Themenreihe Datenschutz und Corona – Teil 4: Verarbeitung von Gesundheitsdaten zum Schutz vor Corona-Infektionen

20. März 2020

Der Ausbruch, die Verbreitung und die Folgen des Corona-Virus sorgen derzeit weltweit für große Besorgnis. Die Ausbreitung des Virus soweit wie möglich zu unterbrechen, oder zumindest zu verlangsamen, hat dieser Tage die höchste Priorität. Aus diesem Grund senden vieler Orts Arbeitgeber ihre Mitarbeiter ins Homeoffice, um das Risiko einer Infektion zu verringern. Da diese Vorgehensweise gerade bei Versorgungsbetrieben, wie Einkaufsläden oder auch Kraftwerken nicht umfassend möglich ist, besteht ein großes Interesse beim Arbeitgeber, dass weder die anwesenden Arbeitnehmer noch Besucher des Unternehmens mit dem Virus infiziert sind. Bei der Anfrage nach dem Gesundheitszustand wird nach personenbezogenen Daten, sogenannten „Gesundheitsdaten“ gefragt. Nach Art. 9 EU-Datenschutzgrundverordnung (DSGVO) erfahren diese ein besonders hohes Maß an Schutz, so dass beim Verlangen nach Auskunft einiges zu beachten ist.

Was sind Gesundheitsdaten?

Zunächst ist zu klären, was unter den Begriff „Gesundheitsdaten“ fällt. Nach Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen (z.B. Rehaaufenthalte), beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

Der Begriff Gesundheitsdaten umfasst also nicht nur krankheitsspezifische Angaben der betroffenen Person, wie z.B. einen viralen Infekt oder Medikamentenkonsum, sondern bereits die allgemeine Aussage, ob jemand gesund ist oder nicht. Problematisch sind Informationen, die nur indirekt auf den Gesundheitszustand hinweisen. Hier wird allgemein vertreten, dass der Sachzusammenhang berücksichtigt werden muss, in welchen die Information verwendet werden soll. (vgl. Simitis/Hornung/Spiecker, Art. 4 Nr. 15 Rn. 4).

Wann darf der Arbeitgeber Gesundheitsdaten von Arbeitnehmern gerade in Hinblick auf das Corona-Virus verarbeiten nach der DSGVO?

Es bleibt zu klären, wann Gesundheitsdaten verarbeitet werden dürfen. Bei Gesundheitsdaten gilt ein generelles Verarbeitungsverbot. Gemäß Art. 9 Abs. 2 DSGVO kann in bestimmten Fällen eine Verarbeitung von Gesundheitsdaten allerdings auch ohne Einwilligung des Betroffenen zulässig sein. Allgemein empfiehlt es sich unter gegeben Umständen eine Einwilligung einzuholen.

Im Rahmen des Beschäftigtenverhältnisses im nicht öffentlichen Bereich dürfen Gesundheitsdaten verarbeitet werden, soweit sie für die für die Erfüllung von Rechten und Pflichten im Rahmen des Arbeitsverhältnisses erforderlich ist (Art. 9 Abs. 2 lit. g) DSGVO). Den Arbeitgeber trifft gerade in Hinblick auf das Corona-Virus eine Fürsorgepflicht, die nicht nur gegenüber dem einzelnen Arbeitnehmer, sondern auch gegenüber allen Arbeitnehmern als Gesamtheit besteht. Demnach hat der Arbeitgeber die Verpflichtung verhältnismäßige Maßnahmen zu ergreifen, um die Gesundheit seiner Arbeitnehmer während der Arbeitszeit zu schützen (vgl. LfDI BW). Dies umfasst insbesondere auch Maßnahmen gegen meldepflichtige Krankheiten wie das Corona-Virus (meldepflichtig gem. § 7 Abs. 1 Nr. 31 a Infektionsschutzgesetz (IfSG)). Wichtig ist hierbei, dass nach dem Grundsatz der Datenminimierung nur die wirklich erforderlichen Daten verarbeitet werden und diese auch zum Schutze des einzelnen Arbeitnehmers, sowie aber auch um den Betriebsfrieden zu wahren, streng vertraulich behandelt werden. Sollte der Arbeitgeber personenbezogene Daten verarbeiten, die keine Gesundheitsdaten sind, so kann er sich -nach sorgfältiger Prüfung- auch auf Art. 6 Abs. 1 lit. f) DSGVO oder § 26 Bundesdatenschutzgesetz (BDSG) stützen (vgl. BfDI).

Muss der Arbeitnehmer seine Infizierung mitteilen?

Auch der Arbeitnehmer ist aufgrund seiner Treuepflicht gegenüber dem Arbeitgeber verpflichtet, ihn über eine Corona-Infektion zu unterrichten. Diese Treueplicht befugt den Arbeitnehmer dahingehend, dass er personenbezogene Daten von Personen im betrieblichen Umfeld offenlegt, mit denen er Kontakt gehabt hat. Diese Offenlegung kann sowohl auf ein berechtigtes Interesse des Arbeitgebers nach Art. 6 Abs. 1 lit. f) DSGVO als auch Art. 6 Abs. 1 lit c) DSGVO gestützt werden.

Wann kann ein Arbeitnehmer auch die Gesundheitsdaten von Besuchern oder Gästen des Unternehmens verarbeiten?

Da in Unternehmen regelmäßig Besucher und Gäste verkehren, besteht auch ein großes Interesse seitens des Arbeitgebers, vorsorgliche Maßnahmen zur Eindämmung des Virus zu ergreifen. Sollten hierfür Gesundheitsdaten verarbeitet werden müssen, so kann dies nach sorgfältiger Prüfung auf Grundlage von Art. 9 Abs. 2 lit. i) DSGVO iVm § 22 Abs. 1 Nr. 1 lit. c) BDSG geschehen. Bei anderen Maßnahmen bei denen personenbezogene Daten verarbeitet werden, die keine Gesundheitsdaten sind, kann sich der Arbeitgeber auf sein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO stützen (vgl. BfDI).

Welche Maßnahmen sind in Hinblick auf die Eindämmung des Corona-Virus erlaubt?

Beispiele für zulässige Maßnahmen gegenüber Arbeitnehmern:

  • Maßnahmen ohne datenschutzrechtlichen Bezug, wie zum Beispiel:
    • Hygienevorschriften,
    • allgemeine Dienstanweisung bei Symptomen zuhause zu bleiben,
    • Absage/Verschieben von Dienstreisen,
    • Anordnung im Home Office zu arbeiten,
    • regelmäßiges informieren über relevante Neuigkeiten rund um das Virus.
  • Auskunftsverlangen über Infektion bei begründetem Verdacht,
  • Auskunftsverlangen gegenüber infizierten Arbeitnehmern hinsichtlich Kontaktpersonen im betrieblichen Umfeld,
  • Auskunftsverlagen über Aufenthalt in einem Risikogebiet nach Urlaub oder Dienstreise,
  • Verarbeitung von Daten, die von dem Arbeitnehmer proaktiv mitgeteilt werden, z.B., dass Kontakt mit einer/einem (potentiell) Infizierten bestand,
  • Einholung der Einwilligung zur Speicherung von Notfallkontakten und privaten Kontaktdaten zur Verständigung bei Notfällen und betrieblichen Änderungen aufgrund des Virus.

Beispiele für unzulässige Maßnahmen gegenüber Arbeitnehmern:

  • Verpflichtende umfassende Fragebögen an die gesamte Arbeitnehmerschaft (anlasslose Reihenbefragungen),
  • Befragung anderer Arbeitnehmer, ob jemand Symptome zeigt.

Beispiele für zulässige Maßnahmen gegenüber Besuchern oder Gästen des Unternehmens:

  • Maßnahmen ohne datenschutzrechtlichen Bezug, wie Hygienevorschriften, Einschränkung von Besuchsmöglichkeiten,
  • Auskunftsverlangen über Infektion bei begründetem Verdacht,
  • Auskunftsverlangen gegenüber infizierten Besuchern oder Gästen hinsichtlich Kontaktpersonen im Unternehmen.

Beispiele für unzulässige Maßnahmen gegenüber Besuchern oder Gästen des Unternehmens:

  • Pauschale Gesundheitsauskunft ohne begründeten Verdacht.

Die Themenreihe Datenschutz und Corona wird mit einem Beitrag zum Thema „Datenschutzkonformes Arbeiten im Home Office“ fortgesetzt.

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.

Kategorien: Coronavirus · COVID-19-Virus · Themenreihe Datenschutz und Corona