18. März 2020
Coronavirus Datenschutz
Coronavirus - Handlungsempfehlungen für Unternehmen Datenschutzrecht

Datenschutz trotz Corona: Aufsichtsbehörden geben Hinweise

Allerorts werden Präventions- und Schutzmaßnahmen gegen die Corona-Pandemie ergriffen. Dabei muss auch das Datenschutzrecht beachtet werden.

Angesichts der Corona-Pandemie fragen sich viele Arbeitgeber, welche Präventions- und Schutzmaßnahmen für die eigenen Mitarbeiter, Kunden oder Besucher ergriffen werden müssen. Häufig gehen die Maßnahmen mit der Verarbeitung von gesundheitsbezogenen personenbezogenen Daten der Betroffenen einher. Solche Daten gelten als besonders sensibel und dürfen nach Art. 9 der Datenschutz-Grundverordnung (DSGVO) nur unter engen Voraussetzungen verarbeitet werden.

Um im Eifer des Gefechts nicht gegen das Datenschutzrecht zu verstoßen, müssen die Maßnahmen vor der Einführung bewertet werden.

Datenschutzbehörden informieren über Beschäftigtendatenschutz in Zeiten der Corona-Pandemie

Die Aufsichtsbehörden haben nun erste datenschutzrechtliche Stellungnahmen zum Umgang mit der Corona-Pandemie veröffentlicht. In ihrer Stellungnahme vom 13. März 2020 hat sich zunächst die Datenschutzkonferenz (DSK) geäußert.

Am selben Tag hat auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BaWü) eine Sammlung häufig gestellter Fragen veröffentlicht. Am 16. März 2020 hat nunmehr auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) Hinweise zum Beschäftigtendatenschutz in Zeiten des Coronavirus online zur Verfügung gestellt. Der Europäische Datenschutzausschuss, ein Zusammenschluss der nationalen Aufsichtsbehörden der EU-Staaten, hat sich ebenfalls am 16. März 2020 in einer Pressemitteilung geäußert.

Im Wesentlichen lassen sich aus den Stellungnahmen folgende Erkenntnisse ziehen:

Erhebung von Mitarbeiterdaten zur Bekämpfung des Coronavirus kann zulässig sein

Die Fürsorgepflicht des Arbeitgebers gebietet es, den Gesundheitsschutz der Mitarbeiter sicherzustellen. Um dieser Pflicht nachzukommen, dürfen auch personenbezogene Daten (einschließlich Gesundheitsdaten) von Mitarbeitern verarbeitet werden. Die Verarbeitung muss dazu dienen, eine Ausbreitung des Virus unter den Mitarbeitern bestmöglich zu verhindern oder einzudämmen. Besonders in Fällen,

  • in denen eine Infektion festgestellt wurde,
  • Kontakt mit einer nachweislich infizierten Person bestanden hat oder
  • ein Aufenthalt in einem vom Robert-Koch-Institut als Risikogebiet eingestuften Gebiet stattgefunden hat,

kann eine Verarbeitung von Mitarbeiterdaten im Rahmen des Verhältnismäßigen erlaubt sein.

Sofern sensible Gesundheitsdaten verarbeitet werden, kann die Verarbeitung durch § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO legitimiert werden. Hiernach ist die Verarbeitung von Gesundheitsdaten unter anderem zulässig, wenn sie zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht – hier der Erfüllung der Fürsorgepflicht des Arbeitgebers – erforderlich ist und im Falle des § 26 Abs. 3 BDSG kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Einige typische Fallgruppen für solche Datenverarbeitungen sind:

  • Erhebung privater Kontaktdaten für Notfälle: Nach Auffassung des LfDI BaWü darf der Arbeitgeber insbesondere aktuelle private Handynummern von der Belegschaft erheben, um die Beschäftigten im Falle einer Schließung des Betriebs oder in ähnlichen Fällen kurzfristig warnen oder auffordern zu können, zu Hause zu bleiben. Die Speicherung dürfe allerdings nur temporär und im Einverständnis mit dem Beschäftigten erfolgen. Eine Pflicht zur Offenlegung privater Kontaktdaten bestehe nicht, liege jedoch regelmäßig im eigenen Interesse des Beschäftigten.
  • Erhebung von Informationen über Kontaktpersonen: Zur Eindämmung des Infektionsrisikos als Teil seiner Fürsorgepflicht ist der Arbeitgeber laut LfDI BaWü auch befugt, Informationen darüber zu erheben, zu welchen Personen ein erkrankter Mitarbeiter Kontakt hatte. Entsprechende Verarbeitungen zum Zwecke der arbeitsmedizinischen Vorsorge können nach Art. 6 Abs. 1 S. 1 lit. c) DSGVO i.V.m. Art. 9 Abs. 1, 4 DSGVO und § 26 Abs. 3 S. 1, § 22 Abs. 1 Nr. 1 lit. b) BDSG zu rechtfertigen sein.
  • Erhebung von Informationen über Aufenthalte in Risikogebieten: Ebenso sei der Arbeitgeber gegenüber aus dem Urlaub zurückkehrenden Mitarbeitern zur Nachfrage berechtigt, ob diese sich in einem Risikogebiet aufgehalten haben. Nach Auffassung des LfDI RLP sei eine detaillierte Befragung aller Beschäftigten in Form eines Fragebogens hierfür nicht erforderlich. Vorzugswürdig sei es, auf die derzeit als Gebiet mit erhöhter Ansteckungsgefahr qualifizierten Länder hinzuweisen und sodann die Beschäftigten aufzufordern mitzuteilen, falls sie sich kürzlich in einem dieser Gebiete aufgehalten haben. Die Angabe des konkreten Ziels oder die Dauer des Aufenthalts ist insoweit entbehrlich. Auch nach Auffassung des LfDI BaWü sei eine Negativauskunft der betroffenen Mitarbeiter regelmäßig ausreichend.
  • Erhebung von Gesundheitsdaten durch Erfassen der Körpertemperatur: Laut LfDI RLP dürfe der Arbeitgeber hingegen nicht das Betreten der Räumlichkeiten des Unternehmens oder der Behörde durch die Beschäftigten davon abhängig machen, dass diese zunächst ihre Körpertemperatur erfassen lassen, da angesichts bestehender Alternativen wie Heimarbeit insoweit nicht von einer Erforderlichkeit der Datenverarbeitung auszugehen sei.

Erhebung von personenbezogenen Daten Dritter

Auch im Hinblick auf Gäste und Besucher ist die Erhebung bestimmter personenbezogener Daten (einschließlich Gesundheitsdaten) laut DSK zulässig, insbesondere wenn die Verarbeitung der Feststellung eines möglichen Infektionsrisikos dient. Datenverarbeitungen zur Durchführung von Maßnahmen gegenüber Dritten seien nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO zu rechtfertigen, wobei bei der Verarbeitung von Gesundheitsdaten zudem Art. 9 Abs. 2 lit. i) i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG Anwendung finde.

Offenlegung und Weitergabe personenbezogener Daten

Auch die Offenlegung oder Weitergabe von Mitarbeiter- oder Kundendaten durch Unternehmen kann nach Auffassung der Aufsichtsbehörden in bestimmten Fällen zulässig sein:

  • Offenlegung innerhalb der Belegschaft zur Information von Kontaktpersonen: Nach Auffassung der DSK ist eine Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist. Auch aus Sicht des LfDI BaWü ist die Weitergabe des Namens eines infizierten Mitarbeiters innerhalb der Belegschaft grundsätzlich zu vermeiden, auch gegenüber Mitarbeitern, die in direktem Kontakt zum Infizierten standen und möglicherweise selbst freizustellen sind. Derartige Maßnahmen seien aufgrund der Gefahr einer Stigmatisierung vielmehr abteilungs- oder teambezogen ohne konkrete Namensnennung vorzunehmen. In Ausnahmefällen seien zunächst das Gesundheitsamt oder in letzter Instanz die übrigen Mitarbeiter in Kenntnis zu setzen. Laut LfDI RLP sei es am datensparsamsten, den betroffenen Beschäftigten selbst um die Vorlage einer Liste von Kollegen zu bitten und diese gezielt anzusprechen, da sich eine unternehmens- oder behördenweite namentliche Benennung des erkrankten Beschäftigten so erübrige.
  • Weitergabe von Mitarbeiter- oder Kundendaten an Hoheitsträger: Nach Auffassung des LfDi BaWü sei im Falle eines Ersuchens der zuständigen Hoheitsträger bezüglich erkrankter Beschäftigter im Betrieb, insbesondere auf der Grundlage des Infektionsschutzgesetzes (IfSG), grundsätzlich von einer mit der Übermittlungspflicht korrespondierenden Übermittlungsbefugnis der Arbeitgeber auszugehen.

Fazit: Krisenbewusstsein der Aufsichtsbehörden

Besondere Zeiten erfordern besondere Maßnahmen. Die Stellungnahmen der Aufsichtsbehörden zeigen Praxisnähe und geben hilfreiche Hinweise für ein datenschutzkonformes Krisenmanagement zur Eindämmung der Corona-Pandemie.

Arbeitgeber sollten aber darauf achten, die ergriffenen Maßnahmen und die datenschutzrechtliche Bewertung zu dokumentieren. Zudem müssen sie sicherstellen, dass die Daten nach Zweckerreichung umgehend gelöscht werden.

Angesichts des Ausmaßes der Krise dürften schnell erhebliche Datenpools entstehen, die ausreichend gegen unbefugten Zugriff geschützt werden müssen. Kommt es mangels einer ausreichenden Sicherung zu einem Datenschutzvorfall, droht aufgrund der Sensibilität der Daten nicht nur ein Reputationsschaden, sondern auch ein erhebliches Bußgeld. Trotz der Eilbedürftigkeit sollte daher ein besonderes Augenmerk auf die Sicherung der Daten gelegt werden.

In unserer Blogserie zu „Coronavirus: Handlungsempfehlungen für Unternehmen″ zeigen wir anhand der aktuellen Situation unternehmensbezogene Stolpersteine auf, die in Krisenzeiten zu beachten sind. Bereits erschienen sind Beiträge zu Verhandlungen, Verjährungen und Verfristungen sowie Haftungsfragen bei Absagen von Messen und Veranstaltungen, zum Datenschutz trotz Corona und zu Möglichkeiten von Aktiengesellschaften zur Cash-Ersparnis sowie Vermögensübertragungen zu steuergünstigen Konditionen. In weiteren Beiträgen gehen wir ein auf die Erstellung eines Notfallplans, auf Vertriebsverträge und Tipps für Lieferanten in Krisenzeiten und auf Auswirkungen auf Lebensmittel- und Hygieneverordnungen. Im Anschluss haben wir uns mit der streitigen (gerichtlichen) Auseinandersetzung befasst, sind auf kartellrechtliche Auswirkungen sowie die Bedeutung für den Kapitalmarkt eingegangen. Näher befasst haben wir uns auch mit „infizierten″ Vertragsverhandlungen, den Änderungen in Mittel- und Osteuropa sowie mit klinischen Studien und dem neuen EU-Leitfaden für Sponsoren uns Prüfärzte. Weiter geht es mit Pflichten zur Abgabe der Steuererklärung und eventuell steuerstrafrechtlichen Haftungsrisiken, dem Moratorium für Zahlungsverpflichtungen von Verbrauchern und KleinstunternehmernUnterstützungsmaßnahmen für Start-ups, das Kurzarbeitergeld, sowie den Erleichterungen für Stiftungen und Vereine und GmbH-Gesellschafterbeschlüssen. Es folgten weitere Beiträge zu Kooperationen im Gesundheitswesen und zu Sachspenden an Krankenhäuser, zum Marktzugang für persönliche Schutzausrüstung und Medizinprodukte, zur Beschlagnahmemöglichkeit von Schutzausrüstung durch den Staat und zu Auswirkungen auf laufende IT-Projekte. Zuletzt haben wir auf die Haftung bei betrieblichen Corona-Schutzimpfungsprogrammen hingewiesen.


Aktuelle Informationen zu COVID-19 finden Sie in unserem Corona Center auf unserer Website. Wenn Sie Fragen zum Umgang mit der aktuellen Lage und zu den Auswirkungen für Ihr Unternehmen haben, sprechen Sie unser CMS Response Team jederzeit gerne an.

Tags: Aufsichtsbehörden Beschäftigte Coronavirus Datenschutzrecht & Recht der IT-Sicherheit DSK Pandemie