Datenschutz Pöllinger GmbH
Dresdner Straße 38
92318 Neumarkt
Fragen / Support
Telefon: 09181/2705770
E-Mail: kontakt@datenschutz-poellinger.de
Mit der aktuellen Pandemie stehen viele öffentliche Institutionen und private Unternehmen als Arbeitgeber und deren Beschäftigte vor der Frage, welche Gesundheitsinformationen sie austauschen müssen bzw. dürfen. Hier stehen Fragen zum Datenschutz sicherlich nicht im Mittelpunkt der Überlegungen. In Notsituationen müssen Überlegungen zum Datenschutz jedoch mit einbezogen werden, um die Bewältigung der Krise Corona Virus - COVID-19 zu erleichtern. Gesetzliche Vorgaben zu denen auch die Rechte der Beschäftigten zählen, sollen umsichtig und besonnen behandelt werden.
Grundsätzlich darf der einzelne Betroffene (z.B. Mitarbeiter) entscheiden, was mit seinen Daten passiert; dies betrifft natürlich auch seine sensiblen Gesundheitsdaten. Jeder Betroffene sollte verantwortungsbewusst mit einer Erkrankung umgehen und auch an den Schutz von Kollegen und Kolleginnen sowie anderer Personen denken. Dabei kann sogar eine arbeitsvertragliche Pflicht bestehen, durch Angaben über Aufenthaltsorte oder Kontaktpersonen dem Arbeitgeber eine Einschätzung zu ermöglichen, ob Gesundheitsrisiken für den Betroffenen oder andere Kollegen bestehen. Allerdings muss der Beschäftigte keine konkreten Angaben zur eigenen Gesundheit gegenüber seinem Arbeitgeber machen. Eine Auskunftspflicht oder die Pflicht, sich einer ärztlichen Untersuchung zu unterziehen, kann allerdings gegenüber Gesundheitsbehörden bestehen.
Es besteht eine Fürsorgepflicht des Arbeitgebers gegenüber den Beschäftigten, Gesundheitsrisiken am Arbeitsplatz soweit wie möglich auszuschließen. Der Arbeitgeber darf jedoch keine eigenen Regeln aufstellen! Bei einem Verdacht auf Erkrankung eines Betroffenen müssen zwingend die Gesundheitsbehörden mit einbezogen werden. Die Gesundheitsbehörden geben dann einen Notfallplan vor, was zu tun ist.
Etliche Behörden raten den Arbeitgebern bei Schließung des Unternehmens die Kommunikation mit den Mitarbeitern aufrecht zu erhalten. Ferner können durch die Kommunikation Gegenmaßnahmen und Präventionen schneller sichergestellt werden. Hierfür kann es notwendig sein, private Handynummern, etc. vom Mitarbeiter abzufragen und temporär zu speichern. In diesem Fall wäre die Einwilligung des Mitarbeiters notwendig, da private Handynummern, etc. für das Beschäftigungsverhältnis nicht notwendig sind. Es liegt aber auch im Eigeninteresse des Mitarbeiters benachrichtigt oder gewarnt zu werden. Ein berechtigter Zweck wäre hierfür, die Infektionsgefährdung der Mitarbeiter einzudämmen und somit dürften diese Daten kurzfristig erhoben werden, müssen jedoch spätestens mit Ende der Pandemie wieder gelöscht werden.
Unternehmen sind auf Grund ihrer Fürsorgepflicht und nach dem Arbeitsschutzgesetz (ArbSchG) verpflichtet, die erforderlichen Maßnahmen zu treffen, um die betriebliche Sicherheit und Gesundheit der Mitarbeiter zu gewährleisten. Hier ist auch die Pflicht des Arbeitgebers gefordert, dafür zu sorgen die anderen Beschäftigten vor einer Infektion durch eine erkrankte Person zu schützen. Zu diesem Zweck ist es datenschutzrechtlich zulässig, Informationen darüber zu erheben, zu welchen Personen der erkrankte Mitarbeiter Kontakt hatte.
Gemäß Artikel 6 Absatz 1 Buchstabe c der Datenschutz-Grundverordnung (DS-GVO) i.V.m. Artikel 9 Absatz 1, Absatz 4 DS-GVO und § 26 Absatz 3 Satz 1, § 22 Absatz 1 Nummer 1 Buchstabe b des Bundesdatenschutzgesetzes (BDSG) kann der Arbeitgeber die erforderlichen Daten zum Zweck der arbeitsmedizinischen Vorsorge verarbeiten. Hinzu kommt, dass seit der Regelung der Weltgesundheitsorganisation (WHO) am 11. März 2020 die Rechtsgrundlage der nationalen Regelung aus § 22 Abs. 1 Nr. 1 lit. c BDSG in Verbindung mit Art. 9 Abs. 2 lit. g DSGVO herangezogen wird.
Um Ihren Homeoffice- bzw. mobile Office Zugang mit Ihren privaten Endgeräten sicher betreiben zu können, sollten folgende Hinweise dringend beachtet werden. Diese schützen nicht nur den Homeoffice-Zugang, auch die Sicherheit Ihrer eigenen Privatsphäre wird erhöht.
Weitere wichtige Informationen finden Sie im Internet auf der Seite BSI für Bürger:
Bei Verlust oder Diebstahl Ihres Smartphones / Laptops, etc., welche für Ihren Homeoffice-Zugang genutzt werden, informieren Sie bitte Ihre systembetreuende Stelle bzw. den IT-Administrator und den Datenschutzkoordinator sowie die/den Datenschutzbeauftragte(n). Weiterhin sollten Sie in Ihrem eigenen Interesse, sofern möglich, eine umgehende Fernlöschung vornehmen. Auch eine Sperrung der Sim-Karte ist unbedingt zu veranlassen, um eine missbräuchliche Nutzung des Gerätes durch Fremde zu verhindern.
Bei Verlust durch Diebstahl sollten Sie diesen unverzüglich bei Ihrer zuständigen Polizeidienststelle anzeigen.
Auch alle anderen Sicherheitsvorkommnisse sollten unverzüglich an die systembetreuende Stelle oder den IT-Administrator und den/die Datenschutzkoordinator(in) sowie die/den Datenschutzbeauftragte(n) gemeldet werden.
Sofern Mitarbeiter Diensthandys nutzen, können diese dazu verpflichtet werden, die App auf dem Diensthandy zu installieren. Dies kann der Arbeitgeber über sein Weisungsrecht durchsetzen.
Die App zu nutzen und den Arbeitnehmer zu verpflichten das Diensthandy auch außerhalb der Arbeitszeit mit sich zu führen, um möglichst umfassende und verlässliche Daten zu erhalten, ist wiederum ein anderes Thema. Ein Weisungsrecht des Arbeitgebers besteht nur innerhalb des Arbeitsverhältnisses und umfasst weder Privatleben bzw. Freizeitgestaltung. Arbeitgeber können zwar grundsätzlich ein berechtigtes Interesse daran haben, eine Infektionsausbreitung im Unternehmen zu verhindern, jedoch können Arbeitgeber ohne absolut zwingende Gründe eine Nutzung der Corona-Warn-App lediglich empfehlen.
Den Arbeitsschutz- und Fürsorgepflichten der Arbeitgeber werden in der Regel bereits Anweisungen zur Einhaltung der Hygieneregeln sowie Bereitstellung von Desinfektionsmittel gerecht.
In gefahrgeneigten Berufen allerdings, wie z.B. des Gesundheitswesens, könnten dennoch andere Regeln gelten: Ärzte, Kranken- und Altenpfleger z.B. könnten wegen der durchaus höheren gesundheitlichen Risiken weitergehenden Regelungen, die über die allgemeinen, behördlichen Maßnahmen hinausgehen, verpflichtet werden.
Definitiv ausgeschlossen ist eine Verpflichtung andererseits für Arbeitnehmer, die im Homeoffice arbeiten. Hier ist eine Verbreitung im Unternehmen nicht zu befürchten.
Empfehlung für die Praxis: Der Arbeitgeber kann seine Arbeitnehmer also nur eindringlich bitten, die App zu aktivieren und für eine bessere Wirksamkeit das Diensthandy, auf dem die App geladen ist, stets mit sich zu tragen. Eine rechtlich durchsetzbare Verpflichtung zur Nutzung außerhalb der Arbeitszeiten ist schwierig durchsetzbar. Zudem fehlen jegliche Kontrollmöglichkeiten, die eine Mitführung des Diensthandys außerhalb der Arbeitszeiten sicherstellen.Warnungen, die über Push-Benachrichtigungen etc. durch die Corona-Warn-App übermittelt wurden (Bestätigung einer Infizierung einer Kontaktperson), muss der Arbeitnehmer dem Arbeitgeber nicht mitteilen. Die Warnungen zeigen lediglich ein Risiko einer drohenden Verbreitung des Coronavirus auf und können daher noch nicht als unmittelbare Gefahr für die Sicherheit und Gesundheit für den Betrieb angesehen werden, welche von § 16 ArbSchG, der u.a. Grundlage für eine Meldepflicht sein könnte, gefordert werden. Eine freiwillige Mitteilung ist natürlich möglich.
Der Arbeitgeber hat darüber hinaus außerdem kein Recht, sich Zugang zu der auf dem Diensthandy installierten App zu verschaffen und zu überprüfen, ob der betreffende Arbeitnehmer eine entsprechende Warnung erhalten und ggf. verschwiegen hat.
Eine andere Regelung kann an dieser Stelle im Einzelfall wieder für besonders gefahrträchtige Berufe des Gesundheitswesens gelten. Die Rechtsbeeinträchtigung, die einem Arbeitnehmer entstehen würde, kann ggf. auf ein gerade noch erforderliches Mindestmaß reduziert werden.
Eine Meldepflicht gegenüber dem Arbeitgeber besteht selbstverständlich dann, wenn der Arbeitnehmer selbst infiziert ist.Hier gilt ein definitives Nein. Ein Arbeitgeber kann eine betriebliche Nutzung privater, mobiler Endgeräte nicht generell betriebsübergreifend durchsetzen. Wenn, dann kann der Arbeitnehmer nur durch eine einzeln getroffene Vereinbarung verpflichtet werden.
Auch hier gilt lediglich eine Empfehlungsmöglichkeit des Arbeitgebers an seine Mitarbeiter, die App möglichst umfangreich zu nutzen!
Falls ein Betriebsrat in dem Unternehmen vorhanden ist, kann eine Regelung durch eine Betriebsvereinbarung, gestützt auf § 88 Nr. 1 BetrVG, getroffen werden.
Die Nutzung des eigenen Smartphones kann allerdings auch in einer Betriebsvereinbarung nicht als verpflichtend vorgeschrieben werden.
Eine Verarbeitung von Gesundheitsdaten (COVID-19-Infektion eines Arbeitnehmers, Warnungen zu Infektionsverdachtsfällen etc.) durch den Arbeitgeber, der diese durch Fragen und Meldungen über den Arbeitnehmer erhält, verstößt nicht gegen ein Datenschutzrecht. Ein Arbeitgeber kann die gesammelten Gesundheitsdaten auf Grundlage von § 26 III 1 BDSG i.V.m Art. 6 (1) lit. c) und f) sowie Art. 9 (2) lit. a-c DSGVO zum Zwecke des Ergreifens von Schutzmaßnahmen gegenüber der Belegschaft erheben und auch begrenzt speichern. Die Daten sind allerdings nur zweckgebunden zu verwenden und damit unverzüglich zu löschen, sobald sie nicht mehr benötigt werden.
Empfehlung für die Praxis:
Gesammelte Gesundheitsdaten über Arbeitnehmer bzw. Kontaktpersonen müssen vom Arbeitgeber unaufgefordert und unwiderruflich gelöscht werden. Da die Daten nicht länger als unbedingt notwendig gespeichert werden dürfen, sollte der Arbeitgeber die Informationen unverzüglich löschen, sobald er die notwendigen Schutzmaßnahmen gegenüber dem einzelnen Arbeitnehmer/der Belegschaft vorgenommen hat.