Coronavirus: Verarbeitung von Gesundheitsdaten durch Arbeitgeber

Arbeitgeber und die Einhaltung des Beschäftigtendatenschutzes in Zeiten des Coronavirus

BeschäftigtendatenschutzBildquelle: Adobe Stock/tonefotografia

Fürsorgepflicht vs. Beschäftigtendatenschutz

Während der Coronakrise stehen die Arbeitgeber vor der Herausforderung, einerseits der Fürsorgepflicht ihren Mitarbeitern gegenüber zu entsprechen und andererseits den Beschäftigtendatenschutz zu wahren. Besonders heikel sind dabei die Fragen der Zulässigkeit der Verarbeitung von Gesundheitsdaten im Rahmen einer Infektion eines Mitarbeiters und der angemessenen Information von anderen Mitarbeitern, die mit dem Betroffenen persönlichen Kontakt hatten.

Von offizieller Seite haben sich hierzu bereits das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, die Datenschutzkonferenz (DSK), auf der Internetseite des Bundesdatenschutzbeauftragten sowie das katholische Datenschutzzentrum Dortmund geäußert. Sinngemäß heißt es, dass bestimmte Verarbeitungen von Gesundheitsdaten durch den Arbeitgeber im Rahmen einer möglichen Covid-19-Infektion in angemessenem Rahmen zulässig seien.

Risiko einer Covid-19-Infektion als Ausnahme zum strengen Gesundheitsdatenschutz

Dies stellt eine Ausnahme zum sonst sehr strengen Gesundheitsdatenschutz nach den weltlichen und kirchlichen Datenschutzvorgaben dar. Daten zur Gesundheit einer Person gehören zu den besonderen Kategorien nach Art. 9 Abs. 1 DSGVO bzw. §§ 11 Abs. 1 KDG/KDR-OG und § 13 Abs. 1 DSG-EKD und sind besonders schützenswert. Entsprechende Datenverarbeitungen sind nur in engen Konstellationen zulässig und richten sich im Rahmen des Beschäftigtenverhältnisses für den weltlichen Bereich nach Art. 88 Abs. 2 DSGVO i.V.m. § 26 BDSG und für den kirchlichen Bereich nach § 53 KDG/KDR-OG und § 49 DSG-EKD.

Aufklärung und Bereitstellung von Schutzausrüstung vorrangig

Übergreifend ist bei der Verarbeitung von Gesundheitsdaten der Arbeitnehmer wesentliche Voraussetzung, dass die Verarbeitung im Verhältnis zur jeweiligen Maßnahme auch erforderlich ist. In diesem Zusammenhang sind dann die arbeitsrechtlichen Pflichten, die Fürsorgepflicht des Arbeitgebers gegenüber seinen Arbeitnehmern und das Interesse anderer Arbeitnehmer mit den Interessen des betroffenen Arbeitnehmers, dessen Daten verarbeitet werden sollen, abzuwägen.

Welche Maßnahmen aufgrund der Interessenabwägung angemessen sind, richtet sich dann nach dem jeweiligen Einzelfall und der Frage, ob weniger einschneidende Maßnahmen, wie z.B. allgemeine Aufklärung im Betrieb und die Bereitstellung von Schutzausrüstung oder Desinfektionsmitteln, zunächst genügen. Unzulässig ist in jedem Fall eine öffentliche, namentliche Auflistung aller Risikofälle im Betrieb. Eine Kontaktaufnahme im Einzelfall gegenüber Personen, die mit dem Risikofall persönlichen Kontakt hatten, ist hingegen zulässig.

Aufsichtsbehörden halten Verarbeitung bei möglichen Covid-19-Infektionen teilweise für zulässig

Darüber hinaus können nach Ansicht der Datenschutzaufsichtsbehörden folgende Maßnahmen der Datenverarbeitung als datenschutzrechtlich zulässig betrachtet werden:

  • Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen,
    • in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat oder
    • in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.

  • Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese
    • selbst infiziert sind oder in Kontakt mit einer nachweislich infizierten Person standen oder
    • sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufge-halten haben.

  • Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Meldepflicht einer Covid-19-Infektion gegenüber dem Arbeitgeber?

Dabei ist allerdings zu beachten, dass eine Pflicht des Arbeitnehmers zur Offenlegung von Krankheiten gegenüber dem Arbeitgeber grundsätzlich nicht besteht. Da es sich jedoch bei einer Covid-19-Infektion um eine sehr gefährliche und zudem gegenüber den Gesundheitsämtern meldepflichtige Krankheit handelt, wird überwiegend vertreten, dass aus der Treuepflicht gegenüber dem Arbeitgeber auch eine Pflicht zur Auskunft über eine Erkrankung und den Aufenthalt in einem Risikogebiet durch den Arbeitnehmer resultiert. Ohnehin werden die Gesundheitsämter bei entsprechenden Infektionen Kontakt mit dem Arbeitgeber aufnehmen, um angemessene Gesundheitsschutzmaßnahmen am Arbeitsplatz anzustoßen.

Fazit & Handlungsempfehlungen

Die Verarbeitung von personenbezogenen Daten im Zusammenhang mit einer Covid-19-Infektion ist in Einzelfällen zulässig. Jedoch ist die Offenlegung von Infektionen gegenüber anderen Mitarbeitern nach wie vor heikel und sollte nur im Rahmen der aktuellen Empfehlungen der Datenschutzaufsichtsbehörde erfolgen. In jedem Fall stellen öffentliche Listen für Infektionen, die von sämtlichen Mitarbeitern eingesehen werden können, einen erheblichen Eingriff in das Persönlichkeitsrecht des infizierten Mitarbeiters dar und dürften einerseits einen bußgeldwürdigen Datenschutzverstoß darstellen und andererseits Schadensersatz- bzw. Schmerzensgeldansprüche nach sich ziehen.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Münster
RA
Alexander Gottwald, EMBA, externer Datenschutzbeauftragter (GDDcert. EU)
+49 (0)251 48261-173
 

Solidaris Rechtsanwaltsgesellschaft mbH

Gottwald

Alexander Gottwald, geboren 1983

  • Studium der Rechtswissenschaft in Frankfurt am Main und Münster
  • seit 2016 Rechtsanwalt
  • 2016 EMBA – Executive Master of Business Management, Betriebswirtschaftliches Masterprogramm der Westfälischen Wilhelms-Universität Münster
  • seit 2016 bei der Solidaris
  • 2017 – Ausbildung zum zertifizierten Datenschutzbeauftragten bei der Gesellschaft
    für Datenschutz und Datensicherheit (GDDcert. EU)

Aktivitäten

  • Lehrauftrag an der Hochschule FOM in Münster u.a. in dem Bachelor-Studiengang Wirtschafts-Informatik

Schwerpunkte

  • Gesellschafts-, Vereins- und Stiftungsrecht 
  • Steuer- und Gemeinnützigkeitsrecht 
  • Individual- und Kollektivarbeitsrecht 
  • Allg. Zivilrecht und Vertragsrecht 
  • IT-Recht und Datenschutz
  • Externer Datenschutzbeauftragter

Veröffentlichungen in der Fachpresse
2019

  • Datenschutz im MVZ: Health&Care Management, 12/2019, S. 60.
  • Datenschutz - ein Perspektivwechsel: PflegeManagement, 4-5/2019, S. 14-15.
  • Die Tücken der E-Mail-Verschlüsselung: BRAK Magazin, 1/2019, S. 6.
  • Erstmalig hohes Bußgeld: Health&Care Management, 2/2019, S.56.


Veröffentlichungen in der Fachpresse
2018

  • Richtlinie kurzfristig umsetzen: Wohlfahrt intern, 6/2018, S. 39. 
  • Datenschutz erhält mehr Gewicht: neue Caritas, 2/2018, S. 24.
  • Kirchen beschließen Novellierung des Datenschutzes: Health&Care Management Newsletter, 1/2018

Veröffentlichungen in der Fachpresse
2017

  • Freifunk für alle: Sozialwirtschaft, 9-10/2017, S. 36-37.
  • Neue Regeln für Befristungen: Sozialwirtschaft, 6/2017, S. 30-31.