Datenschutzrechtliche Vorgaben für Maßnahmen zum Schutz der Belegschaft im Infektionsfall
Arbeitgeber in Deutschland müssen in diesen Tagen zahlreiche Maßnahmen zum Schutz ihrer Beschäftigten vor einer Infektion mit dem Coronavirus SARS-CoV-2 treffen. Besteht ein Ansteckungsverdacht innerhalb des Unternehmens oder wurde eine Infektion festgestellt, treten der Beschäftigtendatenschutz und das Informationsinteresse des Arbeitgebers in ein Spannungsverhältnis: Die Erkrankung eines Mitarbeiters am Coronavirus bzw. das Bestehen eines Ansteckungsverdachts sind einerseits Informationen über den Gesundheitszustand des Arbeitnehmers. Solche Gesundheitsdaten sind nach Art. 9 Abs. 1 Datenschutzgrundverordnung („DS-GVO“) eine besondere Kategorie personenbezogener Daten, deren Verarbeitung grundsätzlich untersagt und nur in bestimmten Ausnahmefällen zulässig ist. Andererseits hat ein Arbeitgeber aufgrund seiner arbeitsrechtlichen Fürsorgepflicht, aber auch aus einem öffentlichen Interesse heraus, ein erhebliches Interesse daran, frühzeitig Kenntnis von einem (potentiellen) Infektionsfall eines Mitarbeiters zu erhalten, um Schutzmaßnahmen für die Belegschaft und Dritte ergreifen zu können. Dazu gehört grundsätzlich auch die Information, dass im Unternehmen ein Infektionsfall aufgetreten ist, um Infektionsketten zu unterbrechen und Kontaktpersonen zu sensibilisieren.
Die Datenschutzkonferenz, das Gremium der Datenschutzaufsichtsbehörden des Bundes und der Länder („DSK“), hat am vergangenen Freitag (13. März 2020) Hinweise zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie veröffentlicht. Unter Berücksichtigung der Hinweise der DSK und der gegenwärtigen pandemischen Ausnahmesituation dürfte die Verarbeitung von Gesundheitsdaten solcher Beschäftigten, die sich mit dem Coronavirus angesteckt haben, auf Grundlage folgender datenschutzrechtlicher Rechtfertigungsgründe zulässig sein:
Verarbeitung der Gesundheitsdaten für Zwecke des Beschäftigungsverhältnisses
Abweichend von Art. 9 Abs. 1 DS-GVO ist die Verarbeitung von Gesundheitsdaten für Zwecke des Beschäftigungsverhältnisses nach § 26 Abs. 3 Bundesdatenschutzgesetz („BDSG“) zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.
Der Anwendungsbereich dieser Vorschrift wird grundsätzlich eng ausgelegt, um sicherzustellen, dass nur solche Datenverarbeitungen erfasst werden, die einen unmittelbaren Bezug zum Arbeitsverhältnis aufweisen. Um der arbeitsrechtlichen Fürsorgepflicht hinreichend nachzukommen, kann es jedoch erforderlich sein, dass ein Arbeitgeber seine Belegschaft über die Infektion eines Kollegen informiert. Diese Notwendigkeit hat die DSK in ihren Hinweisen vom 13. März 2020 ebenfalls betont.
Inwieweit die Informationspflicht im Einzelfall reicht, ist nach dem Grundsatz der Verhältnismäßigkeit zu ermitteln. Danach ist eine sorgfältige Bewertung der Umstände des Einzelfalls unter Berücksichtigung aller relevanten Risikofaktoren für die Ausbreitung der Krankheit vorzunehmen. Zu diesen Faktoren gehören beispielsweise
- die Größe des Unternehmens und die Art der Tätigkeit,
- das konkrete Arbeitsumfeld des infizierten Mitarbeiters und
- die Häufigkeit des physischen Austauschs des infizierten Mitarbeiters mit anderen Personen.
Die DSK hat in ihren Hinweisen hervorgehoben, dass die Offenlegung des Namens einer infizierten Person gegenüber der gesamten Belegschaft nur in ganz wenigen Ausnahmefällen in Betracht kommen kann. Dies dürfte nach unserer Auffassung ggf. bei einem Mitarbeiter der Fall sein, der in der Vergangenheit viel zwischen den Standorten gereist ist und intensive Kontakte zu allen Kollegengruppen hatte. In den übrigen Fällen (also im „Regelfall“) muss der Arbeitgeber jeweils sorgfältig abwägen, ob es beispielsweise ausreicht, lediglich Mitarbeiter zu informieren, die mit einer infizierten Person in der vergangenen Zeit eng zusammengearbeitet haben (z.B. Teammitglieder, Kollegen, die sich ein Büro teilen), oder es darüber hinaus erforderlich ist, die Belegschaft am Standort der infizierten Person teilweise oder vollständig zu informieren. Stets ist zu prüfen, ob es zur Verhinderung von Infektionsketten genügt, die Information auf anonymer Basis zu erteilen. Die Information der weiteren Belegschaft, d.h. Mitarbeiter an anderen Standorten oder in anderen Teams, dürfte im Regelfall nur auf anonymer Basis zulässig sein.
Zu beachten ist weiterhin, dass ein Arbeitgeber normalerweise nicht berechtigt ist, einen (potenziell) infizierten Mitarbeiter im Fall einer Krankmeldung zu der dahinterstehenden Diagnose zu befragen. Zulässig sind allenfalls Nachfragen nach dem kürzlichen Aufenthalt in einem der durch das Robert Koch Institut festgelegten Risikogebiete. Nach Auffassung der DSK soll ein Beschäftigter aufgrund seiner Nähebeziehung zum Arbeitgeber jedoch in der gegenwärtigen Situation ausnahmsweise auch verpflichtet sein, seinen Arbeitgeber aktiv über eine bestätigte Ansteckung mit dem Coronavirus zu informieren. Zu dieser Auffassung gibt es jedoch nach unserer Kenntnis bislang keine Rechtsprechung.
Davon unabhängig ist ein Arbeitgeber jedenfalls dann berechtigt, Informationen über den Gesundheitszustand eines Beschäftigten einzuholen, wenn die zuständigen Behörden den Arbeitgeber zuvor zur Informationsbeschaffung angewiesen haben. Ist eine hoheitliche Anordnung ergangen, besteht nach § 16 Abs. 2 S. 3 Infektionsschutzgesetz eine gesetzliche Verpflichtung des Arbeitgebers, die Gesundheitsdaten des Beschäftigten zu erheben und zu übermitteln.
Verarbeitung der Gesundheitsdaten aus Gründen öffentlichen Interesses
Darüber hinaus ist die Verarbeitung von Gesundheitsdaten eines Beschäftigten nach § 22 Abs. 1 Nr. 1 lit. c) BDSG (in Verbindung mit Art. 9 Abs. 2 lit. i) DS-GVO) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit zulässig, insbesondere aufgrund des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren. Erwägungsgrund 46 der DS-GVO weist in diesem Zusammenhang ausdrücklich darauf hin, dass auch die Überwachung von Epidemien und deren Ausbreitung wichtigen Gründen des öffentlichen Interesses dient.
Obwohl die Datenverarbeitung im Rahmen eines Arbeitsverhältnisses speziell von § 26 Abs. 3 BDSG erfasst ist, kann eine Verarbeitung von Gesundheitsdaten infizierter Mitarbeiter auf Grundlage von § 22 Abs. 1 Nr. 1 lit. c) BDSG zulässig sein. Informiert ein Arbeitgeber seine Belegschaft über die Infektion eines Mitarbeiters, so dient die damit einhergehende Datenverarbeitung nicht nur dem Zweck, ein sicheres Arbeitsumfeld zu gewährleisten (§ 26 Abs. 3 BDSG), sondern liegt auch im öffentlichen Interesse (§ 22 Abs. 1 Nr.1 lit. c) BDSG). Die Information der Belegschaft soll auch die pandemische Ausbreitung des Coronavirus auf Kollegen und Dritte (Angehörige, aber auch zufällige Kontakte außerhalb des Arbeitsplatzes) verhindern. Gleichwohl ist auch im Rahmen einer solchen im Allgemeininteresse liegenden Datenverarbeitung sorgfältig zu prüfen, ob, in welchem Umfang und an welche Empfänger personenbezogene Daten weitergegeben werden müssen.
Für Fragen stehen wir Ihnen gerne zur Verfügung.