Datenschutzbehörden äußern sich zur Datenverarbeitung durch Arbeitgeber im Zusammenhang mit der Corona-Pandemie
Verarbeitung personenbezogener Daten (Gesundheitsdaten)
Bei den verarbeiteten Daten im Zusammenhang mit der Corona-Pandemie handelt es sich in den meisten Fällen um Gesundheitsdaten. Diese sind nach Art. 9 DSGVO besonders geschützt. Daher gilt, dass eine Verarbeitung dieser Daten grundsätzlich nur restriktiv möglich ist. Unter Beachtung des Grundsatzes der Verhältnismäßigkeit und der gesetzlichen Grundlage ist in manchen Fällen eine datenschutzkonforme Verarbeitung möglich, etwa für Maßnahmen zur Eindämmung der Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern.
Mögliche legitimierte Maßnahmen
Folgende Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie könnten unter Umständen auf Grundlage der DSGVO und des BDSG zulässig sein:
1. Der Arbeitgeber erhebt personenbezogene Daten (Gesundheitsdaten) von Angestellten und verarbeitet diese, um eine Ausbreitung des Virus unter den Beschäftigten zu verhindern oder einzudämmen. Die Legitimation gilt insbesondere für Fälle, bei denen eine Infektion oder der Kontakt zu Erkrankten festgestellt wurde oder in denen kürzlich ein Aufenthalt in einem Risikogebiet stattgefunden hat.
2. Personenbezogene Daten von Gästen und Besuchern einer Veranstaltung werden erhoben, um festzustellen ob diese infiziert sind, in Kontakt mit Erkrankten standen oder kürzlich ein Aufenthalt in einem Risikogebiet stattgefunden hat.
3. Personenbezogene Daten von Erkrankten oder unter Infektionsverdacht stehenden Personen werden offengelegt. Diese Verarbeitung dürfe jedoch nur als legitimiert betrachtet werden, wenn für die Vorsorgemaßnahmen die Identität der Personen ausnahmsweise erforderlich ist.
Rechtsgrundlagen für die Verarbeitung
Die einschlägigen gesetzlichen Rechtsgrundlagen für die Verarbeitung variieren, u.a. je nach Maßnahme (z. B.Art. 6 Abs. 1 S. 1 lit. e DSGVO, § 26 Abs. 1 BDSG, § 26 Abs. 3 BDSG, Art. 9 Abs. 2 lit. b DSGVO). Grundsätzlich gilt jedoch, dass den Arbeitgeber eine Fürsorgepflicht trifft. Dazu zähle auch die Sicherstellung des Gesundheitsschutzes der Gesamtheit der Beschäftigten sowie eine angemessene Reaktion auf die Verbreitung einer meldepflichtigen Krankheit. Die ergriffenen Maßnahmen müssten jedoch immer verhältnismäßig sein und eine vertrauliche sowie ausschließlich zweckgebundene Verwendung der Daten gewährleisten. Mit Wegfall des Verarbeitungszwecks seien die erhobenen Daten unverzüglich zu löschen.
Eine Einwilligung kommt ebenfalls in Betracht. Allerdings nur dann, wenn die Betroffenen entsprechend informiert sind und die Einwilligung in die Maßnahmen freiwillig erfolgt.
Sie interessiert das Thema und wünschen nähere Informationen?
Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber