Covid-19: Schutzmaßnahmen und Datenschutz
Frage:
Was ist wichtiger: Gesundheit oder Datenschutz? Natürlich lautet der erste Impuls, dass die Gesundheit vorgeht. Was wiegt schwerer, wenn man den unternehmerischen Betrieb in Zeiten von COVI-19 mit dem Datenschutz abwägt? Und was ist mit Gesundheit in Beziehung zum unternehmerischen Betrieb?
Die Fragen verdeutlichen: Alles hängt irgendwie zusammen und muss irgendwie in Waage gehalten werden. Es wäre zu einfach, würde man nur zwischen Gesundheit der Mitarbeiter und Kunden auf der einen Seite und den Fortbestand des Unternehmens abwägen. Auch wenn der Datenschutz vielen noch immer wie ein Fremdkörper vorkommt. Er ist gesetzlich geregelt und gilt auch in Zeiten von COVID-19 fort. Insbesondere wird die Wichtigkeit des Datenschutzes klar, wenn man die Auswirkungen betrachtet, die bei Missachtung entstehen können. Falschmeldungen zu positiv-getesteten Mitarbeitern können zur Zwangsquarantäne führen. Ein Missmanagement zur Gesundheitsvorsorge kann zu einem neuen COVID-19-Hotspot im Unternehmen führen, was wiederum schlechte Werbung ist.
Was darf das Unternehmen im Umgang mit COVID-19 aus Sicht des Datenschutz tun?
Erheben von Gesundheitsdaten
Zunächst muss klargestellt werden, dass es sich bei personenbezogenen Daten zu COVID-19 in der Regel um Gesundheitsdaten geht, die besonderen Schutz genießen. Damit wird das Erheben der Daten schon erschwert. Unternehmen müssen auf freiwillige Hilfe der Mitarbeiter setzen, was wiederum eine gute Kommunikation voraussetzt. Wird der Zweck der Erhebung von Daten gut erklärt, werden auch die Daten valider. Das Unternehmen darf zum Beispiel Fragebögen an alle Mitarbeiter senden, die Fragen zum Aufenthaltsort zum Beispiel im Urlaub und Fragen zu aktuellen Symptomen enthalten. Sofern dem Unternehmen bereits bekannt ist, dass ein Mitarbeiter zum Beispiel auf Dienstreise war, darf der Mitarbeiter auch direkt angesprochen und befragt werden. Unzulässig ist es aber, wenn sich das Unternehmen Gesundheitsdaten zum Beispiel von Mitarbeiter X durch Mitarbeiter Y erfragt.
Teilt ein Mitarbeiter dem Unternehmen mit, dass er direkten Kontakt zu einer COVID-19-positiven Person hatte, dürfen diese Daten erhoben werden. In der Regel wird dieser Mitarbeiter vorsorglich in Quarantäne gehen. Soweit der Mitarbeiter selbst nicht positiv-getestet wurde, hat dies (mit Stand vom 18.11.2020) keine Auswirkungen auf die Kontakte des Mitarbeiters im Unternehmen. Die Frage, ob das Unternehmen Verdachtsfälle oder Positiv-Fälle an die Mitarbeiter weitergeben soll, muss differenziert beantwortet werden. In großen Unternehmen mag es sinnvoll sein, wenn das Unternehmen die Mitarbeiter darüber informiert, dass ein Mitarbeiter vorsorglich(!) in Quarantäne ist. Dies darf nicht zur Beunruhigung der übrigen Mitarbeiter geschehen, sondern soll diese sensibilisieren, um auf eigene Symptome zu achten. Keinesfalls darf der Name des Mitarbeiters genannt werden, der vorsorglich in Quarantäne ist. Und das macht die Beantwortung der Fragen für kleinere Unternehmen schon schwerer, denn hier würde ohnehin auffallen, wer ohne Urlaub zu haben am Arbeitsplatz fehlt.
Ist die vorsorgende Erhebung von Gesundheitsdaten erlaubt? Am Beispiel von Fiebermessen am Eingang des Unternehmens soll diese Frage geklärt werden. So könnte das Unternehmen beschließen, dass alle Mitarbeiter bei Einlass ins das Unternehmen mittels Infrarotthermometers auf Fieber untersucht werden. Zunächst sollte sich das Unternehmen aber die Frage stellen, ob diese Maßnahme zweckdienlich, notwendig und angemessen ist. Erfüllt das Fiebermessen den Zweck? Hier muss man aus heutiger Sicht sagen, dass zwar Fieber ein Symptom einer COVID-19-Ansteckung ist. Es gibt aber auch Fälle, in denen Menschen ohne Fieber positiv auf COVID-19 getestet wurden. Andererseits gibt es Fälle von Fieber, dass nicht in Verbindung zu COVID-19 steht. Es muss dem Unternehmen damit klar sein, dass es keine verlässlichen Daten erhebt. Dennoch wird der Zweck erfüllt, denn es hilft die Personen ausfindig zu machen, die Symptome (irgendeiner fiebrigen Krankheit) zeigen. Stellt sich die Frage, ob es notwendig ist, diese Maßnahme zu ergreifen. Notwendig würde es sein, wenn im Fall einer Ansteckung weiterer Mitarbeiter durch einen kranken Mitarbeiter das Unternehmen gefährdet ist. Wenn es möglich ist, dass ein kranker Mitarbeiter eine Vielzahl von weiteren Mitarbeitern ansteckt und damit ganze Abteilungen lahmgelegt werden, die für das Funktionieren des Unternehmens essentiell sind, kann man von einer Notwendigkeit ausgehen. Dabei kann die Enge der Mitarbeiter untereinander eine Rolle spielen. Sind zum Beispiel alle Mitarbeiter in getrennten Räumen oder zumindest mit genügend Abstand bei der Arbeit, wäre diese Erhebung nicht notwendig. Handelt es sich um gesundheitlich sensible Bereiche, wie die Pflegeberufe, in der Pharmaindustrie oder in der Lebensmittelindustrie, wäre eine Notwendigkeit in einzelnen Abteilungen wieder zu überlegen. Und schließlich muss sich das Unternehmen fragen, ob die Maßnahme nicht durch eine mildere Maßnahme ersetzt werden kann, die den gleichen Zweck erfüllt. Das wäre so bei Veränderungen im Betriebsablauf, die auf einen ausreichenden Abstand der Mitarbeiter untereinander oder das ständige Tragen von Alltagsmasken hinauslaufen. In kleineren Unternehmen mit wenig Mitarbeitern kann die freiwillige Selbsteinschätzung, ob der Mitarbeiter ohne Symptome ist, genau so gut funktionieren. Selbst wenn die Gefahr besteht, dass Mitarbeiter die Symptome falsch einschätzen: Auch bei der Fiebermessung sind Fehler möglich.
Technische Erhebung von Daten, wie zum Beispiel die Ortung der Smartphones von Mitarbeitern, ist nicht zulässig. Sie liefert ungenaue Daten, lässt das Erstellen eines Bewegungsprofils zu und stärkt bei dem Mitarbeiter einen Überwachungsdruck. In diesen Fällen sollte das Unternehmen prüfen, ob es die offizielle „Corona-Warn-App“ auf den dienstlich genutzten Smartphones erlaubt. Die Meldung über Ergebnisse dieser App ist dann aber wieder den Mitarbeitern freiwillig überlassen.
Bei Besuchern des Unternehmens ist die Erhebung von Gesundheitsdaten ähnlich schwer möglich. Einen Zwang zur Datenerhebung kann sich nur durch eine Rechtsgrundlage ergeben. Ob dazu die vorhandenen Rechtsgrundlagen herangezogen werden können, ist noch nicht abschließend geklärt. Da das Unternehmen letztlich das Hausrecht ausübt, darf es Besuchern natürlich den Zutritt zum Unternehmen oder zu einzelnen Abteilungen verbieten oder von weiteren Voraussetzungen abhängig machen, wie das Tragen einer Alltagsmaske oder das Desinfizieren der Hände. Das berührt den Datenschutz nicht. Fraglich ist, ob das Unternehmen auch personenbezogene Daten der Besucher erheben darf. Zum Beispiel die Kontaktdaten und Daten der Besuchszeiten. Das ist in manchen Branchen, wie der Gastronomie oder in Hotels, bereits verpflichtend. Die Verpflichtung bietet eine genügende Rechtsgrundlage. In anderen Bereichen dürfte als einzige Rechtsgrundlage die Einwilligung der Besucher in Frage kommen. Sie setzt voraus, dass die Besucher den Zweck der Datenerhebung erfahren, die Dauer der Datenspeicherung erkennen und über ihre Rechte in Bezug auf den Datenschutz informiert werden. Die Maßnahme ist auch tatsächlich freiwillig von Seiten des Besuchers, auch wenn das Unternehmen letztlich den Zutritt ohne Datenpreisgabe verwehren wird. Zumindest dann, wenn der Besucher keinem Zwang unterliegt, genau dieses Unternehmen zu betreten und ausreichend Alternativen hat.
Die freiwillige Datenerhebung bei den Besuchern hat jedoch dort Grenzen, wo die Sinnhaftigkeit in Frage steht. So zum Beispiel, wenn die Besucher in der Regel nur kurz im Unternehmen sind oder ausreichend Abstand gehalten werden kann. Auch in den Fällen, in denen sehr viele Besucher in das Unternehmen kommen und die Datenflut nicht mehr sinnvoll beherrschbar ist. So ist es in den meisten Einzelhandelsunternehmen. Der Vorgang der Datenerhebung würde den Besucher künstlich länger im Unternehmen halten. Die Daten müssten sinnvoll gespeichert werden, was ein extremer zusätzlicher Aufwand für das Unternehmen wäre. Außerdem ist fraglich, ob die Daten noch relevant wären. Denn es müsste ein positiv-getesteter Besucher sich an den Besuch erinnern und dem Unternehmen Rückmeldung geben, welches dann die Besucher heraussuchen müsste, die Kontakt hatten. Da selbst ein gleichzeitiger Besuch im Unternehmen nicht bedeutet, dass ein Kontakt zustande kam, ist der Aufwand zum Nutzen zu groß.
Speichern der Gesundheitsdaten
Die rechtmäßig erhobenen Daten werden regelmäßig gespeichert. Hier sollte besonderer Augenmerk auf den Schutz der Daten gelegt werden, geht es doch regelmäßig um besonders schützenswerte Gesundheitsdaten. Der Zugriff auf diese Daten muss auf ein Minimum beschränkt werden. Grundsätzlich obliegt die Überwachung und damit die Speicherung und weitere Verarbeitung der Unternehmensleitung. Diese kann dies an einzelne Mitarbeiter delegieren. Aber auch hier sollte nicht eine ganze Abteilung Zugriff erhalten. Es sollte abgewogen werden, wieviele Mitarbeiter notwendig sind, um die Daten zu speichern und in begründeten Fällen darauf zuzugreifen.
Löschen der Gesundheitsdaten
Alle Daten müssen irgendwann gelöscht werden. Nur wann? Ganz einfach: Wenn die Daten nicht mehr benötigt werden. Wenn Daten erhoben werden, wo ein Mitarbeiter im Urlaub oder am Wochenende war sind diese Daten nur wichtig zum Abgleich, ob es sich um ein Risikogebiet handelt. Nach 14 Tagen ist die Aussagekraft dieser Daten obsolet. Ist der Mitarbeiter nach dieser Zeit gesund, hat sich das Risiko offenbar nicht realisiert. Ist er krank, ist es auch Sicht des Unternehmens irrelevant, wo er war. Diese Information muss der Erkrankte dem Gesundheitsamt selbst mitteilen. Das Unternehmen muss die Daten löschen. Ebenso geht es Daten der vorbeugenden Quarantäne. Schon nach Abschluss der Quarantäne verlieren die Daten ihren Zweck und müssen gelöscht werden. Bei freiwillig erhobenen Daten von Besuchern ist einerseits je nach Branche zu schauen, ob es eine gesetzliche Löschfrist gibt. Andernfalls muss sich das Unternehmen eine Frist setzen. Dabei ist zu beachten, dass es eine gewisse Zeit dauern kann, bis ein positiv-getesteter Besucher den Besuch beim Gesundheitsamt mitteilt und dieses dem Unternehmen Rückmeldung gibt. Das kann je nach Region nochmals 1-2 Wochen dauern. Eine Speicherung von mehr als 1 Monat dürfte aber keinesfalls notwendig sein.
Fazit
Das Unternehmen muss die Abwägung zwischen Gesundheit der Mitarbeiter, der Fortführung des Betriebs und Datenschutz in jedem Einzelfall durchführen. Aus heutiger Sicht gibt es keine klaren Vorgaben. Jeder Betrieb arbeitet anders und der Umgang mit der COVID-19-Pandemie kann sich in Zukunft ändern. Bei allen Maßnahmen müssen die drei Schritte „Zweck“, „Geeignetheit der Maßnahme“ und die „Angemessenheit“ geprüft und die Prüfung dokumentiert werden. Ist das erledigt, ist schon der wichtigste Schritt aus Sicht des Datenschutzes geschehen.
Wenn Sie Fragen zu diesem Thema haben oder Hilfe bei der Abwägung von Maßnahmen benötigen, zögern Sie nicht und sprechen uns an.