FAQ Corona – der LfDI Baden-Württemberg beantwortet häufige Fragen
Für Arbeitgeber
Für Fälle der Schließung von Unternehmen dürfen Arbeitgeber private Handynummern der Beschäftigten abfragen und temporär speichern, um die Beschäftigten frühzeitig über Betriebsschließungen informieren zu können. Dies kann allerdings nur mit dem Einverständnis der Beschäftigten erfolgen. Entscheidend ist, ob die Erhebung konkrete, legitime Zwecke verfolgt, wie etwa die Infektionsgefahr des Beschäftigten zu verringern. Spätestens mit Ende der Pandemie müssen die erhobenen Daten wieder gelöscht werden.
Weiterhin sind Arbeitgeber befugt, Informationen darüber zu erheben, ob sich ein Beschäftigter kürzlich in einem Krisengebiet befunden hat. Grundlage hierfür bietet die Fürsorgepflicht nach dem Arbeitsschutzgesetz (ArbSchG). Demnach ist der Arbeitgeber verpflichtet, andere Beschäftigte vor einer Infektion durch eine erkrankte Person zu schützen. Solche Verarbeitungen der erhobenen Daten durch den Arbeitgeber sind gem. Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 9 Abs. 1 und 4 DSGVO sowie § 26 Abs. 3 S. 1 und § 22 Abs. 1 Nr. 1 lit. b BDSG legitimiert.
Falls ein Mitarbeiter am Virus erkrankt, sollte der Arbeitgeber die Nennung des Namens des Mitarbeiters grundsätzlich vermeiden. Um den Schutz anderer Mitarbeiter zu gewährleisten, sollte der Arbeitgeber jedoch Maßnahmen zur Eindämmung der Ansteckungsgefahr einleiten und im Zweifel die Gesundheitsbehörden kontaktieren.
Falls die Gesundheitsbehörde auf den Arbeitgeber zukommt, um Daten über Erkrankte, Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten zu ermitteln, ist von einer mit der Übermittlungspflicht korrespondierenden Übermittlungsbefugnis des Arbeitgebers auszugehen.
Für Unternehmen
Unternehmen dürfen im Falle einer behördlichen Anordnung Daten von Kunden oder Besuchern, z.B. auf Veranstaltungen, erheben und speichern. Die Verarbeitung der Daten stützt sich in diesem Fall auf Art. 6 Abs. 1 lit. c sowie Abs. 2 und 3 DSGVO. Mit einer solchen Anordnung geht regelmäßig auch eine Übermittlungspflicht an die zuständige Behörde einher. Unternehmen sollten im Falle einer solchen Datenverarbeitung prüfen, ob diese in den zu erteilenden Informationen nach Art. 13 und Art. 14 DSGVO angeführt werden. Liegt eine behördliche Anordnung nicht vor, ist das Erheben und Speichern von Besucherdaten nur mit deren Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO legitimiert.
(Das gesamte FAQ finden Sie hier)
Sie interessiert das Thema und wünschen nähere Informationen?
Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber