Datenschutz beim Umgang mit dem Corona-Virus in Unternehmen

Erfordernis einer gesetzlichen Verarbeitungserlaubnis

Die DSGVO stellt bezüglich der Verarbeitung von personenbezogenen Daten ein Verbot mit Erlaubnisvorbehalt auf. Das heißt es muss immer eine Rechtsgrundlage vorliegen, die die Verarbeitung ausdrücklich erlaubt. Ansonsten muss die Verarbeitung unterbleiben.

Bei den im Umgang mit dem Corona-Virus verarbeiteten Daten handelt es sich vor allem um Gesundheitsdaten, die sich auf die körperliche Gesundheit einer natürlichen Person beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

Beispielsweise, wenn nach Krankheitssymptomen gefragt wird oder oder gar Fieber gemessen werden soll. Auch wenn Dritte darüber informieren, dass eine Person Krankheitssymptome aufzeigt, oder gar über einen Krankheitsverdacht oder -fall informiert wird, werden Gesundheitsdaten verarbeitet.

Aus datenschutzrechtlicher Sicht handelt es sich dabei um sogenannte besondere personenbezogene Daten, deren Verarbeitung gem. Art. 9 DSGVO nur in streng geregelten Fällen gestattet ist.

Für die Verarbeitung besonderer personenbezogener Daten kann spätestens mit der Einstufung des Corona-Virus als Pandemie durch die Weltgesundheitsorganisation (World Health Organisation, WHO) am 11. März 2020 als Rechtsgrundlage die nationale Regelung aus § 22 Abs. 1 Nr. 1 lit. c BDSG in Verbindung mit Art. 9 Abs. 2 lit. g DSGVO herangezogen werden.

Demnach ist die Verarbeitung von Gesundheitsdaten ausnahmsweise für nichtöffentliche Stellen (also auch Unternehmen) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, erlaubt. In Erwägungsgrund 46 zur DSGVO werden Beispiele aufgelistet, die als Grund für eine Verarbeitung von Daten aus lebenswichtigen Interessen dienen können. Die Verarbeitung personenbezogener Daten zur Überwachung und Verhinderung der Ausbreitung einer Pandemie wie dem Corona-Virus ist somit gerechtfertigt.

Ein Rückgriff auf § 26 BDSG als Rechtsgrundlage im Beschäftigungsverhältnis ist nicht mehr notwendig. Soll § 26 BDSG doch herangezogen werden, so ergibt sich im Ergebnis kein Unterschied, da § 26 Abs. 3 BDSG auf § 22 BDSG verweist. Die vor der Einstufung durch die WHO noch notwendige Unterscheidung, ob Mitarbeiter oder Betriebsfremde (etwa Besucher, deren Körpertemperatur durch Sensoren erfasst wird) von der Datenverarbeitung betroffen sind, ist deshalb auch nicht mehr notwendig.

Zu beachten ist jedoch, dass immer eine Interessensabwägung durchzuführen ist und ausreichende technische und organisatorische Maßnahmen zum Schutz der verarbeiteten Daten getroffen werden müssen. Auch in einem Ausnahmefall, wie durch die Corona-Pandemie hervorgerufen, sind die Rechte betroffener Personen angemessen zu würdigen.

Interessensabwägung bei Corona-Überwachungsmaßnahmen

Konkrete Maßnahmen, die im Rahmen einer Corona-Überwachung getroffen werden können und bei denen personenbezogene Daten verarbeitet werden, sind zum Beispiel:

• Fragen nach Krankheitssymptomen
• Fragen nach Aufenthaltsorten
• Fragen nach Kontakt mit (möglicherweise) infizierten Personen bzw. mit gesunden Personen, wenn der Befragte im Verdacht steht, infiziert zu sein
• Körpertemperatur- bzw. Fiebermessung
• Weitergabe der gewonnenen Informationen zu oben genannten Punkten z.B. an andere Personen, Firmen oder an Behörden

Bei der Interessensabwägung sollte dann immer gefragt werden, wie tief der Eingriff in die Rechte der betroffenen Person ist und ob dies im Verhältnis zum Zweck der Verarbeitung steht.

Beispiel Temperaturmessung

So hat zum Beispiel eine Temperaturmessung einen erheblich höheren Eingriffscharakter als die Bitte um Selbstauskunft, ob Symptome vorliegen. Die Messung kann grundsätzlich erlaubt sein, wenn sie sinnvoll erscheint und keine milderen Mittel möglich sind. Momentan scheint das aber nicht der Fall zu sein. Krankheitsträger müssen keine Symptome, insbesondere nicht Fieber, zeigen. Dazu kommt, dass es sich um einen Eingriff handelt, den normalerweise ein Arzt bzw. medizinisches Fachpersonal durchführen würde. Solche Eingriffe sind durch die besondere Stellung, die ein Arzt innehält, immer besonders zu werten. Die gebotene Durchführung des Eingriffs und der Umgang mit den gewonnenen Daten durch einen Experten, der darüber hinaus auch an eine Verschwiegenheitspflicht gebunden ist, wiegt in der durchzuführenden Abwägung schwer. Es ist deshalb von einem überwiegenden Interesse des Betroffenen an der Nichtverarbeitung auszugehen.

Wenn aufgrund eines gravierenden Risikos wie zum Beispiel der Arbeit mit Risikopatienten jede Gefährdung ausgeschlossen werden muss, sollte der Eingriff von einem Arzt oder zumindest von sonstigem medizinischen Fachpersonal (z. B. Krankenpfleger) durchgeführt werden.

Andere Corona-Überwachungsmaßnahmen

Unverhältnismäßig wird auch eine Ortung der Aufenthaltsdaten über Mobiltelefone sein. Auch hier steht durch Befragung, ob ein Risikogebiet besucht worden ist, ein milderes, weniger in die Rechte des Betroffenen eingreifendes Mittel zur Verfügung.

Ein wichtiger Abwägungspunkt kann auch die Anlassbezogenheit sein. So wird das Führen einer Kontaktpersonenliste nicht zulässig sein, wenn kein konkreter Verdacht besteht, dass eine Infektion und damit ein Ansteckungsrisiko vorliegt.

Maßnahmen aufgrund von Allgemeinverfügungen der Behörden

Im Zuge der Corona-Pandemie erlassen Gemeinden, Städte und Landratsämter Allgemeinverfügungen, die Unternehmen zur Verarbeitung personenbezogener Daten verpflichten. Zum Beispiel wurden Allgemeinverfügungen erlassen, wonach in den betroffenen Regionen Name, Uhrzeit, Datum und Kontaktdaten von Kunden in Einrichtungen, die nicht nur vorübergehend frequentiert werden (z.B. Restaurants oder mit Wartebereichen), aufzunehmen und zu speichern sind.

Als Sicherheitsbehörde sind die Behörden dazu gem. § 28 Abs. 1 Infektionsschutzgesetz (InfSG) befugt. Die Datenverarbeitung durch die Behörde ist deshalb nach Art. 6 Abs. 1 lit. e DSGVO rechtmäßig. Die Verarbeitung als betroffenes Unternehmen erfolgt dann aufgrund der rechtlichen Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO.

Neben den im nächsten Absatz folgenden Punkten, die beim Umgang mit personenbezogenen Daten zu beachten sind, gilt hier der besondere Hinweis, dass die rechtliche Verpflichtung nicht von den allgemeinen Pflichten der DSGVO befreit, insbesondere nicht von den Informationspflichten. Auch ist sicherzustellen, dass die Aufnahme der Daten so erfolgt, dass die Daten nicht von Unbefugten eingesehen werden können (z.B. durch das Auslegen einer Eintragungsliste) oder für einen anderen Zweck, wie zum Beispiel Werbung, verwendet werden. Die Daten dürfen nicht länger aufbewahrt werden, als die Allgemeinverfügung dies fordert. Danach sind sie zu löschen.

Umgang mit den Daten zur Corona-Überwachung

Auch der Umgang mit den gewonnenen Daten ist genauestens zu hinterfragen. Es gibt hier einige Punkte zu beachten.

• Zu allererst sollten Sie darauf achten, wirklich nur die notwenigen Daten zu verarbeiten um dem Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO gerecht zu werden. So wäre es zum Beispiel nicht notwendig, den erfragten Aufenthaltsort zu speichern, wenn er kein Risikogebiet ist. Wenn Risikogebiet, dann muss nicht gespeichert werden, wo genau. Die Klassifizierung als Risikogebiet sollte ausreichend sein.
• Die Verarbeitung ist zu dokumentieren. Zur Dokumentation empfiehlt sich die Aufnahme der Verarbeitung in das Verzeichnis von Verarbeitungstätigkeiten.
• Betroffene sind umfangreich über die Verarbeitung ihrer personenbezogenen Daten zu Informieren (Lesetipp: Anleitung zur Erfüllung der Informationspflichten).
• In diesem Rahmen müssen Sie sich auch Gedanken über die Speicherung und Löschung machen. Wenn die Informationen abgelegt, also gespeichert werden, sollten Sie sich direkt überlegen, wie lange die Daten aufbewahrt werden müssen und wie und wann sie dann gelöscht werden. Hier hilft ein gut ausgearbeitetes Löschkonzept.
• Sehr wichtig ist es auch, sich Gedanken über die Weitergabe der Daten zu machen. So ist es zum Beispiel nicht notwendig, den Namen eines (möglicherweise) Infizierten allen Betriebsangehörigen zugänglich zu machen, wenn nicht das Risiko besteht, dass er mit allen Kontakt hatte. Wenn sich der Kontaktkreis einschränken lässt, reicht es aus, diesen eingeschränkten Kreis zu Informieren. Auch hier hilft es, sich wieder vor Augen zu führen, dass Gesundheitsdaten in der Regel durch einen Arzt vertraulich verarbeitet würden und wir in der Corona-Krise eine absolute Ausnahmesituation haben, worunter die Rechte der Betroffenen aber nicht leiden sollen.

Fazit: Sonderrechte dürfen Datenschutz nicht aushöhlen

Der weltweite Ausbruch des Corona-Virus stellt insbesondere auch Unternehmen vor große Herausforderungen. Zur Eindämmung der Pandemie werden Verantwortlichen einige Sonderrechte gewährt.

Doch als Verantwortlicher sind Sie in der Nachweispflicht, bei einer Überwachung von Corona-Infektionen alle gesetzlichen Erfordernisse einzuhalten und die Rechte der von der Verarbeitung Betroffenen zu wahren.

Ein abschließender Tipp: Wenn Sie es Ihren Beschäftigten freistellen, von zu Hause zu arbeiten, beachten Sie unbedingt unsere kostenlose Checkliste für den Datenschutz im Home-Office.