Corona XXVII: Fürsorgepflicht des Arbeitgebers: Spagat zwischen Datenschutz-Compliance, Gesundheit und Wirtschaftlichkeit
Problematisch dabei ist, dass es sich bei Daten über die Gesundheit eines Mitarbeiters um besonders sensible Daten handelt, deren Erhebung und Verarbeitung gemäß Art. 9 DSGVO, §§ 22, 26 Abs. 3 BDSG nur unter sehr engen Voraussetzungen zulässig ist. Es verwundert daher nicht, dass sich die Datenschutzkonferenz bereits am 13.03.2020 zu der Frage geäußert hat, inwieweit Arbeitgeber Gesundheitsdaten ihrer Mitarbeiter im Zusammenhang mit der Corona-Krise verarbeiten dürfen.
Vorab: Natürlich bleibt es bei den allgemeinen Grundsätzen der Datensparsamkeit und auch dem Erlaubnisvorbehalt – also die Verarbeitung personenbezogener Daten ist so lange unzulässig, wie sie nicht nach Art. 6 Abs. 1 S. 1 lit. a) bis f) DSGVO rechtmäßig ist. Gleichwohl sind folgende Fragen und Maßnahmen aufgrund der dominierenden Fürsorgepflicht des Arbeitgebers einhellig als zulässig erachtet worden:
- Frage nach einer positiven Corona-Infektion;
- Aufenthalt im relevanten Zeitraum in einem vom Robert-Koch-Institut als Risikogebiet eingestuften Gebiet;
- Nachweisbarer Kontakt innerhalb der letzten 14 Tage mit einem Infizierten;
- Anlassbezogene Frage nach coronatypischen Symptomen wie Husten und Fieber;
- Verpflichtung zur aktiven Meldepflicht sowie
- Im Einzelfall Fiebermessungen, wenn es einen nachweislich Infizierten im Unternehmen gibt.
Beachte: Informations- und Löschpflichten
Allgemein gilt weiterhin, dass die erhobenen personenbezogenen Daten schnellstmöglich gelöscht werden müssen. Vereinzelt kann dabei aber ein Zeitraum von 14 Tagen (Quarantänezeit) gelten. Grundsätzlich sollen auch nur solche Mitarbeiter informiert werden, welche sich in der direkten Arbeitsumgebung zu dem Infizierten aufgehalten haben – etwa in einem Team. Die Namensnennung ist aber regelmäßig nicht erforderlich. Alternativ können auch direkt die Gesundheitsbehörden informiert werden, womit die weiteren Maßnahmen in deren Verantwortlichkeitsbereich fallen dürften. Arbeitgeber sollten aber stets ihren betrieblichen oder externen Datenschutzbeauftragten einbinden.
Bei rechtlichen Fragen rund um diese Themen stehen wir Ihnen gerne zur Verfügung. KSB INTAX ist der Ansprechpartner für den Mittelstand in Norddeutschland. Wir unterstützen Sie gerne.