ZURÜCK AUS DEM LOCKDOWN: TINA KÄRCHER-HEILEMANN IM GESPRÄCH MIT DATENSCHUTZEXPERTE FLORIAN WUTTKE

Nach Wochen des Stillstands öffnen Betriebe und Unternehmen wieder ihre Pforten; Arbeitnehmer kehren an ihre Arbeitsplätze zurück. Arbeitgebern steht eine Gratwanderung bevor, einerseits schnellstmöglich wieder hochzufahren und eine „betriebliche Normalität“ wiederherzustellen, andererseits im Rahmen ihrer Fürsorgepflicht einen betrieblichen Infektionsschutzstandard zu gewährleisten, der die notwendigen Schutzmaßnahmen enthält, um den Arbeitnehmern die größtmögliche Sicherheit zu geben.

Was gilt es bei diesem Szenario datenschutzrechtlich zu beachten? Antworten hierauf gibt Florian Wuttke, Datenschutzbeauftragter (GDDcert EU) und Geschäftsführer der OBSECOM GmbH in Stuttgart.

Florian Wuttke: Verständlicherweise suchen Arbeitgeber nach Möglichkeiten der Eindämmung von Infektionsrisiken im Betrieb. Fiebermessungen für Zugangskontrollen werden hier datenschutzrechtlich kontrovers diskutiert. Dabei ist zu berücksichtigen, dass Gesundheitsdaten der Beschäftigten zu Fiebererkrankungen und Infektionskrankheiten als besondere Kategorien personenbezogener Daten einen hohen Schutz genießen. Solche Daten dürfen nur mit entsprechender Rechtsgrundlage erfasst und verarbeitet werden. Der datenschutzrechtliche Erlaubnisrahmen für die Verarbeitung von Beschäftigtendaten ist primär in § 26 Abs. (3) BDSG geregelt. Danach ist eine Verarbeitung solcher Daten zulässig, wenn dies zur Erfüllung von Rechten und Pflichten aus dem Arbeits- oder Sozialrecht erforderlich ist. Die Datenverarbeitung muss dabei eine grundlegend notwendige Bedingung für die Rechtsausübung sein. Eine Zulässigkeit ist auch nur gegeben, wenn „kein Grund zur Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.“ § 26 Abs. (3) BDSG hat zudem als spezifischere Vorschrift bzgl. Beschäftigtendaten gegenüber dem allgemeinen § 22 Abs. (1) Nr. 1 lit. c) BDSG Vorrang.

Gegen eine Fiebermessung spricht, dass die Arbeitsschutzpflichten nach § 3 und § 4 ArbSchG den Arbeitgeber im Rahmen seiner Fürsorge- und Schutzpflichten nicht zu eigenhändigen Gesundheitsuntersuchungen der Beschäftigten ermächtigen. Auch andere Rechtspflichten sehen so etwas bisher nicht vor. Zudem ist der Erfolg solcher Maßnahmen zweifelhaft. Fieber kann ein Anzeichen vieler unkritischer Erkrankungen sein und tritt nach einer Covid-Infektion teilweise gar nicht oder erst verzögert auf. Anlasslose Fiebermessungen gewährleisten also keine frühzeitige Erkennung und asymptomatische Mitarbeiter können andere Beschäftigte weiterhin unerkannt infizieren. Die Fiebermessung bei Beschäftigten ist zur Ausübung der Fürsorgepflicht nicht notwendig und erscheint zur Pandemiebekämpfung nur bedingt geeignet. Die anlasslose Fiebermessung erscheint somit nach § 26 Abs. (3) BDSG unverhältnismäßig und nicht erforderlich.
Falls Fiebermessungen in Einzelfällen als Teil eines umfangreichen Pandemiekonzeptes doch erforderlich sind, sollte die Messung zum Schutz der Beschäftigten durch den Betriebsarzt oder von den Mitarbeitern zu Hause selbst durchführt werden.

Florian Wuttke: Eine Namensnennung innerhalb der Belegschaft orientiert sich aus datenschutzrechtlicher Sicht wiederum am Erforderlichkeitsprinzip und dem Grundsatz der Verhältnismäßigkeit in § 26 Abs. (3) BDSG. Der Landesdatenschutzbeauftragte Baden-Württemberg stellt klar, dass die innerbetriebliche Offenbarung eines infizierten Beschäftigten grundsätzlich zu vermeiden ist. Überwiegend können betriebliche Maßnahmen zur Eindämmung von Ansteckungsgefahren ohne konkrete Namensnennung erfolgen. Es genügt, die Kontaktpersonen betroffener Abteilungen darauf hinzuweisen, dass auf Symptome zu achten ist und Tests durchzuführen sind. Eine Namensnennung erscheint dafür nicht erforderlich. Im Gegenteil: Sie ist mit einer besonderen Gefahr der Stigmatisierung der infizierten Person verbunden. Auch ist es nicht die Aufgabe des Arbeitgebers, Infektionsketten nachzuvollziehen. Erscheint eine innerbetriebliche Offenbarung doch zwingend notwendig, so sind die Gesundheitsbehörden zu kontaktieren und um Anweisung zu bitten.

Eine Offenbarung gegenüber Gesundheitsbehörden erscheint hingegen zulässig, wenn eine behördliche Anfrage vorliegt. Bei solchen Anfragen zur Offenbarung erkrankter Beschäftigter im Betrieb geht der Landesdatenschutzbeauftragte Baden-Württemberg von einer Übermittlungsbefugnis aus.

Florian Wuttke: Die Einwilligung kann zwar eine generelle Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten im Beschäftigungsverhältnis sein, jedoch bestehen hier besondere Anforderungen an die Freiwilligkeit. Nach § 26 Abs. (2) Satz 2 BDSG wird die Abgabe einer Einwilligung im Beschäftigungsverhältnis dann als freiwillig angesehen, „wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.“ Dem infizierten Beschäftigten entsteht sicher kein Vorteil durch die Offenbarung seiner Identität. Auch hat er keine Wahlfreiheit mehr, sobald Fiebermessungen mit einer Zutrittskontrolle zum Arbeitsplatz verbunden sind. Solche Einwilligungen dürften daher unwirksam sein.

Florian Wuttke: Außer dem Geburtsdatum der Beschäftigten haben Arbeitgeber in vielen Fällen keine Informationen zu Vorerkrankungen, die auswertbar wären. Auch wäre eine solche Auswertung datenschutzrechtlich problematisch. Sind Beschäftigte gefährdet, so können sie sich an den Betriebsrat wenden oder im Rahmen einer Wunschvorsorge nach § 5a ArbMedVV Kontakt mit dem Betriebsarzt aufnehmen, um Gesundheitsfragen am Arbeitsplatz zu besprechen. Der Betriebsrat kann dann im Rahmen seines Initiativrechtes auf die Umsetzung betrieblicher Arbeits- und Gesundheitsschutzregelungen zum Schutz von Risikogruppen hinwirken. Ebenso kann der Betriebsarzt Maßnahmen beim Arbeitgeber zum Schutz der Belegschaft oder einzelner Beschäftigter einleiten. Diese Abstimmung kann unter Berücksichtigung datenschutzrechtlicher Grundsätze im Rahmen des Arbeitsschutzausschusses zwischen Arbeitgeber, Betriebsrat, Betriebsarzt, dem Sicherheitsbeauftragten und ggf. dem Datenschutzbeauftragten erfolgen. In diesem Gremium sollte auch ein betrieblicher Pandemieplan erstellt werden, der Schritte zur Freistellung von Risikogruppen im Betrieb vorsieht.

Florian Wuttke: Für die Beurteilung der datenschutzrechtlichen Zulässigkeit sind die Zwecke der Datennutzung sowie Art und Umfang der Datenerhebung ausschlaggebend. Der Arbeitgeber muss die Zwecke festlegen (z.B. Informationen zur betrieblichen Pandemiebekämpfung und Betriebsschließungen), wer die Adressaten sind und wie diese erreicht werden sollen. Aus datenschutzrechtlicher Sicht ist diese Zweckbindung unbedingt zu beachten. Die Erfassung privater Kontaktdaten muss auf das notwendige Maß beschränkt sein und die Datennutzung ist auf die vereinbarten Zwecke zu reduzieren. Neue Kommunikationsstrukturen zur Krisenbewältigung dürfen nicht als zweckentfremdete Form der Kontaktaufnahme für Beschäftigte im Home-Office enden. Wird das Netzwerk für den vorgesehenen Zweck nicht mehr benötigt, so sind die erhobenen Daten wieder zu löschen.

Zur Rechtsgrundlage der Datenverarbeitung ist festzustellen, dass solche Kontaktlisten zur Durchführung des Beschäftigungsverhältnisses nicht erforderlich sind. Eine generell verpflichtende Teilnahme erscheint daher nicht rechtmäßig. In einigen Fällen mag der Arbeitgeber ein berechtigtes Interesse an der Teilnahme bestimmter Mitarbeiter (z.B. Führungskräfte) am Kommunikationsnetzwerk haben. Überwiegend ist jedoch für die Datenerhebung und Erstellung privater Kontaktlisten die Einwilligung der Beschäftigten erforderlich. Ihr kann Freiwilligkeit unterstellt werden, da die Beschäftigten einen Vorteil von der Teilnahme erwarten können. Der Arbeitgeber hat jedoch zu beachten, dass beschäftigte Personen bei Datenerhebung gemäß Art. 13 DSGVO über die Datenverarbeitung angemessen zu informieren sind und die Einwilligung nach § 26 Abs. (2) Satz 3 BDSG schriftlich eingeholt wird.

Bei Beachtung dieser Grundsätze kann die Erstellung privater Kontaktlisten für die Krisenkommunikation zulässig sein.

Florian Wuttke: Es ist davon auszugehen, dass die Landesregierung oder Gesundheitsbehörden das Führen von Kontaktlisten in bestimmten Branchen anordnen. Arbeitgeber sollten sich dazu in den aktuellen Corona-Verordnungen der Landesregierung informieren. So erlaubt z.B. § 2 Abs. (3) der Corona-Verordnung Gaststätten vom 10. Mai 2020 das Erheben von Kontaktdaten zum Zweck der Kontaktnachverfolgung mit Einverständnis der Gäste.

Liegen keine anderslautenden Regelungen vor, so dürfen Namen und Kontaktdaten von Besuchern auf Verdacht und zum Zweck einer künftigen Übermittlung an die Gesundheitsbehörden nur mit Einwilligung der Betroffenen erhoben werden. Das berechtigte Interesse als mögliche Rechtsgrundlage erscheint hier unverhältnismäßig. Die datenschutzrechtliche Einwilligung muss nachweisbar sein und soll durch eine aktiv bestätigende Handlung (z.B. Ankreuzen) dokumentiert werden. Betroffene müssen auch hier bei Erhebung über die Zwecke der Datenverarbeitung nach Art. 13 DSGVO informiert werden. Gegebenenfalls ist dabei auch auf die Folgen einer Verweigerung der Einwilligung hinzuweisen. Im Besonderen ist darauf zu achten, dass die erhobenen Kontaktdaten nicht gegenüber Dritten unberechtigt offengelegt werden. D.h. die tabellarische Datenerfassung mit mehreren Datensätzen auf einem DIN A4-Blatt scheidet aus.

Viele Unternehmen erheben bereits in eigenem berechtigtem Interesse die Namen und geschäftlichen Kontaktdaten ihrer Besucher zum Zweck der Zutrittskontrolle. Sollten diese Listen für die Kontaktverfolgung zweckfremd genutzt werden, so ist vorher die Kompatibilität der Weiterverarbeitung nach Art. 6 Abs. (4) DSGVO kritisch zu überprüfen.