Datenschutz vs. Corona-Virus – Was Unternehmen beachten müssen
Der neuartige Corona-Virus („SARS-CoV-2“ bzw. Covid-19) bereitet aktuell Menschen in der ganzen Welt große Sorgen. Die stetig wachsende Zahl der Infizierten verlangt, dass geeignete Abwehrmaßnahmen zum Schutz der Mitarbeiter und des Unternehmens getroffen werden. Maßnahmen, bei denen sensible Gesundheitsdaten, erhoben werden, sind datenschutzrechtlich unter Beachtung der Bestimmungen der DSGVO und nationalen Gesetzen zurückhaltend zu bewerten.
In diesem Beitrag soll kurz dargestellt werden, in welchem Umfang Unternehmen Gesundheitsdaten speichern und zum Schutz der Mitarbeiter und zur Prävention vor dem Corona-Virus verwenden dürfen. Die Rechtslage ist aber noch undurchsichtig, Änderungen an der „herrschenden Meinung“/den Positionen können sich im Laufe der nächsten Wochen noch ergeben. Der Beitrag wird regelmäßig aktualisiert werden.
I. Beispiele der Verarbeitung von Gesundheitsdaten zum Schutz vor Corona-Infektionen
Speichert ein Unternehmen beispielsweise die Information, dass ein Mitarbeiter Symptome des Coronavirus zeigt, handelt es sich bereits um ein Gesundheitsdatum. Wird den Mitarbeitern am Betriebseingang Fieber gemessen oder gibt ein Mitarbeiter den Namen einer möglicherweise infizierten Person an das Unternehmen weiter, sind diese Daten ebenso als Gesundheitsdaten zu qualifizieren.
Daten, die das Unternehmen durch Selbstauskünfte oder Fragebögen der Mitarbeiter oder Externer erhält, um den aktuellen Gesundheitsstand abzufragen, stellen ebenso schützenswerte sensible Daten dar. Auch Einlasskontrollen und anlassbezogene Befragungen nach Dienstreisen unterliegen den besonderen Anforderungen, wobei z.B. ein manueller Fiebertest ohne weitere Verarbeitung von Informationen keine Verarbeitung personenbezogener Daten darstellen würde. Bei der Speicherung von Informationen über den Aufenthaltsort (Bsp.: Person X war schon einmal in Wuhan) handelt es sich dagegen um einfache personenbezogene Daten, deren Verarbeitung sich über Art. 6 Abs. 1 S. 1 lit. f DSGVO grundsätzlich rechtfertigen lässt.
Gesundheitsdaten sind nach Art. 4 Nr. 15 und ErwG 35 DSGVO „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“ Darunter sind nicht nur Informationen über den früheren oder gegenwärtigen Gesundheitsstand zu verstehen, sondern auch Informationen, die den zukünftigen Gesundheitsstand der Person betreffen.
II. Zulässigkeit einzelner Maßnahmen
1. Maßnahmen der Unternehmen gegen Mitarbeiter
Unternehmen können durch Selbstauskunfts- oder Fragebögen zum Aufenthaltsort und Symptomen die Gesundheitsdaten ihrer Mitarbeiter erheben und speichern. Sie können auch anlassbezogene Befragungen nach Dienstreisen oder Kontakt zu Verdachtspersonen durchführen. Im Falle eines positiven Befunds bei einem Mitarbeiter (durch eine offizielle Stelle) oder sogar bei einem bestätigten Kontakt zu einer positiv getesteten Person muss es zulässig sein, Informationen über den betroffenen Mitarbeiter zu verarbeiten, z.B. Zeitpunkt und enge Kontaktpersonen sowie ergriffe Maßnahmen (so die französische Datenschutzaufsicht). Es dürfte aber nicht zulässig sein, von allen Mitarbeitern verpflichtend die Informationen zu Reisezielen und Gesundheitszustand abzufragen. Auch ist es unzulässig, pauschal Informationen über Grippesymptome bei Mitarbeitern zu erheben oder von Kollegen mitteilen zu lassen (so zutreffend die italienische Datenschutzaufsicht in einer frühen Stellungnahme).
Die Fiebermessung von Mitarbeitern am Eingang des Betriebsgeländes und sonstige medizinische Maßnahmen (z.B. Rachenabstriche für Speichelproben) können unter engen Voraussetzungen mit § 26 Abs. 3 BDSG gerechtfertigt werden. Eine Fiebermessung kann durchaus als zulässig angesehen werden, wenn die Ergebnisse nur für eine Einlasskontrolle mit Entscheidung Zutritt ja/nein genutzt werden oder wenn die Maßnahmen rein freiwillig ohne Nutzungsverpflichtung sind. Kritisch wäre es zu bewerten, wenn eine verpflichtende Fiebermessung für alle Mitarbeiter durchgeführt würde und eine festgestellte hohe Temperatur zu sofortigen Maßnahmen wie Freistellung od. ä. führen würden (schon allein, da die Temperatur kein definitives Kriterium zur Feststellung einer Infektion ist). Die Rechtslage bleibt hier aber unklar, nach teilweise vertretener Ansicht soll eine Temperaturmessung vollständig ausgeschlossen sein. Solche Maßnahmen mit weiterer Datenverarbeitung können vor allem gerechtfertigt sein, wenn Mitarbeiter spezielle Bereiche betreten, in denen eine Weitergabe der Infektion möglicherweise zum Stillstand des Unternehmens führen würde (z.B. Vorstandsetage, Produktionsstraßen). Die Zulässigkeit dieser Maßnahmen wird man wohl auch im Bereich der Lebensmittelproduktion od. ä. bejahen können.
Äußerst kritisch sind andere derzeit diskutierte Maßnahmen zu betrachten, bspw. die Handyortung von Infizierten, um Kontaktpersonen besser ermitteln zu können oder die Nennung konkreter Adressen von Infizierten, wie sie in Singapur durchgeführt wird. Jedenfalls könnte diese nur durch den Staat die befugten staatlichen Stellen zum Schutz der öffentlichen Gesundheit durchgeführt werden, nicht individuell durch einzelne Unternehmen.
2. Maßnahmen der Unternehmen gegen Besucher
Bei Besuchern kann sich das Unternehmen hinsichtlich der Verarbeitung von Daten nicht auf § 26 Abs. 3 BDSG berufen, sodass zumindest neben allgemeinen Aufforderungen wie zur Desinfektion der Hände oder Zugangssperren öffentlicher Bereiche möglich sind. Soweit Kontrollen durchgeführt werden sollen, müssten diese Maßnahmen ohne Datenverarbeitung, erfolgen also z.B. mündliche Befragung ohne Speicherung der Daten, manuelle Fiebermessung – möglich sind.
Bei Nutzung von Fragebögen zur Ermittlung der Risiken verbleibt also wohl nur die Möglichkeit, nach Art. 9 Abs. 2 lit. a DSGVO die Einwilligung der Person einzuholen. Dabei sind allerdings die datenschutzrechtlich inhaltlichen und formalen Kriterien einzuhalten. So muss die betroffene Person die Einwilligung nicht nur ausdrücklich bezogen auf die Gesundheitsdaten, sondern auch freiwillig abgeben. Ob die Freiwilligkeit im Rahmen einer Passiervoraussetzung am Eingang vorliegt, bleibt zu diskutieren. Das Unternehmen sollte demnach auf weitere – datenschutzrechtlich unproblematische Maßnahmen – wie die Einschränkung von Besuchsmöglichkeiten, Hinweisschilder und strengere Hygienevorschriften zurückgreifen.
Praktikabler dürfte eine reine Information der Besucher mit Handlungsempfehlungen sein, die generell Informationen wie beispielsweise folgende enthalten können: „Falls sie Symptome X, Y oder Z aufweisen, bitten wir Sie unsere Räume nicht zu betreten und uns in dringenden Angelegenheiten telefonisch oder per E-Mail zu erreichen.“
III. Hintergrund: Rechtsgrundlagen der DSGVO
Gesundheitsdaten unterliegen dem Verarbeitungsverbot gemäß Art. 9 Abs. 1 DSGVO, der strengere Anforderungen als der für reguläre Datenverarbeitung geltende Art. 6 Abs. 1 DSGVO zur Folge hat. Allerdings normiert Art. 9 Abs. 2 DSGVO Ausnahmefälle, in denen eine Verarbeitung zugelassen ist. Als Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten im Zusammenhang mit Maßnahmen zum Schutz vor Corona Virus kommen grundsätzlich einige der Erlaubnistatbestände des Art. 9 Abs. 2 DSGVO in Betracht.
Art. 9 Abs. 2 lit. a DSGVO lässt die Datenverarbeitung auf Grundlage einer Einwilligung der betroffenen Person zu. Zu berücksichtigen ist, dass die Einwilligung hierbei – anders als bei Art. 6 Abs. 1 S. 1 lit. a DSGVO – nicht konkludent abgegeben werden kann. Zudem muss die Einwilligung in informierter Weise und freiwillig abgegeben werden, darf also nicht zwingend verlangt werden.
Nach den Ausnahmetatbeständen des Art. 9 Abs. 2 lit. i und g DSGVO kann der nationale Gesetzgeber unter bestimmten Voraussetzungen eigene Regelungen schaffen. Nach Art. 9 Abs. 2 lit. i DSGVO ist die Verarbeitung sensibler Daten zulässig, wenn es sich um den Bereich der öffentlichen Gesundheit handelt, wozu insbesondere „schwerwiegende grenzüberschreitende Gesundheitsgefahren“ sowie die „Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten“ gehören. Durch die immer schnellere Verbreitung des Coronavirus sind Maßnahmen zum Schutz grundsätzlich unter die grenzüberschreitenden Gesundheitsgefahren zu subsumieren.
Als weitere Rechtsgrundlage zur Rechtmäßigkeit der Verarbeitung könnte Art. 9 Abs. 2 lit. g DSGVO Anwendung finden. Danach kann der nationale Gesetzgeber Rechtsvorschriften erlassen, die den Unternehmen bei Vorliegen eines erheblichen öffentlichen Interesses die Verarbeitung besonderer Kategorien von personenbezogenen Daten erlauben. Ein solches erhebliches öffentliches Interesse liegt bei Kampf gegen Corona sicherlich vor, jedoch muss eben der deutsche Gesetzgeber entsprechende spezifische Bestimmungen schaffen, die die Verarbeitung und Bedingungen der erforderlichen Daten näher festlegen.
Die DSGVO zielt auf einen Schutz bei Pandemie-Gefahren ab und möchte eine Datenverarbeitung zum Zwecke der „Überwachung der Gesundheit und Gesundheitswarnungen“ (ErwG 52 DSGVO) zulassen. Dabei ist natürlich generell ein besonderes Augenmerk auf die Transparenz der Maßnahmen, die besondere Vertraulichkeit/IT-Sicherheit sowie die Datenminimierung zu legen. Zudem stellt ErwG 46 DSGVO klar:
„Einige Arten der Verarbeitung können sowohl wichtigen Gründen des öffentlichen Interesses als auch lebenswichtigen Interessen der betroffenen Person dienen; so kann beispielsweise die Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung […] erforderlich sein.“
Der nationale Gesetzgeber hat allerdings von den in Art. 9 DSGVO gegebenen Möglichkeiten, spezielle Gesetze zum Schutz vor Epidemien/Pandemien zu erlassen und dazu Unternehmen eine Verarbeitung von Gesundheitsdaten zu gestatten, nach derzeitigem Stand keinen eindeutigen Gebrauch gemacht. Es wurden lediglich im nationalen Recht eine Konkretisierung verschiedener Vorschriften vorgenommen.
IV. Hintergrund: Nationale Regelungen als Rechtsgrundlage
Der nationale Gesetzgeber hat in § 22 BDSG in Verbindung mit Art. 9 Abs. 2 lit. g DSGVO durch Erlaubnistatbestände die Möglichkeit geschaffen, abweichend von Art. 9 Abs. 2 DSGVO, die Verarbeitung von Gesundheitsdaten zu rechtfertigen. Unternehmen, die als nichtöffentliche Stellen zu qualifizieren sind, können unter bestimmten Voraussetzungen ihre Datenverarbeitung auf § 22 Abs. 1 Nr. 1 BDSG stützen.
1. Allgemeine nationale Regelungen zum Corona-Schutz
Wichtig ist § 22 Abs. 1 Nr. 1 lit. c BDSG, der den Ausnahmetatbestand des Art. 9 Abs. 2 lit. i DSGVO konkretisiert. Das öffentliche Interesse im Bereich der öffentlichen Gesundheit kann eine Datenverarbeitung rechtfertigen. Der Begriff der öffentlichen Gesundheit umfasst dabei:
„alle Elemente im Zusammenhang mit der Gesundheit, wie den Gesundheitszustand einschließlich Morbidität und Behinderung, die sich auf diesen Gesundheitszustand auswirkenden Determinanten, den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel, die Bereitstellung von Gesundheitsversorgungsleistungen und den allgemeinen Zugang zu diesen Leistungen sowie die entsprechenden Ausgaben und die Finanzierung und schließlich die Ursachen der Mortalität einschließen“ (ErwG 54 DSGVO).
So kann insbesondere der Schutz vor Pandemien von der öffentlichen Sicherheit umfasst sein. Die schnelle Verbreitung des Coronavirus und die lange Inkubationszeit fordern Maßnahmen, die den Bereich der öffentlichen Gesundheit tangieren. Der Verarbeitungsvorgang der Maßnahme muss erforderlich sein. Sobald Unternehmen ihre Daten für die erforderliche Aufrechterhaltung der öffentlichen Gesundheit verarbeiten – und dies trifft auf die aktuelle grenzüberschreitende Gefährdung durch das Coronavirus zu – findet die Rechtsgrundlage Anwendung. Dies können beispielsweise anlassbezogene Befragungen nach Dienstreise sein.
2. Verarbeitung von Mitarbeiterdaten
Verarbeitet das Unternehmen Informationen über den Gesundheitszustand der eigenen Mitarbeiter, findet § 26 Abs. 3 Satz 1 BDSG Anwendung. Danach ist die Verarbeitung rechtmäßig, wenn „sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.“ Aus Gründen der Fürsorge ist der Arbeitgeber verpflichtet, gegenüber seinen Arbeitnehmern einen infizierten Beschäftigten zu identifizieren und andere Beschäftigte vor einer Infektion im Unternehmen zu schützen.
Nichtsdestotrotz muss im Rahmen des § 26 Abs. 3 BDSG eine Interessenabwägung durchgeführt werden, denn die schutzwürdigen Interessen der betroffenen Person dürfen nicht überwiegen. So kann es zwar gerechtfertigt sein, Fragebögen der Arbeitnehmer auszuwerten und die Gesundheitsdaten zu speichern. Eine Veröffentlichung aller Daten eines Mitarbeiters im Unternehmen, zB. Ein Aushang mit „X hat sich mit Corona angesteckt“ wird aber voraussichtlich in der Abwägung scheitern, vielmehr werden nur Einzelmaßnahmen zum Schutz der Kollegen, die in Kontakt gestanden haben können, zulässig sein
3. Infektionsschutzgesetz
Zusätzlich ist das Infektionsschutzgesetz (z.B. § 9 IfSG) wesentlich bei einer Datenverarbeitung im Zusammenhang mit dem Coronavirus. Aufgrund § 15 Abs. 1 u. 2 IfSG hat das Bundesministerium für Gesundheit durch Verordnung vom 31.1.2020 die Meldepflicht nach § 8 IfSG auf das Coronavirus ausgedehnt. Diese Meldepflichten beziehen sich allerdings lediglich auf Ärzte und Angehörige von Gruppen der Heilberufe. Eine private Stelle oder infizierte Personen trifft also keine Meldepflicht. Daher hilft das IfSG für Unternehmen nicht weiter, sondern regelt nur Vorgaben für medizinische Stellen.
V. Fazit zur Datenverarbeitung zum Schutz vor Corona
Sobald Unternehmen bei Ihren Schutzmaßnahmen Gesundheitsdaten verarbeiten – dies lässt sich zum Schutze gegen den Coronavirus kaum vermeiden – sind datenschutzrechtliche Vorgaben zu berücksichtigen. Artikel 9 DSGVO sieht hierfür verschiedene Möglichkeiten vor, die allerdings durch den deutschen Gesetzgeber nur rudimentär ausgefüllt wurden.
Unternehmen können und sollten Abwehrmaßnahmen zum Schutz ihrer Belegschaft und des Betriebsablaufes treffen. Unproblematische Maßnahmen sind z.B. das Aufstellen von Warnschildern mit Informationen, die Aufforderung zur Desinfektion von Händen, die Ermöglichung von HomeOffice (aber IT-Sicherheit ist zu bedenken) oder die Bitte, dass die Arbeitsräume bei Vorliege von Symptomen nicht betreten werden sollen.
Die Speicherung von Gesundheitsdaten von Besuchern des Unternehmens sind – unabhängig vom Vorliegen einer wirksamen Einwilligung – unzulässig, ebenso die detaillierte Veröffentlichung sensibler Daten eines Mitarbeiters oder die pauschale Fiebermessung am Betriebseingang. Zulässige Maßnahmen mit Verarbeitung von Daten sind, insbesondere bei eigenen Mitarbeitern, die Erstellung von Fragebögen und die Speicherung der daraus resultierenden Gesundheitsdaten.
Kontakt: Dr. Matthias Lachenmann, Rechtsanwalt und Partner, Tel.: +49 221 / 270 956 – 180; E-Mail: matthias.lachenmann@bho-legal.com; Twitter: @Lawchenmann
Stand ist 10.3.2020. Der Beitrag wird regelmäßig aktualisiert werden, z.B. bei Stellungnahmen der Datenschutz-Aufsichtsbehörden.
1. Aktualisierung: Einarbeitung Stellungnahmen von EU-Aufsichtsbehörden und verschiedene Schärfungen.