Verarbeitung der Beschäftigtendaten in der Corona-Pandemie

Arbeitsrecht, News, Datenschutzrecht   |   10. March 2022

Obwohl die Corona-Pandemie unser Leben nun bereits seit geraumer Zeit prägt und viele Unternehmensabläufe umgekrempelt hat, bestehen nach wie vor Rechtsunsicherheiten bei der Verarbeitung personenbezogener Daten von Beschäftigten. Insbesondere die Verarbeitung besonderer personenbezogener Daten von Beschäftigten, worunter Gesundheitsdaten fallen, ist heikel und birgt einige Fallen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat kürzlich eine Anwendungshilfe veröffentlicht. Darin gibt sie Antworten auf häufige Fragestellungen zur Verarbeitung von Beschäftigtendaten im Zusammenhang mit der Corona-Pandemie, die wir nachfolgend zusammengefasst haben.

Die DS-GVO enthält in den Art. 6 Abs. 2 und Abs. 3 DS-GVO, Art. 9 Abs. 2 und Abs. 4 DS-GVO sowie Art. 88 Abs. 1 DS-GVO Öffnungsklauseln. Diese gestatten den Mitgliedsstaaten, spezifischere Vorschriften für die Verarbeitung von Beschäftigtendaten sowie für die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 2 DS-GVO (z.B. Gesundheitsdaten) zu erlassen. Der nationale Gesetzgeber hat von dieser Möglichkeit u.a. mit dem Infektionsschutzgesetz (IfSG) Gebrauch gemacht. Zudem haben Landesgesetzgeber ergänzende Verordnungen zur Corona-Pandemie erlassen. Diese Vorschriften sind für die Beurteilung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten von Beschäftigten zu berücksichtigen.

Dürfen Beschäftigtendaten zur Pandemiebekämpfung verarbeitet werden?

Die DSK sagt – in sehr engen Grenzen – ja. Rechtsgrundlage ist § 6 Abs. 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f DS-GVO, jeweils in Verbindung mit den tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts. Werden Gesundheitsdaten verarbeitet, sind zudem spezialgesetzliche Bestimmungen wie die des IfSG sowie § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b DS-GVO zu beachten. Die seitens des Arbeitgebers ergriffenen Maßnahmen müssen jedoch – so die Anwendungshilfe – verhältnismäßig sein. Die Daten sind vertraulich zu behandeln, ausschließlich zweckgebunden zu verwenden und nach Wegfall des jeweiligen Verarbeitungszwecks (also spätestens am Ende der Pandemie) unverzüglich zu löschen.

Dürfen Beschäftigtendaten mittels eines „Kontakt-Tagebuchs“ (berufsbedingte bzw. innerbetriebliche Kontakte) zur Pandemiebekämpfung verarbeitet werden?

Nach Ansicht der DSK grundsätzlich ja. Denn die Pandemiebekämpfung wird als berechtigtes Interesse von Arbeitgebern angesehen, das Ansteckungsrisiko in Unternehmen zu reduzieren bzw. schnell eingrenzen zu können, um so auch den Betrieb des Unternehmens unter den Bedingungen der Pandemie soweit wie möglich aufrecht zu erhalten. Das Kontakt-Tagebuch erleichtert es den Arbeitgebern nach der Information eines Beschäftigten, an COVID erkrankt zu sein, dessen berufsbedingte bzw. innerbetrieblichen Kontakte zu ermitteln, diese über die Risikobegegnung zu unter-richten und ggfs. innerbetriebliche Vorkehrungen wie Homeoffice treffen zu können. Rechtsgrund-lage für diese Maßnahme ist nach Ansicht der DSK Art. 6 Abs. 1 lit. f DS-GVO.

Besonderheiten sind zu berücksichtigen, sollte die Berufsausübung des Beschäftigten einem gesetzlich angeordneten besonderen Geheimnisschutz unterliegen (z.B. betriebliche Datenschutzbeauftragte, Betriebsratsmitglieder oder im Betrieb angestellte Betriebsärzte). Sobald in diesen Fällen ein Kontakt-Tagebuch den Geheimnisschutz der Kontaktpersonen verletzen würde, fehlt es – so die DSK – an einem spezifischen gesetzlichen Erlaubnistatbestand zur Durchbrechung des Berufsgeheimnisschutzes. Eine Herausgabe oder Übermittlung der Kontaktdaten an Arbeitgeber ist in diesen Fällen unzulässig.

Im Zusammenhang mit dem Führen von Kontakt-Tagebüchern sind die allgemeinen datenschutz-rechtlichen Grundsätze zu beachten. So dürfen gemäß der Einschätzung der DSK nach dem Grundsatz der „Zweckbindung“ (Art. 5 Abs. 1 lit. b DS-GVO) Arbeitgeber die Eintragungen in einem Kontakt-Tagebuch nur nutzen, wenn ein Infektionsfall vorliegt. Außerdem ist nach dem Grundsatz der „Datenminimierung“ (Art. 5 Abs. 1 lit. c DS-GVO) eine Erfassung nur derjenigen personenbezogenen Daten zulässig, die für die Kontaktnachverfolgung notwendig sind. Die Nutzung der Kontaktdaten ist hiernach zudem auf einen möglichst engen Kreis ermächtigter Personen zu beschränken. Gemäß der Anwendungshilfe erfordern darüber hinaus der Grundsatz der „Speicherbegrenzung“ (Art. 5 Abs. 1 lit. e DS-GVO) und das Recht auf Löschung (Art. 17 DS-GVO), dass die Eintragungen regelmäßig nicht länger als zwei Wochen nach dem Kontakt gespeichert und nach der Zweckerfüllung gelöscht werden. Schließlich ist auch der Grundsatz der „Integrität und Vertraulichkeit“ (Art. 5 Abs. 1 lit. f DS-GVO) und deren Gewährleistung (Art. 24, 25 und 32 DS-GVO) zu wahren. Das Kontakt-Tagebuch müsse daher vor dem Zugriff unbefugter geschützt werden.

Dürfen private Kontaktdaten der Beschäftigten zur Pandemiebekämpfung verarbeitet werden?

Auch diese Frage bejaht die DSK, sofern eine Einwilligung der Beschäftigten vorliegt. Die Einwilligung muss jedoch wirksam, insbesondere freiwillig erteilt werden. Die DSK ist der Auffassung, dass wegen des zwischen dem Arbeitgeber und Beschäftigten bestehenden Über- und Unterordnungsverhältnisses das Kriterium der Freiwilligkeit bei Beschäftigten regelmäßig nicht gegeben sein wird. Nach § 26 Abs. 2 Satz 2 BDSG hat der Gesetzgeber jedoch beispielhaft Indizien genannt, wann ausnahmsweise von der Freiwilligkeit einer Einwilligung ausgegangen werden kann. Dies ist etwa dann der Fall, wenn für den Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen. Die DSK sieht die Pandemiebekämpfung als gleichgelagerte Interessen von Arbeitgeber und Beschäftigten. An dieser Stelle könne deshalb die Freiwilligkeit der Einwilligung ausnahmsweise angenommen werden. Allerdings müsse durch geeignete Maßnahmen gewährleistet sein, dass die Erteilung der Einwilligungen tat-sächlich freiwillig, zweckgebunden sowie schriftlich oder elektronisch erfolge. Die privaten Kontaktdaten dürfen gemäß der Anwendungshilfe sodann nur zu dem in der Einwilligung angegeben Zweck der Pandemiebekämpfung verarbeitet werden.

Dürfen positiv getestete Beschäftigte innerhalb der gesamten Belegschaft oder gegenüber ihren (möglichen) Kontaktpersonen namentlich bekanntgegeben werden?

Da die namentliche Bekanntgabe der positiv getesteten Person innerhalb der gesamten Belegschaft für die Wahrnehmung des vom Arbeitgeber verfolgten Interesses der Pandemiebekämpfung nicht erforderlich ist, darf eine Namensnennung nach Auffassung der DSK i.d.R. nicht erfolgen. Stattdessen könne man einzelne Kontakte beim Erkrankten abfragen und diese im Anschluss – ohne Namensnennung – über eine mögliche Infektion informieren.

Dürfen Beschäftigtendaten mittels des Einsatzes von sogenannten Wärmebildkameras zur Pandemiebekämpfung verarbeitet werden?

Grundsätzlich nein, sagt die DSK. Für die Temperaturmessung mittels Wärmebildkameras bedürfte es einer wirksamen Einwilligung des jeweiligen Beschäftigten. Die DSK sieht in der Pandemiebekämpfung zwar grundsätzlich gleichgelagerte Interessen von Arbeitgeber und Beschäftigten. Eine freiwillige und damit wirksame Einwilligung erscheint daher trotz des dem Arbeitsverhältnis immanenten Unter- und Überordnungsverhältnisses möglich. Dies aber nur, wenn der Beschäftigte eine echte Wahl hat. Sind also alle Betriebseingänge mit Wärmebildkamera ausgestattet, kann nach der Einschätzung der DSK eine Freiwilligkeit bei der Einwilligung nicht angenommen werden. Existieren hingegen Betriebseingänge ohne Wärmebildkamera, erscheint eine wirksame Einwilligungserklärung des Beschäftigten möglich. Die Einwilligung muss sich ausdrücklich auf das verarbeitete Datum (Körpertemperatur) beziehen, § 26 Abs. 3 Satz 2 BDSG.

Dürfen Beschäftigtendaten bei der Nutzung von Videokonferenzsystem verarbeitet werden?

Grundsätzlich ja, nach Auffassung der DSK. Je nach Kontext der Verarbeitungssituation kann sich eine Befugnisnorm aus Art. 6 Abs. 1 lit. a, b oder f DS-GVO, ggf. auch in Verbindung mit dem nationalen Recht, ergeben. Die Verarbeitung kann also entweder auf eine Einwilligungserklärung gestützt werden oder dadurch rechtmäßig sein, dass sie für die Vertragserfüllung erforderlich ist. Bestehen im Rahmen der Vertragserfüllung grundsätzlich Alternativen zur Videokonferenz oder nehmen Beschäftigte anderer Unternehmen und sonstige Personen an einer Videokonferenz teil, können nach Ansicht der DSK auch berechtigte Interessen nach Art. 6 Abs. lit. f DS-GVO die Datenverarbeitung legitimieren. Dabei ist jedoch zu beachten, dass die Betroffenen auf ihr Widerspruchsrecht nach Art. 21 Abs. 4 DS-GVO hinzuweisen sind.

Dürfen Arbeitgeber die „3-G-Daten“ ihrer Beschäftigten verarbeiten?

Ja, gemäß der Anwendungshilfe jedenfalls in den gesetzlich geregelten Fällen. Das sind insbesondere:

  • Zutrittskontrolle zur Arbeitsstätte, § 28b Abs. 1 Satz 1 Variante 1, Abs. 3 IfSG

Kann an einer Arbeitsstätte ein Zusammentreffen mit anderen Personen nicht ausgeschlossen werden, dürfen Arbeitgeber und deren Beschäftigte die Arbeitsstätte nur betreten, wenn sie geimpft, genesen oder negativ getestet sind und einen jeweiligen Nachweis darüber mit sich führen, zur Kontrolle bereithalten oder bei ihrem Arbeitgeber hinterlegt haben (§ 28 b Abs. 1 IfSG). Arbeitgeber haben insofern eine Überprüfungspflicht. Hierfür dürfen sie eigene Beschäftigte einsetzen oder Dritte beauftragen. Mit Dritten ist ggf. ein Auftragsverarbeitungsvertrag zu schließen sowie eine Verschwiegenheitsverpflichtungserklärung. Die DSK empfiehlt, die eigenen Beschäftigten auf ihre Verschwiegenheitspflicht zu sensibilisieren. Welche Daten und wie genau diese verarbeitet werden dürfen, betrachtet die DSK differenzierend zwischen den verschiedenen Kontrollmöglichkeiten:

  • Kontrolle am „Werkstor durch Pfortendienst”

Die DSK erachtet es insofern als ausreichend, dass Beschäftigte einen 3-G-Nachweis vorlegen. Praxisüblich dürfte ein Sichtabgleich des 3-G-Nachweises mit einem Werksausweis sein, sofern der kontrollierte Beschäftigte der kontrollierenden Person nicht persönlich bekannt ist. Existiert kein Werksausweis, könnte der Sichtabgleich auch anhand eines amtlichen Ausweisdokumentes erfolgen.

  • CovPassCheck-App

Möglich und üblich ist auch eine Kontrolle des 3-G-Nachweises in digitaler Form. Diese kann durch die auf betriebseigenen Geräten installierte kostenfreie CovPassCheck-App erfolgen. Gemäß der Anwendungshilfe erfolgt die Prüfung hierbei insofern verhältnismäßig daten-sparsam, als über den Namen und das Geburtsdatum hinaus lediglich angezeigt wird, dass die kontrollierte Person über ein gültiges Zertifikat verfügt, wohingegen nicht offenbart wird, ob es sich dabei um ein Impf- oder Genesenenzertifikat handelt. Ferner finde keine Speiche-rung der vorgezeigten Daten statt. Die datenschutzkonforme Verarbeitung der Beschäftigtendaten verbleibt nach der Einschätzung der DSK beim Arbeitgeber bzw. dem beauftragten Dritten als Verantwortlicher (Art. 4 Nr. 7 DS-GVO).

  • Vereinfachte Kontrollprozesse

Um sich eine aufwendige Kontrolle tagesaktueller Tests zu ersparen, liegt es für Arbeitgeber nahe, den 2-G-Status ihrer Beschäftigten sowie dessen Enddatum zu erfassen. Die DSK rät Arbeitgebern hierbei aus Gründen der Rechtssicherheit, die Einwilligung der Beschäftigten einzuholen, da aus dem Wortlaut des § 28 Abs. 1 IfSG nicht hervorgehe, dass der Arbeitgeber differenziert erfassen darf, ob ein Beschäftigter geimpft, genesen oder getestet ist. Da auch geimpfte und genesene Personen statt ihres Impf- oder Genesenenzertifikats einen tages-aktuellen Testnachweis vorlegen könnten, geht die DSK von einer echten Wahl des Beschäftigten und damit von der Möglichkeit einer freiwilligen Einwilligungserklärung aus. Liegt eine entsprechende Einwilligung der geimpften oder genesenen Person vor, kann der Arbeitgeber – so die Anwendungshilfe – Daten wie des Zutrittsdatum, Vor- und Zuname, die Vorlage eines 2G-Nachweises und ggf. das Ablaufdatum verarbeiten.

  • Vorabübermittlung des 3-G-Nachweises

Da gesetzlich nicht vorgesehen ist, dass 3-G-Nachweise bereits vorab postalisch oder elektronisch an den Arbeitgeber übermittelt werden, kann dies gemäß der Anwendungshilfe regelmäßig nur aufgrund einer wirksamen Einwilligung des Beschäftigten geschehen. Liegt eine solche nicht vor, müsse man dem Beschäftigten Möglichkeiten eröffnen, den Nachweis über den 3-G-Status vor Betreten der Arbeitsstätte zu erbringen. Akzeptiert der Arbeitgeber die elektronische Einreichung des 3-G-Nachweises, muss er für die Wahrung der Vertraulichkeit und Integrität der übermittelten Daten z.B. Sorge tragen, z.B. durch geeignete Verschlüsselungen.

  • Durch den Arbeitgeber angebotene Tests

Bietet der Arbeitgeber betriebliche Testungen durch geschultes Personal oder Selbsttests unter Aufsicht an, so ist in datenschutzrechtlicher Hinsicht zu beachten, dass bei einem negativen Testergebnis keine weitere Verarbeitung von Beschäftigtendaten erforderlich sein dürfte. Stellt der Arbeitgeber über das negative Testergebnis einen Nachweis aus, darf die Verarbeitung der Beschäftigtendaten in diesem Zusammenhang nur mit einer wirksamen Einwilligung des Betroffenen erfolgen. Ist das Testergebnis positiv, so darf zunächst nur für die Personalabteilung vermerkt werden, dass der Betroffene aufgrund dessen die Arbeitsstätte nicht betreten durfte.

  • Dokumentation der Nachweiskontrolle, § 28b Abs. 3 Satz 1 IfSG

Die Nachweiskontrollen des Arbeitgebers sind nach dem Wortlaut des § 28b Abs. 3 Satz 1 IfSG täglich durchzuführen und regelmäßig zu dokumentieren. Nicht gesetzlich geregelt sei allerdings, dass hierfür die Verarbeitung personenbezogener Daten oder eine Differenzierung zwischen Impf-, Genesenen- oder Testnachweis erfolgen muss, wes-halb hier eine genaue Prüfung vorzunehmen sei, welche Beschäftigtendaten für die Erfüllung der Dokumentationspflicht erforderlich sind. Regelmäßig wird es genügen, den Prüfungsprozess zu dokumentieren, also die prüfende Person, die Mittel der Zutrittskontrolle und das Datum. Demgegenüber sei in der Regel eine personengenaue Speicherung von Gesundheitsdaten oder das Kopieren von 3-G-Nachweisen nicht erforderlich.

Dürfen Arbeitgeber für ihre Beschäftigten Impftermine organisieren und im Rahmen dessen Daten verarbeiten?

Gemäß der Einschätzung der DSK ist dies mit einer wirksamen Einwilligung des Beschäftigten in die Übermittlung der Daten an das Impfzentrum möglich. Darüber hinaus handelt es sich bei er Impfwilligkeit um ein Gesundheitsdatum (Art. 4 Nr. 15 DS-GVO), sodass sich die Einwilligung ausdrücklich auch hierauf erstrecken muss. In diesem Zusammenhang ist ebenfalls der datenschutzrechtliche Grundsatz der „Datenminimierung“ (Art. 5 Abs. 1 lit. c DS-GVO) zu beachten, sodass die Übermittlung der Namen der geimpften Beschäftigten, so die DSK, möglicherweise genügt. Es sollte darauf geachtet werden, dass die Gesundheitsdaten, die die Beschäftigten im Zuge der Impfung offenlegen müssen, nur gegenüber den Impfenden offengelegt werden. Ferner verlangen der Grundsatz der „Speicherbegrenzung“ (Art. 5 Abs. 1 lit. e) und das Recht auf Löschung (Art. 17 DS-GVO), dass die Gesundheitsdaten des Beschäftigten nach der erfolgten Anmeldung und ggf. der Abrechnung der Impfung aufgrund der Zweckerfüllung zu löschen sind.

Fazit

Die Anwendungshilfe der DSK räumt einige Unsicherheiten von Arbeitgebern im Umgang mit den Gesundheitsdaten ihrer Beschäftigten aus und bringt etwas Licht ins datenschutzrechtliche Dunkel. Zwar sind die Befugnisse der Arbeitgeber zur Verarbeitung besonderer personenbezogener Daten in der Pandemie auf den ersten Blick recht weitgehend. Die Anwendungshilfe verdeutlicht aber, dass trotz des scheinbar leichtfertigen Umgangs mit Gesundheitsdaten weiterhin strenge gesetzliche Anforderungen erfüllt werden müssen und im Rahmen dessen auch datenschutz-rechtliche Grundsätze uneingeschränkt Geltung beanspruchen, weshalb unter anderem in vielen Fällen eine Verarbeitung ausschließlich aufgrund einer wirksamen Einwilligung des betroffenen Beschäftigten zulässig ist.


 


 
Author
Madelaine Isabelle Baade

Madelaine Isabelle Baade

Rechtsanwältin
Assoziierte Partnerin


View profile
Experts

Stay up to date

Gerne halten wir Sie mit unserer RB news und unserem Newsletter auf dem Laufenden.

News abonnieren