Was muss ich als Betrieb oder Verein bei der Corona Pandemie beachten?

Die ganze Welt ist von der Corona Pandemie betroffen. Wie sieht es denn bei solch einer Ausnahmesituation mit dem Datenschutz aus? Muss ich mich jetzt an den Datenschutz halten? Müssen die Vorgaben der DSGVO und der dazugehörigen Gesetzte eingehalten werden?

erstellt am 8. April. 2020 - in

Coroan-Virus mit Augen
Bild von Syaibatul Hamdi auf Pixabay

Die ganze Welt ist von der Corona Pandemie betroffen. Wie sieht es denn bei solch einer Ausnahmesituation mit dem Datenschutz aus? Muss ich mich jetzt an den Datenschutz halten? Müssen die Vorgaben der DSGVO und der dazugehörigen Gesetzte eingehalten werden?
Ja, auch in Coronazeiten gilt der Datenschutz.
Es ist ja auch keine Frage, ob das Steuerrecht oder das Strafrecht in Coronazeiten eingehalten werden muss.

So lange die Maßnahmen der Arbeitgeber und Dienstherren verhältnismäßig sind, steht der Datenschutz der Infektionsbekämpfung nicht im Weg. Denn die Gesundheit der Bürgerinnen und Bürger steht jetzt im Mittelpunkt.
Quelle: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber

Die Verarbeitung hat grundsätzlich auf einer gesetzlichen Grundlage zu erfolgen.

Diese Grundlagen, gibt uns die DSGVO, das BDSG (Bundesdatenschutzgesetz) sowie nationale und berufsspezifische Gesetze und Verordungen.

Im Artikel 5 der DSGVO werden die Grundsätze der Verarbeitung personenbezogener Daten festgelegt. In Artikel 6 der DSGVO stehen die Vorrausetzungen und in Artikel 9 der DSGVO die Bedingungen über der Verarbeitung besonderer Kategorien zu denen die Gesundheitsdaten gehören.

Diese gelten außerhalb sowie während einer Kriese gleichermaßen.

Was muss ich beachten um datenschutzkonform Mitarbeiter und Kunden vor einer Ansteckung mit dem Virus SARS-COV-2 zu schützen?

Der Verantwortliche hat einige Fragen zu beantworten und diese zu dokumentieren. Einige Standartüberlegungen sind unten aufgeführt.

  • Welche Daten müssen notwendigerweise erhoben werden um Mitarbeiter und Kunden zu schützen
    Um die notwendigen Daten einzugrenzen sind mehrere Schritte notwendig. Der Grund muss nicht lange gesucht werden, es sollen Personen vor Ansteckung geschützt werden. Für die Dokumentation werden unter anderm folgende Informationen benötigt.
    • Welchen Zweck bzw. welche Interessen bestehen um Daten zu erheben
      Der Arbeitgeber hat eine Fürsorgepflicht seinen Mitarbeitern gegenüber und ist laut Arbeitsschutzgesetz (ArbSchG) verpflichtet die Sicherheit und Gesundheit seiner Mitarbeiter zu gewährleisten.
      Es besteht ein Interesse den Betrieb des Geschäfts bzw. Gewerbes aufrecht zu erhalten. Dies ist mit einer in Quarantäne befindlichen Belegschaft nicht möglich.
      Kunden sollen sich nicht anstecken, dies ist für den geschäftlichen Betrieb nicht von Vorteil.
    • Welche Daten sind notwendig, um die Gefahr der Ansteckung zu minimieren bzw. den definierten Zweck zu erreichen.
      Es dürfen nur die Daten erhoben werden, die für den Zweck notwendig sind. (Datenminimierung) Das bedeutet, dass die Erhebung der Daten auf das notwendige Maß beschränkt sein muss. Das Geburtsdatum oder die Religionszugehörigkeit wären zum Beispiel nicht notwendig.
    • Welche Rechtsgrundlage besteht um Daten zu erheben
      Hier kommt der Artikel 6 der DSGVO Absatz 1 Punkt e, f oder ggf. auch c in Frage. Zusätzlich in bestimmten Fällen das BDSG, Landesdatenschutzgesetze und andere nationale oder berufsspezifische Gesetze und / oder Verordungen. Beispiele für die Rechtsgrundlage finden Sie beim BFDI “BFDI DSK gibt Hinweise zu Datenschutz und Corona”
    • Wie lange muss ich zwingend die Daten aufheben bzw. speichern.
  • Personenbezogenen Daten müssen zweckgebunden erhoben werden.
    Daten die aufgrund der Corona Pandemie erhoben werden, dürfen nicht zu anderen Zwecken genutzt werden. Eine Telefonnummer, die nur für Informationszwecken der Corona-Pandemie vorgesehen ist, darf nicht dafür genutzt werden, Kunden zwecks Werbung anzurufen. Mitarbeiter dürfen nicht über diese Telefonnummer im Urlaub kontaktiert werden.
  • Die betroffenen Personen müssen über die Verarbeitung ausführlich informiert werden. (Informationspflicht)
    Diese Informationen müssen in leicht zugänglicher und verständlicher und in klarer und einfacher Sprache abgefasst sein. Die Personen müssen verstehen, was mit Ihren Daten passiert, wer die Daten einsehen kann, welche Daten erhoben werden, warum Daten erhoen werden und wann diese gelöscht werden. Sowie auf welcher Rechtsgrundlage die Daten erhoben werden. Diese Informationen, auch als Datenschutzhinweis oder Datenschutzerklärung bekannt, muss für die Person leicht zugänglich sein. Zusätzlich müssen die Informationen, die jeder Datenschutzhinweis enthalten muss angegeben werden. (Verantworlicher, ggf. Datenschutzbeauftragter, Beschwerderecht etc.)
  • Angemessener Schutz der Daten vor unbefugter Kenntnisnahme oder Verarbeitung
    Die Daten sind so zu schützen, dass keine unberechtigte Personen Zugriff bekommen kann. Dies bedeutet, dass die Daten soweit Sie elektronisch erhoben werden, mit Passwort und Zugriffsbeschränkung gespeichert werden müssen. Dokumente oder Notizen sind so wegzuschließen, dass keine unberechtigte Person diese einsehen können. Öffentlich ausgelegte Tabellenlisten erfüllen diese Anforderungen grundsätzlich nicht.
  • Rechtsgrundlage zur Verarbeitung personenbezogenen Daten
    Zusätzlich zu den o.g. Artikel 6 und 9 der DSGVO sowie anderer nationalen Gesetzen ist der §26 Punkt 3 und 7 BDSG im Beschäftigtenverhältnis zu berücksichtigen.

Die Absätze 1 bis 6 sind auch anzuwenden, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. (§26 BDSG Punkt 7)

  • Eine freiwillige Einwilligung sollte, wo möglich, vermieden werden
    Eine freiwillige Einwilligung, nach Artikel 6 Absatz1 Punkt a, der Betroffenen allein sollte nur als datenschutzrechtliche Verarbeitungsgrundlage in Betracht gezogen werden, wenn die Betroffenen über die Datenverarbeitung informiert sind und freiwillig in die Maßnahme einwilligen können.
    Eine freiwillige Einwilligung kann jederzeit widerrufen werden, da dieser Punkt nur zur Anwendung kommt, wenn es keinerlei andere rechtliche Grundlage gibt. Die Daten müssen bei Widerruf unverzüglich gelöscht bzw. vernichtet werden.
  • Rechenschaftspflicht des Verantwortlichen Artikel 30 der DSGVO
    Ergänzung des Verzeichnis von Verarbeitungstätigkeiten mit den Daten der zur Bekämpfung der Corona-Pademie notwendigen Datenerhebung.
  • Löschen bzw. vernichten der personenbezogenen Daten nachdem diese nicht mehr für den erhobenen Zweck notwendig sind.
    Bei der Corona-Pandemie spätestens nach Beendigung der Pandemie. Kundendaten, spätestens nachdem eine Infektion bzw. Ansteckung ausgeschlossen werden kann. Dies wäre nach heutigen Erkenntnissen spätestens drei Wochen nach dem letztem Kontakt. Die Daten sind so zu löschen bzw. zu vernichten, dass Sie nicht mehr wiederherstellbar sind. Das entsorgen der analogen Unterlagen in allgemein zugänglichem Altpapiercontainer ist nicht erlaubt.

Einige Fallbeispiele möchte ich hier erläutern.

Informationen über einen positiven Corona Test oder Kontakt zu positiv getesten Personen

Aufgrund von Fürsorgepflichten seiner Arbeitnehmer, wirtschaftlicher Interessen (Vermeidung von Geschäftsschließung) sowie die Ansteckungsgefahr von Kunden hat der Verantwortliche (Arbeitgeber) ein berechtigtes Interesse nach Artikel 6 Absatz1 Punkt f, Mitarbeiter und Kunden vor Ansteckung zu schützen. Daher ist es legitim nach einem positiven Test oder nach Kontakten zu positiv getesteten Personen zu fragen. Ob dies dokumentiert werden soll, muss der Verantwortliche entscheiden. Oft reicht es, das eine solche Frage negiert wird.
Dabei ist darauf zu achten, dass die Erfassung der Kontaktperson außerhalb des Betriebs nicht verarbeitet werden sollte. Dazu gibt es keine Rechtsgrundlage, es ist auch nicht notwendig. Dies bedeutet, dass der Mitarbeiter mit einem Kontakt zu positiv getesteten Personen, die Kontaktdaten dieser Person nicht an den Arbeitgeber zu melden hat. Der Arbeitgeber auch keine Rechtsgrundlage hat diese Daten zu erheben. Hier ist das Gesundheitsamt zuständig.

Wie verhalte ich mich, wenn ein Arbeitnehmer positiv getestet wurde

Es sind die Kollegen, mit direktem Kontakt des positiv getesteten Mitarbeiters, zu warnen und sollten wegen der Ansteckungsgefahr von der Arbeit freigestellt werden. In der Regel ist die Namensnennung des erkrankten Mitarbeiters nicht notwendig und hat zu unterbleiben.
Sollten besondere Umstände die Vermutung nahe legen, den Namen der Belegschaft zu melden, muss Rücksprache mit der Gesundheitsbehörde gehalten werden. Die Gesundheitsbehörde wird die Entscheidung dem Arbeitgeber dann mitteilen. Der Arbeitgeber darf den Namen des erkrankten im Regelfall nicht weitergeben.
Einzelheiten RKI Kontaktpersonennachverfolgung

Darf der Arbeitgeber, die private Handynummer vom Mitarbeiter verlangen um diesen über aktuelle Maßnahmen der Corona-Pandemie zu informieren.

Damit Mitarbeiter gewarnt und/oder kurzfristig über die aktuelle Lage des Betriebs informiert werden können, ist es zulässig die aktuelle Handynummer etc. zu erfragen und zu speichern. Es gibt dabei kein berechtigtes Interesse des Arbeitgebers, es ist eine reine “Dienstleistung” des Verantwortlichen, um dem Beschäftigten Unannehmlichkeiten zu ersparen.
Der Beschäftigte hat aber ein Interesse, z.B. bei Betriebsschließung oder bei Umstellung der Arbeitszeiten, nicht umsonst zur Firma gefahren zu sein.
Hier kann der Arbeitgeber (Verantwortliche) den Arbeitnehmer nach der privaten Handynummer fragen. Der Arbeitnehmer benötigt dafür eine freiwillige Einwilligung nach Artikel 6 Absatz1 Punkt a. Da der Vorteil ausschließlich bei dem Arbeitnehmer liegt, ist eine Nachweispflicht, bzw. Begründung der Freiwilligkeit nicht schwer zu begründen.
Die Mobilfunknummer des Arbeitnehmers, darf ausschließlich zu Informationen über die Corona-Pandemie genutzt werden, die Einzelheiten sind in der Einwilligung zu erläutern.
Für andere Aktionen, zum Beispiel um die Arbeitsschicht zu ändern, Vertretung für Kollegen, etc. darf die Mobilfunknummer nicht genutzt werden. Spätestens nach Beendigung der Pandemie ist die Mobilfunknummer zu löschen.
Jegliche Einwilligung für Aktionen die nicht nur im Interesse des Arbeitnehmers sind, ist die der Freiwilligkeit schwer nachzuweisen.

Bitte beachten Sie, dass die Informationen auf diesen Internetseiten keine Rechtsberatung darstellen. Die hier vorliegenden Informationen sollen Ihnen nur einen ersten Überblick ermöglichen, sie stellen selbst jedoch keine Rechtsberatung dar.

Kommentare sind geschlossen.