Gastbeitrag von Tobias Kohl, LL.M.
In der Corona-Pandemie sind Arbeitgeber zum Schutz ihrer Mitarbeiter gefordert, geeignete Abwehrmaßnahmen zu treffen. Auf was sie hierbei mit Blick auf den Datenschutz achten müssen und wie weit sie gehen dürfen, erklärt Tobias Kohl.
Der Coronavirus schränkt das öffentliche und private Leben immer weiter ein: Zunächst wurden Großveranstaltungen abgesagt, dann nach und nach Schulen, Kitas, Restaurants, Kneipen, Clubs und Geschäfte geschlossen. Die Aufzählung ließe sich fortsetzen, weitere staatliche sowie privatwirtschaftliche Maßnahmen werden folgen.
In diesen Zeiten haben Gesundheit und Sicherheit der Bevölkerung oberste Priorität. Manche Arbeitgeber haben deswegen schon früh angefangen, die Belegschaft über den Coronavirus aufzuklären, Desinfektionsmittel für die Hände einzukaufen und strenge Hygienevorschriften einzuführen.
Inzwischen gehen einige Arbeitgeber sogar dazu über, Selbstauskünfte von den Mitarbeitern einzuholen oder Fragebögen ausfüllen zu lassen. Dabei wird nach dem Gesundheitszustand der Beschäftigten, möglichen Aufenthalten in Risikogebieten oder Kontakt zu nachweislich infizierten Personen gefragt. Aus den gewonnenen Informationen sollen Maßnahmen abgeleitet werden, die eine Ausbreitung des Virus unter den Mitarbeitern verhindern oder zumindest eindämmen sollen.
Nur: Wie weit darf der Arbeitgeber dabei gehen?
Arbeitnehmer kann, muss aber keinen Gesundheitsfragebogen ausfüllen
Grundsätzlich muss der Beschäftigte gegenüber seinem Arbeitgeber keine Angaben zu seiner Gesundheit machen. Er ist und bleibt Herr seiner Daten. Der Arbeitgeber muss auch – und in der Coronakrise insbesondere – die Datenschutz- und Persönlichkeitsrechte seiner Mitarbeiter wahren.
Sobald ein Arbeitgeber nun die Information aus der Selbstauskunft oder dem Fragebogen speichert, dass ein Beschäftigter Symptome des Coronavirus zeigt, erfasst er Gesundheitsdaten. Diese sind in Art. 4 Nr. 15 Datenschutzgrundverordnung (DSGVO) definiert. Ausweislich der Erläuterung in Erwägungsgrund 35 DSGVO fallen darunter Informationen über den früheren, gegenwärtigen und den zukünftigen Gesundheitsstand einer Person.
Hinzu kommt, dass es sich bei Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO um eine besondere Kategorie von personenbezogenen Daten handelt. Eine Verarbeitung dieser Daten ist entsprechend nur in den engen Grenzen des Art. 9 Abs. 2 DSGVO möglich. Die Norm nennt Fälle, in denen besondere Daten wie die Gesundheitsdaten ausnahmsweise doch verarbeitet werden dürfen. Ob ein solcher hier einschlägig ist?
Datenschutzbehörden: Gesundheitsschutz als Rechtfertigungsgrund
Das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder – kurz: die Datenschutzkonferenz – veröffentlichte jüngst allgemeine Hinweise dazu, wie Arbeitgeber in der aktuellen Notsituation datenschutzkonform personenbezogene Daten und Gesundheitsdaten erheben und verarbeiten können.
Nach Ansicht der Aufsichtsbehörden können die oben beispielhaft genannten Selbstauskünfte und Fragebögen als Maßnahme gegen die weitere Verbreitung und Eindämmung der Corona-Pandemie zulässig sein, soweit diese verhältnismäßig sind und der Arbeitgeber die datenschutzrechtlichen Grundsätze der DSGVO und des Bundesdatenschutzgesetzes (BDSG) einhält. Hierzu gehören etwa die Informationspflichten, die Angabe einer Rechtsgrundlage für die Verarbeitung sowie die Gewährung von Betroffenenrechten.
Die Datenschützer sind der Ansicht, dass sich die Datenverarbeitung auf verschiedene Rechtsgrundlagen aus der DSGVO und dem BDSG in Verbindung mit Landesdatenschutzgesetzen- und Fachgesetzen (etwa das Infektionsschutzgesetz) stützen lassen können.
Fürsorgepflicht gegenüber der Belegschaft
Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten können Art. 9 Abs. 2 lit. b DSGVO und § 26 Abs. 3 BDSG sein. Danach ist die Verarbeitung sensibler Daten wie Gesundheitsdaten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie etwa zur Erfüllung rechtlicher Pflichten des Arbeitgebers aus dem Arbeitsrecht erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.
Dies sei hier der Fall, befand die Datenschutzkonferenz nun kürzlich, da der Arbeitgeber eine Fürsorgepflicht gegenüber seinen Mitarbeitern habe (§ 618 Abs. 1 BGB) und er nach § 3 Arbeitsschutzgesetz verpflichtet ist, Gesundheitsrisiken am Arbeitsplatz soweit wie möglich auszuschließen. Bei der Erhebung und Verarbeitung der Daten aus der Selbstauskunft bzw. dem Fragebogen sei aber darauf zu achten, dass die Daten vertraulich behandelt und ausschließlich zweckgebunden verwendet werden, so die Datenschützer. Wie üblich sind die Daten nach Wegfall des Verarbeitungszwecks – mithin dem Ende der Pandemie – unverzüglich zu löschen.
#stayathome: Wie Arbeitgeber Homeoffice ermöglichen
Zu den wichtigsten Verhaltensregeln zum Schutz vor dem Coronavirus gehört auch die Devise: „Bleiben Sie zu Hause.“ Dies gilt, wenn mit dem Arbeitgeber abgesprochen, auch für das berufliche Umfeld. Viele Arbeitgeber sind daher dazu übergangen, die Mitarbeiter ins Homeoffice zu schicken.
Diese Maßnahme fordert nicht nur von den Arbeitnehmern viel Disziplin, sondern bringt auch einige datenschutzrechtliche Herausforderungen für den Arbeitgeber mit sich. Schließlich wird ihm durch die räumliche Verlagerung der Daten in die vier Wände des Mitarbeiters die Kontroll- und Zugriffsmöglichkeit genommen.
Wohl dem, der die Tätigkeit im Homeoffice mit der Unterstützung seines Datenschutzbeauftragten und gegebenenfalls unter Einbeziehung des Betriebsrats in einer Richtlinie geregelt hat. In einer solchen Richtlinie sind nämlich die Rechte und Pflichten beider Seiten festgehalten.
Der Arbeitgeber muss – insbesondere aufgrund der nunmehr erhöhten Gefahr unberechtigter Einwirkung auf seine Daten (er bleibt datenschutzrechtlich Verantwortlicher) – sicherstellen, dass der Fernzugriff von zu Hause auf die Betriebssysteme des Unternehmens über einen sicheren Remote-Zugang, etwa ein Virtual Private Network (VPN), und nur nach Eingabe eines Passwort möglich ist.
Was Arbeitnehmer bei der Arbeit von zuhause aus beachten müssen
Auch die dem Mitarbeiter zur Verfügung gestellte Hardware wie Laptops, Firmen-Handys oder USB-Sticks sollte verschlüsselt und mit einem Passwortschutz versehen sein.
Arbeitnehmer werden in einer Homeoffice-Richtlinie in der Regel verpflichtet, – wie auch im Büro – dafür Sorge zu tragen, dass keine Unberechtigten (dazu zählen auch Familie und Freunde) Zugang oder Zugriff auf die sensiblen Daten haben.
Die vom Arbeitgeber zur Verfügung gestellte IT-Ausstattung sollten ausschließlich von den Arbeitnehmern und dann auch nur für dienstliche Zwecke genutzt werden. In Zeiten von Smart-Home-Geräten wie Amazon Echo, Google-Assistent oder Cortana müssen intelligente Lautsprecher, die das gesprochene Wort aus dem Wohnzimmer über das Internet an den Hersteller übertragen, während der Arbeitszeit ausgeschaltet sein.
Zudem sollten die Mitarbeiter wissen, wie Daten oder Datenträger zu Hause zu sichern oder zu vernichten sind und was im Fall einer Datenpanne zu tun ist.
Wenn Arbeitgeber ihre Mitarbeiter ins Homeoffice schicken, kann das helfen, die Pandemie einzuschränken. Zum anderen ist es aber auch wichtig, den Betriebsablauf möglichst ohne Beeinträchtigungen aufrechtzuerhalten. Trotz Coronavirus gilt nämlich: The show must go on.
Der Autor Tobias Kohl, LL.M. ist Rechtsanwalt (Syndikusrechtsanwalt) bei der Postcode Lotterie DT gGmbH und Inhaber der Datenschutzberatung Got Privacy?!