Wichtige Info der DSK: Für Infektionsschutz zu Corona Pandemie dürfen Gesundheitsdaten erhoben werden

Datenschutz und Infektionsbekämpfungsmaßnahmen stehen sich nicht entgegen, stellen die deutschen Aufsichtsbehörden für Datenschutz gemeinsam fest.

Viele Arbeitgeber und Beschäftigte stehen nun vor der Frage, in welchem Umfang sie und unter welchen Umständen Gesundheitsdaten überhaupt ausgetauscht werden dürfen und müssen.

Die Datenschutzaufsichtsbehörden des Bundes und der Länder in der Datenschutzkonferenz (DSK) stellten eine gemeinsame Position vor – Das Original Dokument finden Sie hier.

Der Bundesdatenschutzbeauftragte Ulrich Kelber betonte, dass Gesundheitsinformationen sehr sensible Daten seien und Datenverarbeiter sich daher ihrer besonderen Verantwortung bewusst sein sollten. Doch „solange die Maßnahmen der Arbeitgeber und Dienstherren verhältnismäßig sind, steht der Datenschutz der Infektionsbekämpfung nicht im Weg.“ Die Gesundheit der Bürgerinnen und Bürger stehe nämlich jetzt im Mittelpunkt.

Datenerhebung erlaubt

Unternehmen und Organisationen können zur Eindämmung der Corona-Pandemie nicht nur die personenbezogenen Daten von Beschäftigten, sondern auch von Gästen und Besuchern erheben und verwenden, um eine Ausbreitung des Virus in der Mitarbeiterschaft zu verhindern. Dazu zählen beispielsweise Daten zu Fällen, in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.

Gesundheitsdaten dürfen auch erhoben werden, wenn im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut als Risikogebiet eingestuften Gebiet stattgefunden hat. Die Daten von nachweislich infizierten Personen oder von Personen, die unter Infektionsverdacht stehen, ist nur dann rechtmäßig, „wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist“. Das bedeutet, dass die Nennung des Namens grundsätzlich zu vermeiden ist.

Vorgehen muss angemessen bleiben

Die Aufsichtsbehörden verweisen darauf, dass die Fürsorgepflicht den Arbeitgeber bzw. den Dienstherren dazu verpflichtet, den Gesundheitsschutz aller Beschäftigten sicherzustellen. Entsprechend müsse er „angemessen“ auf die Verbreitung einer meldepflichtigen Krankheit reagieren. Allerdings müssten die Vorsorgemaßnahmen „natürlich immer auch verhältnismäßig“ sein. Deshalb müssten die jeweiligen Daten vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Spätestens mit dem Ende der Pandemie müssten die erhobenen Daten „unverzüglich gelöscht“ werden.

Eine Einwilligung der Betroffenen sei nur dann möglich, wenn diese über die Datenverarbeitung informiert sind und freiwillig in die Maßnahme einwilligen können. Beschäftigte müssten allerdings auch Rücksichts-, Verhaltens- und Mitwirkungspflichten gegenüber ihrem Arbeitgeber und Dritten erfüllen. So seien sie verpflichtet, ihren Dienstherrn bzw. Arbeitgeber über eine Infektion mit dem Corona-Virus zu informieren, woraus auch eine Offenlegungsbefugnis nach DSGVO bezüglich der Kontaktpersonen folgen könne.

Praxisorientiertes FAQ aus Baden-Württemberg

Der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink stellt aber klar, dass in der Regel Ermittlungs- und Eingriffsbefugnisse nicht dem Arbeitgeber, sondern nur den staatlichen Gesundheitsbehörden zustehen. Im Zweifel sollten Arbeitgeber daher den Kontakt zu den Gesundheitsbehörden suchen und nicht „auf eigene Faust“ oder gar Gesundheitsdaten gegen den Willen der Beschäftigten erheben. Brink hat dazu ein sehr ausführliches, praxisorientiertes „FAQ zum Thema Corona“ veröffentlicht.

Darin stellt Stefan Brink auch fest, dass der Arbeitgeber private Kontaktdaten von der Belegschaft erheben darf, um die Beschäftigten im Falle einer Betriebsschließung kurzfristig warnen zu können – das Einverständnis des Beschäftigten vorausgesetzt. Brink verweist darauf, dass das Handbuch des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe den Aufbau eines auf den jeweiligen Betrieb zugeschnittenen „innerbetrieblichen Kommunikationsnetzwerks“ empfehle, damit Unternehmen je nach Pandemiephase bestimmte Maßnahmen treffen können. Spätestens nach der Pandemie seien die Kontaktdaten aber wieder zu löschen und dürften nicht für andere Zwecke genutzt werden.

Auszug: „Arbeitgeber sind auf Grund ihrer Fürsorgepflicht und nach dem Arbeitsschutzgesetz (ArbSchG) verpflichtet, die erforderlichen Maßnahmen zu treffen, um die betriebliche Sicherheit und Gesundheit der Belegschaft zu gewährleisten. Hiervon ist auch die Pflicht des Arbeitgebers umfasst, dafür zu sorgen, die anderen Beschäftigten vor einer Infektion durch eine erkrankte Person zu schützen. Für diesen Zweck ist es datenschutzrechtlich zulässig, Informationen darüber zu erheben, zu welchen Personen der erkrankte Mitarbeiter Kontakt hatte…“

Sie haben Fragen zu diesem Thema? Rufen Sie uns gerne unter der Telefonnummer 08505 919 27-0 an oder füllen Sie unser Kontaktformular aus. Wir beraten Sie gerne!

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.