Fragen des Datenschutzes stehen bei der aktuellen Pandemie sicherlich nicht im Zentrum, sind aber auch in Notsituationen in die Überlegungen einzubeziehen und erleichtern letztendlich die Bewältigung der Krise, vor der wir stehen. Umsichtiges und besonnenes Handeln erfordert daher immer auch die Beachtung der gesetzlichen Vorgaben, zu denen auch die Rechte der Beschäftigten zählen.

Dabei gelten die bekannten Grundsätze fort: Der einzelne Betroffene ist „Herr seiner Daten“, gerade auch seiner besonders sensiblen Gesundheitsdaten. Selbstverständlich sollte jeder verantwortlich mit einer Erkrankung umgehen und auch den Schutz von Kolleginnen und Kollegen bedenken. Dabei kann sogar eine arbeitsvertragliche Pflicht bestehen, durch Angaben über Aufenthaltsorte oder Kontaktpersonen dem Arbeitgeber eine Einschätzung zu ermöglichen, ob Gesundheitsrisiken für den Betroffenen oder andere Beschäftigte bestehen. Konkrete Angaben zur eigenen Gesundheit muss der Beschäftigte allerdings gegenüber seinem Arbeitgeber nicht machen – eine Auskunftspflicht oder die Pflicht, sich einer ärztlichen Untersuchung zu unterziehen, kann allerdings gegenüber Gesundheitsbehörden bestehen.

Der Arbeitgeber hat umgekehrt Fürsorgepflichten gegenüber allen Beschäftigten, Gesundheitsrisiken am Arbeitsplatz soweit wie möglich auszuschließen. Ermittlungs- und Eingriffsbefugnisse stehen aber in der Regel nicht ihm, sondern nur den staatlichen Gesundheitsbehörden zu. Arbeitgeber sind daher aufgefordert, im Zweifel den Kontakt zu den Gesundheitsbehörden zu suchen und nicht „auf eigene Faust“, schon gar nicht gegen den Willen der Beschäftigten Gesundheitsdaten zu erheben.​

Mit über diese FAQs hinausgehenden Fragen wenden Sie sich gerne an uns unter poststelle@lfdi.bwl.de.

Dürfen Arbeitgeber aktuelle private Handynummern oder andere Kontaktdaten von der Belegschaft erheben, um die Beschäftigten im Falle einer Schließung des Betriebs oder in ähnlichen Fällen kurzfristig warnen oder auffordern zu können, zu Hause zu bleiben?

Zur Corona-Prävention wird von vielen (Berufs-) Verbänden der Aufbau eines auf den jeweiligen Betrieb zugeschnittenen „innerbetrieblichen Kommunikationsnetzwerks“ empfohlen, damit Unternehmen je nach Pandemiephase bestimmte Maßnahmen treffen können. Eine solche Empfehlung spricht auch das Handbuch des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe[1] aus.

Damit die Beschäftigten auch kurzfristig gewarnt werden können und nicht zunächst im Betrieb oder bei der Arbeit erscheinen, dürfen Arbeitgeber von ihren Beschäftigten auch die aktuelle private Handynummer etc. abfragen und temporär speichern. Dies kann allerdings nur im Einverständnis mit dem Beschäftigten erfolgen; eine Pflicht zur Offenlegung privater Kontaktdaten besteht für die Beschäftigten nicht, wird jedoch regelmäßig in ihrem eigenen Interesse liegen.

Entscheidend ist hierbei, dass die Erhebung der privaten Kontaktdaten für eindeutige, konkrete und legitime Zwecke erfolgt. In Betracht kommt insbesondere der Zweck, die Infektionsgefährdung der Beschäftigten zu verringern. Spätestens nach Ende der Pandemie sind die erhobenen Kontaktdaten vom Arbeitgeber wieder zu löschen. Es wäre datenschutzrechtlich nicht zulässig, wenn diese Daten „durch die Hintertür“ später für Kontaktaufnahmen nach Feierabend oder am Wochenende oder für andere Zwecke genutzt werden.

[1] https://www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Downloads/GesBevS/Handbuch-Betriebl_Pandemieplanung_2_Auflage.pdf

Dürfen Arbeitgeber Informationen darüber erheben und weiterverarbeiten, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte etc.?

Arbeitgeber sind auf Grund ihrer Fürsorgepflicht und nach dem Arbeitsschutzgesetz (ArbSchG) verpflichtet, die erforderlichen Maßnahmen zu treffen, um die betriebliche Sicherheit und Gesundheit der Belegschaft zu gewährleisten. Hiervon ist auch die Pflicht des Arbeitgebers umfasst, dafür zu sorgen, die anderen Beschäftigten vor einer Infektion durch eine erkrankte Person zu schützen. Für diesen Zweck ist es datenschutzrechtlich zulässig, Informationen darüber zu erheben, zu welchen Personen der erkrankte Mitarbeiter Kontakt hatte[1]. Gemäß Artikel 6 Absatz 1 Buchstabe c der Datenschutz-Grundverordnung (DS-GVO) i.V.m. Artikel 9 Absatz 1, Absatz 4 DS-GVO und § 26 Absatz 3 Satz 1, § 22 Absatz 1 Nummer 1 Buchstabe b des Bundesdatenschutzgesetzes (BDSG) kann der Arbeitgeber die erforderlichen Daten zum Zweck der arbeitsmedizinischen Vorsorge verarbeiten.

Der Arbeitgeber darf demnach beispielsweise auch Urlaubsrückkehrer befragen, ob sie sich in einem, etwa durch das Robert Koch-Institut festgelegten Risikogebiet, aufgehalten haben. Eine Negativauskunft des Beschäftigten genügt regelmäßig. Liegen weitere Anhaltspunkte vor, kann gegebenenfalls eine weitere Nachfrage erfolgen.

[1] https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/Kontaktperson/Management.html

Dürfen Arbeitgeber den Beschäftigten mitteilen, dass ein bestimmter Mitarbeiter am Virus erkrankt ist, sogar unter Nennung des konkreten Namens, um darauf aufbauend mögliche Kontaktpersonen freizustellen?

Die Kenntnis von der Corona-Erkrankung eines Mitarbeiters kann für diesen zu einer enormen Stigmatisierung führen. Die Nennung des Namens des betroffenen Mitarbeiters ist daher grundsätzlich zu vermeiden. Gleichzeitig sind Mitarbeiter, welche in direktem Kontakt mit einem Infizierten waren, zu warnen und werden in der Regel selbst zur Eindämmung der Ansteckungsgefahr von der Arbeit freigestellt. Regelmäßig kann eine derartige Maßnahme abteilungs-/ bzw. teambezogen ohne konkrete Namensnennung erfolgen.

Ist dies ausnahmsweise nicht ausreichend, so muss der Arbeitgeber Kontakt mit den Gesundheitsbehörden aufnehmen und um deren Entscheidung ersuchen.

Ist auch dies nicht möglich, dürfen auch die übrigen Mitarbeiter über den Verdacht der Ansteckung oder der Erkrankung des konkreten Mitarbeiters informiert werden, um Infektionsquellen zu lokalisieren und einzudämmen.

Dürfen Arbeitgeber nach Aufforderung durch Gesundheitsbehörden Daten über erkrankte Beschäftigte, über Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten an die Behörden übermitteln?

Behördliche Maßnahmen vor dem Hintergrund der Corona-Pandemie können, je nach der spezifischen Regelung der Länder, meist durch die jeweilige Ortspolizeibehörde oder das zuständige Gesundheitsamt erlassen werden.[1] Besonders bedeutsam mit Blick auf den betrieblichen Pandemieschutz sind die Vorschriften der §§ 30, 31 des Infektionsschutzgesetzes (IfSG), welche die Quarantäneanordnung und das berufliche Tätigkeitsverbot durch das Gesundheitsamt regeln, sowie die Generalklauseln in § 16 Absatz 1 und Absatz 2 Satz 3 IfSG (zu diesen siehe noch die nächste Frage). Die Rechtsgrundlage hängt von der konkreten behördlichen Anfrage ab, welche dort erfragt werden kann.

Bei Ersuchen von zuständigen Hoheitsträgern, etwa bzgl. erkrankter Beschäftigter im Betrieb, ist von einer mit der Übermittlungspflicht korrespondierenden Übermittlungsbefugnis der Arbeitgeber auszugehen.

[1] In Baden-Württemberg ergeben sich die Zuständigkeiten insbesondere aus der Verordnung des Sozialministeriums über Zuständigkeiten nach dem Infektionsschutzgesetz vom 19. Juli 2007 (GBl. S. 361), geändert durch ÄndVO vom 8. April 2014 (GBl. S. 177).

Dürfen Unternehmen (z. B. Messeveranstalter, Theater usw.) auf Aufforderung durch Gesundheitsbehörden Daten von Kunden oder Besuchern von Veranstaltungen erheben, speichern oder übermitteln für den Fall, dass später bekannt wird, dass eine infizierte Person auf der Veranstaltung war?

Gem. § 16 Absatz 1 IfSG gilt: „Werden Tatsachen festgestellt, die zum Auftreten einer übertragbaren Krankheit führen können, oder ist anzunehmen, dass solche Tatsachen vorliegen, so trifft die zuständige Behörde die notwendigen Maßnahmen zur Abwendung der dem Einzelnen oder der Allgemeinheit hierdurch drohenden Gefahren. Die bei diesen Maßnahmen erhobenen personenbezogenen Daten dürfen nur für Zwecke dieses Gesetzes verarbeitet werden.“

Für den Fall, dass von der zuständigen Behörde eine auf Speicherung von Besucherdaten gerichtete Verfügung ergangen ist, kann der Veranstalter die Erhebung und Speicherung der Daten entsprechend der behördlichen Anordnung auf Artikel 6 Absatz 1 Buchstabe c sowie Absatz 2 und 3 DS-GVO stützen. Einer solchen Anordnung zur Speicherung von Besucherdaten korrespondiert regelmäßig eine Übermittlungspflicht an die zuständige Behörde, etwa nach der Regelung des § 16 Absatz 2 Satz 3 IfSG. Demnach besteht die Verpflichtung, auf Verlangen der Behörde die erforderlichen Auskünfte zu erteilen und Unterlagen vorzulegen.

Sobald eine solche behördliche Anordnung vorliegt, sollte das von ihr betroffene Unternehmen prüfen, ob die hieraus resultierende Datenverarbeitung (insbesondere die Erhebung und Speicherung der betreffenden Daten und ggf. die Übermittlung an die Gesundheitsbehörde) in den von ihr zu erteilenden Informationen nach Artikel 13, 14 DS-GVO angeführt wird und andernfalls eine Anpassung vornehmen.

Solange eine behördliche Anordnung nicht vorliegt, ist es Veranstaltern unbenommen, die Namen und Kontaktdaten ihrer Besucher zu dem Zweck, diese den Gesundheitsbehörden auf Anforderung zu übermitteln, auf der Grundlage einer Einwilligung nach Artikel 6 Absatz 1 Buchstabe a DS-GVO von den Besuchern zu erheben und zu speichern. Die Dauer der Speicherung sollte sich in diesem Fall an der mutmaßlichen Inkubations- und Entdeckungszeit von Infektionen orientieren.

Welche Daten (über Erkrankte und Nichterkrankte) haben Leistungserbringer im Gesundheitsbereich (z. B. Krankenhäuser/Ärzte) insoweit zu erheben und an Gesundheitsbehörden zu melden?

Die Meldepflichten von Ärzten, Krankenhäusern und anderen Einrichtungen, beispielsweise Laboren, ergeben sich insbesondere aus den detaillierten Regelungen der §§ 6, 7, 8 und 9 IfSG in Verbindung mit der Verordnung über die Ausdehnung der Meldepflicht nach § 6 Absatz 1 Satz 1 Nummer 1 und § 7 Absatz 1 Satz 1 des Infektionsschutzgesetzes auf Infektionen mit dem erstmals im Dezember 2019 in Wuhan/Volksrepublik China aufgetretenen neuartigen Coronavirus („2019-nCoV“) des Bundesministeriums der Gesundheit vom 30. Januar 2020 (CoronaVMeldeV).

Nach § 9 Absatz 1 IfSG muss die namentliche Meldung durch einen Arzt u. a. folgende Angaben, soweit vorliegend, enthalten:

  • Name und Vorname,
  • Geschlecht,
  • Geburtsdatum,
  • Anschrift der Hauptwohnung oder des gewöhnlichen Aufenthaltsortes und, falls abweichend: Anschrift des derzeitigen Aufenthaltsortes,
  • weitere Kontaktdaten,
  • Diagnose oder Verdachtsdiagnose,
  • Tag der Erkrankung, Tag der Diagnose, gegebenenfalls Tag des Todes und wahrscheinlicher Zeitpunkt oder Zeitraum der Infektion,
  • wahrscheinliche Infektionsquelle, einschließlich der zugrunde liegenden Tatsachen, in Deutschland: Landkreis oder kreisfreie Stadt, in dem oder in der die Infektion wahrscheinlich erworben worden ist, ansonsten Staat, in dem die Infektion wahrscheinlich erworben worden ist.

Demnach sind Ärzte aus datenschutzrechtlicher Sicht nicht verpflichtet, ihnen bislang nicht vorliegende Informationen aus dem umfangreichen Katalog des § 9 Absatz 1 IfSG erst noch, eventuell unter beträchtlichem Einsatz von Zeit und anderen Ressourcen, zu erheben, um danach ihre namentliche Meldung nach den Vorschriften des Infektionsschutzgesetzes zu machen. Soweit es Ärzten, etwa aus medizinischen oder epidemiologischen Gründen, sachgerecht oder angezeigt scheint, bestimmte Ihnen noch nicht vorliegende Informationen zu erheben, dürfen sie dies versuchen. Selbstverständlich müssen sie dann in datenschutzrechtlicher Hinsicht u. a. prüfen, ob sie eine entsprechende Erhebungsbefugnis haben.

Die Leistungserbringer sollten zudem überprüfen, ob die Möglichkeit einer Meldung von Gesundheitsdaten an Gesundheitsbehörden aufgrund des Infektionsschutzgesetzes in ihren jeweils erteilten Informationen gemäß Artikel 13 und 14 DS-GVO enthalten ist.

Fragen sind die Wurzel aller Antworten.

Fragen Sie nach und wir bringen Licht ins Dunkel.