Datenschutzbehörden äußern sich zur Datenverarbeitung durch Arbeitgeber im Zusammenhang mit der Corona-Pandemie

Folgende Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie könnten unter Umständen auf Grundlage der DSGVO und des BDSG zulässig sein:

1. Der Arbeitgeber erhebt personenbezogene Daten (Gesundheitsdaten) von Angestellten und verarbeitet diese, um eine Ausbreitung des Virus unter den Beschäftigten zu verhindern oder einzudämmen. Die Legitimation gilt insbesondere für Fälle, bei denen eine Infektion oder der Kontakt zu Erkrankten festgestellt wurde oder in denen kürzlich ein Aufenthalt in einem Risikogebiet stattgefunden hat.

2. Personenbezogene Daten von Gästen und Besuchern einer Veranstaltung werden erhoben, um festzustellen ob diese infiziert sind, in Kontakt mit Erkrankten standen oder kürzlich ein Aufenthalt in einem Risikogebiet stattgefunden hat.

3. Personenbezogene Daten von Erkrankten oder unter Infektionsverdacht stehenden Personen werden offengelegt. Diese Verarbeitung dürfe jedoch nur als legitimiert betrachtet werden, wenn für die Vorsorgemaßnahmen die Identität der Personen ausnahmsweise erforderlich ist.

Die einschlägigen gesetzlichen Rechtsgrundlagen für die Verarbeitung variieren, u.a. je nach Maßnahme (z. B.Art. 6 Abs. 1 S. 1 lit. e DSGVO, § 26 Abs. 1 BDSG, § 26 Abs. 3 BDSG, Art. 9 Abs. 2 lit. b DSGVO). Grundsätzlich gilt jedoch, dass den Arbeitgeber eine Fürsorgepflicht trifft. Dazu zähle auch die Sicherstellung des Gesundheitsschutzes der Gesamtheit der Beschäftigten sowie eine angemessene Reaktion auf die Verbreitung einer meldepflichtigen Krankheit. Die ergriffenen Maßnahmen müssten jedoch immer verhältnismäßig sein und eine vertrauliche sowie ausschließlich zweckgebundene Verwendung der Daten gewährleisten. Mit Wegfall des Verarbeitungszwecks seien die erhobenen Daten unverzüglich zu löschen.

Eine Einwilligung kommt ebenfalls in Betracht. Allerdings nur dann, wenn die Betroffenen entsprechend informiert sind und die Einwilligung in die Maßnahmen freiwillig erfolgt.