Neues zum Beschäftigtendatenschutz Richtiger Umgang mit Mitarbeiterdaten in Pandemie-Zeiten

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Wenn es um Datenschutz während der Corona-Pandemie geht, dreht sich vieles um Home-Office und mögliche Cyberattacken. Doch auch der Umgang mit den Beschäftigtendaten muss stimmen. Die Verarbeitung von Ergebnissen der Corona-Tests ist nur ein Beispiel. Die Aufsichtsbehörden geben Hinweise, welche Vorgaben für den Schutz der Mitarbeiterdaten besser beachtet werden müssen.

Firmen zum Thema

Datenschutzgerechtes Impfen, Testen und eine Kontaktverfolgung sind problemlos im Rahmen der DSGVO möglich. Doch worauf muss man achten, damit es datenschutzkonform ist?
Datenschutzgerechtes Impfen, Testen und eine Kontaktverfolgung sind problemlos im Rahmen der DSGVO möglich. Doch worauf muss man achten, damit es datenschutzkonform ist?
(© bluedesign - stock.adobe.com)

Hat der Datenschutz 70.000 Todesfälle verursacht? Diesem Vorwurf stellte sich der Hessische Beauftragte für Datenschutz und Informationsfreiheit. Seine Antwort ist eindeutig: Der Datenschutz hat weder Todesfälle verursacht noch ist er in der Coronakrise als einziges Grundrecht ohne Einschränkung geblieben.

In Wirklichkeit erlaubt das Datenschutzrecht die Datenverarbeitung zur Pandemiebekämpfung, so der Landesbeauftragte Prof. Dr. Alexander Roßnagel. Sie ist nach der Datenschutz-Grundverordnung zulässig, wenn sie erforderlich ist, um „lebenswichtige Interessen“ zu schützen. Als ein Beispiel für ein solches Interesse nennt die Datenschutz-Grundverordnung ausdrücklich die „Überwachung von Epidemien“. Wenn Impfen, Testen und Kontaktverfolgung nicht wie gewünscht funktionieren, ist dies also nicht die Schuld des Datenschutzes.

Prof. Dr. Alexander Roßnagel hierzu: „Wir benötigen kein Zurückschrauben des Datenschutzrechts. Im Gegenteil – die Einschränkung des Grundrechts auf Datenschutz wäre kontraproduktiv. In der Krise hat der Datenschutz Flexibilität und Schutzwirkung gleichzeitig erwiesen.“

Offensichtlich sind also datenschutzgerechtes Impfen, Testen und eine Kontaktverfolgung möglich, im Rahmen der DSGVO. Doch worauf muss man achten, damit es datenschutzkonform ist? Diese Frage sollten sich Unternehmen nicht nur im Umgang mit Kundendaten stellen, wenn zum Beispiel in Geschäften und Restaurants Kontaktdaten hinterlegt werden müssen. Auch für den Beschäftigtendatenschutz, also für die Daten der Mitarbeiterinnen und Mitarbeiter, gibt es einiges zu beachten.

Aufsichtsbehörden beziehen Stellung

Nun lassen die Aufsichtsbehörden die Unternehmen mit ihren Fragen nicht alleine, sondern sie haben sich bereits mehrfach zum Datenschutz in Corona-Zeiten geäußert. Aus ihren Hinweisen kann man auch einiges für den Beschäftigtendatenschutz ableiten, der sich ja auf die neue Situation Home-Office, Remote Work, Testen, Impfen und Kontaktverfolgung einstellen muss.

So erreichen die Datenschutzaufsichtsbehörden fortlaufend Beratungsanfragen von Arbeitgebern, die Gesundheitsdaten wie die Körpertemperatur oder den Impfstatus von Beschäftigten erheben und verarbeiten wollen.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) weist darauf hin, dass die Verarbeitung von Gesundheitsdaten zu privatwirtschaftlichen Zwecken (sei es im allgemeinen Wirtschaftsbereich oder im Beschäftigungsbereich) den Anforderungen der europäischen Datenschutz-Grundverordnung (DSGVO) genügen muss.

Informationen über den Impfstatus einer Person sind ebenso Gesundheitsdaten wie das Ergebnis eines Coronatests oder der Nachweis einer überstandenen Infektion. Gesundheitsdaten stehen unter dem besonders strengen Schutz der DSGVO und dürfen nur unter eng zu verstehenden Ausnahmen verarbeitet werden.

In aller Regel geboten sind konkrete gesetzliche Regelungen, die eine Verarbeitung solcher Gesundheitsdaten ausdrücklich zulassen, wie es etwa nach § 20 Infektionsschutzgesetz bei der Masernschutzimpfung im Bereich von Kindertageseinrichtungen der Fall ist.

Fehlt eine gesetzliche Grundlage, bedarf es somit in der Regel einer Einwilligung der Arbeitnehmer in die Erhebung und Verarbeitung ihrer Gesundheitsdaten, wobei vor allem im Beschäftigungsbereich die Freiwilligkeit der Einwilligung regelmäßig problematisch ist.

Ohne eine gesetzliche Regelung muss stets im Einzelfall geprüft werden, inwieweit die Verarbeitung von Daten über den Impfstatus oder im Rahmen einer Testung datenschutzrechtlich zulässig ist. Diese Einzelfallbetrachtung ist aufgrund der anzustellenden komplexen juristischen Abwägungen für alle Beteiligten mit großem Aufwand und rechtlichen Unsicherheiten verbunden.

Grundsätze für die Datenverarbeitung in Pandemie-Zeiten

Da die rechtliche Situation für die Unternehmen komplex werden kann, sind zweifellos Grundsätze hilfreich, an denen man sich orientieren kann. Auch hierzu haben sich die Aufsichtsbehörden geäußert. Zentrale Punkte sind dabei:

Krisenzeiten ändern nichts daran, dass die Verarbeitung personenbezogener Daten stets auf einer gesetzlichen Grundlage zu erfolgen hat. Das bedingt insbesondere, dass die mit einer Verarbeitung verfolgten Zwecke möglichst genau bezeichnet werden. Für Beschäftigtendaten gilt nach dem neuen Bundesdatenschutzgesetz insbesondere: „Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“

Die geplanten Maßnahmen müssen zudem kritisch auf ihre Eignung überprüft werden, um etwa Infektionen zu erfassen, infizierte Personen zu behandeln oder Neuinfektionen zu verhindern.

Die geplanten Maßnahmen müssen auch erforderlich sein. Stehen ebenfalls geeignete Maßnahmen zur Zweckerreichung zur Verfügung, die weniger, oder - wie eine vorherige Anonymisierung - sogar gar nicht in die Rechte der Menschen eingreifen, müssen diese vorrangig umgesetzt werden.

Zur verhältnismäßigen Ausgestaltung der Verarbeitung von sensiblen Daten gehört es schließlich, dass die speziell zur Bewältigung der Corona-Pandemie getroffenen Maßnahmen umkehrbar in dem Sinne gestaltet werden, dass sie nach Krisenende wieder zurückgenommen werden können und, wenn sie dann unverhältnismäßig sind, sogar müssen. So sind nicht mehr für die benannten Zwecke benötigte personenbezogene Daten unverzüglich zu löschen. Generell sollten zudem alle Maßnahmen befristet werden.

Technisch-organisatorische Maßnahmen zum Schutz der Integrität und Vertraulichkeit von Gesundheitsdaten sind nicht nur rechtlich geboten, sondern auch notwendig, um eine missbräuchliche Verwendung von Daten zu verhindern und Fehlern in der Verarbeitung entgegenzuwirken.

Wichtig ist es auch, im Sinne des Datenschutz-Grundsatzes der Transparenz die betroffenen Personen in verständlicher Weise über die Verarbeitung ihrer Daten zu informieren.

Die Aufsichtsbehörden machen aber auch deutlich: Auch wenn eine Verarbeitung von Gesundheitsdaten grundsätzlich nur restriktiv möglich ist, können für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern datenschutzkonform Daten erhoben und verwendet werden. Dabei ist der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage stets zu beachten.

Beispielsweise können die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie als datenschutzrechtlich legitimiert betrachtet werden:

  • Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen.
  • Hierzu zählen insbesondere Informationen zu den Fällen:
    in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
    in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
  • Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Die Fürsorgepflicht der Arbeitgeber bzw. der Dienstherren verpflichtet diese den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Hierzu zählt nach Ansicht der unabhängigen Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und im Fall der Fälle der Nachverfolgbarkeit (also im Grunde nachgelagerte Vorsorge gegenüber den Kontaktpersonen) dient.

Datenschutz und Mund-Nasen-Schutz

Die Aufsichtsbehörden haben auch zu ganz konkreten Fragestellungen Stellung bezogen: So gaben sie auch Hinweise zur Befreiung von der Pflicht zum Tragen von Mund-Nasen-Bedeckungen. Soweit Betroffene den Nachweis der Befreiungsvoraussetzung durch Vorlage einer ärztlichen Bescheinigung erbringen wollen, ist auf die Vermeidung der Offenbarung von besonders geschützten Gesundheitsinformationen zu achten.

Ob eine gesundheitliche Beeinträchtigung oder Erkrankung der Verwendung einer Maske entgegensteht, ist als medizinische Frage in die Bewertung des Arztes gestellt. Entgegen der Auffassung einiger gerichtlicher Entscheidungen ist das Anfordern von näheren Begründungen oder gar Diagnosen im Rahmen der Vorlage eines ärztlichen Attests in der Regel weder geeignet noch erforderlich und verstößt somit gegen europarechtliche Vorgaben (Grundsatz der Datenminimierung).

Ergänzend wurde von den Aufsichtsbehörden darauf hingewiesen, dass die Anfertigung und Speicherung von Kopien von ärztlichen Bescheinigungen bzw. die Speicherung von Originalen in der Regel nicht erforderlich und damit unzulässig ist. Zu Dokumentationszwecken reicht ein Vermerk aus, dass die Ausnahme durch ärztliche Bescheinigung glaubhaft gemacht wurde.

Personaldaten und die Cloud

Abschließend noch der Hinweis: Die vermehrte Arbeit im Homeoffice hat zudem dazu geführt, dass Mitarbeiterdaten zunehmend in Cloud-Diensten verarbeitet werden: Der Wechsel auf cloudbasierte Plattformen für die Personalarbeit (HR, Human Resources) hat sich während der Pandemie deutlich beschleunigt, so eine Studie der Information Services Group (ISG). Zugleich erwarten die Unternehmen auch für die kommenden Jahre eine Verstärkung dieses Trends.

Wichtig ist dabei natürlich, an alle Vorgaben aus dem Cloud-Datenschutz zu denken und insbesondere auch an das Ende der Gültigkeit von Privacy Shield.

(ID:47443106)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research