Hintergrund:
Aufgrund zahlreicher Anfragen von Arbeitgebern, ob und wie personenbezogene Daten von Mitarbeitern sowie Gästen und Besuchern bei Maßnahmen, die im Zusammenhang mit der Corona-Krise stehen, verarbeitet werden dürfen, veröffentlichte die Datenschutzkonferenz (DSK) am 13. März 2020 einige allgemeine Hinweise.
Danach ist grundsätzlich die pauschale Befragung aller Mitarbeiter zu ihrem Gesundheitszustand oder deren Reisezielen unzulässig. Denn nach Art. 9 Abs. 2 lit. b DSGVO i. V. m. § 26 Abs. 3 BDSG ist die Verarbeitung von sensiblen Daten, wie Gesundheitsdaten, zum Zwecke des Beschäftigungsverhältnisses nur zulässig, wenn die Verarbeitung u. a. zur Erfüllung rechtlicher Pflichten des Arbeitgebers erforderlich ist und dem schutzwürdige Interessen der betroffenen Person nicht entgegenstehen.
Legitime Maßnahmen:
Vor diesem Hintergrund und unter Einbeziehung der Hinweise der DSK können folgende Maßnahmen gemäß Art. 6 Abs. 1 S. 1 lit. f) und Art. 9 Abs. 2 lit. b DSGVO, sowie § 26 Abs. 3 BDSG als datenschutzrechtlich legitim angesehen werden:
- Der Arbeitgeber darf seine Beschäftigten fragen, ob sie sich in einem Risikogebiet aufgehalten haben (z. B. während des Urlaubs).
- Der Arbeitgeber darf Informationen erheben und verarbeiten, wenn eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person stattgefunden hat.
- Gleiches gilt gemäß Art. 6 Abs. 1 S. 1 lit. f) und Art. 9 Abs. 2 lit. i) DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. c) BDSG auch für Gäste und Besucher.
Eingeschränkt zulässige Maßnahmen:
- Der Arbeitgeber darf den Namen eines infizierten Mitarbeiters grundsätzlich nicht an die Beschäftigten weitergeben. Dies kann zu einer langfristigen Stigmatisierung des Betroffenen führen. Wenn der Schutz der Beschäftigten jedoch nur durch Offenlegung von personenbezogenen Daten des Infizierten oder der unter Infektionsverdacht stehenden Person erreicht werden kann, ist diese ausnahmsweise gestattet.
- Der Arbeitgeber darf zu Informationszwecken bei Schließung des Betriebs oder in ähnlichen Fällen nur mit Einverständnis der Beschäftigten gemäß Art. 6 Abs. 1 lit. a) DSGVO persönliche Kontaktdaten wie Handynummern erheben.
Empfehlung:
Da es (noch) keine einheitliche (europäische) Regelung dazu gibt, wann eine Maßnahme datenschutzrechtlich zulässig ist, sollten Arbeitgeber entsprechende Maßnahmen unter Berücksichtigung der Erforderlichkeit gründlich prüfen.