Foto: Wetzkaz Graphics - shutterstock.com
Die stetig steigende Zahl der Coronavirus-Infektionen erfordert geeignete Präventions- und Abwehrmaßnahmen der Unternehmen, um Arbeitnehmer, Kunden, Geschäftspartner und Besucher zu schützen. Dabei werden oftmals sensible Gesundheitsdaten, etwa in Form von Fiebermessdaten oder ausgefüllten Fragebögen, verarbeitet und übermittelt. Das stellt Unternehmen vor die schwierige Herausforderung, einen Ausgleich zwischen den Rechten der betroffenen Personen auf Privatsphäre und der Gesundheit anderer Personen herzustellen. Wo liegt hier die Grenze des datenschutzrechtlich Zulässigen?
Die einzelnen Behörden vertreten durchaus unterschiedliche Positionen. Wir wollen daher nachfolgend eine Übersicht über die Rechtsgrundlagen und von den Behörden veröffentlichten Empfehlungen geben. Dabei wird auf typische Fragen eingegangen, mit denen sich Unternehmen bei der Bewältigung der Herausforderungen durch COVID-19 konfrontiert sehen. Die Übersicht ersetzt jedoch nicht die im Einzelfall erforderliche individuelle Überprüfung der Rechtmäßigkeit der Verwendung und Verbreitung personenbezogener Daten.
Wir empfehlen zudem, als in Deutschland tätiges Unternehmen, sich an den Äußerungen der deutschen Aufsichtsbehörden zu orientieren. Auch wenn andere europäische Datenschutzinstitutionen womöglich pragmatischere und weniger strenge Ansichten vertreten, sind zunächst die Einschätzungen der nationalen Behörden maßgeblich. Die nachfolgenden Fragen und Antworten fußen deshalb überwiegend auf der Einschätzung deutscher Datenschutzbehörden.
COVID-19-Schutzmaßnahmen - ein Datenschutzproblem?
Gemäß Artikel 9 der Datenschutzgrundverordnung (DSGVO) werden Gesundheitsdaten oder andere Informationen über eine Viruserkrankung als "besonders sensible Daten" eingestuft. Es ist danach grundsätzlich untersagt, sensible persönliche Daten zu verarbeiten, außer in jenen Fällen, in denen das Gesetz die Verarbeitung ausdrücklich gestattet. Als Rechtfertigung für verschiedene Maßnahmen zur Eindämmung des Coronavirus kommen, neben der Einwilligung nach Artikel 9 Absatz 2 lit. a DSGVO, insbesondere auch lit. b, c und g in Betracht. Im Allgemeinen sollten die Ausnahmetatbestände von Artikel 9 Absatz 2 DSGVO aber auch in der gegenwärtigen Situation auf Grund ihres Ausnahmecharakters restriktiv ausgelegt und nicht als Freibrief für weitreichende Eingriffe in die Privatsphäre verstanden werden.
Eine Verarbeitung sensibler Gesundheitsdaten kann beispielsweise im Arbeitsverhältnis erlaubt sein, wenn dies gemäß Artikel 9 Absatz 2 lit. b DSGVO der Ausübung von Rechten und Pflichten aus dem Arbeits- und Sozialrecht dient. Dies dürfte unter anderem auch die arbeitsrechtliche Fürsorgepflicht des Arbeitgebers für den jeweiligen Arbeitnehmer und dessen Kollegen erfassen. So kann es erlaubt sein, Daten zu verarbeiten, um Arbeitnehmer vor Infektionen zu schützen, Krankmeldungen und Entgeltfortzahlungen zu organisieren oder Arbeitnehmer über einen infizierten Kollegen zu informieren.
Den übrigen Ausnahmen von der Einwilligungserfordernis sollte jedoch mit Zurückhaltung begegnet werden. So gestattet Artikel 9 Absatz 2 lit. c DSGVO die Verarbeitung sensibler Daten zum Schutz lebenswichtiger Interessen. Dies gilt allerdings nur, wenn die betroffene Person außerstande ist, ihre Einwilligung zu erteilen, etwa bei einem bereits weit fortgeschrittenen oder schweren Krankheitsverlauf. Anderenfalls muss der Arbeitgeber versuchen, eine Einwilligung einzuholen.
Eine Verarbeitung sensibler personenbezogener Daten kann zudem nicht pauschal auf ein erhebliches öffentliches Interesse gemäß Artikel 9 Absatz 2 lit. g DSGVO gestützt werden. Zwar hatte der europäische Gesetzgeber bei der Verordnung durchaus im Blick, dass eine Pandemie auftreten könnte. Erwägungsgrund 46 legt beispielsweise nahe, dass sensible Daten durchaus verarbeitet werden dürfen, um eine Pandemie zu überwachen. Allerdings muss der nationale Gesetzgeber hierzu Bestimmungen erlassen, die die Zulässigkeit entsprechender Datenverarbeitungen konkretisieren. Der deutsche Gesetzgeber hat hiervon aber keinen eindeutigen Gebrauch gemacht, sodass bisher keine entsprechende Rechtsgrundlage vorliegt.
Coronavirus - was sagen die Datenschutzbehörden?
Die deutschen Datenschutzbehörden haben aufgrund der unklaren und komplizierten Rechtslage einen ersten Leitfaden für die Verarbeitung sensibler Daten von Unternehmen veröffentlicht. In einer Stellungnahme vom 13. März 2020 hat sich die Datenschutzkonferenz erstmalig dazu geäußert, wie mit dem Coronavirus und dazugehörigen Datenverarbeitungen umzugehen ist. Zudem haben weitere deutsche und europäische Aufsichtsbehörden Leitfäden, Handlungsempfehlungen und Anleitungen für den datenschutzrechtlichen Umgang mit dem Coronavirus zur Verfügung gestellt:
Neben konkreten arbeitsrechtlichen Fragestellungen könnten sich Unternehmen mit völlig neuen datenschutzrechtlichen Szenarien konfrontiert sehen. So sorgte die Meldung für Aufsehen, dass die Telekom anonymisierte Handydaten ihrer Kunden an das Robert-Koch-Institut weitergegeben habe. Diese Daten erlaubten es allerdings nur, grobe Bewegungsmuster nachzuverfolgen und nicht einzelne Personen zu tracken. Der gezielten Analyse von Standortdaten infizierter Personen wie in China oder Südkorea hatte der Bundesdatenschutzbeauftrage bereits im Vorhinein eine Absage erteilt. Dies könne nur in besonderen Ausnahmefällen nach umfassender Aufklärung und mit Einwilligung des Betroffenen erfolgen.
Derzeit finden sich auch in Spezialgesetzen wie beispielsweise dem Infektionsschutzgesetz keine Rechtsgrundlagen, die eine "digitale Fußfessel" für infizierte Personen rechtfertigen könnten. Dennoch wird weiter darüber diskutiert, Handydaten zu nutzen, um Coronavirus einzudämmen.
Was ist die Corona-App?
Neben den datenschutzrechtlichen Bedenken beim Tracken der Bürger gibt es auch technische Hürden, denn Ortungsdaten sind nicht gleich Ortungsdaten. Sogenannte Funkzellendaten geben Auskunft über die ungefähre Distanz eines Mobiltelefons zum nächsten Funkmast. In Großstädten ermöglichen Funkzellendaten im besten Fall eine Ortung auf höchstens 50 Meter genau, in ländlichen Gebieten ist das Ergebnis noch deutlich ungenauer. Um Kontaktpersonen zu identifizieren, sind Funkzellendaten daher völlig ungeeignet. Die Satellitenortung hingegen erlaubt eine Standortbestimmung bis auf wenige Meter genau. Allerdings müssen Nutzer den Betriebssystemen Android und iOS ausdrücklich erlauben, auf den GPS-Chip zuzugreifen.
Als datenschutzfreundlichere Alternative wurde heute eine Corona-Warn-App nach dem Vorbild Singapurs veröffentlicht, die Handynutzer freiwillig auf ihren Mobiltelefonen installieren sollen. Dabei wird sich die geringe Reichweite der Bluetooth-Technologie zu nutze gemacht, um Informationen darüber zu erhalten, welche Personen sich in unmittelbarer Nähe zueinander aufgehalten haben. Die App generiert dazu in regelmäßigen Abständen eine temporäre ID, die anonymisiert und verschlüsselt auf dem jeweiligen Endgerät gespeichert wird. Wird bei einer Person das Coronavirus festgestellt, kann diese die gespeicherten Daten an eine zentrale Stelle senden, die wiederrum sämtliche Handys, die sich im relevanten Zeitraum in unmittelbare Nähe befunden haben, per Pushnachricht informiert und die Kontaktpersonen auffordert sich in Quarantäne zu begeben. Während des kompletten Vorgangs soll die Identität der Personen unbekannt bleiben. Da die Bürger die App freiwillig installieren müssen, steht und fällt ihr Erfolg mit der Akzeptanz durch die Bevölkerung.
Nachverfolgung 2.0 - Luca-App und Sormas
Bis Mitte November 2020 nutzten rund ein Viertel der Bevölkerung die Corona-Warn-App und sechs von zehn Infizierten leiteten die teilbaren Testergebnisse weiter. Die Bund-Länder-Konferenz diskutiert aktuell die verpflichtende Dokumentation zur Kontaktnachverfolgung auch in elektronischer Form. Die relevanten Informationen sollen danach direkt an die Behörden-Software "Sormas" weitergeleitet werden.
Sormas, das Surveillance, Outbreak Response Management and Analysis System, ist eine 2014 entwickelte App zum Ziel der Ebola-Bekämpfung. Sie umfasst ein System, das Krankheitskontrolle und Ausbruchsmanagement in Verbindung zueinander setzt und Stellen von der lokal, regionalen Ebene bis hin zur nationalen Ebene einbezieht und mit Echtzeitdaten beliefert. Mit Sormas soll eine bundeseinheitliche Lösung verwirklicht werden, für die nun ein System für die Digitalisierung der Kontaktnachverfolgung gemeinsam ausgewählt und vergeben werden soll.
Neben anderen privaten Apps bietet die Luca-App eine passende Umsetzung der angestrebten Lösung. Ihr prominenter Fürsprecher und Mitinitiator Rapper Smudo bezeichnet sie als einzigartig in Europa. Die Nutzer geben ihre Daten in die App ein, worauf sie einen Freischaltcode per SMS erhalten. Nach Freischaltung erstellt die App einen QR-Code, der im Schnitt alle zehn Sekunden wechselt. Das Betreten einer Veranstaltung wird über den Scan des QR-Codes festgestellt. Beim Verlassen der Veranstaltung ist kein erneuter Scan erforderlich, er wird automatisch mittels Geofencing festgestellt. Dafür reicht es aus, dass ein zuvor vordefinierter Raum verlassen wird. Die dabei generierten Daten werden dezentral verschlüsselt, aufgeteilt auf drei Stellen: Gesundheitsamt, Nutzer und Veranstalter.
Nur im Fall einer Infektion werden die Daten zusammengesetzt, um alle zur relevanten Zeit anwesenden Besucher zu kontaktieren. Zugleich erhalten die Gesundheitsämter erst dann automatischen Datenzugriff auf die Daten der jeweiligen anwesenden Personen.
Einem flächendeckenden Einsatz der Luca-App stehen ähnliche datenschutzrechtliche Bedenken gegenüber wie vormals der Corona-Warn-App. Anders als bei der amtlichen Corona-Warn-App lässt sich den datenschutzrechtlichen Bedenken nicht die Anonymisierung der Daten entgegenhalten, da die Nutzerdaten aufgenommen werden. Es bleibt der Verweis, dass auch ohne Luca-App eine Datenerfassung zumindest per Papier auf Veranstaltungen erfolgt und die anonymisierte Nachverfolgung zumindest nicht vollends erfolgreich gewesen ist. Eine abschließende Entwicklung ist noch nicht abzusehen. Derzeit stehen einem Testlauf für Luca die fortdauernden Schließungen von Gastronomie sowie Einzelhandel entgegen. Auch arbeiten die regionalen Gesundheitsämter häufig noch nicht mit Luca. Als erstes Bundesland hat Mecklenburg-Vorpommern eine Lizenz für die Verwendung von Luca erworben. Da die Bürger eine App freiwillig installieren müssen, steht und fällt ihr Erfolg erneut mit der Akzeptanz durch die Bevölkerung.
Können Arbeitgeber ihre Arbeitnehmer zur Nutzung der App verpflichten?
Für Arbeitgeber stellt sich ob der grundsätzlichen Freiwilligkeit der App-Nutzung insbesondere die Frage, ob Arbeitnehmer angewiesen werden können, die Tracing-App auf ihren Privat- und/oder Diensthandys zu installieren/zu nutzen. Hinsichtlich privater Handys ist die Antwort eindeutig: Eine entsprechende Anweisung muss vom Arbeitnehmer nicht beachtet werden. Das private Handy steht ausschließlich im Eigentum des Arbeitnehmers, einen so umfassenden Eingriff in seine Eigentums- und Persönlichkeitsrechte muss er nicht dulden. Zudem haben Arbeitnehmer in der Regel keine Pflicht gegenüber dem Arbeitgeber, ihre eigene Gesundheit und damit Arbeitskraft - z. B. durch die Nutzung der App - zu schützen.
Eine Anweisung der Installation/Nutzung auf dem Diensthandy hingegen ist nicht grundsätzlich ausgeschlossen. Denn hier spielt insbesondere auch der Gesundheitsschutz der Kollegen eine Rolle, der sowohl durch den Arbeitgeber als auch den Arbeitnehmer beachtet werden muss. Dennoch dürfte auch in diesen Fällen eine Weisung oft problematisch sein. In der Praxis nutzen viele Arbeitnehmer das Diensthandy auch privat oder führen es zumindest (zeitweise) privat mit sich, sodass sich hier erneut erhebliche Eingriffe in das Persönlichkeitsrecht ergeben können, die der Arbeitnehmer nicht hinnehmen muss.
Dies gilt insbesondere vor dem Hintergrund, dass oftmals gleich effektive, aber mildere Mittel zum Gesundheitsschutz zur Verfügung stehen, wie zum Beispiel Möglichkeiten zur Abstandswahrung (z. B. in Einzelbüros), Home-Office, Tragen von Schutzkleidung oder Ähnlichem. Lassen sich diese Maßnahmen nicht oder nur schwerlich effektiv umsetzen, kann in einzelnen Ausnahmefällen, zum Beispiel im Gesundheits- und Pflegebereich, eine Weisungsmöglichkeit des Arbeitgebers bestehen. Diese beschränkt sich dann jedoch grundsätzlichauf die Arbeitszeit bzw. Arbeitstätigkeit. Eine weitergehende Anweisung und Kontrolle hinsichtlich der Nutzung in der Freizeit eines Arbeitnehmers ist nicht möglich.
Lesetipp: Arbeitsrecht unterwegs und zu Hause - Das Homeoffice ist kein rechtsfreier Raum
In den meisten Fällen verbleibt daher nur der Appell an die Arbeitnehmer, die App freiwillig zu nutzen. Entscheidet sich der Arbeitgeber doch zur Anweisung, sollte diese stets genau geprüft und die Entscheidungsfindung entsprechend dokumentiert werden. Dabei müssen auch weitere arbeitsrechtliche Fragestellungen beachtet werden, z. B. ob ein vorhandener Betriebsrat einzubindenist.
Nicht zuletzt können sich weitere Probleme ergeben, wenn sich der Arbeitnehmer aufgrund einer Meldung seiner App in Selbst-Quarantäne begibt und dem Arbeitsplatz fernbleibt. Arbeitgeber sollten sich in diesen Fällen Gedanken über mögliche tatsächliche und arbeitsrechtliche Konsequenzen machen. So ist zum Beispiel noch unklar, ob der Arbeitnehmer überhaupt berechtigt ist, selbstständig über ein solches Fernbleiben zu entscheiden oder ob es erst einer Anordnung des Gesundheitsamtes bedarf. Ebenfalls offen ist, wie dann z. B. mit Lohn- und Entgeltfortzahlungen umgegangen werden muss.
Datenschutz trifft COVID-19 - FAQ
In Sachen Datenschutz ergeben sich angesichts der Coronavirus-Pandemie zahlreiche weitere arbeitsrechtliche Fragestellungen. Wir haben die wichtigsten für Sie zusammengefasst und geben Antworten. Wir empfehlen in Deutschland tätigen Unternehmen außerdem, sich an den Äußerungen der deutschen Aufsichtsbehörden zu orientieren.
Auch wenn andere europäische Datenschutzaufsichten womöglich pragmatischere und weniger strenge Ansichten vertreten, sind zunächst die Einschätzungen der nationalen Behörden maßgeblich. Dementsprechend basieren die nachfolgenden Fragen und Antworten überwiegend auf den Äußerungen deutscher Datenschutzbehörden.
Darf der Arbeitgeber Informationen darüber anfordern, ob Mitarbeiter ein Risikogebiet aufgesucht haben?
Ja. Die Fürsorgepflicht des Arbeitgebers gegenüber seinen Mitarbeitern verpflichtet den Arbeitgeber, notwendige Maßnahmen zur Sicherstellung der Sicherheit und Gesundheit aller Mitarbeiter am Arbeitsplatz zu gewährleisten. Dazu gehört auch die Pflicht, eine Ansteckung zu vermeiden. Zu diesem Zweck ist es dem Arbeitgeber gestattet, Urlaubsrückkehrer zu fragen, ob sie sich in einem vom Robert-Koch-Institut als Hochrisikogebiet eingestuftem Land aufgehalten haben. Dabei genügt eine negative Information seitens des Mitarbeiters als Antwort. Soweit dies erforderlich ist, kann der Arbeitgeber weitere Fragen stellen.
Darf der Arbeitgeber Gesundheitsdaten des Arbeitnehmers erheben, zum Beispiel durch Erfassen der Körpertemperatur?
Nein. Eine solche Maßnahme könnte einzig auf § 26 Absatz 3 Satz 1 Bundesdatenschutzgesetz (BDSG) gestützt werden. Demnach dürfen besondere personenbezogene Daten nur für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und schutzwürdige Interessen der betroffenen Person nicht überwiegen. Dies wird jedoch uneinheitlich ausgelegt. Teilweise wird vertreten, dass der Arbeitgeber in engen Grenzen dem Arbeitnehmer medizinische Untersuchungen auferlegen kann. Zulässig sollen minimal-invasive Maßnahmen sein, wie beispielsweise Temperaturmessungen, soweit diese zum Schutz anderer Mitarbeiter vor Infektionen durch eine potentiell infizierte Person dient, die sich vor kurzer Zeit in einem Risikogebiet aufgehalten hat.
Der Landesdatenschutzbeauftragte des Landes Rheinland-Pfalz erachtet Temperaturmessungen am Eingang zum Betriebsgelände indes für unzulässig, da dies angesichts alternativer Maßnahmen wie der Arbeit aus dem Homeoffice nicht erforderlich sei. Viele Arbeitnehmer haben jedoch nicht die Möglichkeit, von zu Hause zu arbeiten. Gewichtiger erscheint in diesem Kontext das Argument, dass eine erhöhte Körpertemperatur kein zuverlässiger Indikator für eine Coronavirus-Infektion darstellt. Schließlich weisen viele der Erkrankten lediglich milde oder gar keine Symptome auf. Auch die WHO empfiehlt ein flächendeckendes Fiebermessen durch die Arbeitgeber nicht. Zusammenfassend ist von derartigen "Zwangsuntersuchungen" durch den Arbeitgeber aus datenschutzrechtlicher Sicht eher abzuraten.
Darf der Arbeitgeber seine Mitarbeiter dazu verpflichten, eine COVID-19-Infektion zu bestätigen?
Ja. Eine Pflicht zur Bestätigung einer Erkrankung durch den Arbeitnehmer gegenüber dem Arbeitgeber dürfte sich aus den arbeitsvertraglichen Nebenpflichten ergeben. Nur so ist der Arbeitgeber in der Lage, seiner Fürsorgepflicht gegenüber dem erkrankten Arbeitnehmer und den Kollegen nachzukommen. Auch der Bundesdatenschutzbeauftragte gab in seiner jüngsten Stellungnahme bekannt, dass es zulässig sei, Gesundheitsdaten von Arbeitnehmern zu erheben und zu verarbeiten, wenn dies der bestmöglichsten Verhinderung von Ansteckungen unter den Beschäftigten diene.
Darf der Arbeitgeber Informationen darüber anfordern, ob ein Mitarbeiter Kontakt zu Infizierten hatte?
Ja. Zu dieser Frage haben sich inzwischen sowohl der Bundesdatenschutzbeauftragte als auch der Landesdatenschutzbeauftragte von Baden-Württemberg geäußert. Demnach sei der Arbeitgeber grundsätzlich berechtigt, Informationen darüber anzufordern, ob ein Mitarbeiter Kontakt mit einer infizierten Person hatte, sofern die Nachfrage dem Zweck der Gesundheitsvorsorge am Arbeitsplatz dient.
Ist der Arbeitgeber berechtigt, systematisch nach Vorerkrankungen zu fragen, um potenzielle Risikopatienten zu identifizieren?
Nein. Derartige Befragungen können nicht auf Grundlage des § 26 Absatz 3 Satz 1 BDSG gerechtfertigt werden. Es ist bereits höchst zweifelhaft, ob so ein Vorgehen erforderlich ist, da diese Information nicht unmittelbar mit dem Arbeitsverhältnis im Zusammenhang stehen dürfte. Im konkreten Fall dürfte zudem das Interesse der betroffenen Personen daran, dass ihr Arbeitgeber keine Informationen über weitere bestehende Krankheiten erlangt, überwiegen.
Dürfen Arbeitgeber die Mitarbeiter darüber informieren, dass ein bestimmter Arbeitnehmer am Coronavirus erkrankt ist?
Nein, aber Ausnahmen sind möglich. Personenbezogene Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen offenzulegen, um Kontaktpersonen zu informieren, ist nur in absoluten Ausnahmefällen rechtmäßig. Davon ist auszugehen, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist. Nach Ansicht des baden-württembergischen Landesdatenschutzbeauftragten ist die Weitergabe des Namens eines infizierten Mitarbeiters innerhalb der Belegschaft grundsätzlich zu vermeiden. Dies gilt auch für den Fall, dass der Infizierte mit anderen Mitarbeitern in direktem Kontakt stand und diese deshalb möglicherweise selbst freizustellen sind. Derartige Maßnahmen seien aufgrund der Gefahr einer Stigmatisierung vielmehr abteilungs- oder teambezogen ohne konkrete Namensnennung vorzunehmen.
In Ausnahmefällen seien zunächst das Gesundheitsamt und gegebenenfalls erst in letzter Konsequenz die übrigen Mitarbeiter in Kenntnis zu setzen. Der rheinland-pfälzische Landesdatenschutzbeauftragte empfiehlt, den betroffenen Beschäftigten zu bitten, eine Liste von gefährdeten Kollegen vorzulegen und diese daraufhin gezielt anzusprechen. So kann eine unternehmens- oder behördenweite namentliche Nennung des erkrankten Beschäftigten vermieden werden.
Haben Unternehmen gegenüber den Gesundheitsbehörden eine Meldepflicht?
Nein. Unternehmen unterliegen gegenüber den Gesundheitsbehörden keiner aktiven Meldepflicht. § 8 des Infektionsschutzgesetzes benennt die meldepflichtigen Personen abschließend. Dazu zählen ausschließlich Ärzte und Angehörige anderer Heilberufe. Nach Ansicht des baden-württembergischen Datenschutzbeauftragten ist der Arbeitgeber aber auf Ersuchen der zuständigen Hoheitsträger verpflichtet und befugt, Informationen bezüglich erkrankter Beschäftigter im Betrieb, insbesondere auf der Grundlage des Infektionsschutzgesetzes (IfSG), an die Behörden zu übermitteln. Die Rechtsgrundlage dürfte sich hier jedoch aus dem Ordnungsrecht und der daraus folgenden behördlichen Anordnungsbefugnis ergeben.
Welche Vorbereitungen muss der Arbeitgeber für die Tätigkeit im Homeoffice treffen?
Sofern Homeoffice zugelassen oder angeordnet wird, muss der Arbeitgeber dem Arbeitnehmer die notwendige Ausrüstung zur Verfügung zu stellen, um der Arbeit im Homeoffice nachgehen zu können. Der Arbeitgeber hat zudem angemessene technisch-organisatorische Maßnahmen für den Datenschutz, die Vertraulichkeit (beispielsweise auch von Geschäftsgeheimnissen) sowie die IT-Sicherheit einzurichten. Ein genereller Anspruch auf Homeoffice besteht allerdings ohne explizite Vereinbarung im Arbeitsvertrag grundsätzlich nicht, kann jedoch bei Unzumutbarkeit der körperlichen Anwesenheit am Arbeitsplatz gegeben sein. Dies muss jedoch im Einzelfall entschieden werden.
Lesetipp: Home Office einrichten - Das brauchen Sie für die Heimarbeit
Darf der Arbeitgeber private Telefonnummern von Mitarbeitern aufnehmen, um sie im Notfall erreichen zu können?
Ja. Der Arbeitgeber darf aktuelle private Handynummern von der Belegschaft erheben, um die Beschäftigten im Falle einer Schließung des Betriebs oder in ähnlichen Umständen kurzfristig warnen oder auffordern zu können, zu Hause zu bleiben. Sie dürfen allerdings nur temporär zu bestimmten, legitimen Zwecken und im schriftlichen Einverständnis mit dem informierten Arbeitnehmer gespeichert werden. Zwar wird der Arbeitnehmer dieser Aufforderung aus eigenem Interesse in den meisten Fällen zustimmen, eine rechtliche Verpflichtung zur Offenlegung besteht jedoch nicht. Datenschutzrechtlich unzulässig wäre es, die privaten Daten zu einem späteren Zeitpunkt (weiter) zu verwenden, da die Datenverarbeitung gemäß Artikel 5 Absatz 1 lit. b DSGVO stets zweckgebunden erfolgen muss. Besteht der konkrete Zweck nicht mehr, sind die Daten zu löschen.
Dürfen Unternehmen personenbezogene Daten von Kunden oder Event-Besuchern sammeln, speichern oder übertragen, für den Fall dass später festgestellt wird, dass eine infizierte Person auf der Veranstaltung war?
Ja. Ein typischer Anwendungsfall für diese Frage wäre beispielsweise, ob ein Messeveranstalter Informationen über Messebesucher an die Gesundheitsbehörden weitergeben darf. Wenn die zuständige Behörde eine Anordnung zur Speicherung von Besucherdaten erteilt hat, können die Organisatoren entsprechende Daten erheben und speichern. Welche Behörde im Einzelfall zuständig ist, richtet sich nach Landesrecht. Eine solche Anordnung, Besucherdaten zu speichern, korrespondiert regelmäßig mit einer Verpflichtung, die Daten an die zuständige Behörde zu übermitteln. Solange es keine behördliche Anordnung gibt, dürfen Veranstalter solche Daten grundsätzlich nur auf der Grundlage einer freiwilligen Einwilligung der betroffenen Person erheben und speichern.
Ferner sollten die Daten im Hinblick auf das Gebot der Zweckbindung der Datenverarbeitung auch nur für die Dauer der mutmaßlichen Inkubationszeit gespeichert werden. Zusätzlich sind die in Artikel 13 und 14 DSGVO festgesetzten Informationspflichten zu berücksichtigen. Ohne eine behördliche Anordnung dürfen Unternehmen solche Daten nur in Ausnahmefällen verarbeiten. Die Identität einer infizierten Person darf gegenüber einer Kontaktperson nur offengelegt werden, wenn dies für eine Maßnahme zur Eindämmung von COVID-19 unerlässlich ist.
Welche Risiken drohen, wenn die Datenschutzvorschriften missachtet werden?
Datenschutzvorschriften zu missachten kann neben hohen Bußgeldern auch Angriffsmöglichkeiten für Cyberkriminelle bieten, die die aktuelle Situation ausnutzen, um Unternehmenssysteme zu infiltrieren. Sicherlich unterstützen Maßnahmen wie Homeoffice, das Coronavirus einzudämmen. Dennoch müssen sich die Unternehmen auch der Schwachstellen bewusst sein, die sich aus der Arbeit im Homeoffice ergeben. Aus diesem Grund sollten Unternehmen IT-Sicherheitsteams vor Ort einrichten, um eventuellen Hackerangriffen schnell und effektiv entgegenzuwirken.
Auch im Interesse eines effektiven Schutzes von Geschäftsgeheimnissen ist hier zu besonderer Vorsicht zu raten. Cyberkriminelle machen sich die Angst vor dem Coronavirus und seinen Auswirkungen bereits zu Nutze. Anders als die britische Aufsichtsbehörde ICO haben die deutschen Behörden bisher nicht angekündigt, bei der Ahndung von Datenschutzverstößen unter den aktuellen Umständen weniger strikt vorgehen zu wollen. Bis hier Klarheit geschaffen wird, sollte daher der Datenschutz auch in Krisenzeiten beachtet werden.
Datenschutz-Grundsätze beachten - trotz Krise!
Die Stellungnahmen der Aufsichtsbehörden bieten hilfreiche und praxisnahe Hinweise für ein datenschutzkonformes Krisenmanagement, um die Coronavirus-Epidemie einzudämmen. Unternehmen müssen sich dabei aber stets bewusst machen, dass die Privatsphäre des Einzelnen ein Grundrecht ist, das auch in Krisenzeiten seinen Stellenwert nicht verliert. Datenschutzrechtliche Grundsätze wie Datenminimierung und Zweckbindung sind trotz Krise weiterhin zu beachten, sodass unbegrenztes und anlassloses Datensammeln weiterhin unzulässig ist.
Unternehmen sollten daher ihre Mitarbeiter, Kunden und Besucher transparent und ausführlich über jegliche Datenverarbeitung im Zusammenhang mit COVID-19 informieren. Zudem sollten die ergriffenen Maßnahmen und die entsprechende datenschutzrechtliche Bewertung dokumentiert werden. Sobald der Verarbeitungszweck wegfällt, weil etwa der Arbeitnehmer genest oder die Epidemie vorbei ist, müssen Datenverarbeitungen umgehend eingeschränkt und gespeicherte Daten innerhalb bestimmter Fristen (z. B. nach Verjährung von möglichen Ansprüchen) gelöscht werden.
Angesichts der weiter steigenden Zahl der Erkrankten dürften die erörterten Probleme die Unternehmen noch einige Zeit beschäftigen. Weitere Äußerungen und Stellungnahmen der Aufsichtsbehörden sollten daher genauestens beobachtet werden, um die eigenen Datenverarbeitungsprozesse gegebenenfalls entsprechend anzupassen. Es wäre zudem wünschenswert, wenn die Aufsichtsbehörden mit Rücksicht auf die Ausnahmesituation, die unklare und komplizierte Rechtslage sowie die begrenzten Ressourcen von Unternehmen von einer allzu strengen Ahndung etwaiger Datenschutzverstöße absehen. (jd/fm)