Datenschutzbehörden äußern sich zur Datenverarbeitung durch Arbeitgeber im Zusammenhang mit der Corona-Pandemie

Dürfen Daten von Mitarbeitern sowie Gästen und Besuchern bei im Zusammenhang mit der Corona-Pandemie stehenden Maßnahmen durch Arbeitgeber verarbeitet werden? Die unabhängigen Datenschutzbehörden des Landes veröffentlichten dazu allgemeine Hinweise.

Verarbeitung personenbezogener Daten (Gesundheitsdaten)

Bei den verarbeiteten Daten im Zusammenhang mit der Corona-Pandemie handelt es sich in den meisten Fällen um Gesundheitsdaten. Diese sind nach Art. 9 DSGVO besonders geschützt. Daher gilt, dass eine Verarbeitung dieser Daten grundsätzlich nur restriktiv möglich ist. Unter Beachtung des Grundsatzes der Verhältnismäßigkeit und der gesetzlichen Grundlage ist in manchen Fällen eine datenschutzkonforme Verarbeitung möglich, etwa für Maßnahmen zur Eindämmung der Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern.

Mögliche legitimierte Maßnahmen

Folgende Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie könnten unter Umständen als auf Grundlage der DSGVO und des BDSG legitimiert betrachtet werden:

1. Der Arbeitgeber erhebt personenbezogene Daten (Gesundheitsdaten) von Angestellten und verarbeitet diese, um eine Ausbreitung des Virus unter den Beschäftigten zu verhindern oder einzudämmen. Die Legitimation gilt insbesondere für Fälle, bei denen eine Infektion oder der Kontakt zu Erkrankten festgestellt wurde oder in denen kürzlich ein Aufenthalt in einem Risikogebiet stattgefunden hat.

2. Personenbezogene Daten von Gästen und Besuchern einer Veranstaltung werden erhoben, um festzustellen ob diese infiziert sind, in Kontakt mit Erkrankten standen oder kürzlich ein Aufenthalt in einem Risikogebiet stattgefunden hat.

3. Personenbezogene Daten von Erkrankten oder unter Infektionsverdacht stehenden Personen werden offengelegt. Diese Verarbeitung dürfe jedoch nur als legitimiert betrachtet werden, wenn für die Vorsagemaßnahmen die Identität der Personen ausnahmsweise erforderlich ist.

Rechtsgrundlagen für die Verarbeitung

Die einschlägigen gesetzlichen Rechtsgrundlagen für die Verarbeitung variieren, u.a. je nach Maßnahme (z. B.Art. 6 Abs. 1 S. 1 lit. e DSGVO, § 26 Abs. 1 BDSG, § 26 Abs. 3 BDSG, Art. 9 Abs. 2 lit. b DSGVO). Grundsätzlich gilt jedoch, dass den Arbeitgeber eine Fürsorgepflicht trifft. Dazu zähle auch die Sicherstellung des Gesundheitsschutzes der Gesamtheit der Beschäftigten und wohl auch eine angemessene Reaktion auf die Verbreitung einer meldepflichtigen Krankheit. Die ergriffenen Maßnahmen müssten jedoch immer verhältnismäßig und eine vertrauliche sowie ausschließlich zweckgebundene Verwendung der Daten gewährleistet sein. Mit Wegfall des Verarbeitungszwecks seien die erhobenen Daten unverzüglich zu löschen.

Eine Einwilligung kommt ebenfalls in Betracht. Allerdings nur dann, wenn die Betroffenen entsprechend informiert sind und die Einwilligung in die Maßnahmen freiwillig erfolgt.

Sie interessiert das Thema und wünschen nähere Informationen?

Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber

Andere Leser interessierten sich auch für

Taskforce Corona
Liebe Mandanten, liebe Partner und sonstige interessierte Leserinnen und Leser, die dynamische Entwicklung infolge der Coronavirus-Pandemie ...
FAQ Corona – der LfDI Baden-Württemberg beantwortet häufige Fragen
Auch in Zeiten der Corona-Pandemie gelten die Grundsätze des Datenschutzes fort. Doch sie wirft neue Fragen auf. Der LfDI Baden-Württemberg beantwortet in einem FAQ häufige Fragen für Arbeitgeber und Unternehmen, welches in diesem Beitrag zusammengefasst wird.