Aktuelle Meldung zum Arbeitsrecht vom 13.05.2020
Datenschutz
FAQ: COVID-19 – Arbeitnehmerdatenschutz

Arbeitgeber fragen vermehrt an, ob und wie personenbezogene Daten von Mitarbeitern sowie Gästen und Besuchern bei im Zusammenhang mit der Corona-Pandemie stehenden Maßnahmen verarbeitet werden können. Diese beziehen sich im Wesentlichen um die Aspekte „Erhebung von Gesundheitsdaten“ sowie „Home Office“ (Praxisbeitrag der Kanzlei Friedrich Graf von Westphalen & Partner mbB).

  

I.          Erhebung von Gesundheitsdaten

Werden im Zusammenhang mit der Corona-Pandemie personenbezogene Daten erhoben, werden in den meisten Fällen Bezüge zwischen Personen und deren Gesundheitszustand hergestellt. Ab diesem Zeitpunkt handelt es sich um Gesundheitsdaten, die nach Art. 9 DSGVO besonders geschützt sind. Die gegenwärtige Pandemie ändert an dieser gesetzlichen Ausgangslage nichts. Auch wenn eine Verarbeitung von Gesundheitsdaten grundsätzlich nur restriktiv möglich ist, können jedoch für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeitern datenschutzkonform Daten erhoben und verwendet werden. Dabei ist der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage stets zu beachten. Die Fürsorgepflicht des Arbeitgebers gebietet es umgekehrt auch, Schutzmaßnahmen für die Belegschaft und ggf. betroffene Dritte zu ergreifen. Hierzu gehört das frühzeitige Erkennen von Corona-Erkrankungen am Arbeitsplatz durch geeignete Maßnahmen, z. B. Fragen an die Beschäftigten.

 

1.         Darf ein Arbeitgeber die Beschäftigten zu Krankheitssymptomen einer möglichen Corona-Infektion befragen?

Zulässig ist eine solche Befragung nur, wenn sie auf typische Symptome einer Corona-Infektion beschränkt ist und ein erhöhtes Infektionsrisiko besteht, z.B. sofern es bei anderen Beschäftigten eine Infektion gab. Nach den Angaben der Bundeszentrale für gesundheitliche Aufklärung kann eine Infektion mit dem neuartigen Coronavirus zu Krankheitszeichen wie Fieber und Husten führen. Nach den derzeit vorliegenden Informationen gibt es jedoch keine Symptome, die – außerhalb ärztlicher Untersuchungen – eindeutig für eine Corona-Infektion sprechen. Vielmehr können häufig auftretende Symptome auch durch andere Erkrankungen hervorgerufen werden; ebenso können Corona-Infektionen auch ohne Symptome verlaufen.

 

2.         Darf ein Arbeitgeber die Beschäftigten zu positiver Corona-Testung befragen?

Ja. Aufgrund der erhöhten Ansteckungsgefahr besteht eine Pflicht der Beschäftigten, den Arbeitgeber im Falle einer festgestellten Infektion zu informieren bzw. ein entsprechendes Fragerecht des Arbeitgebers.

 

3.         Darf ein Arbeitgeber die Beschäftigten zu Reisezielen befragen?

Eine allgemeine Frage nach Reisezielen betrifft allein die Privatsphäre der Beschäftigten. Eine solche Frage ist nicht zur Durchführung des Beschäftigungsverhältnisses erforderlich und daher unzulässig. Zulässig ist jedoch die konkrete Frage nach Aufenthalten in anerkannten Risikogebieten (derzeit z.B. China, USA, Russland, Spanien, Vereinigtes Königreich und Italien). Insoweit besteht ein erhöhtes Ansteckungsrisiko, so dass Beschäftigte zur Information des Arbeitgebers verpflichtet sind bzw. ein entsprechendes Fragerecht besteht.

 

4.         Darf ein Arbeitgeber die Beschäftigten zu Kontakten mit Infizierten befragen?

Zulässig ist eine solche Frage, wenn sie auf Infektionen und Verdachtsfälle bei Personen gerichtet ist, mit denen Beschäftigte oder Personen aus deren unmittelbaren Umfeld (z. B. Haushaltsangehörige, enge Bekannte, Ärzte u.ä.) innerhalb der letzten 14 Tage direkten Kontakt hatten.

 

5.         Darf der Arbeitgeber bei den Beschäftigten Fiebermessungen durchführen?

Kontaktlose Fiebermessungen am Eingang von Betriebsgeländen oder Gebäuden können unter engen Voraussetzungen gemäß § 26 Abs. 3 Satz 1 BDSG gerechtfertigt sein. Zwar gibt es derzeit keine gesicherten Erkenntnisse darüber, ob Fieber ein definitives Kriterium zur Feststellung einer Corona-Infektion ist. Die Temperaturkontrolle kann aber ein geeignetes Mittel sein, um Hinweise auf etwaige Corona-Verdachtsfälle zu erhalten. Ob die Fiebermessung zulässig ist, hängt vom jeweiligen Einzelfall ab. Dabei spielen die konkreten Umstände eine maßgebliche Rolle, etwa, ob es bereits Fälle nachweislich Infizierter im Unternehmen gibt, das Unternehmen in einem Risikogebiet liegt oder Beschäftigte Kontakt zu Infizierten hatten oder haben.

Eine Speicherung der Daten dürfte nicht erforderlich sein, wenn die Fiebermessung lediglich dazu dient, festzustellen, ob jemand für den betreffenden Tag Einlass erhält oder nicht. Bei einer erhöhten Temperatur sollte der oder die Beschäftigte zur weiteren Abklärung der Ursache ein Krankenhaus oder einen Arzt aufsuchen.

Arbeitgebern ist zu empfehlen, eine möglichst einvernehmliche Lösung unter Einbeziehung der Beschäftigten, des Betriebs- oder Personalrats sowie der oder dem Datenschutzbeauftragten herbeizuführen. Die Maßnahme kann auch auf der Basis einer freiwilligen Einwilligung der betroffenen Beschäftigten durchgeführt werden. Voraussetzung ist, dass sie über die Verarbeitung ihrer Gesundheitsdaten umfassend informiert werden. In einer Betriebsvereinbarung können die wesentlichen Regelungen hinsichtlich des „Wie“ der Durchführung der Maßnahme inklusive des Umgangs mit Verdachtsfällen transparent geregelt werden.

 

6.         Welche Informationspflichten hat der Arbeitgeber gegenüber Beschäftigten oder Dritten?

Soweit ein erhöhtes Infektionsrisiko besteht (z.B. aufgrund festgestellter Infektion eines Beschäftigten), kann ein Arbeitgeber dazu verpflichtet sein, weitere Beschäftigte oder auch Dritte, die mit der infizierten Person in Kontakt standen, über das daraus resultierende Infektionsrisiko zu informieren. In diesem Zusammenhang sind auch entsprechende Datenverarbeitungen zulässig, soweit sie erforderlich sind, um weitere Personen zu schützen. Die namentliche Nennung einer infizierten Person wird dabei jedoch regelmäßig nicht erforderlich sein.

 

II.         Home-Office

Eine der sichtbarsten Veränderungen durch das Coronavirus ist die Einrichtung von Möglichkeiten zum Home-Office für die Mitarbeiter. Trotz Pandemiegefahr gilt unverändert die Regel, dass die personenbezogenen Daten der Mitarbeiter zu schützen sind. Als datenschutzrechtlich Verantwortliche müssen Arbeitgeber diesen Schutz gewährleisten.

 

1.         Welche Maßnahmen zur IT-Sicherheit sind notwendig?

Der Arbeitgeber sollte geeignete schutz- und Sicherheitsmaßnahmen ergreifen, um die personenbezogenen Daten der Mitarbeiter sowie Dritter zu schützen. Home-Office ist regelmäßig mit erhöhten Sicherheitsrisiken verknüpft, insbesondere wenn der Arbeitnehmer nicht allein wohnt. Zu den Sicherheitsmaßnahmen gehören insbesondere:

-           Datenübertragungen sollten verschlüsselt erfolgen.

-           Der Zugang zum Firmenintranet sollte nur durch ein VPN-Netzwerk erfolgen.

-           Der Zugang zu Arbeitsgeräten sollte passwortgeschützt sein.

-           Das verwendete Arbeitsgerät sollte eine (automatische) Bildschirmsperre besitzen.

-           Nach Möglichkeit sollten Zwei-Faktor-Authentifizierungen eingesetzt werden.

-           Datenträger mit Firmendaten sollten verschlüsselt sein.

-           Eine Speicherung auf privaten Datenträgern ist zu untersagen.

 

Aber auch jenseits der Technologie sind Datenschutzregeln zu beachten, wie z.B.:

-           Vertrauliche Akten müssen bei Abwesenheit sicher eingeschlossen werden.

-           Das Arbeitszimmer sollte nicht von Unbefugten (einschließlich von Familienmitgliedern) betreten werden und abschließbar sein.

-           Die Entsorgung von Akten muss sachgerecht erfolgen.

 

Da nicht alle Maßnahmen vom Arbeitgeber veranlasst und kontrolliert werden können, sollten Mitarbeiter entsprechend zum Datenschutz im Home-Office verpflichtet und zu den Pflichten geschult werden. Ganz wichtig ist vor allem, die Mitarbeiter für das Thema zu sensibilisieren, insbesondere wenn ein Unternehmen mit Home Office „Neuland betritt“.

 

2.         Dürfen Mitarbeiter im Home-Office kontrolliert werden?

Der Arbeitgeber hat faktisch nur geringe Kontrollmöglichkeiten im Home-Office. Hier ist v.a. § 26 BDSG zu beachten: danach darf der Arbeitgeber personenbezogene Daten der Mitarbeiter ohne Einwilligung nur verarbeiten, wenn dies etwa für die Durchführung des Arbeitsverhältnisses erforderlich ist oder der Aufdeckung von Straftaten dient. Hier gelten die Grundsätze der Erforderlichkeit und Verhältnismäßigkeit von Maßnahmen, die für die Arbeit im Unternehmen genauso gelten wie für die Arbeit von zu Hause.

 

Für den Bereich Home-Office gibt es keine Spezialvorschriften, so dass eine weitergehende Kontrolle oder gar die Überwachung allein durch den Umstand des Home-Office nicht gerechtfertigt werden können. Arbeitgeber können sich allerdings Kontroll- und Zutrittsrechte vertraglich einräumen lassen. Ob das für temporäre Heimarbeit wegen Corona sinnvoll ist, muss aber je nach Einzelfall entschieden werden. Grundsätzlich jedoch sollten die Kontroll- und Zugriffsrechte bei Home-Office – auch in Hinblick auf Datenschutzbeauftragte und Behörden – vertraglich mit den Mitarbeitern geregelt werden. Im Übrigen sind die Mitarbeiter im Home-Office natürlich auch zur Vertraulichkeit zu verpflichten.

 

Autor:  

Rechtsanwalt Dr. Andreas Imping, Friedrich Graf von Westphalen & Partner mbB, Köln