HOME > Blog > Datenschutzbeauftragter > Interne Covid-19 Datenerhebungen

Interne Covid-19 Datenerhebungen

Posted on Veröffentlicht in Datenschutzbeauftragter

Die wachsende Zahl von Corona-Infektionen in Österreich veranlasst immer mehr Unternehmen, umfangreiche Schutzmaßnahmen für Arbeitnehmer, Kunden und Lieferanten zu treffen. Neben der Einführung von Telearbeit, Absage von Meeting wollen Firmen auch vermeiden, dass es zu Standortschließungen wegen infizierter Personen kommt und beginnen mit Fragebogen ausgewählte Gesundheitsdaten von Personen, z.B. durch Fiebermessungen oder Fragebögen, beim Betreten des Firmengeländes zu erheben.

Fragen des Datenschutzes stehen dabei aktuell sicherlich nicht im Zentrum, sind aber auch in Notsituationen in die Überlegungen einzubeziehen und erleichtern letztendlich die Bewältigung der Krise, vor der wir stehen. Umsichtiges und besonnenes Handeln erfordert daher immer auch die Beachtung der gesetzlichen Vorgaben, zu denen auch die Rechte der betroffenen Personenzählen.

Rechtsgrundlage für die Erhebung von Gesundheitsdaten

Wie immer lautet die datenschutzrechtliche Kernfrage bei solchen Maßnahmen: Welche Rechtsgrundlage gibt es für die Verarbeitung von personenbezogenen Gesundheitsdaten? Grundsätzlich sind die Rechtsgrundlagen zur Verarbeitung von Gesundheitsdaten in Art. 9 DSGVO geregelt und sehen strenge Maßstäbe in Hinblick auf eine rechtskonforme Verabreitung vor.

Derzeit liegen seitens der Aufsichtsbehörden in verschiedenen europäischen Ländern unterschiedliche Stellungnahmen vor. Dieser Umstand macht es natürlich für betroffene Unternehmen nicht einfacher.

Mögliche Rechtsgrundlagen für interne Convid-19-Datenerhebungen

Zu beachten ist, dass Art 9 DSGVO kein berechtigtes Interesse des Verantwortlichen bei der Verarbeitung von Gesundheitsdaten vorsieht.

Die irische Datenschutzbehörde DPC hat die Ansicht geäußert, für die Verarbeitung von Gesundheitsdaten im Zusammenhang mit dem Convid-19-Virus kämen zwei Rechtsgrundlagen in Frage: Art. 9 Abs. 2 lit. i DSGVO (Datenverarbeitung im öffentlichen Interesse der Gesundheitsversorgung) und Art. 9 Abs. 2 lit. b DSGVO (Erfüllung arbeitsrechtlicher Pflichten) i.V.m. dem irischen Safety, Health and Welfare at Work Act 2005. Datenverarbeitung im öffentlichen Interesse der Gesundheitsversorgung setze aber voraus, dass die Arbeitgeber Anweisungen oder Empfehlungen der Gesundheitsbehörden befolgen und außerdem spezielle Datenschutz-Sicherungen implementieren (z.B. Löschfristen). [1]

In Österreich wäre hier wohl das ArbeitnehmerInnenschutzgesetz – ASchG einschlägig. Das Gesetz (§ 3 ASchG) sieht vor, dass “Arbeitgeber verpflichtet (sind), für Sicherheit und Gesundheitsschutz der Arbeitnehmer in Bezug auf alle Aspekte, die die Arbeit betreffen, zu sorgen.” und in diesem Zusammhang verpflichtet sind, erforderliche Maßnahmen “zum Schutz des Lebens, der Gesundheit sowie der Integrität und Würde” (der Arbeitnehmer) zu treffen. Einschließlich der Maßnahmen zur Verhütung arbeitsbedingter Gefahren, zur Information und zur Unterweisung sowie der Bereitstellung einer geeigneten Organisation und der erforderlichen Mittel.

Aufenthalt in Risikogebieten oder direkter Kontakt zu Erkrankten

Dürfen Arbeitgeber Informationen darüber erheben und weiterverarbeiten, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte etc.?

Arbeitgeber sind auf Grund ihrer Fürsorgepflicht verpflichtet, die erforderlichen Maßnahmen zu treffen, um die betriebliche Sicherheit und Gesundheit der Belegschaft zu gewährleisten. Hiervon ist auch die Pflicht des Arbeitgebers umfasst, dafür zu sorgen, die anderen Beschäftigten vor einer Infektion durch eine erkrankte Person zu schützen.

Der Arbeitgeber darf demnach beispielsweise auch Urlaubsrückkehrer befragen, ob sie sich in einem, etwa durch das Gesundheitsministerium festgelegten Risikogebiet, aufgehalten haben.

Für diesen Zweck ist es weiters datenschutzrechtlich zulässig, Informationen darüber zu erheben, zu welchen Personen der erkrankte Mitarbeiter Kontakt hatte. Eine Negativauskunft des Beschäftigten genügt regelmäßig. Liegen weitere Anhaltspunkte vor, kann gegebenenfalls eine weitere Nachfrage erfolgen, welche datenschutzrechtlich neu zu beurteilen wären.

Empfehlungen bei geplanten Convid-19-Datenerhebungen

Sollten Sie zum Schutz von Arbeitnehmern, Kunden und Lieferanten die Erhebung von personenbezogenen Daten bzgl einer möglichen Convid-19-Erkrankung planen, sollten Sie nachfolgende Empfehlungen unbedingt beachten:

  • Einsatz gelinderer Mittel zur Vorbeugung, zB Mitarbeiterbelehrungen oder Zurverfügungstellen von Händedesinfektion, Einführung von Telearbeit, Einschränkung der sozialen Kontakte, Schaffung von Quarantänezonen uam;
  1. Durchführung einer Datenschutzfolgenabschätzung (in Abstimmung mit dem externen Datenschutzbeauftragten) vor Beginn der Erhebungen;
  2. Dokumentation der Verarbeitungstätigkeit im Verzeichnis von Verabeitungstätigkeiten;
  3. Erfüllung der Informationspflichten nach Art 13 DSGVO durch vollständige und leicht verständliche Datenschutzhinweise für die betroffenen Personen;
  4. Beiziehung von Betriebsärzten und Sicherheitskräften bei der Erhebung und Verarbeitung der Daten;
  5. Dokumentation der Einwilligung der Betroffenen zur Datenerhebung;
  6. Beschränkung der aufgezeichneten und offengelegten Informationen auf das für die Zweckerreichung notwendige Maß;
  7. Planung und Umsetzung verarbeitungsspezifischer Datensicherheitsmaßnahmen und Löschfristen;
  8. Sensibilisierung und Schulung der mit der Erhebung betrauten Mitarbeiterinnen und Mitarbeiter;
  9. Gegebenenfalls, Einbindung des Betriebsrates;

Sonstige Datenerhebungen bzw Offenlegungen

Dürfen Arbeitgeber aktuelle private Handynummern oder andere Kontaktdaten von der Belegschaft erheben, um die Beschäftigten im Falle einer Schließung des Betriebs oder in ähnlichen Fällen kurzfristig warnen oder auffordern zu können, zu Hause zu bleiben?

Damit die Beschäftigten auch kurzfristig gewarnt werden können und nicht zunächst im Betrieb oder bei der Arbeit erscheinen, dürfen Arbeitgeber von ihren Beschäftigten auch die aktuelle private Handynummer etc. abfragen und temporär speichern. Dies kann allerdings nur im Einverständnis mit dem Beschäftigten erfolgen; eine Pflicht zur Offenlegung privater Kontaktdaten besteht für die Beschäftigten nicht, wird jedoch regelmäßig in ihrem eigenen Interesse liegen.

Entscheidend ist hierbei, dass die Erhebung der privaten Kontaktdaten für eindeutige, konkrete und legitime Zwecke erfolgt. In Betracht kommt insbesondere der Zweck, die Infektionsgefährdung der Beschäftigten zu verringern. Spätestens nach Ende der Pandemie sind die erhobenen Kontaktdaten vom Arbeitgeber wieder zu löschen. Es wäre datenschutzrechtlich nicht zulässig, wenn diese Daten „durch die Hintertür“ später für Kontaktaufnahmen nach Feierabend oder am Wochenende oder für andere Zwecke genutzt werden. [2]

Dürfen Arbeitgeber den Beschäftigten mitteilen, dass ein bestimmter Mitarbeiter am Virus erkrankt ist, sogar unter Nennung des konkreten Namens, um darauf aufbauend mögliche Kontaktpersonen freizustellen?

Die Kenntnis von der Corona-Erkrankung eines Mitarbeiters kann für diesen zu einer enormen Stigmatisierung führen. Die Nennung des Namens des betroffenen Mitarbeiters ist daher grundsätzlich zu vermeiden. Gleichzeitig sind Mitarbeiter, welche in direktem Kontakt mit einem Infizierten waren, zu warnen und werden in der Regel selbst zur Eindämmung der Ansteckungsgefahr von der Arbeit freigestellt. Regelmäßig kann eine derartige Maßnahme abteilungs-/ bzw. teambezogen ohne konkrete Namensnennung erfolgen. [2]

Dürfen Arbeitgeber nach Aufforderung durch Gesundheitsbehörden Daten über erkrankte Beschäftigte, über Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten an die Behörden übermitteln?

Behördliche Maßnahmen bzw spezifische Regelungen vor dem Hintergrund der Corona-Pandemie können von den zuständigen Behörden zB per Verordnung oder Gesetz jederzeit erlassen werden. Besonders bedeutsam mit Blick auf den betrieblichen Pandemieschutz sind die Vorschriften des Epidemiegesetzes und der neu erlassenen COVID-19 Gesetze.

Die Rechtsgrundlage hängt von der konkreten behördlichen Anfrage ab, welche dort erfragt werden kann. Bei Ersuchen von zuständigen Hoheitsträgern, etwa bzgl. erkrankter Beschäftigter im Betrieb, ist von einer mit der Übermittlungspflicht korrespondierenden Übermittlungsbefugnis der Arbeitgeber auszugehen.

Einbeziehung des externen Datenschutzbeauftragten

Denken Sie bitte daran, den externen Datenschutzbeauftragten möglichst frühzeitig in ihre Planungen und Entscheidungen bei neuen Verbeitungstätigkeiten einzubeziehen. Geben Sie Ihrem Datenschutzbeauftragten die Chance, einen professionellen Beitrag zu leisten.

Lassen Sie uns gemeinsam, den besten Weg durch die Krise finden.

  • Coronavirus, Informationen des österreichischen Sozial- und Gesundheitsministeriums;
  • Coronavirus, Informatione der Wirtschaftskammer Österreich;
  • Coronavirus, Informationen der Arbeiterkammer;

Fußnoten

[1] Ähnlich äußerten sich die Aufsichtbehörden aus Ungarn, Dänemark und dem Vereinigten Königreich. Gegenteilieg Standpunkte vertraten die Aufsichtsbehörden aus Frankreich, Luxemburg und Italien.

[2] Häufig gestellte Fragen („FAQs“) zum Thema Corona, LfDI Baden-Württemberg.