Covid-19 und Datenschutz: Welche Maßnahmen dürfen Arbeitgeber treffen?
Der Corona-Virus (Covid-19 bzw. „SARS-CoV-2“) bewegt die Welt. Die wachsende Zahl der Infektionen verlangt, dass geeignete Abwehrmaßnahmen zum Schutz von Arbeitnehmern getroffen werden. Viele Unternehmen wollen hierzu beitragen und dadurch auch vermeiden, dass es zu Standortschließungen kommt. Einige der Maßnahmen beinhalten dabei auch das Erheben von Gesundheitsdaten; z.B. durch Fiebermessungen oder Fragebögen, die an Mitarbeiter verteilt werden und in denen nach Krankheitssymptomen gefragt wird.
Doch wo liegen hierbei die datenschutzrechtlichen Grenzen? Einige der europäischen Datenschutzbehörden sowie deutsche Fachleute haben sich dazu bereits geäußert. Eine Web-Übersicht.
Stellungnahmen der Datenschutzbehördenim Ausland
Die datenschutzrechtliche Kernfrage bei solchen Maßnahmen des Arbeitgebers ist, ob er für die Verarbeitung von personenbezogenen Gesundheitsdaten eine Rechtsgrundlage hat. Die Norm, in der dies geregelt ist, ist Art. 9 DSGVO, in der Regel in Verbindung mit nationalem Datenschutzrecht.
Die irische Datenschutzbehörde DPC hat die Ansicht geäußert, hierfür kämen zwei Rechtsgrundlagen in Frage: Art. 9 Abs. 2 lit. i DSGVO (Datenverarbeitung im öffentlichen Interesse der Gesundheitsversorgung) und Art. 9 Abs. 2 lit. b DSGVO (Erfüllung arbeitsrechtlicher Pflichten) i.V.m. dem irischen Safety, Health and Welfare at Work Act 2005. Art. 9 Abs. 2 lit. i setze aber voraus, dass die Arbeitgeber Anweisungen oder Empfehlungen der Gesundheitsbehörden befolgen und außerdem spezielle Datenschutz-Sicherungen implementieren (z.B. Löschfristen). In Bezug auf die Erfüllung arbeitsrechtlicher Pflichten schreibt die DPC:
Employers also have a legal obligation to protect their employees under the Safety, Health and Welfare at Work Act 2005 (as amended). This obligation together with Article 9(2)(b) GDPR provides a legal basis to process personal data, including health data, where it is deemed necessary and proportionate to do so. Any data that is processed must be treated in a confidential manner i.e. any communications to staff about the possible presence of coronavirus in the workplace should not generally identify any individual employees.
Zu den Maßnahmen, die die DPC für zulässig hält, gehört beispielsweise die Verpflichtung von allen Mitarbeitern zum Ausfüllen eines Fragebogens.
Zu den Empfehlungen der irischen Datenschutzbehörde DPC.
In dieselbe Richtung hat sich am 12.03.2020 auch die ICO geäußert:
You have an obligation to protect your employees’ health, but that doesn’t necessarily mean you need to gather lots of information about them. It’s reasonable to ask people to tell you if they have visited a particular country, or are experiencing COVID-19 symptoms. […] If that’s not enough and you still need to collect specific health data, don’t collect more than you need and ensure that any information collected is treated with the appropriate safeguards.
Die Hinweise der ICO befassen sich auch noch mit anderen Fragen, beispielsweise ob/wie Mitarbeiter von zuhause aus arbeiten können (ja), und ob während der Pandemie dieselben Datenschutz-Fristen eingehalten werden müssen (nein).
Ähnlich sieht es auch die ungarische Datenschutzbehörde NAIH. In ihrer Handreichung zum Umgang mit Covid-19 nennt sie ebenfalls die Rechtsgrundlagen des 9 Abs. 2 lit. b und lit. i DSGVO. Sie weist allerdings darauf hin, dass Arbeitgeber andere Vorbeugemaßnahmen ausschöpfen sollten (z.B. durch Mitarbeiterbelehrungen oder Zurverfügungstellen von Händedesinfektion), bevor sie zu Mitteln der Datenverarbeitung greifen.
Zur Stellungnahme der ungarischen Datenschutzbehörde.
In die gleiche Richtung geht auch ein kurzes Statement der dänischen Datenschutzbehörde Datatilsynet auf ihrer Homepage:
Unter diesen Umständen [bei konkreter Covid-19-Gefahr] ist es für den Arbeitgeber auch gerechtfertigt, Informationen aufzuzeichnen und offenzulegen, die als Gesundheitsinformationen angesehen werden können, z. dass ein Mitarbeiter mit neuem Coronavirus infiziert ist. Die Überlegungen hier können beispielsweise sein, dass Management und Kollegen die erforderlichen Vorsichtsmaßnahmen treffen können.
Es ist jedoch wichtig zu beachten, dass die Registrierung oder Offenlegung sachlich sein muss und die aufgezeichneten und offengelegten Informationen auf das Notwendige beschränkt sein müssen.
Bemerkenswert ist an dem Statement der Datatilsynet außerdem, dass sie offenbar davon ausgeht, dass die Tatsache, das ein Mitarbeiter krank ist, kein Gesundheitsdatum darstellt.
Zur Stellungnahme der Datatilsynet.
Anders als die DPC, NAIH und Datatilsynet sieht es die französische Datenschutzbehörde CNIL. Diese äußert:
[…] Arbeitgeber dürfen keine Maßnahmen ergreifen, die die Privatsphäre der Betroffenen verletzen könnten, insbesondere durch die Erhebung von Gesundheitsdaten […]. Diese Daten unterliegen dem besonderen Schutz der DSGVO und den Bestimmungen des Gesetzbuches für das öffentliche Gesundheitswesen.
Dabei macht die CNIL sehr deutlich, welche Maßnahmen sie für unzulässig hält:
Beispielsweise müssen Arbeitgeber es unterlassen, systematisch und allgemein oder durch individuelle Anfragen Informationen über mögliche Symptome von Arbeitnehmern oder deren Angehörigen zu sammeln. Es ist daher nicht zulässig, beispielsweise:
• obligatorische Körpertemperaturmessungen jedes Mitarbeiters/Vertreters/Besuchers anzuordnen, die täglich an seine Vorgesetzten zu senden sind;
• systematisch medizinische Aufzeichnungen oder Fragebögen von allen Mitarbeitern zu sammeln.
Die Zuständigkeit hierfür liege bei den Behörden, argumentiert die CNIL.
Zur Stellungnahme der französischen Datenschutzbehörde CNIL.
Ähnlich geäußert hat sich auch die luxemburgische Datenschutzbehörde CNPD: Zwar dürften Arbeitgeber ihre Mitarbeiter auffordern, sich bei Krankheit oder Risiken einer Covid-19-Infektion zu melden. Unzulässig sei es jedoch „systematisch und allgemein oder durch individuelle Anfragen Informationen über Symptome zu sammeln. Unzulässig sei die systematische Sammlung von Körpertemparatur-Daten oder das Abfragen von medizinischen Informationen per Fragebogen.
Zu den Hinweisen der luxemburgischen CNPD.
Diese Ansicht teilt auch die italienische Datenschutzbehörde Garante (Stand 02.03.2020):
Arbeitgeber müssen davon absehen, im Voraus und in systematischer und allgemeiner Weise, auch durch spezifische Anfragen an den einzelnen Arbeitnehmer oder unbefugte Untersuchungen, Informationen über das Vorhandensein von Anzeichen einer Grippe bei dem Arbeitnehmer und seinen engsten Kontakten oder jedenfalls über Bereiche außerhalb der Arbeitsumgebung zu sammeln. […]
Die Untersuchung und Sammlung von Informationen über die für das Coronavirus typischen Symptome und über die letzten Aufenthalte jedes Einzelnen liegen in der Verantwortung der medizinischen Fachkräfte und des Katastrophenschutzes […].
Die Garante weist allerdings auch darauf hin, dass Angestellte im öffentlichen Dienst ihrem Arbeitgeber mitteilen müssen, wenn sie mit Covid-19 infiziert sind. Außerdem hält es die Garante für zulässig, wenn (1.) der Arbeitgeber die Mitarbeiter dazu „einlädt“, ihm solche Informationen mitzuteilen, (2.) bestimmte Mitarbeitergruppen betriebsärztlich untersuchen lässt und (3.) die öffentlich-rechtlichen Vorgaben der zuständigen Behörden befolgt.
Zur Stellungnahme der italienischen Datenschutzbehörde.
Ähnlich sieht dies auch die niederländische Datenschutzbehörde AP. In einem heute veröffentlichten Eintrag in ihren FAQ für Arbeitgeber äußert sie sich wie folgt:
Als Arbeitgeber haben Sie in der Regel kein Recht, selbst medizinische Daten Ihrer Mitarbeiter zu erheben. Sie können jedoch den Arbeitsschutzdienst oder den Betriebsarzt hinzuziehen, um auf Corona zu überprüfen. […] Als Arbeitgeber sollten Sie normalerweise nicht auf dem Stuhl eines Arztes sitzen und Rückschlüsse auf die Gesundheit einzelner Mitarbeiter ziehen. Zum Beispiel, indem sie Aufzeichnungen darüber führen, wo Mitarbeiter in Urlaub waren. Oder durch die Aufzeichnung Ihrer Temperatur.
Zum „FAQ“-Eintrag der niederländischen Datenschutzbehörde AP (etwas herunterscrollen).
Rechtslage in Deutschland
Derzeit liegt noch keine Stellungnahme einer deutschen Datenschutzbehörde vor. Update, 13.03.2020: Mittlerweile haben zwei deutsche Datenschutzbehörden ihre Ansichten veröffentlicht: Der LfDI BW und der BfDI.
In Statements, die inhaltlich einander sehr ähneln, kommen (zusammengefasst) beide Behörden zu dem Ergebnis, das Arbeitgeber alle Informationen erheben dürfen, die sie benötigen, um ihrer Sicherungspflicht nachzukommen. So der LfDI BW beispielsweise zu der Frage, ob Arbeitgeber Informationen zu Risiko-Indikatoren wie z.B. Kontakt zu Infizierten erheben dürfen:
Arbeitgeber sind auf Grund ihrer Fürsorgepflicht und nach dem Arbeitsschutzgesetz (ArbSchG) verpflichtet, die erforderlichen Maßnahmen zu treffen, um die betriebliche Sicherheit und Gesundheit der Belegschaft zu gewährleisten. Hiervon ist auch die Pflicht des Arbeitgebers umfasst, dafür zu sorgen, die anderen Beschäftigten vor einer Infektion durch eine erkrankte Person zu schützen. Für diesen Zweck ist es datenschutzrechtlich zulässig, Informationen darüber zu erheben, zu welchen Personen der erkrankte Mitarbeiter Kontakt hatte. Gemäß Artikel 6 Absatz 1 Buchstabe c der Datenschutz-Grundverordnung (DS-GVO) i.V.m. Artikel 9 Absatz 1, Absatz 4 DS-GVO und § 26 Absatz 3 Satz 1, § 22 Absatz 1 Nummer 1 Buchstabe b des Bundesdatenschutzgesetzes (BDSG) kann der Arbeitgeber die erforderlichen Daten zum Zweck der arbeitsmedizinischen Vorsorge verarbeiten.
Zurückhaltend sind beide Behörden nur bei der Frage, ob die Identität von Infizierten gegenüber anderen (z.B. Arbeitskollegen) offen gelegt werden darf. Hierzu meint der BfDI:
Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.
Der LfDI BW sieht es ähnlich und meint sogar, mit einer Infektion sei ein „Stigma“ verbunden. In Zeiten, in denen allein in Deutschland mehr als 3.000 Personen erkrankt sind (Stand 13.03.2020) und Spitzenpolitiker live aus ihrer Corona-Quarantäne berichten, dürfte diese Annahme nicht zutreffen. In jedem Fall liegt es nahe, dass im Fall einer Infektion im Unternehmen viele Beschäftigten ein berechtigtes Interesse haben sollten, die Identität des Infizierten genau zu kennen. Nur dann können die Beschäftigten einschätzen, welchem (Ansteckungs-) Risiko sie ausgesetzt waren, und notwendige Schutzmaßnahmen durchführen.
Zur Stellungnahme des LfDI BW.
Zur Stellungnahme des BfDI.
Auch einige Datenschutzberater haben ihre Auffassungen veröffentlicht:
Matthias Lachenmann weist in einer Online-Veröffentlichung auf seiner Kanzleihomepage darauf hin, dass die Rechtsgrundlagen je nach Datenart sich unterscheiden können:
Informationen über den Aufenthaltsort sind einfach personenbezogene Daten, Verarbeitung dessen nach Art. 6 Abs. 1 S. 1 lit. f DSGVO grundsätzlich gerechtfertigt.
Diese Vorschrift sei jedoch nicht auf Gesundheitsdaten anwendbar.
Zur speziellen Rechtsgrundlage in § 26 Abs. 3 BDSG äußert Lachenmann:
Die Fiebermessung von Mitarbeitern am Eingang des Betriebsgeländes und sonstige medizinische Maßnahmen (z.B. Rachenabstriche für Speichelproben) können unter engen Voraussetzungen mit § 26 Abs. 3 BDSG gerechtfertigt werden. Eine Fiebermessung kann durchaus als zulässig angesehen werden, wenn die Ergebnisse nur für eine Einlasskontrolle mit Entscheidung Zutritt ja/nein genutzt werden oder wenn die Maßnahmen rein freiwillig ohne Nutzungsverpflichtung sind. Kritisch wäre es zu bewerten, wenn eine verpflichtende Fiebermessung für alle Mitarbeiter durchgeführt würde und eine festgestellte hohe Temperatur zu sofortigen Maßnahmen wie Freistellung od. ä. führen würden (schon allein, da die Temperatur kein definitives Kriterium zur Feststellung einer Infektion ist). Die Rechtslage bleibt hier aber unklar, nach teilweise vertretener Ansicht soll eine Temperaturmessung vollständig ausgeschlossen sein.
Es sei auf Basis von § 26 Abs. 3 BDSG auch möglich, Fragebögen der Arbeitnehmer auszuwerten und die Gesundheitsdaten zu speichern, solange diese nicht veröffentlicht werden, meint Lachenmann.
Zur Stellungnahme von Lachenmann auf BHO-Legal.
Auf die besondere Rechtslage in Deutschland, nämlich § 26 Abs. 3 Satz 1 BDSG, weist auch Joachim Schrey in einer Online-Veröffentlichung bei Noerr hin, wo er speziell auf die Zulässigkeit von Fiebermessungen am Werkstor diskutiert.
§ 26 Abs. 3 BDSG lasse solche Fiebermessungen nicht zu, argumentiert Schrey:
Selbst wenn man unterstellt, dass ein Arbeitgeber aus Gründen der Fürsorge gegenüber seinen Arbeitnehmern verpflichtet wäre, entweder einen infizierten Beschäftigten zu identifizieren oder andere Beschäftigte vor einer Infektion durch bereits betroffene Beschäftigte zu schützen, ist die Fiebermessung nicht zur Erreichung dieser Zwecke geeignet: Am Coronavirus erkrankte Personen leiden nicht zwingend unter Fieber, so dass die Fiebermessung keine sichere Identifikation von Infektionsträgern erlaubt. Außerdem ist Fieber generell nur ein Symptom für entzündliche Prozesse im menschlichen Körper, so dass eine festgestellte erhöhte Körpertemperatur nicht zwingend Rückschluss auf eine Corona-Infektion erlaubt. Schließlich ist eine Person – selbst wenn sie unter einem fiebrigen Corona-Ausbruch leidet – aufgrund der Inkubationszeit von bis zu 14 Tagen womöglich schon lange vorher unerkannt Infektionsträger. Fiebermessungen sind also kein geeignetes Mittel zur Erkennung von Corona-Infektionen und erfüllen damit nicht das Kriterium der Erforderlichkeit in § 26 Abs. 3 Satz 1 BDSG. Aufgrund der fehlenden Eindeutigkeit überwiegen somit die schutzwürdigen Interessen der betroffenen Beschäftigten daran, dass solche „zwangsweisen“ Fiebermessungen unterbleiben.
In seiner Veröffentlichung weist Schrey freilich auch auf Hinweise des Bundesamtes für Zivilschutz und Katastrophenhilfe hin, laut denen Arbeitgeber als Vorbeugemaßnahme für den Fall einer Pandemie Infrarot-Ohrthermometer zur Temperaturkontrolle im Rahmen der Eingangskontrolle einsetzen sollten. Es handele sich allerdings nicht um eine Pandemie, meint Schrey. Das hat sich (Stand 11.03.2020, 18:00 Uhr) aber geändert: Die WHO hat Covid-19 mittlerweile als Pandemie eingestuft.
Zur Stellungnahme von Joachim Schrey auf Noerr.com.
Und auch Carlo Piltz hat nun einige pragmatische Empfehlungen veröffentlicht. In Sachen Fiebermessungen hat er eine pragmatische Empfehlung:
Wenn Fiebermessungen vor dem Einlass auf das Unternehmensgelände notwendig sind, sollten die Messdaten nicht gespeichert werden, um eine Verarbeitung im datenschutzrechtlichen Sinne zu vermeiden. Wenn Besucher sich einer Messung verweigern, kann der Zutritt auf Grundlage des Hausrechts verwehrt werden. Wenn Mitarbeiter sich einer Messung verweigern, kann der Mitarbeiter unter Risikoabwägung ins Homeoffice geschickt werden.
Zu den Empfehlungen von Carlo Piltz.
Dieser Beitrag erscheint im Rahmen der Zusatzausbildung „Recht und Kommunikation”, die Telemedicus gemeinsam mit Bird & Bird anbietet. Weitere Informationen zur Zusatzbildung finden sich hier. Die Beiträge geben inhaltlich lediglich die Auffassung der jeweiligen AutorInnen wieder.
Alle Hervorhebungen in Zitaten wurden durch die AutorInnen hinzugefügt. Übersetzungen aus der Originalsprache sind freie Übersetzungen der AutorInnen.
Update, 12.03.2020, 10:45 Uhr: Informationen zur dänischen Behörde Datatilsynet hinzugefügt.
2. Update, 12.03.2020, 18:30 Uhr: Informationen zur luxemburgischen und britischen Behörde hinzugefügt.
3. Update, 13.03. 21:30 Uhr: Deutsche Datenschutzbehörden und Artikel von Carlo Piltz hinzugefügt.
