Der Coronavirus ist auf dem Rückzug – eine datenschutzrechtliche Zwischenbilanz

()

Die vergangenen zehn Wochen stellte die Gesamtbevölkerung auf eine Bewährungsprobe. Viele sind selbst oder einer ihrer Nächsten ist an Corona erkrankt. Die meisten Bürger haben aber die vergangenen Wochen ohne gesundheitliche Einschränkungen, aber mit Einschnitten ihres alltäglichen Lebens erlebt. Dennoch ist es nicht zynisch die Corona-Krise auch als Chance zu begreifen, «„Deutschland ein Stück weit freier aufzustellen und vor allen Dingen Investitionen so zu nutzen, dass daraus nachhaltig wirtschaftliche Stärke und Wachstum entstehen kann“ », wie Annegret Kramp-Karrenbauer in einem Interview mit dem Nachrichtendienst n-tv jüngst betonte.

Auch wenn Corona auf dem Rückzug scheint, die Normalität im Alltag einkehrt und Arbeitnehmer in ihre Unternehmen zurückkehren, lohnt es sich einen Blick auf die gängigen und diskutierten Maßnahmen zum Schutz der Betriebe (auch in Vorbereitung auf eine mögliche zweite Welle) zu werfen. Die Bandbreite der Maßnahmen reichte von der Erhebung und Veröffentlichung von Mitarbeiterdaten, Fiebermessungen, Erhebung von Besucherdaten und Kontaktpersonen im Falle eines Verdachts bzw. eines positiven Corona-Befunds. Die Zulässigkeit einzelner Maßnahmen wird teilweise kontrovers diskutiert.

Datenschutzrechtliche Prinzipien beachten

Bei allen Maßnahmen, die eine Nutzung personenbezogener Daten bedingen, sind die datenschutzrechtlichen Grundprinzipien zu berücksichtigen. Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise (d.h. transparent) verarbeitet werden, Artikel 5 Abs. 1 a) DSGVO. Die Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden (Artikel 5 Abs. 1 b) DSGVO) und müssen auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Artikel 5 Abs. 1 c) DSGVO). Bei der Verarbeitung von Daten im Zusammenhang mit Corona sind die besonderen Vorgaben des Artikel 9 DSGVO zu berücksichtigen. Datenerhebungen im Zusammenhang mit Corona gehen mit einer Verarbeitung von Gesundheitsdaten einher, die als „sensible“ personenbezogener Daten besonders schutzbedürftig sind und nach der Konzeption der DSGVO einer besonderen Rechtfertigung bedürfen. Die für nichtöffentliche Stellen wichtigsten Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten finden sich in § 26 Abs. 3 BDSG (in Bezug auf Gesundheitsdaten von Beschäftigten) und Artikel 9 Abs. 2 i) DSGVO i.V.m. § 22 Abs. 1 Nr. 1 c) BDSG (in Bezug auf Gesundheitsdaten von Nicht-Beschäftigten). Diese Regelungen werden für bestimmte Betriebe von Corona-Schutz-Verordnungen der einzelnen Bundesländer in Umsetzung der Ermächtigungsgrundlage nach § 32 Infektionsschutzgesetz (IfSG) flankiert, z.B. in Bayern durch die Vierte Bayerische Infektionsschutzmaßnahmenverordnung vom 5. Mai 2020 nebst Änderungsverordnung oder in NRW durch die Verordnung zum Schutz vor Neuinfizierungen mit dem Coronavirus SARS-CoV-2.

Nicht vergessen dürfen die weiteren Vorgaben der Datenschutzgesetze für eine zulässige Datenverarbeitung, insbesondere die Einhaltung der Transparenzpflichten in Form von Datenschutzerklärungen sowie die Einführung angemessener Sicherheitsmaßnahmen und Richtlinien zur Sicherstellung der Vertraulichkeit, worauf der Europäische Datenschutzausschuss in seiner Stellungnahme zur Verarbeitung personenbezogener Daten im Zusammenhang mit dem Ausbruch von COVID-19 vom 13. März 2020 oder die Datenschutzkonferenz in ihrer Entschließung vom 3. April 2020 hingewiesen haben.

Die datenschutzrechtliche Rechenschaftspflicht (Artikel 5 Abs. 2 DSGVO) verpflichtet Unternehmen zur Dokumentation der konkreten Maßnahmen, ihrer Rechtsgrundlage und ggf. der durchgeführten Interessenabwägung sowie zum Nachweis, dass die Stelle ihren datenschutzrechtlichen Pflichten umfassend nachgekommen ist.

Zulässigkeit einzelner Maßnahmen

Erhebung und Veröffentlichung von Mitarbeiterdaten

Der Arbeitgeber ist aufgrund seiner arbeitsrechtlichen Fürsorgepflichten aus dem Arbeitsvertrag und dem Arbeitsschutzgesetz (ArbSchG) gegenüber anderen Arbeitnehmern und aufgrund seiner Schutzpflichten gegenüber Dritten zu angemessenen Reaktionen auf die Verbreitung von Corona verpflichtet. Dazu gehören Maßnahmen der Vorsorge und Nachverfolgbarkeit von möglichen Corona-Fällen. Ein entsprechendes Fragerecht in Form von Selbstauskünften der Mitarbeiter ist von den Fürsorge- und Schutzpflichten gedeckt und nach § 26 Abs. 3 BDSG (bei Gesundheitsdaten) bzw. Artikel 6 Abs. 1 S. 1 f) DSGVO (bei allen übrigen Daten) datenschutzrechtlich zulässig. Das Fragerecht ist allerdings durch das Korrektiv der Erforderlichkeit beschränkt und darf sich nur auf Fragen zur Aufklärung von Corona erstrecken. Zulässig sind etwa:

  •  Fragen nach typischen Symptomen einer Corona-Infektion;
  • Fragen nach einem positiven Corona-Test;
  • Fragen nach Reisezielen in eines der anerkannten und behördlich ausgewiesenen Risikogebiete (sofern vorhanden);
  • Fragen nach Infektionen und Verdachtsfällen bei Personen, mit denen Beschäftigte oder Personen aus deren unmittelbaren Umfeld (z. B. Haushaltsangehörige, enge Bekannte) innerhalb der letzten 14 Tage direkten Kontakt hatten.

Aufgrund der Transparenzpflichten sind etwaigen Fragebögen Datenschutzhinweise (Artikel 13 DSGVO) beizufügen oder erforderlichenfalls auf Online-Datenschutzhinweise zu verweisen. Ferner müssen auch die übrige datenschutzrechtliche Dokumentation, insbesondere das Verarbeitungsverzeichnis aktualisiert, (technische) Sicherheitsmaßnahmen zur Aufbewahrung der Daten ergriffen und Löschfristen bzw. Maßnahmen zur sicheren Löschung der Daten festgelegt werden.

Eine Veröffentlichung des Namens einer in Infektionsverdacht stehenden oder nachweislich infizierten Person gegenüber der Öffentlichkeit (z.B. auf der Website), um alle Personen zu erreichen, die potentiell mit einem infizierten Mitarbeiter Kontakt hatten, ist nicht, die Veröffentlichung innerhalb des Unternehmens (z.B. Intranet) nur als ultima ratio zulässig. Im ersten Fall dürfte die Verbreitung des Namens des Mitarbeiters gegenüber der Öffentlichkeit, insbesondere aufgrund der damit einhergehenden Stigmatisierung des Arbeitnehmers, unverhältnismäßig sein, weil sich die Veröffentlichung jedenfalls auch an einen nicht abgrenzbaren Personenkreis richtet, der keinen Kontakt mit dem Mitarbeiter hatte und somit eine Infizierung mit Corona ausgeschlossen ist. Im zweiten Fall sind zunächst mögliche Kontaktpersonen innerhalb des Unternehmens zu identifizieren, wozu der Arbeitnehmer aufgrund seiner Nebenpflichten aus dem Arbeitsverhältnis verpflichtet ist. Eine Offenlegung des Namens zur Information der Kontaktpersonen ist aber auch in diesem Fall nur dann rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Unternehmensinterne Corona-Tracker

Während an der allgemeinen Corona-Tracking-App (Corona-Warn-App) noch entwickelt wird, bieten einige Entwickler Contact-Tracing-Apps für Smartphones oder stand-alone Produkte in Form tragbarer Geräte eigens für unternehmensinterne Zwecke an. Derartige Technologien zeichnen Kontakte zwischen den Mitarbeitern in pseudonymisierter Form auf. Zugriff auf die Daten innerhalb des Unternehmens soll ausschließlich eine Person mit entsprechenden Admin-Rechten (z.B. IT-Beauftragter) haben. So ließen sich etwaige Infektionsverläufe innerhalb des Betriebes nachvollziehen, ohne auf die (u.U. lückenhafte) Erinnerung des Beschäftigten angewiesen zu sein. Damit die generierten Daten ihren Zweck (Kontaktnachverfolgung) erreichen, ist allerdings erforderlich, dass die Nutzer den Corona-Tracer stets bei sich führen, was nicht zuverlässig gewährleistet werden kann.

Neben diesem praktischen Problem, ist fraglich, ob Arbeitgeber die Nutzung dieser Technologien kraft ihres Direktionsrechts verpflichtend vorschreiben können. Nach dem Willen des Europäischen Datenschutzausschusses müssen Tracing-Technologien grundsätzlich freiwillig bleiben. Erwägt der Arbeitgeber den verpflichtenden Einsatz derartiger Technologien, ist jedenfalls der Betriebsrat einzubinden, weil der Einsatz Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb betrifft (§ 87 Abs. 1 Nr. 1 BetrVG) bzw. weil sie geeignet sind, das Verhalten der Arbeitnehmer zu überwachen (§ 87 Abs. 1 Nr. 6 BetrVG). Aus der DSGVO ergeben sich mit der Verpflichtung für den Arbeitgeber, eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO in Erwägung zu ziehen, und der Anpassung der datenschutzrechtlichen Dokumentation weitere formale Hürden im Zusammenhang mit dem Einsatz von Corona-Tracing-Apps bzw. -Geräten.

Fiebermessungen/Wärmebildkameras

Fiebermessungen werden äußerst kontrovers diskutiert, wobei etwa die Aufsichtsbehörde Rheinland-Pfalz bereits die Geeignetheit von Fiebermessungen zur Feststellung einer Corona-Erkrankung als solches anzweifelt, die Aufsichtsbehörde Nordrhein-Westfalen aber Fiebermessungen am Eingang von Betriebsgeländen oder Gebäudenunter engen Voraussetzungen nach § 26 Abs. 3 S. 1 BDSG gerechtfertigt. Richtig ist, dass Fiebermessungen keine eindeutige Schlussfolgerung auf eine Corona-Infektion zulassen. Nicht richtig ist, Fiebermessungen schlichtweg die Geeignetheit abzusprechen. Sie sind zur Bestimmung einer Corona-Infektion geeignet, weil eine der Corona-Symptome Fieber sein kann. Sie sind lediglich nicht zur eindeutigen Bestimmung einer Corona-Infektion geeignet. Genauso wenig ist aber etwa die Befragung von Beschäftigten nach Corona-spezifischen Symptomen zur eindeutigen Bestimmung einer Corona-Infektion geeignet, weil Corona eben auch ganz ohne Symptome einhergehen kann. Es leuchtet auch nicht auf Anhieb ein, weshalb die Befragung der Beschäftigten nach Corona-spezifischen Symptomen mittels Fragebögen weniger in die Persönlichkeitsrechte der Beschäftigten eingreifen soll als Fiebermessungen. Fiebermessungen pauschal als datenschutzrechtlich unzulässig anzusehen, dürfte daher zu weit gehen. Wenn nicht anlasslos, sollten Fiebermessungen jedenfalls bei konkreten Verdachtsfällen als eine zusätzliche Maßnahme zur Aufklärung zulässig sein, wie dies auch Ziffer 13 der SARS-CoV-2-Arbeitsschutzstandard vom 16. April 2020 vorsieht.

Für Fiebermessungen von Nicht-Beschäftigten – soweit es sich hierbei überhaupt um eine datenschutzrechtlich relevante Verarbeitung von Daten handelt, vgl. Artikel 2 Abs. 1 DSGVO – kann allein auf Artikel 9 Abs. 2 i) DSGVO i.V.m. § 22 Abs. 1 Nr. 1c) BDSG zurückgegriffen werden. Es ist durchaus zweifelhaft, inwieweit Fiebermessungen von Besuchern „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten erforderlich“ sind, wie § 22 Abs. 1 Nr. 1c) BDSG fordert. Konkrete Maßnahmen wie Fiebermessungen lassen sich nur bedingt unter die recht allgemein gehaltene Vorschrift fassen. Die hessische Aufsichtsbehörde hat die Fiebermessungen des Computerherstellers Apple bei Filialbesuchern zum Anlass einer datenschutzrechtlichen Prüfung und einer Besprechung im Rahmen der Datenschutzkonferenz genommen. Es bleibt abzuwarten, wie sich die Aufsichtsbehörden zur Zulässigkeit von Fiebermessungen positionieren und ob sich die Aussagen der Aufsichtsbehörden auf andere Situationen übertragen lassen.

In jedem Fall sind auch für derartige Maßnahmen die datenschutzrechtlichen Pflichten, insbesondere Transparenzpflichten zu berücksichtigen und ggf. die datenschutzrechtlichen Dokumentationen zu aktualisieren.

Erhebung von Kunden-/Besucherdaten

Die Erhebung von Kunden-/Besucherdaten zur Feststellung, ob diese selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen, kann nach Ansicht der Datenschutzkonferenz auf Artikel 6 Abs. 1 S. 1f) DSGVO und, soweit Gesundheitsdaten betroffen sind, auf Artikel 9 Abs. 2 i) i.V.m. § 22 Abs. 1 Nr. 1c) BDSG zurückgegriffen werden. Hinsichtlich Art und des zulässigen Umfangs der dabei erhobenen personenbezogenen Daten ist erforderlich, aber auch ausreichend, den Namen und ein weiteres Kontaktdatum (Anschrift, Telefonnummer oder E-Mail-Adresse) der Person sowie den Zeitraum des Aufenthalts im Betrieb abzufragen (vgl. Ziffer 12 der SARS-CoV-2-Arbeitsschutzstandard vom 16. April 2020). Von der Abfrage weiterer Daten ist aufgrund des Prinzips der Datenminimierung abzusehen.

Für gastronomische Betriebe besteht aufgrund der Corona-Schutz-Verordnungen auf Landesebene eine Pflicht zur Erhebung von Gästen, z.B. in Bayern aufgrund von § 13 Abs. 4 Satz 3 der Vierten Bayerischen Infektionsschutzmaßnahmenverordnung i.V.m. dem Hygienekonzept Gastronomie der Bayerischen Staatsministerien für Gesundheit und Pflege und für Wirtschaft, Landesentwicklung und Energie“ (dort Ziffer 3.2.9): Name, Telefonnummer und Zeitraum des Aufenthaltes. Diese Daten sind allein zum Zweck der Kontaktpersonenermittlung zu erfassen und dürfen nicht für andere Zwecke, z.B. Werbung, verwendet werden.

Fazit

Unternehmen sitzen in Zeiten von Corona zwischen den Stühlen. Einerseits sind sie verpflichtet entsprechende Maßnahmen zur Eindämmung von Corona und zum Schutz ihrer Beschäftigten und Kunden zu ergreifen. Andererseits setzt der Datenschutz bei einzelnen Maßnahmen Grenzen und formale Hürden, auch wenn der Datenschutz seine Flexibilität bewiesen hat und Maßnahmen nicht grundsätzlich entgegensteht. Die notwendigen Formalien reichen von der Erstellung/Aktualisierung von Datenschutzerklärungen, über die Durchführung von Interessenabwägungen und Datenschutz-Folgenabschätzungen bis hin zur Implementierung von technischen Sicherheitsmaßnahmen. Soweit noch nicht geschehen, sollte die „Ruhephase“ genutzt werden, geeignete Maßnahmen vorzubereiten und die datenschutzrechtlichen Anforderungen zu erfüllen.

Ihr Kontakt:
Tobias Neufeld, LL.M., Partner
+49 172 6865 911
E tobias.neufeld@arqis.com

zurück