Infektionsschutzgesetz vs. Datenschutzgrundverordnung
29. April 20204. Mai 2022
1
In Fakten, Legal

Infektionsschutzgesetz vs. Datenschutzgrundverordnung

Aufgrund der herrschenden Pandemie des Coronavirus SARS-CoV-2 gewinnt das Infektionsschutzgesetz gegenwärtig zunehmend an Bedeutung. In Kraft getreten ist das Infektionsschutzgesetz bereits im Jahr 2001 und regelt in Deutschland die Meldepflicht für bestimmte Krankheiten und Erreger. Ziel der Einführung des Gesetzes war es, Infektionen frühzeitig zu erkennen und deren Ausbreitung zu verhindern. Das Robert-Koch-Institut (RKI), welches in den letzten Monaten zunehmend präsent auftritt, fungiert hierbei als zentrale infektionsepidemiologische Stelle in Deutschland. Um die Aufgaben als öffentlicher Gesundheitsdienst erfüllen zu können, ist die Erhebung von Gesundheitsdaten unabdingbar und primäre Voraussetzung. Auch die Bevölkerung ist zur Aufklärung des aktuellen Standes der Infizierten in Deutschland oder im eigenen Bundesland über jede genaue Angabe dankbar.

Von Relevanz ist, mit Blick auf die Datenschutzgrundverordnung, inwiefern die Datenverarbeitung von Gesundheitsdaten rechtmäßig ergehen und durchgeführt werden darf.

In diesem Zusammenhang taucht bei Unternehmen vermehrt die Frage auf, inwiefern und in welchem Umfang sie Informationen über den Gesundheitszustand der eigenen Mitarbeiter erheben dürfen, um insbesondere Vorsichtsmaßnahmen gegen das Virus innerhalb des Unternehmens treffen zu können, ohne dabei gegen den Datenschutz zu verstoßen.

Bereits mehrere Datenschutzbeauftragte erwähnten, dass aufgrund der herrschenden Pandemie die Datenschutzgrundverordnung einem wirksamen Infektionsschutz nicht im Weg steht. In dem Kontext ist zu erwähnen, dass die Gesundheitsdaten nach Art. 9 DS-GVO besonders schützenswert sind, aber auch sie einer Erhebung und Verarbeitung unterzogen werden dürfen, sofern hierdurch eine Pandemie eingedämmt werden kann.

Im folgenden Beitrag soll die Kernfrage, welche Daten Unternehmen zur Pandemiebekämpfung oder Eindämmung erheben dürfen, geklärt werden.

1. Datenerhebung Mitarbeiter

Die Erhebung von Gesundheitsdaten der eigenen Mitarbeiter kann unter Umständen und unter bestimmten Voraussetzungen als zulässig erachtet werden. Hierfür müssen die Maßnahmen vor allem notwendig und verhältnismäßig sein. Diese Abwägung wird im grundsätzlichen einzelfallabhängig ergehen müssen, sodass es hier keine wertende Richtlinie geben kann.

Im Zusammenhang mit der Corona Pandemie wird insbesondere bei der Erhebung von personenbezogenen Daten ein Zusammenhang zwischen Personen und deren Gesundheitszustand hergestellt. Nach Art. 9 DS-GVO unterfallen Gesundheitsdaten einem besonderen Schutz in der Datenschutzgrundverordnung. Dies bedeutet, dass die Verarbeitung von Daten dieser Kategorie nur eingeschränkt möglich ist. Eine Ausnahme hierzu könnte sich aber zur Eindämmung der Corona Pandemie ergeben.

Die deutsche Aufsichtsbehörde stützt ihre Auffassung auf das Argument der Sicherungspflicht, welcher die Unternehmen unterliegen. Insofern können alle Informationen erhoben werden, die benötigt werden, um der Sicherungspflicht innerhalb des Unternehmens nachzukommen. Die Fürsorgepflicht der Unternehmen enthält die Verpflichtung, den Gesundheitsschutz der Gesamtheit ihrer Mitarbeiter sicherzustellen. Hiervon umfasst sind auch Maßnahmen, welche eine Ausbreitung der Infektion auf weitere Mitarbeiter des Unternehmers durch eine erkrankte Person verhindern soll. In diesem Kontext sind die Grundsätze der Notwendigkeit und Verhältnismäßigkeit zu berücksichtigen, sodass die Daten vertraulich zu behandeln sind und ausschließlich zweckgebunden verwendet werden dürfen. Hieraus ergibt sich, dass spätestens bei Beendigung der Pandemie die erhobenen Daten unverzüglich gelöscht werden müssen.

Maßnahmen, die auch aus Sicht des Datenschutzes zur Eindämmung der Epidemie realisierbar sind, können beispielsweise die Informationserhebung seitens des Unternehmens sein. Explizit können Fragen nach der Feststellung einer Infektion eines Mitarbeiters, zum Aufenthalt in einem Risikogebiet im relevanten Zeitraum oder zu einem Kontakt zu einer nachweislich infizierten Person erfolgen.

Zur Viruseindämmung sind allerdings die Nennung von Namen von infizierten Mitarbeitern gegenüber den Kollegen zu vermeiden. Hier kann nur im Einzelfall eine Namensnennung von Bedeutung sein. Dies kommt in Betracht, sofern andere Mitarbeiter des Unternehmens mit dem infizierten Kollegen in direktem Kontakt standen und gewarnt oder von der Arbeit freigestellt werden müssen und dies ohne Namensnennung nicht umsetzbar ist.

Mitarbeiter, die aus dem Urlaub zurückkehren, dürfen also vom Unternehmen befragt werden, ob sie sich in einem vom RKI festgelegten Risikogebiet aufhielten. Hierbei sollte die Negativauskunft genügen und von weiteren Fragen abgesehen werden. Falls weitere Anhaltspunkte gegeben sind, die eine Infektion mit dem Virus vermuten lassen, ist eine weitere Nachfrage gerechtfertigt.

Aktuell taucht vermehrt die Frage auf, ob es gerechtfertigt sein kann, dass Unternehmen die aktuelle private Handynummer der Mitarbeiter abfragen und temporär speichern können, um eine kurzfristige Warnung der Mitarbeiter zu ermöglichen. Dies ist grundsätzlich unter 2 Aspekten möglich. Primär muss eine Einverständniserklärung der Mitarbeiter vorliegen und sekundär die Maßnahme der Verringerung der Infektionsgefährdung dienen. Alle anderen Zwecke zur Kontaktaufnahme sind untersagt.

Keine Positionierung der deutschen Datenschutzaufsichtsbehörde liegt im Hinblick auf das Fiebermessen bei den eigenen Mitarbeitern und Besuchern des Unternehmens vor. Grundsätzlich kann diese Maßnahme bei Besuchern vom Hausrecht des Unternehmens gedeckt sein. Bei Mitarbeitern gestaltet sich die Beurteilung im Hinblick auf deren bestehendes und verfassungsrechtlich geschütztes Persönlichkeitsrecht schwieriger, sodass hier eine Verhältnismäßigkeitsprüfung durchzuführen ist. Bezüglich der Angemessenheit des Fiebermessens bei den Mitarbeitern kann insbesondere die Branche des Unternehmens eine zentrale Rolle einnehmen. Ebenfalls ist zu berücksichtigen, ob gegebenenfalls bereits Verdachtsfälle im Unternehmen existieren, sich ein Mitarbeiter in einem Risikogebiet aufhielt oder eventuell sogar das Unternehmen in einer Region mit einer hohen Anzahl an Infizierten liegt. Trotzdem sollte hier grundsätzlich vor Durchführung solch einer Maßnahme, oberste Vorsicht geboten sein und eine exakte Verhältnismäßigkeitsprüfung zwischen den Belangen der Mitarbeiter und der Allgemeinheit durchgeführt werden.

Abschießend wird deutlich, dass die Verarbeitung personenbezogener Daten, einschließlich Gesundheitsdaten, grundsätzlich für zulässig erklärt wird, sofern dies notwendig und verhältnismäßig ist. Da das Virus sehr dynamisch agiert, sind auch die Handlungen der Unternehmen hieran anzupassen Es bleibt immer einzelfallabhängig, zu beurteilen, welche Maßnahmen zur Eindämmung des Virus innerhalb des Unternehmens erforderlich und angemessen sind.

2. Datenerhebung Besucher

Erweitert stellt sich die Frage, inwiefern auch die Daten von Besuchern des Unternehmens, wie beispielsweise Name und Kontaktdaten, erhoben werden dürfen. Zweck dieser Datenerhebung kann sein, den Besuch nachverfolgen zu können und die jeweils betroffene Person bei Bedarf über die mögliche Infektion mit dem Virus informieren zu können. Sofern keine entsprechende Anordnung der Gesundheitsbehörde vorliegt, dass Besucher ihre Daten den Unternehmen preisgeben müssen, darf seitens des Unternehmens auch keine Datenerhebung und -verarbeitung erfolgen. Die Aufnahme der Kontaktdaten kann dann nur auf freiwilliger Basis erfolgen. Rechtsgrundlagen für die Erhebung der Daten können demnach die Anordnung der Gesundheitsbehörde nach § 16 Abs. 1 und Abs. 2 S. 3 Infektionsschutzgesetz und die Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO des Besuchers bilden.