von anderen Mitarbeitern, die mit dem Betroffenen persönlichen Kontakt hatten.

Von offizieller Seite haben sich hierzu bereits das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, die Datenschutzkonferenz (DSK), auf der Internetseite des Bundesdatenschutzbeauftragten sowie das katholische Datenschutzzentrum Dortmund geäußert. Sinngemäß heißt es, dass bestimmte Verarbeitungen von Gesundheitsdaten durch den Arbeitgeber im Rahmen einer möglichen Covid-19-Infektion in angemessenem Rahmen zulässig seien.

Risiko einer Covid-19-Infektion als Ausnahme zum strengen Gesundheitsdatenschutz

Dies stellt eine Ausnahme zum sonst sehr strengen Gesundheitsdatenschutz nach den weltlichen und kirchlichen Datenschutzvorgaben dar. Daten zur Gesundheit einer Person gehören zu den besonderen Kategorien nach Art. 9 Abs. 1 DSGVO bzw. §§ 11 Abs. 1 KDG/KDR-OG und § 13 Abs. 1 DSG-EKD und sind besonders schützenswert. Entsprechende Datenverarbeitungen sind nur in engen Konstellationen zulässig und richten sich im Rahmen des Beschäftigtenverhältnisses für den weltlichen Bereich nach Art. 88 Abs. 2 DSGVO i.V.m. § 26 BDSG und für den kirchlichen Bereich nach § 53 KDG/KDR-OG und § 49 DSG-EKD.

Aufklärung und Bereitstellung von Schutzausrüstung vorrangig

Übergreifend ist bei der Verarbeitung von Gesundheitsdaten der Arbeitnehmer wesentliche Voraussetzung, dass die Verarbeitung im Verhältnis zur jeweiligen Maßnahme auch erforderlich ist. In diesem Zusammenhang sind dann die arbeitsrechtlichen Pflichten, die Fürsorgepflicht des Arbeitgebers gegenüber seinen Arbeitnehmern und das Interesse anderer Arbeitnehmer mit den Interessen des betroffenen Arbeitnehmers, dessen Daten verarbeitet werden sollen, abzuwägen.

Welche Maßnahmen aufgrund der Interessenabwägung angemessen sind, richtet sich dann nach dem jeweiligen Einzelfall und der Frage, ob weniger einschneidende Maßnahmen, wie z.B. allgemeine Aufklärung im Betrieb und die Bereitstellung von Schutzausrüstung oder Desinfektionsmitteln, zunächst genügen. Unzulässig ist in jedem Fall eine öffentliche, namentliche Auflistung aller Risikofälle im Betrieb. Eine Kontaktaufnahme im Einzelfall gegenüber Personen, die mit dem Risikofall persönlichen Kontakt hatten, ist hingegen zulässig.

Aufsichtsbehörden halten Verarbeitung bei möglichen Covid-19-Infektionen teilweise für zulässig

Darüber hinaus können nach Ansicht der Datenschutzaufsichtsbehörden folgende Maßnahmen der Datenverarbeitung als datenschutzrechtlich zulässig betrachtet werden:

  • Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen,
    • in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat oder
    • in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
  • Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese
    • selbst infiziert sind oder in Kontakt mit einer nachweislich infizierten Person standen oder
    • sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufge-halten haben.
  • Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Meldepflicht einer Covid-19-Infektion gegenüber dem Arbeitgeber?

Dabei ist allerdings zu beachten, dass eine Pflicht des Arbeitnehmers zur Offenlegung von Krankheiten gegenüber dem Arbeitgeber grundsätzlich nicht besteht. Da es sich jedoch bei einer Covid-19-Infektion um eine sehr gefährliche und zudem gegenüber den Gesundheitsämtern meldepflichtige Krankheit handelt, wird überwiegend vertreten, dass aus der Treuepflicht gegenüber dem Arbeitgeber auch eine Pflicht zur Auskunft über eine Erkrankung und den Aufenthalt in einem Risikogebiet durch den Arbeitnehmer resultiert. Ohnehin werden die Gesundheitsämter bei entsprechenden Infektionen Kontakt mit dem Arbeitgeber aufnehmen, um angemessene Gesundheitsschutzmaßnahmen am Arbeitsplatz anzustoßen.

Fazit & Handlungsempfehlungen

Die Verarbeitung von personenbezogenen Daten im Zusammenhang mit einer Covid-19-Infektion ist in Einzelfällen zulässig. Jedoch ist die Offenlegung von Infektionen gegenüber anderen Mitarbeitern nach wie vor heikel und sollte nur im Rahmen der aktuellen Empfehlungen der Datenschutzaufsichtsbehörde erfolgen. In jedem Fall stellen öffentliche Listen für Infektionen, die von sämtlichen Mitarbeitern eingesehen werden können, einen erheblichen Eingriff in das Persönlichkeitsrecht des infizierten Mitarbeiters dar und dürften einerseits einen bußgeldwürdigen Datenschutzverstoß darstellen und andererseits Schadensersatz- bzw. Schmerzensgeldansprüche nach sich ziehen.

Weitere Artikel, die Sie interessieren könnten

02.06.2023

Lauterbach: Grundstruktur der Krankenhausreform steht

Nach dem Bund-Länder-Gespräch am 1. Juni 2023 sprach Gesundheitsminister Karl Lauterbach von einem Durchbruch und einem wichtigen Schritt nach vorn; man sei sich in 90 Prozent der Ziele einig.

26.05.2023

Neue Eckpunkte zur Krankenhausreform: Regionale Vielfalt und strukturelle Besonderheiten der Bundesländer müssen berücksichtigt werden!

Am 23. Mai 2023 traf sich Gesundheitsminister Karl Lauterbach mit den Ländervertretern zu einem vertraulichen „Kamingespräch“, um auf Grundlage eines im Vorfeld vom Bundesgesundheitsministeriums (BMG) vorgelegten, 11 Seiten langen Eckpunktepapiers über die strittigen Reformthemen zu beraten.(...)
25.05.2023

Fünf Jahre DSGVO – Datenschutz im Wandel

Am 25. Mai 2018 ist die europäische Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Ziel war es, in der Europäischen Union die Vorschriften zur Verarbeitung personenbezogener Daten zu vereinheitlichen. Die DS-GVO gilt unmittelbar für alle EU-Mitgliedstaaten. Mit der Vereinheitlichung des(...)
16.05.2023

Nachhaltigkeitsbericht betrifft auch die Governance

Am 5. Januar 2023 ist die Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive – CSRD) in Kraft getreten. Zudem wurden bereits am 23. November 2022 die Entwürfe der europäischen Berichtsstandards (European Sustainability Reporting Standards – ESRS)(...)
16.05.2023

Transparenzregister: Permanente Aktualisierungspflicht

Meldepflichtige Vereinigungen müssen ihre wirtschaftlich Berechtigten ermitteln, an das Transparenzregister melden und ihre Meldungen auf dem jeweils aktuellen Stand halten. Dass meldepflichtige Veränderungen als solche wahrgenommen und gemeldet werden, ist mittels interner Prozesse(...)
16.05.2023

Geldwäsche-Compliance: Sorgfaltspflichten

Das Geldwäschegesetz (GwG) beinhaltet Transparenz- und Sorgfaltspflichten. Über die Transparenzpflichten, insbesondere die Pflicht zur Ermittlung und Meldung der wirtschaftlich Berechtigten an das Transparenzregister, haben wir wiederholt berichtet (siehe Solidaris Information 2/2022, Newsletter der(...)
Zu allen aktuellen Meldungen
phone
mail Pfeil weiß