Ob Sie lieber eine E-Mail senden, zum Telefon greifen oder das gute alte Fax nutzen. Wir freuen uns, von Ihnen zu hören.
Corona und Datenschutz – Datenverarbeitung im Rahmen von Präventionsmaßnahmen und Arbeit im Home-Office
Die zunehmende Verbreitung von „SARS-CoV-2“, der umgangssprachlich als Corona-Virus bezeichnet wird, sorgt neben den staatlichen Anordnungen dafür, dass auch zahlreiche Unternehmen Maßnahmen treffen, um die Gesundheit der eigenen Mitarbeiter und Dritten zu schützen.
Bei entsprechenden Präventionsmaßnahmen werden regelmäßig auch Gesundheitsdaten verarbeitet. Solche Daten unterliegen gemäß Art. 9 der Datenschutzgrundverordnung (DSGVO) als „besondere Kategorien personenbezogener Daten“ hohen Datenschutzstandards.
Aufgrund dieser besonders hohen Datenschutzvorgaben sollten die datenschutzrechtlichen Grundlagen, die bei der Verarbeitung solcher Gesundheitsdaten erforderlich sind, auch in den aktuellen Krisenzeiten beachtet werden.
Aus diesem Grund haben wir die dringendsten Aspekte zu der Frage des Umgangs mit dem Datenschutz im Zusammenhang mit der Ausbreitung des Corona-Virus auf Grundlage erster Stellungnahmen der Datenschutzbehörden im Folgenden für Sie zusammengefasst.
A. Maßnahmen des Arbeitgebers gegenüber Mitarbeitern
Unternehmen sollten sich bei betrieblichen Maßnahmen im Rahmen der Corona-Pandemie die Frage stellen, ob bzw. unter welchen Voraussetzungen personenbezogene Daten der Mitarbeiter erhoben und verarbeitet werden dürfen.
Gesundheitsdaten (wie z.B. eine Infektion eines Mitarbeiters mit dem Corona-Virus) dürfen von dem Unternehmen verarbeitet werden, wenn dies zum Zweck der gesundheitlichen Vorsorge erforderlich ist (vgl. Artikel 6 Absatz 1 Buchstabe c DSGVO i.V.m. Artikel 9 Absatz 1, Absatz 4 DSGVO und § 26 Absatz 3 Satz 1, § 22 Absatz 1 Nummer 1 Buchstabe b des Bundesdatenschutzgesetzes (BDSG)).
Arbeitgeber sind insbesondere auf Grund ihrer Fürsorgepflicht und nach dem Arbeitsschutzgesetz (ArbSchG) verpflichtet, die erforderlichen Maßnahmen zu treffen, um die betriebliche Sicherheit und Gesundheit ihrer Mitarbeiter zu gewährleisten. Hierzu zählt nach Ansicht der unabhängigen Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die inzwischen pandemische Verbreitung des Corona-Virus und die hierzu erforderliche Verarbeitung von persönlichen Informationen der Mitarbeiter.
Um gesundheitliche Risiken für das Unternehmen und seine Mitarbeiter zu minimieren, können auf Basis dieser Informationen notwendige Maßnahmen ergriffen werden.
Zum einen kann gegenüber Mitarbeitern, die nach eigener Auskunft Risikofaktoren für eine Erkrankung erfüllen, – soweit arbeitsvertraglich zulässig – Telearbeit bzw. der Abbau von Überstunden und Resturlaub angeordnet oder als ultimo ratio eine bezahlte Freistellung in Erwägung gezogen werden. Dies kann in Form von Einzelweisungen gegenüber Mitarbeitern oder im Rahmen einer zu erlassenden Unternehmensrichtlinie zum Umgang mit dem Corona-Virus erfolgen.
- Welche Informationen dürfen bei Mitarbeitern erfragt werden? Aufgrund der aktuellen gesundheitlichen Gefahren und aus Gründen der Gesundheitsvorsorge ist es insofern zulässig, Informationen bei Mitarbeitern zum Kontakt zu einer infizierten Person oder dem Aufenthalt in einem der festgelegten Risikogebiete einzuholen. Dabei handelt es sich noch nicht um die Feststellung eines gesundheitlichen Zustandes, also nicht um ein Gesundheitsdatum. Konkrete Angaben zu seinem gesundheitlichen Zustand muss der Mitarbeiter allerdings grundsätzlich gegenüber seinem Arbeitgeber nicht machen. Ebenso wenig ist ein privates Unternehmen berechtigt, eine medizinische Untersuchung der Mitarbeiter anzuordnen oder gar selbst durchzuführen. Dieses Recht steht nur den zuständigen Gesundheitsbehörden zu. Die Abfrage von Gesundheitsdaten z.B. mittels Fragebögen oder die Durchführung von Fiebertest ist daher nur auf Grundlage einer freiwilligen und ausdrücklichen Einwilligung des Mitarbeiters zulässig. Dabei ist die Einwilligung nur wirksam, wenn der Mitarbeiter gemäß Art. 13 DSGVO umfassend über die Verarbeitung seiner Daten informiert wird.
- Dürfen Informationen zu Infizierten an Dritte weitergegeben werden? Arbeitgeber sollten die anderen Mitarbeiter über Fälle von Corona-Infizierungen informieren und Schutzmaßnahmen ergreifen. Dabei dürfen nur die Informationen weitergegeben werden, die für die jeweilige Schutzmaßnahme erforderlich ist. Ob dabei auch anderen Beschäftigten mitgeteilt werden darf, dass ein bestimmter Mitarbeiter an dem Virus erkrankt ist, muss im Rahmen einer Interessenabwägung abgewogen werden. Da dies die Diskriminierung bzw. Ausgrenzung des betroffenen Mitarbeiters zur Folge haben kann, muss die konkrete namentliche Benennung von Mitarbeitern – soweit möglich – vermieden werden. Etwaige Maßnahmen zur Eindämmung der Ansteckungsgefahr sollten daher grundsätzlich teambezogen und ohne konkrete Namensnennung erfolgen. In Fällen, in denen die Kenntnis der Identität für die konkrete Vorsorgemaßnahmen notwendig ist, z.B. wenn Teammaßnahmen aufgrund der betrieblichen Abläufe nicht erfolgen können, ist der betroffene Mitarbeiter vor Mittteilung im Voraus zu informieren.
- Muss der Mitarbeiter eine private Telefonnummer angeben? Unproblematisch können Telefonnummern von Mobiltelefonen des Unternehmens genutzt werden, die den Mitarbeitern für eine (auch) dienstliche Nutzung zur Verfügung gestellt worden sind. Um die Mitarbeiter kurzfristig bei gesundheitlichen Risiken warnen zu können, darf hierfür auch nach den privaten Telefonnummern gefragt bzw. diese mit Einverständnis des Mitarbeiters temporär gespeichert und hierfür genutzt werden. Eine Verpflichtung des Mitarbeiters zur Preisgabe privater Kontaktdaten ist nach Auffassung der Datenschutzbehörden jedoch unzulässig.
B. Datenschutz im Home-Office
Zur Eindämmung der Weiterverbreitung des Corona-Virus haben viele Unternehmen angeordnet, die Arbeitsleistungen bis auf weiteres im Home-Office zu erbringen. Bei der Umsetzung der Arbeit im Home-Office spielt die Einhaltung des Datenschutzes und der IT-Sicherheit eine erhebliche Rolle.
Die Arbeit von zu Hause birgt nämlich auch in Krisenzeiten zusätzliche Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit der Unternehmensdaten. Soweit im Home-Office auch personenbezogene Daten (z.B. Kundendaten) verarbeitet werden, ist die Festlegung angemessener technischen und organisatorischen Maßnahmen sogar gesetzlich vorgeschrieben (vgl. Art. 32, 24 Abs. 1 und 5 Abs. 1 lit. f DSGVO).
Unternehmen sollten im Interesse des Datenschutzes und zum Schutz der eigenen Unternehmensinformationen deshalb angemessene technische und organisatorische Maßnahmen für die Arbeit im Home-Office etablieren, wie etwa
- Nutzung von vom Unternehmen bereitgestellte Hard- und Software
- Speicherung von personenbezogenen Daten auf dem zentralen IT-System des Unternehmens
- Zugriff auf die unternehmensinterne Infrastruktur über ein sogenanntes Virtual Private Network (VPN)
- Verwendung verschlüsselter elektronischer Kommunikationswege
- Schutz mobiler Geräte sowie Accounts durch PIN oder Passwort
- Verwendung von Sichtschutz und der Bildschirmsperre durch den Mitarbeiter, um unbefugten Zugang Daten zu verhindern
- Grundsätzlich kein Ausdruck von Dokumenten bzw. soweit ausnahmsweise notwendig Regelung zum Verschluss bzw. der Vernichtung der Dokumente
Die Einhaltung essentieller Maßnahmen sollte für Mitarbeiter, die im Home-Office arbeiten, durch eine Unternehmensrichtlinie oder über klare Vorgaben verbindlich geregelt werden.
C. Maßnahmen gegenüber Kunden und Geschäftspartnern
Zum Schutz des eigenen Unternehmens kann es auch erforderlich werden, infektionsrelevante Informationen von Dritten (z.B. Geschäftspartnern, Kunden, Lieferanten oder anderen Externen) abzufragen. In aktuellen Beratungsprojekten haben wir zum Beispiel bereits datenschutzkonforme Abfragen von Lkw-Fahren bzw. Reinigungspersonal gestaltet, die das Unternehmensgelände betreten. Die Abfrage kann über einen entsprechenden Fragebogen vor Zutritt auf das Unternehmensgelände erfolgen.
So lässt sich etwa eine Abfrage hinsichtlich Risikokriterien im Rahmen einer Auskunft, insbesondere ob die befragte Personen in den letzten 14 Tage (also der maximalen Inkubationszeit) in einem Risikogebiet war oder Kontakt mit einem Infizierten hatte, unter Angabe des Namen auf Grundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO legitimieren. Diese Angaben sind nämlich noch nicht als Gesundheitsdatum zu qualifizieren, welches dann auch nur unter besonderen gesetzlichen Voraussetzungen verarbeitet werden dürften.
Sinnvoll und zulässig wäre es auch, den Auskunftsverpflichteten zu einem Statusbericht zu verpflichten. Damit wird dieser bei nachträglicher Kenntniserlangung von Kontakt zu einer infizierten Person angehalten, das Unternehmen zu informieren. So können dann gegebenenfalls auch die notwendigen Vorsorgemaßnahmen zum Schutz der eigenen Mitarbeiter getroffen werden.
Die Auskunft hinsichtlich des Vorliegens konkreter Krankheitssymptome (z.B. Husten oder Fieber) kann allerdings nur auf Basis der freiwilligen und ausdrücklichen Einwilligung eingeholt werden.
Sollte die Auskunft nicht erteilt werden oder ein Risikofaktor vorliegen, kann im Rahmen der Wahrnehmung des Hausrechts der Zutritt zu Unternehmensgebäuden verwehrt werden.
Wann immer Daten (wie z.B. Risikofaktoren oder Krankheitssymptome) abgefragt werden, sind die nach Art. 13 DSGVO erforderlichen Informationen in klarer und verständlicher Form in einem Datenschutzhinweis bereitzustellen. Hierüber ist der Betroffene – unabhängig von der Legitimationsgrundlage – etwa über die verantwortliche Stelle, Umfang und Zweck der Datenverarbeitung, die Speicherdauer bzw. über die Betroffenenrechte zu informieren.
D. Einhaltung der Grundprinzipen der DSGVO
Bei der Verarbeitung personenbezogener Daten im Zusammenhang mit Maßnahmen zum Schutz vor der Verbreitung des Corona-Virus müssen selbstverständlich auch die allgemeinen Grundsätze des Datenschutzes berücksichtigt werden.
Die Maßnahmen und die damit einhergehende Datenverarbeitung müssen stets verhältnismäßig sein und die Daten dürfen ausschließlich zweckgebunden verwendet werden. Ein besonderes Augenmerk ist zudem auf die Vertraulichkeit und Sicherheit der Verarbeitung zu legen. Eine Weitergabe an Dritte darf nur erfolgen, wenn hierzu eine rechtliche Verpflichtung besteht.
Die Maßnahmen, die zur Bewältigung des aktuellen Notfalls und des zugrunde liegenden Entscheidungsprozesses durchgeführt werden, sollten zur Einhaltung der Transparenz- und Nachweispflichten nach Art. 5 DSGVO angemessen dokumentiert werden.
Die erhobenen Daten sind unverzüglich zu löschen, sobald der Zweck Ihrer Verarbeitung – also spätestens nach Ende der Pandemie oder ggf. nach der Inkubationszeit von 14 Tagen – erreicht ist oder wegfällt.
E. Zusammenfassung
Auch wenn Unternehmen in der aktuellen Krise nachvollziehbarerweise zunächst einmal die wirtschaftlichen Grundlagen sichern und versuchen, den Betrieb und die Kommunikation im Rahmen der Arbeit im Home-Office bestmöglich aufrecht zu erhalten, sollten Datenschutz und die Sicherheit der Unternehmensinformationen nicht vollständig vergessen werden.
Nach aktuellen Feststellungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) mehren sich nämlich aktuell bereits die Versuche von Hackern, die IT-Sicherheit zu kompromittieren bzw. auf Daten zuzugreifen. Da im Home-Office typischerweise nicht dieselben Sicherheitsmaßnahmen bestehen, wie im Unternehmen, eröffnet die aktuelle Situation besondere Risiken. Natürlich dürfen die Anforderungen an die Umsetzung nicht so hoch angesetzt werden, dass die Arbeit von zuhause nicht auch kurzfristig umgesetzt werden kann. Es muss also mit Augenmaß agiert werden. Dennoch ist auch in solch einer schweren Zeit zu empfehlen, zumindest die wichtigsten datenschutzrechtlichen Vorgaben umzusetzen und die IT- und Datensicherheit mit elementaren technischen und organisatorischen Maßnahmen abzusichern.
Über die zentrale E-Mail-Adresse taskforce@menoldbezler.de erhalten Sie kurzfristig Antworten zu weitergehenden Fragen rund um das Thema Corona-Virus und Datenschutz.