Fragen und Antworten zum Datenschutz, Informationssicherheit

FAQ - Häufig gestellte Fragen zum Datenschutz in Verbindung mit Corona Virus / COVID-19

Pandemie Corona Virus / COVID-19 - Was ist zu tun?

Mit der aktuellen Pandemie stehen viele öffentliche Institutionen und private Unternehmen als Arbeitgeber und deren Beschäftigte vor der Frage, welche Gesundheitsinformationen sie austauschen müssen bzw. dürfen. Hier stehen Fragen zum Datenschutz sicherlich nicht im Mittelpunkt der Überlegungen. In Notsituationen müssen Überlegungen zum Datenschutz jedoch mit einbezogen werden, um die Bewältigung der Krise „Corona Virus - COVID-19“ zu erleichtern. Gesetzliche Vorgaben zu denen auch die Rechte der Beschäftigten zählen, sollen umsichtig und besonnen behandelt werden.

Darf die Firma, das Unternehmen Gesundheitsdaten erheben?

Grundsätzlich darf der einzelne Betroffene (z.B. Mitarbeiter) entscheiden, was mit seinen Daten passiert; dies betrifft natürlich auch seine sensiblen Gesundheitsdaten. Jeder Betroffene sollte verantwortungsbewusst mit einer Erkrankung umgehen und auch an den Schutz von Kollegen und Kolleginnen sowie anderer Personen denken. Dabei kann sogar eine arbeitsvertragliche Pflicht bestehen, durch Angaben über Aufenthaltsorte oder Kontaktpersonen dem Arbeitgeber eine Einschätzung zu ermöglichen, ob Gesundheitsrisiken für den Betroffenen oder andere Kollegen bestehen. Allerdings muss der Beschäftigte keine konkreten Angaben zur eigenen Gesundheit gegenüber seinem Arbeitgeber machen. Eine Auskunftspflicht oder die Pflicht, sich einer ärztlichen Untersuchung zu unterziehen, kann allerdings gegenüber Gesundheitsbehörden bestehen.

Darf das Unternehmen private Daten wie Handynummer, etc. in der Pandemie "Corona Virus" vom Mitarbeiter erheben?

Es besteht eine Fürsorgepflicht des Arbeitgebers gegenüber den Beschäftigten, Gesundheitsrisiken am Arbeitsplatz soweit wie möglich auszuschließen. Der Arbeitgeber darf jedoch keine eigenen Regeln aufstellen!  Bei einem Verdacht auf Erkrankung eines Betroffenen müssen zwingend die Gesundheitsbehörden mit einbezogen werden. Die Gesundheitsbehörden geben dann einen Notfallplan vor, was zu tun ist.

Etliche Behörden raten den Arbeitgebern bei Schließung des Unternehmens die Kommunikation mit den Mitarbeitern aufrecht zu erhalten. Ferner können durch die Kommunikation Gegenmaßnahmen und Präventionen schneller sichergestellt werden. Hierfür kann es notwendig sein,  private Handynummern, etc. vom Mitarbeiter abzufragen und temporär zu speichern. In diesem Fall wäre die Einwilligung des Mitarbeiters notwendig, da private Handynummern, etc. für das Beschäftigungsverhältnis nicht notwendig sind. Es liegt aber auch im Eigeninteresse des Mitarbeiters benachrichtigt oder gewarnt zu werden. Ein berechtigter Zweck wäre hierfür, die Infektionsgefährdung der Mitarbeiter einzudämmen und somit dürften diese Daten kurzfristig erhoben werden, müssen jedoch spätestens mit Ende der Pandemie wieder gelöscht werden.

Welche Daten dürfen vom Unternehmen bezüglich Vorsorge Corona Virus / COVID-19 erhoben werden?

  1. Der Arbeitgeber darf demnach beispielsweise auch Urlaubsrückkehrer befragen, ob sie sich in einem, etwa durch das Robert Koch-Institut festgelegten Risikogebiet aufgehalten haben oder Kontakt mit Erkrankten (Urlaubs-Rückkehrer) hatten. Eine Negativauskunft des Beschäftigten genügt regelmäßig. Liegen weitere Anhaltspunkte vor, kann gegebenenfalls eine weitere Nachfrage erfolgen.
  2. Falls sich der Betroffene im Risikogebiet aufgehalten hätte, dürfen Fragen nach Symptomen wie Fieber, Husten oder Atembeschwerden gestellt werden. Der Arbeitnehmer kann diese Angaben freiwillig beantworten.
  3. Fragen nach Kontakt mit (möglicherweise) infizierten Personen bzw. mit gesunden Personen sind erlaubt, wenn der Befragte im Verdacht steht, infiziert zu sein. Der Arbeitnehmer kann diese Fragen freiwillig beantworten.
  4. Fragen nach Kontakt mit (möglicherweise) infizierten Personen bzw. mit gesunden Personen, die sich in Quarantäne befinden, sind erlaubt. Der Arbeitnehmer kann diese Fragen freiwillig beantworten.
  5. Mitarbeiter dürfen nicht namentlich als Infizierte genannt werden. Eine Warnung der Kontakte im Unternehmen darf aber erfolgen.
  6. Eine Meldepflicht von Arbeitnehmern mit Symptomen besteht nicht.
  7. Konkrete und gezielte Befragungen zum aktuellen Gesundheitszustand aller Arbeitnehmer sind nicht zulässig.
  8. Arbeitnehmer, welche in direktem Kontakt mit einem Infizierten waren, sind zu warnen und sollten zur Eindämmung der Ansteckungsgefahr von der Arbeit freigestellt, bzw. zu Home-Office aufgefordert werden.

Dürfen Unternehmen Informationen erheben, ob ein Betroffener (Mitarbeiter, Besucher) in einem Risikogebiet war oder Kontakt zu infizierten Personen hatte?

Unternehmen sind auf Grund ihrer Fürsorgepflicht und nach dem Arbeitsschutzgesetz (ArbSchG) verpflichtet, die erforderlichen Maßnahmen zu treffen, um die betriebliche Sicherheit und Gesundheit der Mitarbeiter zu gewährleisten. Hier ist auch die Pflicht des Arbeitgebers gefordert, dafür zu sorgen die anderen Beschäftigten vor einer Infektion durch eine erkrankte Person zu schützen. Zu diesem Zweck ist es datenschutzrechtlich zulässig, Informationen darüber zu erheben, zu welchen Personen der erkrankte Mitarbeiter Kontakt hatte.
Gemäß Artikel 6 Absatz 1 Buchstabe c der Datenschutz-Grundverordnung (DS-GVO) i.V.m. Artikel 9 Absatz 1, Absatz 4 DS-GVO und § 26 Absatz 3 Satz 1, § 22 Absatz 1 Nummer 1 Buchstabe b des Bundesdatenschutzgesetzes (BDSG) kann der Arbeitgeber die erforderlichen Daten zum Zweck der arbeitsmedizinischen Vorsorge verarbeiten. Hinzu kommt, dass seit der Regelung der Weltgesundheitsorganisation (WHO) am 11. März 2020 die Rechtsgrundlage der nationalen Regelung aus § 22 Abs. 1 Nr. 1 lit. c BDSG in Verbindung mit Art. 9 Abs. 2 lit. g DSGVO herangezogen wird.

Homeoffice bzw. Mobile Office (ggf. mit privaten Endgeräten). Welche technischen Voraussetzungen sind zu berücksichtigen?

Um Ihren Homeoffice- bzw. mobile Office Zugang mit Ihren privaten Endgeräten sicher betreiben zu können, sollten folgende Hinweise dringend beachtet werden. Diese schützen nicht nur den Homeoffice-Zugang,– auch die Sicherheit Ihrer eigenen Privatsphäre wird erhöht.

  1. Nutzen Sie bei der Installation stets die aktuellste Zugangssoftware für Ihren Zugang (z.B. VPN, etc.) zum Firmennetz.
  2. Nutzen Sie den betrieblichen Homeoffice-Zugang nur in sicheren Umgebungen (z.B. verschlüsseltes WLAN) und nicht in öffentlich zugänglichen Bereichen wie z.B. Internet-Cafe bzw. öffentlichen Internet-Terminals.
  3. Achten Sie möglichst auf aktuelle Betriebssystem-Versionen (mind. z.B. Windows 10), Sicherheitsupdates und aktuellen Virenschutz. Überprüfen Sie auch regelmäßig, ob neuere Versionen zum Schutz Ihrer Geräte zur Verfügung stehen.
  4. Aktivieren Sie Sicherheitsfunktionen wie z.B. Passwortschutz, Bildschirmsperre, Firewall, Sicherheitsfunktionen des Browsers.
  5. Sichern Sie Ihr WLAN durch ein mindestens 20-stelliges Passwort (bestehend aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen) sowie  das Verschlüsselungsverfahren WPA2-PSK, um sich gegen Mithören Ihrer Kommunikation zu schützen.
  6. Die maximale Sicherheit erreichen Sie durch Ausnutzung der maximal zulässigen Passwortlänge, die für WPA2-PSK bei 63 Zeichen liegt.
  7. Router bieten in der Regel die Verfahren WEP, WPA und WPA2 an. Die ersten beiden Verfahren gelten heute jedoch nicht mehr als sicher: WEP weist zahlreiche Schwächen auf und kann innerhalb weniger Stunden gebrochen werden; WPA verwendet die Stromchiffre RC4, die ebenso bereits erfolgreich angegriffen wurde.
  8. Ändern Sie unbedingt das Standardpasswort, welches bei der Auslieferung Ihres WLAN-Routers gesetzt wurde und wählen Sie ein sicheres Passwort.
  9. Als sicheres Passwort empfiehlt das BSI ein 20-stelliges Passwort, welches aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen besteht.
  10. Halten Sie Ihren Router (z.B. FritzBox, etc.) durch regelmäßige Updates und Firmware-Updates auf dem neuesten Stand der Technik und Sicherheit.
  11. Zum Schutz Ihres Gerätes sollte ein sicheres Kennwort (bestehend aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen sowie einer Mindestlänge von >12 Zeichen) vergeben werden.
  12. Schützen Sie Ihren PC vor Unbefugten, wenn möglich in einem abschließbaren Raum.

Weitere wichtige Informationen finden Sie im Internet auf der Seite BSI für Bürger:

  1. Basisschutz - Einrichtung Computer
  2. Einrichtung WLAN - Sicherheitstipps


Verlust oder Diebstahl von Laptop / Smartphones, etc., die im Zusammenhang mit Ihrem Homeoffice genutzt werden.

Bei Verlust oder Diebstahl Ihres Smartphones / Laptops, etc., welche für Ihren Homeoffice-Zugang genutzt werden, informieren Sie bitte Ihre systembetreuende Stelle bzw. den IT-Administrator und den Datenschutzkoordinator sowie die/den Datenschutzbeauftragte(n). Weiterhin sollten Sie in Ihrem eigenen Interesse, sofern möglich, eine umgehende Fernlöschung vornehmen. Auch eine Sperrung der Sim-Karte ist unbedingt zu veranlassen, um eine missbräuchliche Nutzung des Gerätes durch Fremde zu verhindern.

Bei Verlust durch Diebstahl sollten Sie diesen unverzüglich bei Ihrer zuständigen Polizeidienststelle anzeigen.

Auch alle anderen Sicherheitsvorkommnisse sollten unverzüglich an die systembetreuende Stelle oder den IT-Administrator und den/die Datenschutzkoordinator(in) sowie die/den Datenschutzbeauftragte(n) gemeldet werden.

FAQ - Häufig gestellte Fragen zum Datenschutz in Verbindung mit der Corona App

Kann ein Arbeitgeber die Nutzung der Corona-Warn-App auf dienstlichen Smartphones der Arbeitnehmer anordnen?

Sofern Mitarbeiter Diensthandys nutzen, können diese dazu verpflichtet werden, die App auf dem Diensthandy zu installieren. Dies kann der Arbeitgeber über sein Weisungsrecht durchsetzen. 

Die App zu nutzen und den Arbeitnehmer zu verpflichten das Diensthandy auch außerhalb der Arbeitszeit mit sich zu führen, um möglichst umfassende und verlässliche Daten zu erhalten, ist wiederum ein anderes Thema. Ein Weisungsrecht des Arbeitgebers besteht nur innerhalb des Arbeitsverhältnisses und umfasst weder Privatleben bzw. Freizeitgestaltung. Arbeitgeber können zwar grundsätzlich ein berechtigtes Interesse daran haben, eine Infektionsausbreitung im Unternehmen zu verhindern, jedoch können Arbeitgeber ohne absolut zwingende Gründe eine Nutzung der Corona-Warn-App lediglich empfehlen.

Den Arbeitsschutz- und Fürsorgepflichten der Arbeitgeber werden in der Regel bereits Anweisungen zur Einhaltung der Hygieneregeln sowie Bereitstellung von Desinfektionsmittel gerecht. 

In gefahrgeneigten Berufen allerdings, wie z.B. des Gesundheitswesens, könnten dennoch andere Regeln gelten: Ärzte, Kranken- und Altenpfleger z.B. könnten wegen der durchaus höheren gesundheitlichen Risiken weitergehenden Regelungen, die über die allgemeinen, behördlichen Maßnahmen hinausgehen, verpflichtet werden.

Definitiv ausgeschlossen ist eine Verpflichtung andererseits für Arbeitnehmer, die im Homeoffice arbeiten. Hier ist eine Verbreitung im Unternehmen nicht zu befürchten.

Empfehlung für die Praxis:  Der Arbeitgeber kann seine Arbeitnehmer also nur eindringlich bitten, die App zu aktivieren und für eine bessere Wirksamkeit das Diensthandy, auf dem die App geladen ist, stets mit sich zu tragen. Eine rechtlich durchsetzbare Verpflichtung zur Nutzung außerhalb der Arbeitszeiten ist schwierig durchsetzbar. Zudem fehlen jegliche Kontrollmöglichkeiten, die eine Mitführung des Diensthandys außerhalb der Arbeitszeiten sicherstellen.

Welche Meldepflicht hat der Arbeitnehmer gegenüber dem Arbeitgeber?

Wegen der rasanten Ausbreitung und dem immensen Schadenspotential für Unternehmen ist grundsätzlich lediglich von der Zulässigkeit der Frage nach einer COVID-19-Infektion auszugehen. Es ist sogar davon auszugehen, dass ein Arbeitnehmer dem Arbeitgeber aufgrund der hohen Gefährdungslage unaufgefordert über eine Infektion informieren muss. Jedoch allein der Umstand einer bestätigten Infektion beziehungsweise einer Krankheitssymptomatik ist hier von Interesse. Die Frage nach einer vorhandenen Infektion kann der Arbeitnehmer also mit einem schlichten „Ja“ oder „Nein“ beantworten. Informationen zum behandelnden Arzt, zu Symptomen oder Details zum Krankheitsverlauf muss der Arbeitnehmer nicht bekanntgeben.

Besteht eine Informationspflicht des Arbeitnehmers bei Warnungen, die durch die App angezeigt werden?

Warnungen, die über Push-Benachrichtigungen etc. durch die Corona-Warn-App übermittelt wurden (Bestätigung einer Infizierung einer Kontaktperson), muss der Arbeitnehmer dem Arbeitgeber nicht mitteilen. Die Warnungen zeigen lediglich ein Risiko einer drohenden Verbreitung des Coronavirus auf und können daher noch nicht als unmittelbare Gefahr für die Sicherheit und Gesundheit für den Betrieb angesehen werden, welche von § 16 ArbSchG, der u.a. Grundlage für eine Meldepflicht sein könnte, gefordert werden. Eine freiwillige Mitteilung ist natürlich möglich.

Der Arbeitgeber hat darüber hinaus außerdem kein Recht, sich Zugang zu der auf dem Diensthandy installierten App zu verschaffen und zu überprüfen, ob der betreffende Arbeitnehmer eine entsprechende Warnung erhalten und ggf. verschwiegen hat. 

Eine andere Regelung kann an dieser Stelle im Einzelfall wieder für besonders gefahrträchtige Berufe des Gesundheitswesens gelten. Die Rechtsbeeinträchtigung, die einem Arbeitnehmer entstehen würde, kann ggf. auf ein gerade noch erforderliches Mindestmaß reduziert werden.  

Eine Meldepflicht gegenüber dem Arbeitgeber besteht selbstverständlich dann, wenn der Arbeitnehmer selbst infiziert ist.

Kann der Arbeitgeber die Nutzung einer Corona-App auch auf privaten Smartphones der Arbeitnehmer anordnen?

Hier gilt ein definitives „Nein“. Ein Arbeitgeber kann eine betriebliche Nutzung privater, mobiler Endgeräte nicht generell betriebsübergreifend durchsetzen. Wenn, dann kann der Arbeitnehmer nur durch eine einzeln getroffene Vereinbarung verpflichtet werden.

Auch hier gilt lediglich eine Empfehlungsmöglichkeit des Arbeitgebers an seine Mitarbeiter, die App möglichst umfangreich zu nutzen!

Falls ein Betriebsrat in dem Unternehmen vorhanden ist, kann eine Regelung durch eine Betriebsvereinbarung, gestützt auf § 88 Nr. 1 BetrVG, getroffen werden.
Die Nutzung des eigenen Smartphones kann allerdings auch in einer Betriebsvereinbarung nicht als „verpflichtend“ vorgeschrieben werden.

Empfehlung für die Praxis:  Zusätzlich zu individuellen Vereinbarungen mit den einzelnen Arbeitnehmern zur Nutzung ihrer privaten Smartphones für die Corona-Warn-App empfiehlt sich, sofern ein Betriebsrat vorhanden ist, eine Betriebsvereinbarung über die Nutzung zu schließen. Hier empfiehlt es sich auch, die Modalitäten der App- und Endgerät-Nutzung festzulegen, sowie die Meldepflichten bzw. sonstiges Verhalten des Arbeitnehmers bei Warnungen durch die App darzulegen.

Was passiert mit den aufgrund des Fragerechts und der Meldepflicht gesammelten Daten des Arbeitnehmers?

Eine Verarbeitung von Gesundheitsdaten (COVID-19-Infektion eines Arbeitnehmers, Warnungen zu Infektionsverdachtsfällen etc.) durch den Arbeitgeber, der diese durch Fragen und Meldungen über den Arbeitnehmer erhält, verstößt nicht gegen ein Datenschutzrecht. Ein Arbeitgeber kann die gesammelten Gesundheitsdaten auf Grundlage von § 26 III 1 BDSG i.V.m Art. 6 (1) lit. c) und f) sowie Art. 9 (2) lit. a-c DSGVO zum Zwecke des Ergreifens von Schutzmaßnahmen gegenüber der Belegschaft erheben und auch begrenzt speichern. Die Daten sind allerdings nur zweckgebunden zu verwenden und damit unverzüglich zu löschen, sobald sie nicht mehr benötigt werden.

Empfehlung für die Praxis: 
Gesammelte Gesundheitsdaten über Arbeitnehmer bzw. Kontaktpersonen müssen vom Arbeitgeber unaufgefordert und unwiderruflich gelöscht werden. Da die Daten nicht länger als unbedingt notwendig gespeichert werden dürfen, sollte der Arbeitgeber die Informationen unverzüglich löschen, sobald er die notwendigen Schutzmaßnahmen gegenüber dem einzelnen Arbeitnehmer/der Belegschaft vorgenommen hat.