Datenschutz in Zeiten von Corona

I Datenschutz im Beschäftigtenverhältnis in Zeiten der Corona-Pandemie

I.1. Auskünfte des Arbeitnehmers

I.1.1. Kann der Arbeitgeber aktuell private Kontaktdaten von seinen Mitarbeitern erheben, um im Falle von Corona-bedingten Änderungen, Mitarbeiter kurzfristig warnen, bzw. auffordern zu können?
I.1.2. Kann der Arbeitgeber Auskünfte vom Arbeitnehmer zu dessen Gesundheitszustand, möglichen Aufenthalten in Risikogebieten oder Kontakt zu nachweislich infizierten Personen verlangen?
I.1.3. Kann ein Arbeitgeber seine Mitarbeiter Fragebögen zur Gesundheit ausfüllen lassen?
I.1.4. Darf ein Arbeitgeber die Körpertemperatur seiner Arbeitnehmer erfassen?

I.2. Datenschutz im Homeoffice

I.2.1 Festlegung der Rechte und Pflichten beider Seiten
I.2.2 Was sollte der Arbeitgeber, hinsichtlich der IT-Ausstattung, beachten?
I.2.3 Was ist hinsichtlich der Arbeitsumgebung im Homeoffice zu beachten?

 

In den momentanen Pandemie-Zeiten, mit immer neuen Herausforderungen, gerät leicht der Datenschutz, welcher natürlich auch im Arbeitsverhältnis gilt, ins Hintertreffen. Es dürfte zu erwarten sein, dass angesichts der aktuellen Umstände, die Datenschutzaufsichtsbehörden Nachsicht, bei möglichen Corona-bedingten Datenschutzverstößen, walten lassen, sicher ist dies jedoch nicht.

Den Aufsichtsbehörden stehen, zur Sanktionierung von Datenschutzverstößen, seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) sowie damit einhergehender Änderungen nationaler Gesetze, zahlreiche Sanktionsmöglichkeiten zur Verfügung. Neben Geldbußen bis zu 20 Millionen Euro oder bis zu 4% des gesamten, weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, können Verstöße gar bis zur strafrechtlichen Verfolgung, im schlimmsten Fall mit Verhängung von Freiheitsstrafen, führen.

Neben diesen staatlichen Reaktionsmöglichkeiten auf Datenschutzverstöße, kann jedoch auch der vom Datenschutzverstoß Betroffene Ansprüche geltend machen, wie beispielsweise Schadensersatz, aber auch Schmerzensgeldansprüche. Auch diese können empfindlich ausfallen, da auch hinsichtlich dieser Ansprüche des Betroffenen vertreten wird, dass diese, wie staatliche Sanktionen auch, eine abschreckende Wirkung haben sollen. Aus diesen Gründen ist daher dringend anzuraten, auch in der momentanen Situation den Datenschutz nicht aus den Augen zu verlieren.

Im Arbeitsverhältnis dürfte dies derzeit vor allem Fragen dahingehend betreffen, ob und in welchem Umfang Arbeitgeber private Kontaktdaten ihrer Arbeitnehmer verarbeiten, Fragen nach dem Gesundheitszustand, bzw. weitere Fragen wegen einer möglichen Corona-Infektion stellen dürfen und wie die Einrichtung von Tele- bzw. Homeoffice-Arbeitsplätzen datenschutzrechtlich zu behandeln ist. Hierzu folgen unsere Einschätzungen. Sollten darüber hinaus weitere Fragen zum Thema Datenschutz im Arbeitsverhältnis, im Zusammenhang mit der derzeitigen Pandemie-Situation bestehen, zögern Sie nicht, uns diesbezüglich zu kontaktieren.

I.1. Auskünfte des Arbeitnehmers

I.1.1. Kann der Arbeitgeber aktuelle private Kontaktdaten von seinen Mitarbeitern erheben, um im Falle von Corona-bedingten Änderungen Mitarbeiter kurzfristig warnen, bzw. auffordern zu können?

Zur Prävention wird der Aufbau eines, auf den jeweiligen Betrieb zugeschnittenen „innerbetrieblichen Kommunikationsnetzwerks“ empfohlen, damit Unternehmen, je nach Pandemiephase, entsprechende Maßnahmen treffen können. Diese Empfehlung findet sich auch im Handbuch des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe

Um Arbeitnehmer kurzfristig warnen zu können, damit diese nicht erst zur Arbeit erscheinen, dürfen Arbeitgeber von ihren Mitarbeitern aktuelle private Kontaktdaten, wie beispielsweise Handynummern, abfragen und temporär speichern.

Allerdings besteht für den Arbeitnehmer keine Verpflichtung zur Offenlegung seiner privaten Kontaktdaten (dies wird jedoch regelmäßig, auch im Interesse des Arbeitnehmers sein). Insofern ist eine vorherige Einverständniserklärung des Arbeitnehmers erforderlich.

Die Erhebung der privaten Kontaktdaten muss für eindeutige, konkrete und legitime Zwecke erfolgen. Dies dürfte momentan vor allem der Zweck der Verringerung der Infektionsgefahr der Arbeitnehmer sein. Die privaten Kontaktdaten sind spätestens nach Ende der Pandemie zu löschen. Eine weitergehende Speicherung wäre datenschutzrechtlich unzulässig und könnte zu entsprechenden Sanktionen (siehe oben) führen.

I.1.2. Kann der Arbeitgeber Auskünfte vom Arbeitnehmer zu dessen Gesundheitszustand, möglichen Aufenthalten in Risikogebieten oder Kontakt zu nachweislich infizierten Personen verlangen?

Im Zusammenhang mit der Pandemiesituation dürften Fragen des Arbeitgebers zu einer möglichen Infizierung, bzw. der Wahrscheinlichkeit einer solchen, personenbezogene Daten betreffen, die Bezüge zwischen Personen und deren Gesundheitszustand herstellen. Dabei dürfte es sich also meist um Gesundheitsdaten handeln, welche datenschutzrechtlich (Art. 9 DSGVO) besonders geschützt sind. Grundsätzlich ist eine Verarbeitung von Gesundheitsdaten nur äußerst restriktiv möglich. Für verschiedene Maßnahmen, zur Eindämmung der Corona-Pandemie oder zum Schutz von Arbeitnehmern, dürfte die Verarbeitung von Gesundheitsdaten datenschutzrechtlich zulässig sein, sofern der Grundsatz der Verhältnismäßigkeit und die gesetzlichen Grundlagen hierzu beachtet werden.

Nach Mitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, dürften folgende Maßnahmen, zur Eindämmung und Bekämpfung der Corona-Pandemie, als datenschutzrechtlich legitimiert betrachtet werden:

  • Erhebung und Verarbeitung personenbezogener Daten, auch Gesundheitsdaten, von Arbeitnehmern durch den Arbeitgeber, um eine Ausbreitung des Virus unter den Arbeitnehmer zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:
    1. in denen eine Infektion festgestellt wurde oder Kontakt, mit einer nachweislich infizierten Person, bestanden hat
    2. in denen, im relevanten Zeitraum, ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
  • Erhebung und Verarbeitung personenbezogener Daten, auch Gesundheitsdaten, von Gästen und Besuchern, insbesondere zur Feststellung,
    1. ob diese infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen
    2. sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.
  • Die Offenlegung personenbezogener Daten, von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen, ist nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Die Berechtigung zur Verarbeitung personenbezogener Arbeitnehmerdaten für Arbeitgeber im nichtöffentlichen Bereich, ergibt sich grundsätzlich aus § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG), bzw. Art. 6 Abs. 1 S. 1 lit. f) DSGVO, jeweils in Verbindung mit den jeweils einschlägigen tarif-, bzw. arbeitsrechtlichen nationalen Regelungen. Bei Verarbeitung von Gesundheitsdaten sind zudem § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO einschlägig.

Grundsätzlich verpflichtet bereits die dem Arbeitgeber obliegende Fürsorgepflicht, gegenüber seinen Arbeitnehmern, zur Sicherstellung des Gesundheitsschutzes der Gesamtheit seiner Beschäftigten. Hierzu dürfte auch die angemessene Reaktion auf die pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und gegebenenfalls der Nachverfolgbarkeit dient. Entsprechende Maßnahmen müssen verhältnismäßig sein.

Die erhobenen Daten müssen vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Nach Wegfall des Zwecks, vorliegend also, vermutlich mit Ende der Pandemie, müssen die erhobenen Daten unverzüglich gelöscht werden.

I.1.3. Kann ein Arbeitgeber seine Mitarbeiter Fragebögen zur Gesundheit ausfüllen lassen?

Nach Auffassung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, dürfte unter Beachtung der datenschutzrechtlichen Grundsätze, insbesondere der Verhältnismäßigkeit, der Arbeitgeber die vorgenannten personenbezogenen Daten durch Fragebögen, welche die Arbeitnehmer auszufüllen haben, erheben. Allerdings steckt der Teufel hier im Detail. So ist, beispielsweise die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Rheinland-Pfalz der Auffassung, dass eine detaillierte Befragung aller Beschäftigten, in Form eines Fragebogens, bezüglich der Frage, ob die Arbeitnehmer sich in einem Risikogebiet aufgehalten haben, nicht erforderlich. So sei es ausreichend und somit verhältnismäßiger, als Arbeitgeber auf die Gebiete mit erhöhter Ansteckungsgefahr hinzuweisen und sodann die Arbeitnehmer aufzufordern mitzuteilen, falls sie sich kürzlich in einem dieser Gebiete aufgehalten haben.

Die Angabe eines konkreten Gebiets oder der Dauer des Aufenthaltes sind insoweit entbehrlich. Insofern ist, nach Auffassung des Landesbeauftragen für Datenschutz und Informationsfreiheit Rheinland-Pfalz, eine Negativauskunft des Arbeitnehmers regelmäßig ausreichend.

Arbeitgeber können also grundsätzlich die Daten, auch im Rahmen eines auszufüllenden Fragebogens, von ihren Arbeitnehmern erheben. Dabei ist jedoch zu beachten und gegebenenfalls zu prüfen, ob die Erhebung der angefragten Daten verhältnismäßig ist.

Zweifel hinsichtlich der Verhältnismäßigkeit bestehen, hinsichtlich der konkreten Fragen zu Aufenthalten, sowie deren Dauer in Risikogebieten (siehe oben).

Eine systematische Reihenbefragung aller Arbeitnehmer nach einschlägigen Erkrankungen, die zu einer Einordnung des Betroffenen in die Gruppe besonderes Risikobehafteter führt, dürfte datenschutzrechtlich nicht zulässig sein. Dies gilt erst recht für systematische Befragungen, hinsichtlich entsprechender Erkrankungen Dritter im Umfeld des Arbeitnehmers, beispielsweise Haushalts-, bzw. Familienmitglieder.

I.1.4. Darf ein Arbeitgeber die Körpertemperatur seiner Arbeitnehmer und Besucher erfassen?

Bekanntlich werden teilweise (z. B. bei der Einreise nach Polen) Temperaturmessungen durchgeführt, um eine mögliche Infektion festzustellen.

Es dürfte datenschutzrechtlich jedoch unzulässig sein, wenn ein Arbeitgeber das Betreten der Räumlichkeiten des Unternehmens durch die Arbeitnehmer davon abhängig macht, dass diese zunächst ihre Körpertemperatur erfassen lassen. Da dem Arbeitgeber jedoch regelmäßig andere Mittel zur Verfügung stehen, wie beispielsweise die Beschäftigung der Arbeitnehmer im Homeoffice, dürfte nach Auffassung von Datenschützern diese Maßnahme nicht verhältnismäßig sein.

Grundsätzlich ist es möglich, in Betrieben mit Betriebsrat, Betriebsvereinbarungen abzuschließen, die eine rechtliche Grundlage für die Erhebung und Verarbeitung personenbezogener Daten bilden können. Bezüglich der Temperaturmessung von Arbeitnehmern oder Besuchern ist aber grundsätzlich keine einschlägige rechtliche Grundlage ersichtlich, weswegen grundsätzlich vor einer möglichen Temperaturmessung die Einwilligung des Arbeitnehmers, bzw. Besuchers einzuholen wäre. Das Erfordernis einer Einwilligung kann, im Fall der Temperaturmessung, auch nicht durch eine Betriebsvereinbarung umgangen werden.

Eine Einwilligung ist datenschutzrechtlich, grundsätzlich, nur dann wirksam, wenn sie freiwillig erfolgt. Wenn das Betreten des Betriebsgeländes davon abhängig gemacht wird, dass eine Einwilligung zur Temperaturmessung hierfür erforderlich ist, dürfte eine Freiwilligkeit ausscheiden. In diesem Fall dürfte, trotz Vorliegen einer Einwilligung des Betroffenen, dennoch ein sanktionsfähiger Datenschutzverstoß vorliegen.

I.2. Datenschutz im Homeoffice

I.2.1. Festlegung der Rechte und Pflichten beider Seiten

Arbeitet ein Arbeitnehmer im Homeoffice, muss er dabei grundsätzlich die gleichen datenschutzrechtlichen Regeln beachten, wie bei seiner Tätigkeit im Betrieb, seines Arbeitgebers. Sollte es durch die Homeofficetätigkeit jedoch zu Datenschutzverstößen kommen, dürfte weiterhin der Arbeitgeber, als Verantwortlicher im Sinne der DSGVO und BDSG, gelten. Das bedeutet, dass regelmäßig der Arbeitgeber die Folgen von Datenschutzverstößen (siehe oben) zu tragen hat, auch wenn sie vom Arbeitnehmer im Rahmen seiner Homeofficetätigkeit begangen wurden.

Es ist daher dringend anzuraten, entsprechende Richtlinien auszuarbeiten. Hierfür sollte ein Datenschutzbeauftragter hinzugezogen werden. Diese Richtlinien sollten mit dem jeweils betroffenen Arbeitnehmer vereinbart werden. Eine solche individuelle Vereinbarung dürfte in Betrieben mit Betriebsrat entbehrlich sein, wenn eine entsprechende Betriebsvereinbarung, bezüglich der datenschutzrechtlichen Rechte und Pflichten, geschlossen wird.

Folgende Punkte (nicht abschließend) sollten zwischen Arbeitgeber und Arbeitnehmer, beispielsweise geregelt werden:

  • Bei der Verarbeitung von personenbezogenen Daten im Homeoffice, sollte der Arbeitnehmer darauf achten, dass diese Daten nicht von Dritten (also auch nicht Familien- oder Haushaltsangehörigen) eingesehen werden können.
  • Personenbezogene Daten sollten möglichst in einem separaten, abschließbaren Raum verarbeitet werden. Wenn dies räumlich nicht möglich ist, sollte zumindest die Bearbeitung an einem separaten Platz erfolgen (keine vertraulichen Telefonate im Kreis der Familie im Garten, Bearbeiten von personenbezogenen Daten am Wohnzimmertisch, im Beisein der restlichen Familie etc.) und die Aufbewahrung der Daten in einem abschließbaren Behältnis (z. B. Schrank) erfolgen.
  • Die dem Arbeitnehmer zur Verfügung gestellte IT-Ausstattung sollte nicht privat genutzt werden dürfen (z. B. keine Hausaufgaben des Kindes am Firmen-Notebook). Sollte an Homeoffice-PC nicht – auch nur kurzzeitig – gearbeitet werden, sollte dieser gesperrt werden.
  • Verbot der Weiterleitung beruflicher E-Mails, zur Bearbeitung an private E-Mail-Postfächer. Keine Speicherung von beruflichen Daten, auf privaten Datenspeichern.
  • Sollten Unterlagen mit personenbezogenen Daten vernichtet werden, sollte die Vernichtung datenschutzgerecht erfolgen. Hierzu sollten möglichst genaue Regelungen getroffen werden.
  • Für den Fall einer Datenpanne, sollte die Vorgehensweise bereits vorab geklärt sein.

I.2.2. Was sollte der Arbeitgeber hinsichtlich der IT-Ausstattung beachten?

Zur Sicherstellung der Datensicherheit, sollte die, für die Homeoffice-Tätigkeit vom Arbeitgeber zur Verfügung gestellte IT-Ausstattung nur beruflich genutzt werden dürfen.

Ferner ist zu empfehlen, dass Festplatten oder andere Speichermedien des Arbeitgebers (z. B. USB-Sticks) verschlüsselt werden sollten. Der Zugriff auf das Betriebssystem sowie mögliche weitere arbeitgeberseitig bereit gestellte Systeme, sollten verschlüsselt und passwortgeschüzt sein. Zugriff auf Systeme, z. B. Server des Unternehmens, sollten möglichst nur über VPN möglich sein. Ein VPN System sollte zudem auf seine Belastbarkeit getestet werden, bevor Arbeitnehmer in großer Zahl hierauf Zugriff nehmen. Auch die elektronische Datenübermittlung (z. B. via E-Mail) sollte, nach dem Stand der Technik, verschlüsselt sein.

I.2.3. Was ist hinsichtlich der Arbeitsumgebung im Homeoffice zu beachten?

Bezüglich der Arbeitsumgebung sollte, durch entsprechende Maßnahmen, wie separate abschließbare Räumlichkeiten, sichere Aufbewahrung von personenbezogenen Daten etc. (siehe oben), grundsätzlich die Datensicherheit gewährleistet werden. Ebenfalls sollte der Zugriff, bzw. Zugang auf personenbezogene Daten zu Dritten, z. B. Familienangehörigen, unterbunden werden. Gerade bei vertraulichen Telefonaten sollte dies beachtet werden.

Zudem sollten unbedingt, in Zeiten von Smart-Home-Geräten wie Amazon Echo, Google-Assistent, Cortana etc., entsprechende Regelungen beachtet werden, sowohl bezüglich intelligenten Lautsprechern oder Smartphones. Solche Systeme könnten das gesprochene Wort über das Internet an den jeweiligen Hersteller übertragen. Insofern sollte eine Regelung dahingehend getroffen werden, dass diese übertragenden Funktionen dieser Geräte während der Arbeitszeit ausgeschaltet sind.