Das Corona-Virus stellt alle Unternehmen auf eine harte Probe. Arbeitgeber müssen in einer schwierigen Zeit den Betriebsablauf aufrechterhalten und zugleich ihre Mitarbeiter schützen, ohne die Regeln des Datenschutzes aufzugeben.
Die DSGVO ist durch die Pandemie nicht aufgehoben. Nach wie vor gilt der Grundsatz, dass der Einzelne Herr seiner Daten ist, insbesondere auch der sensiblen Gesundheitsdaten. Allerdings erfordert es die Fürsorgepflicht des Arbeitgebers, die Gesundheit der Mitarbeiter zu schützen. Im Rahmen von Maßnahmen, die die Ausbreitung des Virus verhindern sollen, kann es geboten sein, zusätzliche personenbezogene Daten zu erfassen und zu verarbeiten. Die Frage, was dabei unter welchen Umständen zulässig ist, schafft zunächst einmal Verunsicherung – Unternehmen und Mitarbeiter stehen schließlich zum ersten Mal vor dieser Herausforderung.
Hilfestellung durch Datenschutzbehörden
Die Datenschutzbehörden haben reagiert: In der Pressemitteilung „Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie“ steckt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) den Rahmen für den Umgang mit Daten ab; der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) stellt Antworten auf FAQs zum Austausch von Gesundheitsdaten zur Verfügung.
Als „datenschutzrechtlich legitimiert“ sieht der BfDI folgende Maßnahmen, immer unter Beachtung der Verhältnismäßigkeit und der gesetzlichen Grundlage, zu der neben der DSGVO auch arbeitsrechtliche Regelungen gehören können:
- die Erhebung von personenbezogenen Daten einschließlich Gesundheitsdaten von Mitarbeitern beispielsweise bei festgestellter Infektion oder nachweislichem Kontakt mit Infizierten,
- die Erhebung von personenbezogenen Daten einschließlich Gesundheitsdaten von Besuchern, beispielsweise um festzustellen, ob sie in Kontakt mit Infizierten standen.
- Die Offenlegung von personenbezogenen Daten von Infizierten oder unter Infektionsverdacht Stehenden ist nur dann rechtmäßig, wenn Vorsorgemaßnahmen die Kenntnis der Identität „ausnahmsweise“ erforderlich machen.
Der LfDI geht auf ganz konkrete Fragestellungen ein, die den vom BfDI skizzierten Rahmen ausleuchten und den Unternehmen eine schnelle Entscheidung ermöglichen. Zur Sprache kommt beispielsweise, ob und unter welchen Voraussetzungen Arbeitgeber private Telefonnummern von Beschäftigen erheben, nach dem Aufenthalt in Risikogebieten oder einem Kontakt mit Infizierten fragen, die Identität von kranken oder möglicherweise infizierten Mitarbeitern gegenüber anderen Mitarbeitern oder Behörden, sprich Gesundheitsbehörden, offenlegen dürfen.
Grundsätzlich sollten Unternehmen dokumentieren, welche Daten sie zu welchem Zweck im Hinblick auf ihre Fürsorgepflicht erheben, und diese Daten angemessen vor unbefugtem Zugriff schützen. Auch für diese Daten gilt, dass sie gelöscht werden müssen, sobald der Zweck, zu dem sie erhoben wurden, erreicht ist.
Meldepflichten nach Infektionsschutzgesetz
Bekanntermaßen enthält die dem Arbeitgeber vorzulegende Arbeitsunfähigkeitsbescheinigung keine Diagnose, und es besteht für Arbeitnehmer keine Pflicht, dem Arbeitgeber die Diagnose mitzuteilen. Das gilt auch im Fall einer Covid-19-Infektion; es steht betroffenen Arbeitnehmern jedoch frei, den Arbeitgeber zu informieren und dadurch zu warnen. Allerdings kommt bei gefährlichen Infektionen das Infektionsschutzgesetz (IfSG) ins Spiel. Es ersetzt seit 2001 Vorläufer-Vorschriften zu übertragbaren Infektionen und zielt auf Vorbeugung, frühzeitige Erkennung und Verhinderung der Weiterverbreitung dieser Infektionen ab. Für besonders gefährliche Krankheiten und Erreger besteht eine Meldepflicht, und die gilt außer beispielsweise für Masern, Keuchhusten oder Tollwut auch für Covid-19.
Meldepflicht bedeutet dabei, dass Ärzte und Labore den Nachweis von Erregern und Erkrankungen, aber auch Verdachtsfälle und Todesfälle an das zuständige Gesundheitsamt melden müssen. Bei sehr vielen Erkrankungen oder Erregernachweisen, auch bei Covid-19, muss die Meldung namentlich entsprechend § 9 IfSG erfolgen, das heißt mit Namen und Vornamen, Kontaktdaten und Adresse, Mitbewohnern, Arbeitgebern und anderen Daten. Allerdings sind die Ärzte nicht verpflichtet, Informationen, die ihnen nicht vorliegen, zu erheben, und müssen beim Versuch, sie zu erheben, prüfen, ob sie dazu befugt sind. Die Gesundheitsbehörden verfügen über Kompetenzen, die ihnen gestatten, Maßnahmen zur Bekämpfung von Krankheiten wie Covid-19 einzuleiten, auch in Firmen.