Sie haben Fragen?

+49 6321 48446-0
|
info@8com.de
|
KARRIERE
|
EN

Datenschutz in Zeiten von Corona

26. März 2020

Was Arbeitgeber jetzt mit den Daten ihrer Mitarbeiter machen dürfen

Während einer globalen Pandemie wie der derzeitigen Ausbreitung des Coronavirus wollen Unternehmen und Behörden nicht nur ihre wirtschaftliche Existenz sichern. Ihnen geht es auch um die Gesundheit von Mitarbeitern, Kunden und Besuchern. Dafür sind Maßnahmen nötig, die die Verarbeitung personenbezogener Daten umfassen. Da es sich dabei in der Regel um Gesundheitsdaten handelt, die einem besonderen gesetzlichen Schutz unterliegen, müssen Arbeitgeber und Dienstherren in Krisenzeiten datenschutzrechtliche Aspekte beachten.

Die Verarbeitung von Gesundheitsdaten ist grundsätzlich nur sehr eingeschränkt erlaubt. Trotzdem können nach Ansicht der Datenschutzkonferenz der Länder (DSK) diverse Maßnahmen zur Eindämmung der Corona-Pandemie und zum Schutz von Mitarbeitern datenschutzkonform umgesetzt werden. Der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage seien dabei stets zu beachten.

Was ist erlaubt?

Die DSK listet eine ganze Reihe von beispielhaften Maßnahmen „zur Eindämmung und Bekämpfung der Corona-Pandemie“ auf, die sie als „datenschutzrechtlich legitimiert“ ansieht:

• Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Fälle:

- in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.

- in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.

Beispiel: Die Kollegin war vor Kurzem noch im Skiurlaub in Tirol und möchte nun wieder ins Büro. Hier kann der Arbeitgeber verlangen, informiert zu werden und den Aufenthalt im Risikogebiet dokumentieren, um andere Mitarbeiter und ggf. auch Kunden zu schützen.

• Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese

- selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.

- sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.

Beispiel: In Italien wird an den Eingängen der Supermärkte berührungslos die Körpertemperatur der Kunden gemessen. Wer Fieber hat, darf das Geschäft aus Sicherheitsgründen nicht betreten.  

• Die Offenlegung personenbezogener Daten von Personen, die nachweislich infiziert sind oder unter Infektionsverdacht stehen, ist zur Information von Kontaktpersonen nur rechtmäßig, wenn dies für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Beispiel: Ein Mitarbeiter hat sich infiziert und dies seinem Arbeitgeber gemeldet. Er darf die Infektion des Kollegen im Unternehmen bekannt machen, um herauszufinden, welche weiteren Mitarbeiter betroffen sein könnten.  

Weitere Informationen und die rechtlichen Grundlagen für eine Verarbeitung von Gesundheitsdaten finden Sie auf der Webseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.

Bild (c) Gerd Altmann / Pixabay

Zurück zur Blog-übersicht

Erhalten Sie regelmäßig Informationen aus der Welt der Cyber Security und wertvolle Sicherheitstipps.