Im Umgang mit dem CORONA-Virus sind auch datenschutzrechtliche Vorgaben nach wie vor zu beachten.
Die "Krise" schaltet den Datenschutz, dh die Geheimhaltung der personenbezogenen Daten nicht aus.
Daten über "CORONA-Patienten" im Unternehmen stellen jedenfalls "Gesundheitsdaten" iSd Art 9 DSGVO, dh personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen (Art 4 Nr. 15 DSGVO).
Restriktive Möglichkeit der Verarbeitung von Gesundheitsdaten durch Arbeitgeber
Auch wenn Daten über Corona-Infektionen oder Verdachtsfälle von Unternehmen als Gesundheitsdaten nur sehr eingeschränkt verarbeitet werden dürfen, gibt es für die verschiedenen Maßnahmen, die zur Eindämmung der Verbreitung notwendig sind, sowie zum Schutz von Mitarbeiter*Innen die Möglichkeit, diese Daten zu erheben und auch zu verarbeiten.
Der Zweck der Erhebung, Verarbeitung und Bekanntgabe der Daten muss definiert werden. Es können folgende Zwecke die Verarbeitung der Gesundheitsdaten rechtfertigen.
- Durchführung von behördlich angeordneten Maßnahmen (zB Quarantäne von Mitarbeiter*Innen)
- Verhinderung bzw. Eindämmung der Ausbreitung des CORONA-Virus (im Unternehmen oder auch durch Mitarbeiter*Innen)
Es dürfen dann diejenigen Daten verarbeitet werden, die zur Erfüllung des (festgelegten) Zweckes erforderlich sind, zB
- Erhebung von Daten der Personen, bei denen eine Infektion festgestellt wurde oder bei denen Kontakt mit einer infizierten Person bestanden hat
- Erhebung von Daten der Personen, die sich in einem der Risiko-Gebiete (Lombardei, aber auch Heiligenblut, Paznaun-Tal, St. Anton am Arlberg, Provinz Hobei ..) in einem relvanten Zeitraum aufgehalten haben
Es dürfen auch Daten von Besuchern/Kunden/externen Projektmitarbeitern, und generell von allen Personen erhoben werden, die in direktem Kontakt mit den Mitarbeiter*Innen stehen, um festzustellen, ob diese diesen beiden Kriterien (selbst infiziert und/oder Kontakt mit infizierten Personen; Aufenhalt in einem Risiko-Gebiet) entsprechen.
Dürfen die Daten über die Infektion oder eine Verdachtslage auch weitergegeben werden?
Die Weitergabe der Tatsache einer Infektion mit dem Corona-Virus (zB bei infizierten Personen oder Personen, die unter Verdacht stehen, infiziert zu sein), um Kontaktpersonen derselben zu „warnen“, ist dann rechtmäßig, wenn die Kenntnis der konkreten Person notwendig ist, damit die informierte Person die notwendigen Vorsorgemaßnahmen treffen kann.
Wenn zB eine Konaktperson, die zu mehreren Personen im Unternehmen Kontakt hatte, informiert werden muss, dann ist es nur notwendig, bekannt zu geben, dass es eine infizierte oder in Verdacht stehende Person im Unternehmen gibt, aber nicht konkret wer die Person ist. Ist eine Person (Seminarleiter*In oder Teilnehmer*In) eines Seminars infiziert oder besteht der Verdacht, dann sind alle Seminarteilnehmer zu informieren. Es ist aber nicht notwendig, dass bekannt gegeben wird, welche konkrete Person der „Verdachtsfall“ oder infiziert ist.
An die Behörden müssen die Daten der Personen weitergegeben werden.
Bei einem Verdachtsfall im Unternehmen (Symptome, Aufenthalt in einem Risikogebiet, Klonakt zu einer infizierten Person), ist der Arbeitgeber insbes. aufgrund der Fürsorgepflicht gesetzlich verpflichtet die Gesundheitsbehörden unter der Telefonnummer 1450 zu informieren.
Die betroffene Person ist zu „isolieren“, und sicherzustellen, dass der Kontakt mit ihr minimiert wird. Andere Personen dürfen das Gebäude nicht mehr verlassen. Sinnvollerweise sollte auch bereits umgehend eine Liste von Personen erstellt werden, mit der die Person, auf die der Verdacht zutrifft, Kontakt hatten.
Notwendigerweise werden auch die anderen Personen, die im Unternehmen tätig sind, über den Verdachtsfall informiert.
Es ist dann die Ankunft des Amtsarztes abzuwarten, der die notwendigen Veranlassungen trifft. Die Gesundheitsbehörde trifft die nächsten Entscheidungen sowohl in Bezug auf die konkrete Person als auch im Hinblick auf den Betrieb.
Rechtsgrundlagen der Verarbeitung der Daten
Aus den arbeitsrechtlichen Bestimmungen ergibt sich eine umfassende Fürsorgepflicht des Arbeitgebers gegenüber allen Mitarbeiter*Innen. Die Fürsorgepflicht umfasst auch den Gesundheitsschutz, und damit auch die angemessene Reaktion der Organisation auf die Epidimie oder Pandemie einer meldepflichtigen Krankheit.
Dies betrifft Vorsorgemaßnahmen (zB Feststellung von Risikolagen) sowie auch Maßnahmen zur Möglichkeit der Nachverfolgung im Verdachts-/Infektionsfall. Die verabeiteten Daten müssen zur Erfüllung des konkreten Zwecks erforderlich sein, und die vertrauliche Behandlung (auf Basis eine need-to-know-Prinzips) ist sicherzustellen. Eine Verarbeitung für andere Zwecke als die Risikovorsorge und Feststellung der Kontaktmöglichkeiten ist unzulässig (Prinzip der Zweckbindung).
Der Verantwortliche hat aufgrund Art 5 lit e DSGVO („Speicherbegrenzung“) die Verpflichtung die erhobenen Daten nach Wegfall des Zwecks unverzüglich zu löschen. Nach Ende der Corona-Krise sind daher die Daten zu löschen.
Kann die Verarbeitung der Daten auf eine „Einwilligung“ gestützt werden?
Die Einwilligung in die Verarbeitung von Gesundheitsdaten hat einerseits informiert und freiwillig zu erfolgen, und muss andererseits auch ausdrücklich sein. Im Arbeitsverhältnis ist die Freiwilligkeit immer in Frage gestellt, sodass es mE nicht zulässig ist, im Rahmen des Arbeitsverhältnis für die Verarbeitung derartiger Daten, die im Rahmen einer Risikoerhebung „Corona-Virus“ anfallen können, eine Einwilligung einzuholen.
Zu bedenken ist auch, dass die betroffenen Personen, die Einwilligung jederzeit widerrufen könnten, und dann zB eine Übermittlung der Daten an eine Gesundheitsbehörde nicht mehr zulässig wäre.
14.03.2020, Autor:
Michael Schweiger, zert DSBA
Kommentar schreiben