Dürfen personenbezogene Daten von Mitarbeitern, Gästen und Besuchern bei im Zusammenhang mit der Corona-Pandemie stehenden Maßnahmen verarbeitet werden?

Gesundheitsdaten sind als sensible Daten besonders geschützt

Informationen von Mitarbeitern über Symptome des Coronavirus sind Gesundheitsdaten. Diese sensiblen Daten dürfen nach Art. 9 Abs. 1 DSGVO grundsätzlich nicht verarbeitet werden.

Ausnahmen sind in Art. 9 Abs. 2 DSGVO vorgesehen. Eine Verarbeitung ist etwa dann zulässig, wenn sie aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich ist. Für Beschäftigungsverhältnisse greift die nationale Sondervorschrift des § 26 Abs. 3 BDSG.

Unter Beachtung des Grundsatzes der Verhältnismäßigkeit und der Voraussetzungen der gesetzlichen Grundlage können demnach Daten rechtmäßig erhoben und verwendet werden und so verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie und zum Schutz der Belegschaft getroffen werden.

Der Arbeitgeber hat im Rahmen seiner Fürsorgepflicht den Gesundheitsschutz der Beschäftigten sicherzustellen. Nach Ansicht der Datenschutzaufsichtsbehörden zählt dazu auch die Vor- und Nachsorge in Bezug auf die Verbreitung des Coronavirus.

Das Fiebermessen von Mitarbeitern oder die Entnahme von Speichelproben ist nur unter bestimmten Voraussetzungen zulässig, so etwa in besonders kritischen Unternehmensbereiche, in denen die Weitergabe einer Infektion mit einem hohen Risiko für andere Menschen oder für die Handlungsfähigkeit des Unternehmens verbunden ist. In diesen oder vergleichbaren Fällen kann es zulässig sein, Testergebnisse für eine Einlasskontrolle zu nutzen. Gleiches gilt, wenn die Maßnahmen rein freiwillig sind. Solche Maßnahmen sollten zuvor mit Ihrem Datenschutzbeauftragten abgestimmt werden und juristisch geprüft werden. Eine weitere Verarbeitung dieser sensiblen Daten ist in der Regel nicht erlaubt. Stets müssen die erhobenen Daten vertraulich behandelt werden und dürfen ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks, spätestens also mit dem Ende der Pandemie, müssen die erhobenen Daten gelöscht werden.

Beschäftigte trifft Meldepflicht

Im Rahmen des Arbeitsverhältnisses haben Beschäftigte verschiedene Nebenpflichten, unter anderem auch Rücksichts-, Verhaltens- und Mitwirkungspflichten gegenüber ihrem Arbeitgeber und Dritten. Nach Auffassung der Datenschutzaufsichtsbehörden müssen Arbeitnehmer ihren Arbeitgeber informieren, sobald sie Kenntnis über das Vorliegen einer Infektion mit dem Corona-Virus haben. Auch Kontaktpersonen aus dem Mitarbeiterkreis oder sonstige mit dem Unternehmen in Kontakt stehende Personen müssen dann bekanntgegeben werden. Denn insofern halten die Aufsichtsbehörden eine Offenlegung für die Ausübung von Vorsorgemaßnehmen für erforderlich.

Datenweitergabe an Behörden in der Regel nicht zulässig

Eine Weitergabe von Daten an Behörden im Zusammenhang mit dem Coronavirus ist in der Regel nur zulässig, wenn eine Meldepflicht besteht.

Gemäß § 6 Infektionsschutzgesetz (IfSG) in Verbindung mit der Coronavirus-Meldepflichtverordnung besteht eine Meldepflicht bei einer Erkrankung oder deren Verdacht und bei Tod in Bezug auf eine Infektion mit dem Coronavirus.

Oft übersehen wird allerdings, dass meldepflichtig nur die in § 8 IfSG genannten Personen sind, also insbesondere Ärzte, Angehörige eines anderen Heil- oder Pflegeberufs und Leiter von Einrichtungen wie z.B. Schulen, Kindergärten, Pflegeeinrichtungen, Altenheimen und sonstigen Massenunterkünften.

Nicht meldepflichtig sind Arbeitgeber anderer Branchen oder Bereiche, weshalb entsprechende Daten in der Regel nicht gemeldet werden dürfen.