Verarbeitung personenbezogener Daten durch Arbeitgeber im Zusammenhang mit der Corona-Pandemie


Sicherlich ist Datenschutz aktuell nicht wirklich das dringlichste Problem für Arbeitgeber.

Aber für viele Unternehmen stellt sich neben einer ganzen Reihe anderer organisatorischer Herausforderungen natürlich schon die praktische Frage, ob und wie personenbezogene Daten von Mitarbeitern oder Besuchern bei im Zusammenhang mit der Corona-Pandemie stehenden Maßnahmen verarbeitet werden dürfen.

Und der einfachste Weg, zeitliche Ressourcen frei zu setzen, die die Verantwortlichen in den Betrieben für wichtigere Themen benötigen, dürfte sein, ihnen die wesentlichen Informationen hierzu schnell zur Verfügung zu stellen…

Der Bundesbeauftragte für den Datenschutz hat deshalb einen Überblick veröffentlicht, mit dem zulässige Maßnahmen benannt sowie die rechtlichen Rahmenbedingungen kurz dargestellt werden.

Datenschutzrechtlich zulässige Verarbeitungen

Nach Ansicht des BfDI sind folgende Maßnahmen als zulässig anzusehen:

  • Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:
    • in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
    • in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
  • Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese
    • selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
    • sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.
  • Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Zwei für das Arbeitsverhältnis wichtige Grundaussagen

…enthält die Information ganz am Ende:

„Zusätzlich zu den bestehenden Rechtsgrundlagen für die Datenverarbeitung auf Seiten des Arbeitgebers ergeben sich aus […] dem Arbeitsrecht für Beschäftigte verschiedene Nebenpflichten, unter anderem auch Rücksichts-, Verhaltens- und Mitwirkungspflichten gegenüber ihrem Arbeitgeber und Dritten.

Vorliegend stellt nach Auffassung der Datenschutzaufsichtsbehörden beispielsweise die Pflicht zur Information des […] Arbeitgebers über das Vorliegen einer Infektion mit dem Corona-Virus eine solche Nebenpflicht zum Schutz hochrangiger Interessen Dritter dar, aus der unter gewissen Voraussetzungen auch eine Offenlegungsbefugnis gemäß Art. 6 Abs. 1 c) und f) DSGVO bezüglich personenbezogener Daten der Kontaktpersonen folgt.“

Das bedeutet für die arbeitsvertragliche Praxis mit anderen Worten:

  • Für den / die Arbeitnehmer(in) stellt es eine arbeitsvertragliche Pflichtverletzung dar, eine Erkrankung bzw. den eigenen Kontakt mit einer infizierten Person dem Arbeitgeber nicht mitzuteilen
  • Der Arbeitgeber kann dazu berechtigt (gar verpflichtet) sein, infizierte bzw. „risikobehaftete“ Mitarbeiter(innen) innerhalb des Betriebs gegenüber anderen Mitarbeiter(inne)n auch namentlich zu benennen