Wir empfehlen: Laden Sie unser KOSTENLOSES Whitepaper "Best Practices zur Vermeidung von Datenverlusten" herunter. Download

Datenschutz in Zeiten der Corona-Epidemie

Veröffentlicht vonSabine Fach Veröffentlicht inDatenschutz

Das Corona-Virus stellt alle Unternehmen auf eine harte Probe. Arbeitgeber müssen in einer schwierigen Zeit den Betriebsablauf aufrechterhalten und zugleich ihre Mitarbeiter schützen, ohne die Regeln des Datenschutzes aufzugeben.

Die DSGVO ist durch die Pandemie nicht aufgehoben. Nach wie vor gilt der Grundsatz, dass der Einzelne Herr seiner Daten ist, insbesondere auch der sensiblen Gesundheitsdaten. Allerdings erfordert es die Fürsorgepflicht des Arbeitgebers, die Gesundheit der Mitarbeiter zu schützen. Im Rahmen von Maßnahmen, die die Ausbreitung des Virus verhindern sollen, kann es geboten sein, zusätzliche personenbezogene Daten zu erfassen und zu verarbeiten. Die Frage, was dabei unter welchen Umständen zulässig ist, schafft zunächst einmal Verunsicherung – Unternehmen und Mitarbeiter stehen schließlich zum ersten Mal vor dieser Herausforderung.

Hilfestellung durch Datenschutzbehörden

Die Datenschutzbehörden haben reagiert: In der Pressemitteilung „Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie“ steckt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) den Rahmen für den Umgang mit Daten ab; der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) stellt Antworten auf FAQs zum Austausch von Gesundheitsdaten zur Verfügung.

Als „datenschutzrechtlich legitimiert“ sieht der BfDI folgende Maßnahmen, immer unter Beachtung der Verhältnismäßigkeit und der gesetzlichen Grundlage, zu der neben der DSGVO auch arbeitsrechtliche Regelungen gehören können:

  • die Erhebung von personenbezogenen Daten einschließlich Gesundheitsdaten von Mitarbeitern beispielsweise bei festgestellter Infektion oder nachweislichem Kontakt mit Infizierten,
  • die Erhebung von personenbezogenen Daten einschließlich Gesundheitsdaten von Besuchern, beispielsweise um festzustellen, ob sie in Kontakt mit Infizierten standen.
  • Die Offenlegung von personenbezogenen Daten von Infizierten oder unter Infektionsverdacht Stehenden ist nur dann rechtmäßig, wenn Vorsorgemaßnahmen die Kenntnis der Identität „ausnahmsweise“ erforderlich machen.

 

Der LfDI geht auf ganz konkrete Fragestellungen ein, die den vom BfDI skizzierten Rahmen ausleuchten und den Unternehmen eine schnelle Entscheidung ermöglichen. Zur Sprache kommt beispielsweise, ob und unter welchen Voraussetzungen Arbeitgeber private Telefonnummern von Beschäftigen erheben, nach dem Aufenthalt in Risikogebieten oder einem Kontakt mit Infizierten fragen, die Identität von kranken oder möglicherweise infizierten Mitarbeitern gegenüber anderen Mitarbeitern oder Behörden, sprich Gesundheitsbehörden, offenlegen dürfen.

Grundsätzlich sollten Unternehmen dokumentieren, welche Daten sie zu welchem Zweck im Hinblick auf ihre Fürsorgepflicht erheben, und diese Daten angemessen vor unbefugtem Zugriff schützen. Auch für diese Daten gilt, dass sie gelöscht werden müssen, sobald der Zweck, zu dem sie erhoben wurden, erreicht ist.

Meldepflichten nach Infektionsschutzgesetz

Bekanntermaßen enthält die dem Arbeitgeber vorzulegende Arbeitsunfähigkeitsbescheinigung keine Diagnose, und es besteht für Arbeitnehmer keine Pflicht, dem Arbeitgeber die Diagnose mitzuteilen. Das gilt auch im Fall einer Covid-19-Infektion; es steht betroffenen Arbeitnehmern jedoch frei, den Arbeitgeber zu informieren und dadurch zu warnen. Allerdings kommt bei gefährlichen Infektionen das Infektionsschutzgesetz (IfSG) ins Spiel. Es ersetzt seit 2001 Vorläufer-Vorschriften zu übertragbaren Infektionen und zielt auf Vorbeugung, frühzeitige Erkennung und Verhinderung der Weiterverbreitung dieser Infektionen ab. Für besonders gefährliche Krankheiten und Erreger besteht eine Meldepflicht, und die gilt außer beispielsweise für Masern, Keuchhusten oder Tollwut auch für Covid-19.

Meldepflicht bedeutet dabei, dass Ärzte und Labore den Nachweis von Erregern und Erkrankungen, aber auch Verdachtsfälle und Todesfälle an das zuständige Gesundheitsamt melden müssen. Bei sehr vielen Erkrankungen oder Erregernachweisen, auch bei Covid-19, muss die Meldung namentlich entsprechend § 9 IfSG erfolgen, das heißt mit Namen und Vornamen, Kontaktdaten und Adresse, Mitbewohnern, Arbeitgebern und anderen Daten. Allerdings sind die Ärzte nicht verpflichtet, Informationen, die ihnen nicht vorliegen, zu erheben, und müssen beim Versuch, sie zu erheben, prüfen, ob sie dazu befugt sind. Die Gesundheitsbehörden verfügen über Kompetenzen, die ihnen gestatten, Maßnahmen zur Bekämpfung von Krankheiten wie Covid-19 einzuleiten, auch in Firmen.

In diesem Artikel:

    Neueste Beiträge

    Top-Artikel

    Data Loss Prevention: The Complete Guide

    Data Loss Prevention: The Complete Guide
    Top 3 Gründe für den Einsatz von Endpoint DLP

    Top 3 Gründe für den Einsatz von Endpoint DLP
    DLP-Richtlinie 101: Von den Grundlagen zur professionellen Anwendung

    DLP-Richtlinie 101: Von den Grundlagen zur professionellen Anwendung
    Leitfaden zur Datensicherheit: Was ist Datensicherheit, Bedrohungen und bewährte Praktiken?

    Leitfaden zur Datensicherheit: Was ist Datensicherheit, Bedrohungen und bewährte Praktiken?
    Datenschutz und Datensicherheit: Was ist der Unterschied?

    Datenschutz und Datensicherheit: Was ist der Unterschied?
    DEMO ANFRAGEN
    * Wir geben Ihre Daten nicht an Dritte weiter. Machen Sie sich mit unserer Datenschutz-Richtlinie vertraut.

    Kunden die uns vertrauen