(Stefan Höfling, Jonathan Meisse und Anna Scheller)
Die Ausgangs- und Kontaktbeschränkungen infolge der Corona-Pandemie wirken sich stark auf das Arbeitsleben aus. Arbeitgeber stehen dadurch vor der Herausforderung, sich auch datenschutzrechtlich richtig zu verhalten, etwa in Bezug auf Infektions- oder Verdachtsfälle im Unternehmen oder das Arbeiten von Mitarbeitern von zuhause aus.
Uneingeschränkte Geltung von Datenschutzrecht auch in der Krise
Auch in der Krise sind die datenschutzrechtlichen Vorschriften einzuhalten. Das bedeutet, dass auch die teils rasch erforderlichen Umstellungen der Betriebsorganisation stets den datenschutzrechtlichen Anforderungen genügen müssen. Das Datenschutzrecht sieht jedoch für die Zulässigkeit der Verarbeitung von persönlichen Daten eine Interessenabwägung vor. So kann während der Pandemie z.B. das Interesse am Gesundheitsschutz das datenschutzrechtliche Interesse von Betroffenen überwiegen.
Einhaltung datenschutzrechtlicher Grundsätze
Das Datenschutzrecht sieht in Artikel 5 der Datenschutzgrundverordnung („DSGVO“) Grundsätze für die Datenerhebung und -verarbeitung vor. Insbesondere sind Daten rechtmäßig in für die betroffenen Personen nachvollziehbarer Art und Weise zu erheben. Die Datenverarbeitung darf z.B. aufgrund einer Einwilligung oder eines überwiegenden, datenschutzrechtlich anerkannten Interesses erfolgen. Die Daten müssen zweckgebunden verarbeitet werden und müssen nach Wegfall des Zwecks, hier z.B. der besondere Gesundheitsschutz in der Krise, der nach Ende der Pandemie dann auch wieder entfällt, wieder gelöscht werden. Selbstverständlich dürfen Daten weiterhin, auch unter Gesichtspunkten der Verhältnismäßigkeit, von vornherein nur so sparsam, wie es für die Zweckerreichung erforderlich ist, erhoben werden.
Besonderer Schutz von Gesundheitsdaten
Gesundheitsdaten, wie z.B. die Information zu einer Infektion oder einem Infektionsverdacht, sind von der DSGVO besonders geschützt. Erhebung und Verarbeitung solcher Daten sind nur im Ausnahmefall zulässig. Ein Ausnahmefall dürfte aber bei einer Infektion mit oder einem Infektionsverdacht auf Sars-CoV-2 („Coronavirus“) bestehen. Denn der Arbeitgeber ist aufgrund seiner Fürsorgepflichten und aus dem Arbeitsschutzgesetz verpflichtet, erforderliche Maßnahmen zum Schutz von Mitarbeitern zu treffen. Die Zulässigkeit der Datenverarbeitung insoweit haben die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zwischenzeitlich auch grundsätzlich bestätigt (vgl. https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html).
Verhalten bei einem Infektions- oder Verdachtsfall
Kommt es zu einem Infektions- oder Verdachtsfall, sollte der Arbeitgeber die Kollegen des Betroffenen informieren. Aus Gründen der Verhältnismäßigkeit sollte dies aber ggf. nicht sogleich dem gesamten Betrieb, ohne eine Abwägung des Einzelfalls, z.B. bei verschiedenen Standorten, mitgeteilt werden. Es mag stattdessen ausreichend sein, nur das unmittelbare Arbeitsumfeld zu informieren, sofern gesichert ist, dass der Betroffene nur dort Kontaktpersonen hatte. Außerdem sollte die namentliche Nennung des Erkrankten, soweit möglich, unterbleiben. Die Information sollte vernichtet werden, sobald die Infektion bzw. der Verdacht nicht mehr besteht. Das erforderliche Maß, Art und Umfang der Information muss jedoch in jedem Einzelfall einer kritischen Prüfung und Würdigung unterzogen werden. Die Abwägung und deren Ergebnis sollte möglichst auch dokumentiert werden.
Arbeit im Homeoffice bzw. mobiles Arbeiten
Arbeiten Mitarbeiter mobil, z.B. von Zuhause, müssen sowohl die personenbezogenen Daten dieser Mitarbeiter als auch von Dritten, z.B. von Kunden und Vertragspartnern, geschützt bleiben. Den Arbeitgeber trifft die Pflicht, dafür die nötigen technischen und organisatorischen Maßnahmen zu ergreifen.
Was technische Maßnahmen angeht, sollten Unternehmen Mitarbeitern für die mobile Arbeit vom Unternehmen gestellte Hardware wie Notebooks und Mobiltelefone zur Verfügung stellen; von der Nutzung privater Geräte („BYOD“ – „Bring your own device“) ist aus Unternehmenssicht abzuraten. Durch die Bereitstellung der benötigten Programme, Nutzung von SSL-Verschlüsselung und eines Virtual Private Network (VPN)-Zugangs lassen sich für die Verbindung zwischen den mobil genutzten Systemen und Unternehmensservern entsprechende Sicherheitsstandards gewährleisten.
Organisatorische Maßnahmen können beispielsweise mittels einer Richtlinie für mobiles Arbeiten getroffen werden. Sollte das Unternehmen noch keine solche Richtlinie haben, bietet es sich an, jetzt eine solche einzuführen. In der Richtlinie kann dann u.a. festgelegt werden, wie Mitarbeiter sich bei der mobilen Arbeit verhalten sollen, um vertrauliche und/oder personenbezogene Daten ausreichend zu schützen. In einer Richtline können zudem Bestimmungen dazu enthalten sein, wie bei mobilem Arbeiten gewährleistet werden kann, dass nicht unbefugte Dritte, wie andere Haushaltsangehörige, vertrauliche und/oder personenbezogene Daten einsehen können, welche Datenträger zur Speicherung verwendet werden dürfen, wie der Umgang mit physischen Unterlagen oder mit privaten Peripheriegeräten, wie z.B. Druckern, zu erfolgen hat etc.
Zusätzlich sollte Mitarbeitern nahegelegt werden, im Interesse des Schutzes ihrer eigenen personenbezogenen Daten ggf. weitere Maßnahmen zu treffen, etwa in Videotelefonaten für eine neutrale Umgebung zu sorgen, so dass der Aufenthaltsort des Betroffenen nicht identifizierbar wird.
Vorsicht vor dauerhaften überzogenen Maßnahmen
Unternehmen sollten darauf achten ihren Mitarbeitern hinsichtlich des Umgangs mit deren personenbezogenen Daten, z.B. in Richtlinien oder Einwilligungen, auch während der Pandemie nicht mehr abzuverlangen, als datenschutzrechtlich normalerweise geboten ist. Beispielsweise darf ein Arbeitgeber grundsätzlich private Kontaktdaten, wie Telefonnummern seiner Mitarbeiter, nicht an Dritte, auch nicht an Kollegen, weitergeben, sofern der Arbeitnehmer hiermit nicht einverstanden ist. In der Krise mag es zwischen einem Unternehmen und Arbeitnehmern nun zu einer Regelung kommen, nach welcher ein Arbeitnehmer „aufgrund der aktuellen Lage“ in die Weitergabe einwilligt, wenn z.B. das Unternehmen kurzfristig keine firmeneigenen Mobiltelefone stellen kann. Für diese Einwilligung und Datenverarbeitung fiele aber nach dem Ende der Pandemie der Zweck weg, so dass sie ihre Geltung ggf. wieder verlöre. Gäbe der Arbeitgeber nun nach der Krise weiterhin diese Daten auf Grundlage der (ggf. nicht mehr wirksamen) Einwilligung weiter, beginge er damit dann unter Umständen einen erheblichen Datenschutzverstoß. Es sollte also, wenn zwischenzeitlich eine Weitergabe stattfindet, schon jetzt eine Löschungsanordnung solcher Daten bei den einzelnen Mitarbeitern bei Ende der Pandemie erfolgen und auf die Verpflichtung zur Löschung nach Ende der Pandemie nochmals gesondert hingewiesen werden.
Fazit
Auch in einer außerordentlichen Krise müssen Unternehmen die strengen und nicht immer leicht umzusetzenden datenschutzrechtlichen Regelungen befolgen. Die veränderte Lage erlaubt dabei unter Umständen individuelle Maßnahmen, die unter normalen Umständen nicht zulässig wären. Bei der Gestaltung ist im Einzelfall aber jeweils sehr genau zu prüfen, ob die konkret vorgesehene Datenverarbeitung datenschutzrechtlich zulässig ist und ob die Praxis ggf. nach dem Ende der Corona-Pandemie wieder beendet werden muss. Pauschale Aussagen über die Zulässigkeit einer Datenverarbeitung aus datenschutzrechtlicher Sicht verbieten sich. Deswegen haben die vorstehenden dargestellten Parameter auch keinen Anspruch auf Vollständigkeit und ersetzten keine individuelle Rechtsberatung. Für Ihre Fragen rund um das Thema stehen wir Ihnen jederzeit gerne zur Verfügung.
