Beschäftigtendatenschutz in Zeiten der Corona-Krise
31. März 2020
Beschäftigtendatenschutz in Zeiten der Corona-Krise
Die derzeitige Ausnahmesituation durch den Corona-Virus stellt auch den Beschäftigtendatenschutz vor neue Hürden. Dabei steht vor allem die Frage im Vordergrund, inwieweit Arbeitgeber Daten von Beschäftigten verarbeiten können, wenn der Verdacht einer Infektion durch den COVID-19 besteht. Werden im Zusammenhang mit der Corona-Pandemie personenbezogene Daten erhoben, werden in den meisten Fällen Bezüge zwischen Personen und deren Gesundheitszustand hergestellt. Ab diesem Zeitpunkt handelt es sich um Gesundheitsdaten, die nach Artikel 9 Datenschutz-Grundverordnung (DS-GVO) besonders geschützt sind. Andererseits besteht seitens des Arbeitgebers eine Fürsorgepflicht, den Gesundheitsschutz der Gesamtheit der Beschäftigten sicherzustellen.
Stellungnahme des BfDI
Diesbezüglich nahm der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber Stellung, indem er klarstellte, dass sich der Datenschutz und die Infektionsbekämpfung nicht im Wege stehe. Außerdem verwies er darauf, dass sich Arbeitgeber ihrer besonderen Verantwortung durch den sensiblen Inhalt der Gesundheitsdaten ihrer Mitarbeiter bewusst werden müssen. Eine verhältnismäßige Herangehensweise des Arbeitgebers, ob Daten erhoben werden, sowie ein vertraulicher Umgang mit den erhaltenen Informationen, seien dabei unverzichtbar.
Datenschutzrechtlich legitimierte Maßnahmen
Folgende Maßnahmen, die mit einer Datenerhebung und Verarbeitung von Gesundheitsdaten der Beschäftigten verbunden sind, können zur Eindämmung der Corona-Pandemie als datenschutzrechtlich legitim betrachtet werden:
• Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:
• in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
• in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
• Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.
• Freiwillige Selbstauskunfts- oder Fragebögen zu Aufenthaltsort und Symptomen.
• Freiwillige Fiebermessung entweder durch den Beschäftigten selbst oder einen (Betriebs-) Arzt.
Grundsatz der Verhältnismäßigkeit
Wie bereits aufgezeigt, können in dem beschriebenen Rahmen die (Gesundheits-) Daten von Beschäftigten weitestgehend datenschutzkonform verarbeitet werden. Stets zu beachten ist dabei der Grundsatz der Verhältnismäßigkeit. Im gegenwärtigen Kontext also vor allem die Frage, ob die jeweilige Datenverarbeitung erforderlich, geeignet sowie im Wesentlichen auch angemessen ist. Dies gilt insbesondere dann, wenn es um die Veröffentlichung von Informationen über nachweislich infizierte oder unter Infektionsverdacht stehende Personen geht. Grundsätzlich sollte in solchen Fällen äußerst restriktiv vorgegangen werden, da die Nennung des konkreten Namens eines am Virus erkrankten Beschäftigten oder eines Verdachtsfalls zu einer enormen Stigmatisierung führen kann. Was in der Theorie recht einfach klingt, kann praktisch durchaus herausfordernd sein. Etwa wenn sich ein nach längerer Zeit wieder erscheinender Patient einer Arztpraxis nach der fehlenden MFA an der Anmeldung erkundigt, welche sonst immer für die Patientenaufnahme zuständig ist. Sollte die nun vertretende Kollegin der MFA den Patienten mit dem Hinweis „die Frau Müller befindet sich gerade in Quarantäne“ auf den aktuellen Stand bringen, dann wäre diese Information aus Sicht des Datenschutzes wohl nicht erforderlich und daher problematisch.
Datenschutzunerhebliche Maßnahmen
Idealerweise sollten Arbeitgeber schwerpunktmäßig datenschutzunerhebliche Maßnahmen ergreifen, die ebenfalls geeignet sind, das Infektionsrisiko für Beschäftigte zu minimieren. Entsprechende Maßnahmen könnten sein:
• Umsetzung von Hygienevorschriften,
• Ermöglichung von Telearbeit (Home-Office),
• die Einteilung von unabhängig arbeitenden Schicht-Teams (insbesondere in Apotheken),
• Informations- und Aufklärungsmaßnahmen, welche sich insbesondere an den Empfehlungen des RKI orientieren sowie
• die Bereitstellung persönlicher Schutzausrüstung (soweit vorhanden).
Letzte Aktualisierung: 28.03.2020 (ls)
Zurück
Show More
Das könnte für Sie auch interessant sein:
Die DeltaMed Süd ist eine deutschlandweit tätige Unternehmensberatung im Gesundheitswesen. Zur Verstärkung unseres Teams suchen wir ab sofort für unser Büro in Ludwigsburg eine kompetente Unterstützung im Bereich Office-Management auf Werkstudentenbasis (ca. 8 Std./Woche).
Verlängerung der Aufbewahrungsfrist
Datenschutzkonformes Vorgehen im Gesundheitswesen