Gemeinsame Empfehlung der Datenschutzaufsichtsbehörden zur Verarbeitung personenbezogener Daten im Zusammenhang mit der Corona-Pandemie
Die Datenschutzkonferenz (DSK) hat Informationen für Arbeitgeber und Dienstherren zum Umgang mit dem Datenschutz im Zusammenhang mit der Corona-Pandemie veröffentlicht. Die DSK ist ein Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder. Nachfolgend geben wir die für Arbeitgeber relevanten Informationen auszugsweise wieder. Die DSK weist in ihrer Information darauf hin, dass bei der Erhebung von personenbezogenen Daten im Zusammenhang mit der Corona-Pandemie in den meisten Fällen Bezüge zwischen Personen und deren Gesundheitszustand hergestellt werden und es sich ab diesem Zeitpunkt um Gesundheitsdaten handelt, die nach Artikel 9 der Datenschutz-Grundverordnung (DS-GVO) besonders geschützt sind. Die DSK betont in ihrer Information, dass – auch wenn eine Verarbeitung von Gesundheitsdaten grundsätzlich nur restriktiv möglich ist – diese für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Beschäftigten datenschutzkonform Daten erhoben und verwendet werden können. Dabei seien aber stets der Grundsatz der Verhältnismäßigkeit und die gesetzlichen Grundlagen zu beachten. Die Datenschutzaufsichtsbehörden nennen folgende Beispiele von Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie, die von ihnen als datenschutzrechtlich legitimiert betrachtet werden: |
-
Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:
-
in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
-
in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
-
-
Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese
-
selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
-
sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.
-
-
Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.
Zusätzlich zu den bestehenden Rechtsgrundlagen für die Datenverarbeitung auf Seiten des Arbeitgebers ergeben sich nach Auffassung der DSK sowohl aus dem Tarifrecht als auch aus dem Arbeitsrecht für die Beschäftigten verschiedene Nebenpflichten, unter anderem auch Rücksichts-, Verhaltens- und Mitwirkungspflichten gegenüber ihrem Arbeitgeber und Dritten.
Vorliegend stellt nach Auffassung der Datenschutzaufsichtsbehörden beispielsweise die Pflicht zur Information des Dienstherrn bzw. des Arbeitgebers über das Vorliegen einer Infektion mit dem Corona-Virus eine solche Nebenpflicht zum Schutz hochrangiger Interessen Dritter dar, aus der unter gewissen Voraussetzungen auch eine Offenlegungsbefugnis gemäß Art. 6 Abs. 1 lit. c) und f) DS-GVO bezüglich personenbezogener Daten der Kontaktpersonen folgt.
Im Bereich der rechtlichen Hintergrundinformationen weist die Datenschutzkonferenz Arbeitgeber aus dem nicht-öffentlichen Bereich darauf hin, dass sich deren Berechtigung zur Verarbeitung personenbezogener Mitarbeiterdaten aus § 26 Abs 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO jeweils in Verbindung mit den einschlägigen tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts legitimiert.
Maßnahmen gegenüber Dritten können bei nicht-öffentlichen Stellen auf Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO gestützt werden. Soweit besonders sensible Daten – wie Gesundheitsdaten – betroffen sind, findet zudem Art. 9 Abs. 2 lit. i) i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG Anwendung.
Die Fürsorgepflicht der Arbeitgeber bzw. der Dienstherren verpflichtet diese den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Hierzu zählt nach Ansicht der Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die epidemische bzw. inzwischen pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und im Fall der Fälle der Nachverfolgbarkeit (also im Grunde nachgelagerte Vorsorge gegenüber den Kontaktpersonen) dient.
Die DSK weist in ihrer Information abschließend darauf hin, dass die Maßnahmen dabei natürlich immer auch verhältnismäßig sein müssen, die Daten vertraulich behandelt werden müssen und ausschließlich zweckgebunden verwendet werden dürfen.
Nach Wegfall des jeweiligen Verarbeitungszwecks (regelmäßig also spätestens dem Ende der Pandemie) müssen die erhobenen Daten unverzüglich gelöscht werden.
Der vollen Wortlauf der Information der Datenschutzkonferenz ist unter folgendem Link abrufbar: https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/07_Empfehlungen_Datenschutz_Corona.html