Datenschutz in der Krise

IT-SECURITY,

Johanna Hametner

IT-Consultant Information Security

E-Mail schreiben

Die befürchtete zweite Covid-19-Welle rollt immer schneller auf uns zu. Die wachsende Zahl der Infektionen verlangt, dass geeignete Abwehrmaßnahmen zum Schutz von Arbeitnehmern getroffen werden.

Doch wie suggerieren diese Umstände den Datenschutz? Hat sich das Recht auf den Schutz von personenbezogenen Daten in dieser Krise verändert oder gar verringert? Zuerst eine Entwarnung, das geltende Datenschutzrecht wird auch durch eine globale Pandemie nicht ausgehebelt und die Verarbeitung von Gesundheitsdaten ist geregelt, auch jene in Bezug auf Covid-19. Diese umfassen vor allem Daten, welche Erkrankungen, Infektionen und Verdachtsfälle betreffen. Diese Daten zählen zu besonders schützenswerte Daten nach Artikel 9 DSGVO.

Erfahren Sie in den nächsten Wochen in unserer Newsletter Serie mehr über wichtige Aspekte des Datenschutzes in einer globalen Krise. Im ersten Teil behandeln wir Auswirkungen auf die Arbeitswelt.

Datenschutz, Covid und die Arbeitswelt – die Arbeitgebersicht

Konkrete gesonderte, gesetzliche Grundlagen für die Verarbeitung von Gesundheitsdaten in Bezug auf Covid-19 der Mitarbeiter seitens des Arbeitgebers sind derzeit nicht vorhanden. Daher gibt es in der Praxis zwei gängige Vorgehensweisen:

  1. Eine ausdrückliche Einwilligung des Betroffenen (Art 9 Abs 2 lit a DSGVO) oder
  2. Die Einhaltung arbeits- und sozialrechtlicher Pflichten (Art 9 Abs 2 lit b DSGVO). Arbeitgeber haben aufgrund arbeitsrechtlicher Bestimmungen eine Fürsorgepflicht und müssen dafür sorgen, dass Gesundheitsrisiken am Arbeitsplatz ausgeschlossen werden. Dazu zählt auch die Prävention von Infektionen und die Eindämmung einer Virusverbreitung am Arbeitsplatz.

Vor diesem Hintergrund kann die Erhebung des Gesundheitszustands durch Arbeitgeber auf die Erfüllung arbeitsrechtlicher Pflichten gestützt werden.

Liegt ein Verdachtsfall oder eine tatsächliche Infektion vor, können andere Arbeitnehmer vom Arbeitgeber auf Basis der zwei gängigen Vorgehensweisen darüber informiert werden. Der Arbeitgeber sollte jedoch berücksichtigen, dass dem Datenminimierungsgrundsatz gerecht geworden wird.

Es ist daher im Einzelfall sorgfältig abzuwägen, ob es notwendig ist, gegenüber der Belegschaft den konkreten Namen einzelner Personen zu nennen, die sich infiziert haben, oder mit der allgemeinen Information, dass am Arbeitsplatz eine Infektion aufgetreten ist, das Auslangen gefunden werden kann. Eine individuelle Nennung von infizierten Personen kann sich dann als zulässig erweisen, wenn erhoben werden muss, wer mit diesen Personen vor Bekanntwerden der Infektion Kontakt hatte. So sollten im ersten Schritt beispielsweise nur die betroffenen Abteilungen, Stockwerke oder Standorte informiert werden.

Eine Weitergabe an externe Dritte – zB Kunden oder Lieferanten – hat dementsprechend stets ohne Personenbezug zu erfolgen. Auch intern ist sicherzustellen, dass das need-to-know Prinzip eingehalten wird und nur Personen Zugriff auf Klardaten des Erkrankten erhalten, welche diese zur Zweckerfüllung wirklich benötigen.

Auch die Löschung der Daten sollte sichergestellt werden. Hierbei ist zu beachten, dass die Daten bei Wegfallen des Zweckes gelöscht oder anonymisiert werden müssen. Dazu zählen:

  • Angaben, ob eine Person mit dem Virus infiziert ist;
  • Angabe, ob eine Person mit einer infizierten Person Kontakt hatte und demnach der Verdacht einer Erkrankung besteht;
  • Angabe, ob sich eine Person in einem Risikogebiet aufgehalten hat;
  • Einschätzung, ob eine Person zu einer Risikogruppe zählt;
  • Physiologische (Sensor-)Daten, zB die Körpertemperatur oder (Selbst-)Auskünfte zum Gesundheitszustand.

Die Erhebung von Gesundheitsdaten von Betroffenen sollte in Bezug auf Covid-19 entsprechend vorbereitet werden. Wir empfehlen folgende Maßnahmen zu treffen:

  1. Die schriftliche Festhaltung der Rechtsgrundlage, Betroffenen, Empfängern sowie des Zweckes der Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten.
  2. Festlegen von technischen und organisatorischen Maßnahmen für diesen Verarbeitungsschritt.
  3. Durchführung einer Datenschutzfolgeabschätzung im Bezug auf die Risiken des Verarbeitungsschrittes der Datenerhebung.
  4. Informationen der Betroffenen in einfacher Sprache.
  5. Zusammenarbeit mit dem Betriebsrat bei der Verarbeitung von Gesundheitsdaten in Bezug auf Covid-19.
  6. Klare Festlegung der Löschfristen sowie Sicherstellung der Umsetzung.
  7. Awareness Trainings für Mitarbeiter im Bezug auf die Verarbeitung von Gesundheitsdaten sowie die Vorbeugung einer Ansteckung.
  8. Vorbeugungsmaßnahmen, um eine Ansteckung zu verringern. Einsatz von Desinfektionsmitteln, Homeoffice, Arbeitsrichtlinien, … 

Datenschutz in der Krise bleibt ein spannendes Thema, erfahren Sie in den nächsten Teilen der Newsletter Serie Details zu Kontaktdatenerhebung, polizeiliches Contact-Tracing, Corona App, Datenschutz & Homeoffice und vielem mehr.