Corona XXVII: Fürsorgepflicht des Arbeitgebers: Spagat zwischen Datenschutz-Compliance, Gesundheit und Wirtschaftlichkeit

07. April 2020

Trotz der sprunghaft angestiegenen Homeoffice-Arbeitsplätze (hierzu auch unser Beitrag „Corona XIV_ „Stay@home & Work@home“ (https://www.ksb-intax.de/blog/coronaxiv-stay-home-work-home/), gibt es weiterhin Branchen, in welchen ein mobiles Arbeiten schlichtweg nicht möglich ist – man denke etwa an die zahlreichen Mitarbeiter, die teils händisch Atemschutzmasken produzieren. Dies führt natürlich zu einer gewissen Zwickmühle auf Seiten des Arbeitgebers. Einerseits hat man die Gesundheit der Mitarbeiter zu gewährleisten, und anderseits ist man für den wirtschaftlichen Erfolg des Unternehmens verantwortlich. In der Folge haben die Arbeitgeber verschiedene Maßnahmen implementiert, wie etwa Fiebermesskontrollen, Meldepflichten bei positiven Corona-Tests oder auch das vergangene Urlaubsziel.

Problematisch dabei ist, dass es sich bei Daten über die Gesundheit eines Mitarbeiters um besonders sensible Daten handelt, deren Erhebung und Verarbeitung gemäß Art. 9 DSGVO, §§ 22, 26 Abs. 3 BDSG nur unter sehr engen Voraussetzungen zulässig ist. Es verwundert daher nicht, dass sich die Datenschutzkonferenz bereits am 13.03.2020 zu der Frage geäußert hat, inwieweit Arbeitgeber Gesundheitsdaten ihrer Mitarbeiter im Zusammenhang mit der Corona-Krise verarbeiten dürfen.

Vorab: Natürlich bleibt es bei den allgemeinen Grundsätzen der Datensparsamkeit und auch dem Erlaubnisvorbehalt – also die Verarbeitung personenbezogener Daten ist so lange unzulässig, wie sie nicht nach Art. 6 Abs. 1 S. 1 lit. a) bis f) DSGVO rechtmäßig ist. Gleichwohl sind folgende Fragen und Maßnahmen aufgrund der dominierenden Fürsorgepflicht des Arbeitgebers einhellig als zulässig erachtet worden:

Frage nach einer positiven Corona-Infektion;
Aufenthalt im relevanten Zeitraum in einem vom Robert-Koch-Institut als Risikogebiet eingestuften Gebiet;
Nachweisbarer Kontakt innerhalb der letzten 14 Tage mit einem Infizierten;
Anlassbezogene Frage nach coronatypischen Symptomen wie Husten und Fieber;
Verpflichtung zur aktiven Meldepflicht sowie
Im Einzelfall Fiebermessungen, wenn es einen nachweislich Infizierten im Unternehmen gibt.

Beachte: Informations- und Löschpflichten

Allgemein gilt weiterhin, dass die erhobenen personenbezogenen Daten schnellstmöglich gelöscht werden müssen. Vereinzelt kann dabei aber ein Zeitraum von 14 Tagen (Quarantänezeit) gelten. Grundsätzlich sollen auch nur solche Mitarbeiter informiert werden, welche sich in der direkten Arbeitsumgebung zu dem Infizierten aufgehalten haben – etwa in einem Team. Die Namensnennung ist aber regelmäßig nicht erforderlich. Alternativ können auch direkt die Gesundheitsbehörden informiert werden, womit die weiteren Maßnahmen in deren Verantwortlichkeitsbereich fallen dürften. Arbeitgeber sollten aber stets ihren betrieblichen oder externen Datenschutzbeauftragten einbinden.

Bei rechtlichen Fragen rund um diese Themen stehen wir Ihnen gerne zur Verfügung. KSB INTAX ist der Ansprechpartner für den Mittelstand in Norddeutschland. Wir unterstützen Sie gerne.