Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


14.3.2020

Corona-Pandemie – Verarbeitung der Daten von Beschäftigten und anderen Personen

Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat Hinweise für Arbeitgeber und Dienstherren zum Datenschutz im Zusammenhang mit der Corona-Pandemie veröffentlicht.

Die Kernaussagen der DSK sind:

  • Bei der Verarbeitung personenbezogener Daten im Zusammenhang mit Maßnahmen zur Eindämmung der Corona-Pandemie sowie zum Schutz von Beschäftigten, handelt es sich häufig um Gesundheitsdaten. Bei der Erhebung und weiteren Verarbeitung der Daten werden in den meisten Fällen Bezüge zwischen den betroffenen Personen und deren Gesundheitszustand hergestellt.
  • Eine Verarbeitung von Gesundheitsdaten ist nach Art. 9 Datenschutz-Grundverordnung (DSGVO) in einem nur sehr eng begrenzten Rahmen zulässig.
  • Dennoch können Gesundheitsdaten für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie sowie zum Schutz von Beschäftigten verarbeitet werden. In jedem dieser Fälle muss eine gesetzliche Grundlage vorliegen und der Grundsatz der Verhältnismäßigkeit beachtet werden.
Maßnahmen

Die DSK listet einige Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie auf, die „datenschutzrechtlich legitimiert betrachtet werden können“. Die möglichen Rechtsgrundlagen für diese Maßnahmen werden leider nicht konkret zugeordnet, sondern lediglich im Rahmen einer Hintergrundinformation zusammenfassend dargestellt. Zu den Maßnahmen zählen:

  • Erhebung und weitere Verarbeitung personenbezogener Daten einschließlich Gesundheitsdaten von Beschäftigten durch den Arbeitgeber, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen, insbesondere in Fällen, in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat, und in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
  • Erhebung und Verarbeitung personenbezogener Daten einschließlich Gesundheitsdaten von Gästen und Besuchern eines Unternehmens, insbesondere um festzustellen, ob diese selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen, und sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.
  • Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen, was aber nur dann rechtmäßig ist, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Rechtsgrundlagen

Als Rechtsgrundlagen für die Verarbeitung von Beschäftigtendaten kommen für Arbeitgeber im nicht-öffentlichen Bereich § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) bzw. Art. 6 Abs. 1 Satz 1 lit. f DSGVO jeweils i.V.m. den einschlägigen tarif-, arbeits- und sozialrechtlichen Regelungen in Betracht. Soweit Gesundheitsdaten verarbeitet werden, kommen darüber hinaus § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b DSGVO zum Tragen. Die Fürsorgepflicht der Arbeitgeber verpflichtet diese, den Gesundheitsschutz ihrer Beschäftigten sicherzustellen. Hierzu zählt nach Ansicht der DSK auch die angemessene Reaktion auf die pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und gegebenenfalls der Nachverfolgbarkeit dient.

Für die Verarbeitung personenbezogener Daten anderer Personen als Beschäftigte nicht-öffentlichen Bereich kann Art. 6 Abs. 1 Satz 1 lit. f DSGVO als Rechtsgrundlage herangezogen werden. Soweit Gesundheitsdaten betroffen sind, findet außerdem Art. 9 Abs. 2 lit. i i.V.m. § 22 Abs. 1 Nr. 1 lit. c BDSG Anwendung. Es kann also auf „Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren“ abgestellt werden.

Hinweise für die Praxis

Die Informationen der DSK sind zu begrüßen, da Sie in unsicheren Zeiten zumindest im Bereich des Datenschutzrechts Praktikern eine gewisse Orientierung bieten. Allerdings sollten Sie eine pauschale Anwendung der vorgenannten Rechtsgrundlagen vermeiden und diese im Einzelfall prüfen.

Zudem steht außer Frage, dass sämtliche Maßnahmen verhältnismäßig sein müssen. Das bedeutet insbesondere, dass die Daten vertraulich behandelt und ausschließlich zweckgebunden verwendet werden dürfen. Nach Wegfall des jeweiligen konkreten Verarbeitungszwecks müssen die erhobenen Daten unverzüglich gelöscht werden. Diese Speicherdauer ist zu Beginn der Verarbeitung festzulegen. Hierbei wird man sich regelmäßig am Zeitpunkt des Endes der Pandemie orientieren können.

Sollten Sie Fragen zur Verarbeitung personenbezogener Daten im Zusammenhang mit der Corona-Pandemie oder zu sonstigen datenschutzrechtlichen Themen haben oder dabei Unterstützung benötigen, können Sie mich gerne kontaktieren.

 

Zurück zur Übersicht