Datenschutz in der Krise

Datenschutz in der Corona Krise

Beachtung des Datenschutzes auch in Krisensituationen

Fragen des Datenschutzes stehen aktuell sicherlich nicht im Zentrum, sind aber auch in Notsituationen in die Überlegungen einzubeziehen und erleichtern letztendlich die Bewältigung der Krise. Umsichtiges und besonnenes Handeln erfordert immer auch die Beachtung der gesetzlichen Vorgaben, zu denen auch die Rechte der Beschäftigten zählen. Jede Person ist und bleibt auch angesichts der aktuellen Krise „Herr seiner Daten“, das gilt insbesondere bei den besonders sensiblen Gesundheitsdaten. Viele Maßnahmen zur Bekämpfung des Coronavirus werden mit der Verarbeitung von sensiblen Gesundheitsdaten einhergehen, konkrete Angaben zur eigenen Gesundheit muss der Beschäftigte gegenüber seinem Arbeitgeber grundsätzlich jedoch nicht machen. Der Verarbeitung sensibler Daten sind in der DS-GVO sehr enge Grenzen gesetzt.

Verarbeitung von Gesundheitsdaten von Beschäftigten

Grundsätzlich dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses oder zur Erfüllung einer Rechtsvorschrift erforderlich ist. Bezogen auf die Gesundheitsdaten ist die Verarbeitung z.B. zulässig, wenn sie zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes notwendig ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der Beschäftigten an dem Ausschluss der Verarbeitung überwiegt.

Ein Arbeitgeber ist auch dazu verpflichtet, die Gefahren für die Sicherheit und die Gesundheit seiner Beschäftigten am Arbeitsplatz zu beurteilen (sog. Gefährdungsbeurteilung) und Maßnahmen hieraus abzuleiten. Ein Arbeitgeber muss also einerseits seine Fürsorgepflicht erfüllen, indem er die Beschäftigten vor einer Infizierung schützt, darf andererseits aber die Datenschutz- und Persönlichkeitsrechte der Beschäftigten nicht verletzen.

In diesem Spannungsfeld gilt es nun, geeignete Maßnahmen unter Berücksichtigung des Erforderlichkeitsgrundsatzes umzusetzen. Eine Maßnahme ist nur zulässig, wenn sie für den verfolgten Zweck geeignet ist, das mildeste aller zur Verfügung stehenden Mittel ist und schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegen.

In aktuellen Publikationen werden folgende Maßnahmen als vertretbar angesehen, um die Ausbreitung des Virus einzudämmen:

  • Erhebung von Informationen, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte.
  • Nur nach Aufforderung durch Gesundheitsbehörden: Die Übermittelung von Daten über erkrankte Beschäftigte, über Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakten zu Infizierten an die Behörden.
  • Freiwillige Selbstauskunfts- oder Fragebögen zu Aufenthaltsort und Symptomen.
  • Freiwillige Fiebermessung durch den Beschäftigten selbst oder einen (Betriebs-)Arzt.
  • Im Falle eines positiven Befunds bei einem Mitarbeiter (durch eine offizielle Stelle) oder bei einem bestätigten Kontakt zu einer positiv getesteten Person, dürfen Informationen über den betroffenen Mitarbeiter verarbeitet werden, z.B. Zeitpunkt und enge Kontaktpersonen sowie ergriffe Maßnahmen.
  • Im Einverständnis mit Beschäftigten: Verarbeitung privater Kontaktdaten zur Information bei Schließung des Betriebs oder in ähnlichen Fällen
  • Einführung strenger Hygienevorschriften, z.B. die Aufforderung zum regelmäßigen Händewaschen
  • Sofern datenschutzrechtlich abgesichert: Ermöglichung von mobilem Arbeiten, Videokonferenzen, etc. (Hinweise zum Homeoffice siehe unten)
  • Zugangssperren sensibler Bereiche, Einschränkung von Besuchsmöglichkeiten
  • Aufklärungsmaßnahmen, Einrichten einer Hotline zur Beratung

Als grundsätzlich unzulässig gelten dagegen folgende Maßnahmen:

  • Information der Beschäftigten, dass ein bestimmter Mitarbeiter am Virus erkrankt ist (unter Nennung des konkreten Namens)
  • Die pauschale Befragung aller Mitarbeiter zu Reisezielen
  • Die pauschale Befragung aller Mitarbeiter zu ihrem Gesundheitszustand
  • Eine Meldepflicht für Mitarbeiter, wenn ein Kollege Symptome zeigt
  • Die verpflichtende Fiebermessung von Mitarbeitern am Eingang des Betriebsgeländes oder ähnliche medizinische Maßnahmen (z.B. Rachenabstriche für Speichelproben)

Datenschutz im Homeoffice

Viele Unternehmen möchten ihren Beschäftigten im Rahmen der Corona-Krise die Möglichkeit einräumen, von zu Hause aus arbeiten zu können. Um die Verbreitung des Virus zu verlangsamen, ist das ein probates Mittel. Allerdings auch eines, das datenschutzrechtliche Herausforderungen mit sich bringt.

Bei der Arbeit im Homeoffice sind insbesondere folgende datenschutzrechtlichen Aspekte zu beachten, die optimaler Weise in einer verbindlichen Richtlinie dokumentiert werden:

  • Der Arbeitgeber sollte dem Beschäftigen eine IT-Ausstattung zur Verfügung stellen, mit der die datenschutzgerechte Arbeit im Homeoffice möglich ist. Werden Notebooks herausgegeben, sollte deren Festplatte verschlüsselt werden. Das gilt auch für die vom Arbeitgeber herausgegebenen USB-Sticks.
  • Der Zugriff auf das Betriebssystem und die vom Arbeitgeber bereitgestellten Systeme sind mit einem Kennwort zu versehen.
  • Die elektronische Datenübermittlung (z.B. E-Mail) sollte nach dem Stand der Technik verschlüsselt sein.
  • Zugriffe auf die Systeme des Arbeitgebers sollten lediglich über ein VPN möglich sein (Vorher Belastungstest durchführen!).
  • Es sollte ein Konzept zum Umgang und zur Vernichtung von sensiblen Unterlagen erarbeitet werden (Ggf. sind Shredder o.ä. zur Verfügung stellen)
  • Personenbezogene Daten dürfen Dritten (dazu zählen auch Familienangehörige) nicht offenbart werden und sollten nach Möglichkeit in einem separaten, abschließbaren Raum verarbeitet werden.
  • Die Aufbewahrung von Unterlagen sollte in einem abschließbaren Schrank erfolgen.
  • Die für die vom Arbeitgeber für die Tätigkeit im Homeoffice zur Verfügung gestellte IT-Ausstattung darf nicht privat genutzt werden. Der Computer ist zu sperren werden, wenn nicht an ihm gearbeitet wird.
  • Berufliche E-Mails dürfen nicht zur Bearbeitung an private E-Mail-Postfächer der Beschäftigten weitergeleitet werden. Daten dürfen nicht auf privaten USB-Sticks gespeichert werden.

Sollten Sie konkrete Fragen zum Datenschutz sowie zur konkreten Umsetzung in Ihrem Betrieb haben, stehen wir selbstverständlich gern zur Verfügung.

Foto: Unsplash.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen