Datenschutz in Corona-Zeiten
Was Unternehmen in der Corona-Krise beim Datenschutz im Betrieb beachten müssen
Was Unternehmen in der Corona-Krise beim Datenschutz im Betrieb beachten müssen
Ein Beitrag von Rechtsanwalt Thomas Repka
Die Corona-Krise fordert Unternehmen, Geschäftsführer und Manager an unterschiedlichsten Fronten. Einerseits soll das Geschäft weitgehend aufrecht erhalten bleiben, andererseits muss auf die Gesundheit von Mitarbeitern, Angestellten und Kunden besonders geachtet werden. Bei der Umsetzung von Schutzmaßnahmen werden datenschutzrechtliche Fragen oft vernachlässigt. Dies kann gefährlich werden, denn die Datenschutzbehörden gehen besonders bei Datenschutzverstößen mit sensiblen Daten streng vor und verhängen hohe DSGVO-Bußgelder.
Gesundheitsschutz vs. Datenschutz
Über das „ob“ und „wie“ der Datenverarbeitung personenbezogener Daten im Zusammenhang mit der derzeitigen Corona-Pandemie bestand große Unsicherheit. Die Datenschutzbehörden haben daher in den letzten Tagen entsprechende Handlungsempfehlungen veröffentlicht.
Die Datenschutzbehörden bleiben bei ihrer Einschätzung, dass auch in den momentanen Krisenzeiten eine Verarbeitung von Gesundheitsdaten zwar möglich, aber nur restriktiv und in Ausnahmefällen erfolgen soll.
Für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie und/oder zum Schutz von Angestellten können personenbezogene Daten datenschutzkonform verarbeitet werden. Hierbei sind insbesondere das Vorliegen einer gesetzlichen Erlaubnis und der Grundsatz der Verhältnismäßigkeit zu beachten.
Besonderer Schutz von Gesundheitsdaten
Die betroffenen Daten beziehen sich im Zusammenhang mit der Corona-Krise insbesondere auf den gesundheitlichen Zustand der betroffenen Person. Gesundheitsdaten sind jedoch besonders geschützt – eine Verarbeitung ist nur in den in Art. 9 DSGVO genannten Fällen erlaubt. Betrifft die Datenverarbeitung (auch) das Arbeitsverhältnis, ist zusätzlich § 26 Abs. 3 BDSG einschlägig.
Das sagen die Aufsichtsbehörden
Gemäß der Ansicht der Datenschutzbehörden können folgende Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie als datenschutzrechtlich legitimiert betrachtet werden:
- Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Zur Erreichung dieses Ziels dürfen Unternehmer personenbezogene Daten verarbeiten, in Fällen, in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestand und in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
- Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen, Besuchern und Kunden, insbesondere um festzustellen, ob diese selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen oder sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.
Namensnennung von infizierten Personen ist zu vermeiden
Eine Offenlegung von Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen ist nur dann erlaubt, wenn die Kenntnis für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.
Hier müssen Geschäftsführer und Vorstände also genau prüfen und abwägen, ob eine Offenlegung tatsächlich erforderlich ist. Andernfalls liegt hierin ein Datenschutzverstoß, der durch die Aufsichtsbehörden sanktioniert werden und Ansprüche der betroffenen Personen auslösen kann. Zudem droht im schlimmsten Fall auch eine persönliche Haftung. Erfahren Kollegen oder Kunden von einer Erkrankung mit dem Corona-Virus einer bestimmten Person, kann dies zu einer erheblichen Stigmatisierung führen. Daher ist die Nennung des Namens so weit wie möglich zu vermeiden. Die Warnung von Mitarbeitern und Kollegen kann in der Regel auch ohne Namensnennung erfolgen.
Mitteilungspflicht von Infektionsfällen im Betrieb an zuständige Behörden
Gibt es für Unternehmen eine behördliche Anordnung (zB. nach dem Infektionsschutzgesetz) Fälle von Infizierten oder von Risikogruppen den zuständigen Behörden mitzuteilen, ist diese Mitteilung datenschutzrechtlich erlaubt. Geschäftsführer haben dann sicherzustellen, dass die entsprechenden Informationen vollständig und richtig übermittelt werden. Eine gesetzliche Meldepflicht oder eine behördliche Anordnung führt dazu, dass die dafür erforderliche Datenverarbeitung und Datenweitergabe zulässig ist.