Was ist erlaubt und was nicht? Corona und der Datenschutz im Arbeitsverhältnis
A&W RedaktionIm Zusammenhang mit der Corona-Krise stellen sich auch eine ganze Reihe von datenschutzrechtlichen Fragen. Arbeitgeber sind sich unsicher, welche Maßnahmen sie gegen die Ausbreitung des Virus ergreifen dürfen oder sogar müssen und welche erlaubt sind. Dabei spielt der Datenschutz eine große Rolle.
Mag das Ausmaß der Corona-Krise auch noch so groß sein, so der Bremer Fachanwalt für Arbeitsrecht und Gewerblichen Rechtsschutz Klaus-Dieter Franzen, Landesregionalleiter „Bremen“ des VDAA Verband deutscher ArbeitsrechtsAnwälte e. V. mit Sitz in Stuttgart, sie setzt diesen nicht außer Kraft.
Daten der Erkrankten nicht grundlos offenlegen
Deshalb kann grundsätzlich auch jetzt nicht über die Köpfe der Betroffenen hinweg über deren personenbezogene Daten verfügt werden, schon gar nicht, wenn es sich um besonders sensible Daten wie Gesundheitsdaten handelt. Auf der anderen Seite sind die Arbeitgeber gesetzlich verpflichtet, die Arbeitnehmer*innen vor einer Infizierung zu schützen. Dazu müssen sie erforderliche Maßnahmen zur Eindämmung und Bekämpfung ergreifen. Diese bedürfen einer Rechtsgrundlage und müssen verhältnismäßig sein.
Welche Maßnahmen jetzt zulässig sind
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hält nach diesen Grundsätzen die folgenden Maßnahmen für zulässig:
Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen.
Hierzu zählen insbesondere Informationen zu den Fällen:
in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat;
in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob
- diese selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen;
- sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.
Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist dann rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.
Die im Rahmen der vorstehenden Maßnahmen gewonnenen personenbezogenen Daten müssen vertraulich behandelt und dürfen ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks (regelmäßig also spätestens dem Ende der Pandemie) müssen die erhobenen Daten unverzüglich gelöscht werden.
Unzulässig und auch unverhältnismäßig wäre es hingegen, wenn der Arbeitgeber die Arbeitnehmer*innen unter Namensnennung von einer Infizierung einer beschäftigten Person unterrichten würde. Auch eine verpflichtende Fiebermessung vor dem Betreten des Betriebsgeländes oder andere vergleichbare Maßnahmen sind nicht erlaubt. Auch eine wirksame Einwilligung dürfte als Rechtsgrundlage mangels Freiwilligkeit ausscheiden. Zulässig dagegen dürfte es sein, wenn der Arbeitgeber den Arbeitnehmer*innen Geräte zur eigenen Temperaturkontrolle bereitstellt.
Franzen empfahl, dies zu beachten und riet bei Fragen Rechtsrat in Anspruch zu nehmen, wobei er u. a. auch auf den VDAA Verband deutscher ArbeitsrechtsAnwälte e. V. – www.vdaa.de – verwies.