Leider macht es die aktuelle Verbreitung des Corona-Virus erforderlich, dass plötzlich Informationen und personenbezogene Daten von Mitarbeitern oder Besuchern unter einem anderen Licht betrachtet werden müssen. Dabei ist von besonderem Interesse: Darf/Muss ein Arbeitgeber wissen, ob ein Mitarbeiter sich infiziert hat? Was gilt im Hinblick auf die Daten von näheren Kontaktpersonen dieses Mitarbeiters? Was ist hinsichtlich auf Gäste und Besucher des Unternehmens zu beachten?
Diese Fragen haben die deutschen Datenschutzaufsichtsbehörden in der vergangenen Woche aufgegriffen. Im Kern gilt dabei, dass sich der Schutz personenbezogener Daten und Maßnahmen zur Bekämpfung der Infektion nicht entgegenstehen, solange diese Maßnahmen verhältnismäßig sind.
Zwar handelt es sich bei personenbezogenen Daten im Zusammenhang mit der Corona-Pandemie in der Regel um Gesundheitsdaten im Sinne des Art. 9 DSGVO, die nur sehr restriktiv verarbeitet werden dürfen. Dennoch sind Verarbeitungen zur Eindämmung der Pandemie oder zum Schutz der eigenen Mitarbeiter zulässig.
Als solche führen die Behörden an:
- Erhebung und Verarbeitung
personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten
durch den Arbeitgeber, um eine Ausbreitung des Virus unter den Beschäftigten
bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere
Informationen zu den Fällen:
– in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat;
– in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
- Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese
– selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen;
– sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.
Diese Datenverarbeitungen können alle auf gesetzliche Erlaubnistatbestände aus der DSGVO und dem BDSG gestützt werden. Aber auch für Mitarbeiter selbst bestehen Rücksichts-, Verhaltens- und Mitwirkungspflichten gegenüber ihrem Arbeitgeber und Dritten. Insbesondere stellt nach Auffassung der Datenschutzbehörden die Pflicht zur Information des Arbeitgebers über das Vorliegen einer Infektion mit dem Corona-Virus eine solche Nebenpflicht zum Schutz hochrangiger Interessen Dritter dar.