13. März 2020 von Diana Haas
Das aktuell kursierende Coronavirus dominiert weltweit die Schlagzeilen. Der Direktor des Instituts für Virologie an der Charité Berlin schätzt die Situation mittlerweile so ein, dass sich 2/3 der Bevölkerung mit dem Virus (auch als COVID-19 oder SARS-CoV-2 bekannt) anstecken werden.
Für Unternehmen stellt sich deshalb unweigerlich die Frage, wie Sie Ihre Mitarbeiter schützen können, ohne dabei die wirtschaftliche Tätigkeit des Unternehmens zu gefährden. Die folgenden Informationen sollen Ihnen dabei helfen, mit den aktuellen Herausforderungen umzugehen.
Sobald Sie Informationen darüber erheben, ob sich Personen mit dem Coronavirus infiziert haben könnten, verarbeiten Sie möglicherweise bereits personenbezogene Daten, wodurch der Anwendungsbereich der einschlägigen Datenschutzgesetze eröffnet ist. Während es sich bei Abfragen über letzte Aufenthaltsorte noch um „gewöhnliche" personenbezogene Daten nach Art. 4 Nr. 1 DSGVO handelt, betreffen Methoden wie Fiebermessungen oder Fragebögen zu Krankheitssymptomen, bereits Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DSGVO. Diese unterliegen als besonders sensible Daten einem erweiterten Schutz durch das Datenschutzrecht. Die Erhebung und Verwendung sind entsprechend nur unter engen Voraussetzungen erlaubt.
Im Umgang mit Ihren Mitarbeitern lohnt es sich zu diesem Zeitpunkt darüber nachzudenken, ob die Tätigkeit nicht auch in Heimarbeit erledigt werden kann. Immerhin kann die Verbreitung des Virus und die daraus folgende Pandemie so am effizientesten eingedämmt werden. Hierbei sind allerdings diverse Punkte im Bereich des Datenschutzes und der IT-Sicherheit zu beachten, auf die wir in unserem nächsten Artikel eingehen werden.
Im Rahmen von rechtskonform ausgestalteten Fragebögen, können Sie die letzten Aufenthaltsorte (z.B. in Risikogebieten) oder etwaige Kontakte mit Risikogruppen Ihrer Mitarbeiter in Erfahrung bringen. Hierbei handelt es sich regelmäßig nicht um Gesundheitsdaten, sodass die Voraussetzungen für die Datenerhebung weit weniger streng sind. Zwar behandeln manche Behörden, die Information über eine potentielle Infektion der Person auch schon als Gesundheitsdatum – diese Diskussion kann aber dahinstehen, da auch in diesem Fall eine Datenerhebung und Verarbeitung gerechtfertigt sein dürfte.
Sobald Sie als Unternehmen aber eine Abfrage von Krankheitssymptomen (Husten, Fiebertemperatur) planen, handelt es sich zweifelsohne um eine Erhebung von Gesundheitsdaten. Die Verarbeitung dieser Daten kann aber ebenfalls rechtskonform ausgestaltet werden , insbesondere, da Sie als Arbeitnehmer rechtliche Pflichten aus dem Arbeitsrecht treffen, z.B. die Fürsorgepflicht für Ihre Belegschaft. Diese gebietet es Ihnen, die Mitarbeiter vor (Neu-)Infektionen zu schützen. Dem gegenüber steht selbstverständlich das Interesse der Betroffenen, möglichst wenig dieser ausgesprochen privaten Informationen zu teilen. Eine Abwägung dieser Interessen ist im Rahmen der Rechtsgrundlage des Art. 6 Abs. 1 S. 1 lit. c), Art. 9 Abs. 1, Abs. 4 DSGVO, § 26 Abs. 3 S. 1, § 22 Abs. 1 Nr. 1 lit. b) BDSG zu treffen und kann aufgrund der hohen Infektionsgefahr und der großen Zunahme von Krankheitsfällen durchaus zugunsten des Arbeitgebers ausfallen. Demnach könnten Unternehmen anlassbezogene Befragungen zu Symptomen und körperlicher Verfassung durchführen.
Eine konkrete Bewertung im Einzelfall ist aber aufgrund der besonderen Schutzwürdigkeit von Gesundheitsdaten unerlässlich.
Abzuraten ist grundsätzlich von pauschalen Fiebermessungen, da diese schon nicht als geeignetes Mittel zum Nachweis einer Infektion gelten und damit unverhältnismäßig in die Interessen des betroffenen Arbeitnehmers eingreifen. Hier schafft auch eine Einwilligung regelmäßig keine Abhilfe, da die Freiwilligkeit der Einwilligung regelmäßig bezweifelt werden darf, z.B. wenn die Messung Voraussetzung für den Zutritt zur Arbeitsstätte ist und der Arbeitnehmer bei Fernbleiben keinen Lohn erhält. Außerdem sollten Sie es vermeiden, konkrete Namen von Arbeitnehmern mit Verdachtsfällen in Zusammenhang zu bringen und Information über Erkrankte preiszugeben. Hier ist aber dennoch zu beachten, dass Personen, die mit Infizierten im Kontakt standen, gewarnt werden; soweit möglich sollte dies aber ohne Nennung von Namen von statten gehen. Ausnahmen bestätigen aber auch hier die Regel.
Neben den Mitarbeitern müssen sich zahlreiche Unternehmen auch um eine Infektionsgefahr von und durch Besucher fürchten. Soweit Sie Zutrittskontrollen durchführen möchten (z.B. Frage nach Krankheitssymptomen) sollten diese höchstens mündlich und ohne Zuordnungsmöglichkeit stattfinden. Im Verhältnis zum Besucher ist die Berufung auf die oben genannte Rechtsgrundlage nämlich nicht möglich, da Sie gegenüber Besuchern keine arbeitsrechtliche Pflicht trifft. Eine (nicht anonyme) Verarbeitung der Daten wäre hier ebenfalls nur im Rahmen einer Einwilligung der Person nach Art. 9 Abs. 2 lit. a) DSGVO wäre ebenfalls denkbar. Auch hier ist die Frage, ob eine derartige Einwilligung freiwillig sein kann aber zweifelhaft – z.B. wenn der Zugang zum Betriebsgelände nur mit Preisgabe der eigenen Gesundheitsdaten möglich ist. Dies wird wohl regelmäßig zu verneinen sein.
Im Umgang mit Besuchern sollten Sie sich deshalb auf datenschutzrechtlich unbedenkliche Maßnahmen beschränken: Aufstellen von Desinfektionsmitteln, Hinweisschilder zur Infektionsgefahr bei hohem Menschenaufkommen oder Einschränkungen bei der Besucheranzahl.
Reine Hinweise oder Aufforderungen in Form von Aushängen oder Schildern (z.B. die Bitte, bei Vorliegen von Symptomen, dem Unternehmen fernzubleiben oder Hygienehinweise) sind sowohl gegenüber Ihren Arbeitnehmern als auch Besuchern datenschutzrechtlich unbedenklich und können jederzeit vorsorglich ergriffen werden.
Bei Fragen zu weiterführenden Maßnahmen oder der Bewertung von in Ihrem Unternehmen auftretenden Einzelfällen sind wir Ihnen jederzeit gerne behilflich.