COVID-19: Datenschutz in Deutschland - FAQ & unsere Sicht

Geschrieben von

fabian niemann module
Dr. Fabian Niemann

Partner
Deutschland

Ich berate in den Bereichen Technologie, Urheberrecht, KI, Cybersecurity sowie Datenschutz. Mein Ziel ist es, Mandanten stets die beste, für sie passende Beratung bereit zu stellen und sie insbesondere in ihren Technologietransaktionen und ihren IT- und datengesteuerten Projekten pragmatisch, lösungsorientiert und innovativ zu begleiten.

lennart schuessler module
Lennart Schüßler

Partner
Deutschland

Als erfahrener Rechtsanwalt und Partner unserer Datenschutzpraxisgruppe sowie der Sektorgruppe Technologie und Kommunikation in Düsseldorf und Frankfurt berate ich Mandanten im Bereich Datenschutz, IT, Online und Urheberrecht.

1. Schränkt der Datenschutz die Möglichkeiten der Unternehmen zur Bekämpfung des Corona-Virus ein?

Dies ist in der derzeitigen Sondersituation für die regelmäßig diskutierten Maßnahmen entgegen anderen Verlautbarungen nach unserer Meinung nicht der Fall. Der Datenschutz ist ein Grundrecht, aber - wie alle Grundrechte - kein absolutes Recht, sondern muss mit anderen Grundrechten abgewogen werden. Die Dimension der Corona-Bedrohung hat allen europäischen Regierungen deutlich gemacht, dass außerordentliche Maßnahmen zum Schutz des wichtigsten aller Grundrechte, nämlich Leben und Gesundheit, erforderlich sind. Die gleiche Abwägung gilt für Unternehmen, und mit der zunehmenden Bedrohung erkennen die Datenschutzbehörden in ihren Erklärungen und Leitlinien immer mehr die Notwendigkeit und Rechtfertigung außerordentlicher Maßnahmen an. Unserer Ansicht nach gelten die folgenden Grenzen:

  • Die Maßnahmen müssen dem sinnvollen Zweck dienen, die Gesundheit der Mitarbeiter, der Geschäftspartner oder die der Öffentlichkeit zu schützen. Sie müssen angemessen sein. So dürfen Unternehmen keine personenbezogenen Daten erheben, wenn diese nicht oder wahrscheinlich nicht verwendet werden oder nicht im Zusammenhang mit angemessenen Maßnahmen zur Bekämpfung des Corona-Virus verwendet werden müssen. Beispiel: Es ist durchaus sinnvoll, die Temperatur von Besuchern/Mitarbeitern zu messen, die ein Gebäude betreten, und den Zugang zu verweigern, wenn sie hiermit nicht einverstanden sind oder eine hohe Temperatur haben. Zum Zwecke der Zugangskontrolle müssen die Daten jedoch nicht aufbewahrt werden (die Gewährung des Zugangs ist normalerweise eine Ja/Nein-Entscheidung).
  • Personenbezogene Daten, die im Zusammenhang mit Maßnahmen zur Bekämpfung des Corona-Virus erhoben wurde, dürfen nicht für andere Zwecke verwendet werden (es sei denn, hierfür gibt es eine eigenständige Rechtfertigung), und es müssen technische und organisatorische Maßnahmen vorhanden sein, um dies zu gewährleisten.
  • Die Messungen müssen in diskriminierungsfreier Weise durchgeführt werden. Beispiel: Nur die Messung der Temperatur von Personen einer bestimmten Herkunft (bspw. asiatisch) wäre eindeutig nicht erlaubt.

2. Darf ich Informationen über einen Mitarbeiter, der mit dem Corona-Virus infiziert ist, aufzeichnen und weitergeben?

Ja, personenbezogene Daten von Mitarbeitern können auch erhoben und verarbeitet werden, wenn eine Infektion festgestellt wurde (d.h. wenn die Mitarbeiter positiv getestet wurden oder, was in Zukunft immer relevanter werden wird, sie gemäß der Leitlinien der zuständigen Gesundheitsbehörden als positiv einzustufen sind). Der Arbeitgeber kann (und sollte) einen entsprechenden Datensatz über infizierte Personen haben (der Zugang zu diesen Daten sollte jedoch sorgfältig eingeschränkt werden).

Die Informationen können (und müssen aufgrund von arbeits- und vertragsrechtlichen Fürsorge- und Sorgfaltspflichten sogar) anbetreffende potenzielle Kontakte weitergegeben werden, die mit vertretbaren Mitteln identifiziert werden können. In vielen Fällen wird dies auch die Weitergabe des Namens der betreffenden Person erfordern, wobei in der Regel nicht die Offenlegung des Namens oder anderer Informationen an die allgemeine Öffentlichkeit umfasst ist (weil dies üblicherweise nicht erforderlich ist). Die Maßnahme sollte jedoch die Benachrichtigung aller Personen (andere Mitarbeiter oder sogar Geschäftspartner) umfassen, die in dem betreffenden Zeitraum möglicherweise engen Kontakt zu der infizierten Person hatten und die mit vertretbaren Mitteln identifiziert werden können.

3. Muss ein Unternehmen die Behörden und/oder bestimmte Personen (Kontakte einer infizierten Person) über eine Infektion informieren?

Für ein gewöhnliches Unternehmen (außerhalb der medizinischen Versorgung) besteht (derzeit) keine Informationspflicht gegenüber den Behörden (dies wird von den Labors, den Krankenhäusern, den Ärzten usw. übernommen). Es kann jedoch eine Verpflichtung aus der allgemeinen Fürsorgepflicht bestehen, potentielle Kontaktpersonen zu informieren (siehe Frage 2).

4. Darf ein Unternehmen seine Mitarbeiter nach Symptomen/ihrem Gesundheitszustand fragen?

Ja, soweit dies im Zusammenhang mit der Corona-Infektion (oder ähnlichen schweren Infektionen) relevant ist. Wir halten es für gerechtfertigt, zu fragen, ob ein Mitarbeiter spezifische COVID-19-Symptome hat (die aufgezählt werden können), aber in den meisten Fällen sollten Ja/Nein-Antworten ausreichen.

Dies kann sogar als Teil einer täglichen Routine geschehen (beim Betreten eines Gebäudes oder anderweitig).

Für Personen, die lediglich von zu Hause arbeiten, kann dies anders zu werten sein (siehe Frage 9).

5. Darf ein Unternehmen Personen, die ein Gebäude betreten wollen, nach Symptomen/ihrem Gesundheitszustand fragen?

Ja. Ein Unternehmen kann im Allgemeinen von seinem Hausrecht Gebrauch machen, um zu bestimmen, unter welchen Bedingungen es den Zugang in dem unter Frage 4 oben beschriebenen Umfang gewährt. Es ist wichtig, dass dies in einer diskriminierungsfreien Weise geschieht und dass die Daten nicht für andere Zwecke verwendet werden. Daten, die für die Zugangskontrolle verwendet werden, dürfen beispielsweise nicht gespeichert werden (siehe Beispiel unter Frage 1 oben).

6. Darf ein Unternehmen Mitarbeiter oder Geschäftspartner nach ihren kürzlich erfolgten Reisen fragen?

Dies ist eine sich schnell entwickelnde Frage. Es gab Hinweise der Datenschutzbehörden, dass es nicht erlaubt ist, allgemein nach kürzlich erfolgten Reisen zu fragen, sondern nur nach solchen in "Risikogebiete", wie sie von der zuständigen Stelle (in Deutschland das Robert-Koch-Institut) definiert wurden. Die Entwicklung der Verbreitung des Virus hat jedoch gezeigt, dass dies möglicherweise zu kurz gegriffen ist. Die Risikogebiete ändern sich schnell, und ob ein Gebiet zu einem bestimmten Zeitpunkt als risikoreich gilt, kann erst 1 oder 2 Wochen später festgestellt werden. Inzwischen gibt es allgemeine internationale Reisebeschränkungen. Daher spricht unserer Meinung nach derzeit einiges dafür, dass es auch erlaubt und sogar angemessen sein sollte, die gesamten relevanten kürzlich erfolgten Reisen zu erfassen (vorbehaltlich strenger Zugangsbeschränkungen und weiterer technischer und organisatorischer Maßnahmen) - diese Beurteilung kann sich ändern, wenn die Verbreitung des Virus in der ganzen Welt weiter voranschreitet und Aufenthaltsorte weniger relevant werden.

7. Darf ein Unternehmen seine Mitarbeiter oder Besucher zu Covid-19-Symptomen von Verwandten oder Mitbewohnern befragen?

Es gibt hierzu noch keine bestimmte Orientierungshilfe der Datenschutzbehörden. Da jedoch das Risiko, sich in der Familie bzw. im Haushalt anzustecken, eher hoch ist, denken wir, dass Unternehmen auch Mitarbeiter/Besucher fragen können, ob Verwandte (wenn sie zusammen wohnen) oder Mitbewohner infiziert sind oder COVID-19-Symptome haben (siehe oben), sofern sie diese Informationen benötigen (z.B. entscheidet das Unternehmen, dass diese Personengruppe zu Hause bleiben/von zu Hause arbeiten soll - in diesem Fall kann es sogar ausreichen, dies in die Liste der Szenarien aufzunehmen, in denen Mitarbeiter von zu Hause arbeiten sollen; ein weiteres Beispiel: diese Informationen werden für die Zugangskontrolle verwendet). In den meisten Fällen sollte eine Ja/Nein-Antwort ausreichen.

Eine andere Bewertung kann sich für Personen ergeben, die bereits ausschließlich von zu Hause arbeiten (Frage 8).

8. Darf ein Unternehmen von Personen, die zu Hause arbeiten, Informationen über (Corona-Virus-Infektion, Symptome, kürzlich erfolgte Reisen, Körpertemperatur usw.) verlangen?

Wie unter Frage 1 erläutert, müssen alle Maßnahmen oder Informationsersuchen angemessen sein. Beispielsweise sind Maßnahmen (z.B. Temperaturmessung, Gesundheitsfragen usw.), die zur Zugangskontrolle angewendet werden oder verhindern sollen, dass ein Mitarbeiter einen anderen Mitarbeiter oder Geschäftspartner infiziert, nicht zwangsläufig angemessen, wenn ein Mitarbeiter nur von zu Hause arbeitet. Daher müssen alle Maßnahmen mit Blick auf den Einzelfall geprüft werden. In einigen Fällen kann es schwierig sein, die Mitarbeiter einer Gruppe zuzuordnen (z.B. wer sollte informiert werden?), und es kann gewisse Graubereiche geben. Wir sind der Meinung, dass die derzeitige Krise nicht der richtige Zeitpunkt ist, die Dinge zu kompliziert zu gestalten, so dass gewisse prozessuale Vereinfachungen zulässig sein dürften.

9. Wie steht es mit der allgemeinen Datenschutzpflicht eines Unternehmens in Zeiten der Corona-Pandemie, insbesondere hinsichtlich der Fristen zur Erfüllung der Rechte der betroffenen Personen?

Es gibt keine spezifischen Erleichterungen im Rahmen der Gesetzgebung im Zusammenhang mit Corona oder des deutschen Infektionsschutzgesetzes. Daher gelten die allgemeinen Regeln. Dies bedeutet, dass alle Verpflichtungen weiterhin bestehen und es keine allgemeine Befreiung von datenschutzrechtlichen Verpflichtungen gibt. Sollte ein Unternehmen jedoch betriebliche Probleme haben, die durch die  Corona-Pandemie ausgelöst werden, kann dies (und wird wahrscheinlich) aber nach allgemeinen Regeln eine Rechtfertigung dafür bieten, bestimmte Fristen nicht einzuhalten (z.B. mehr Zeit für die Beantwortung von Anfragen der betroffenen Person zu benötigen). Es ist jedoch zu beachten, dass viele der datenschutzbezogenen Aufgaben vollumfänglich von Personen erfüllt werden können, die von zu Hause aus arbeiten Es sollte daher mit Blick auf den Einzelfall geprüft werden, ob eine bestimmte Frist wirklich nicht anwendbar bzw. nicht einzuhalten ist.

Insights

Mehr

Newsletter Technologie & Kommunikation Ausgabe 6 - 2024

Dez 20 2024

Mehr lesen

Aktualisierte Auslegungs- und Anwendungshinweise zum Geldwäschegesetz der BaFin

Dez 18 2024

Mehr lesen

Finanzaufsichtsbehörden erteilen erste Lizenz für ein blockchainbasiertes Handels- und Abwicklungssystem

Dez 12 2024

Mehr lesen