Datenschutz in Zeiten des Corona-Virus - Was muss der Betriebsrat beachten?

 

730x300 Zeiterfassungsgerät mit Karte in Hand

Die Auswirkungen des Corona-Virus spüren wir alle tagtäglich. Die Arbeitswelt ist ganz besonders betroffen und die Einhaltung von Präventions- und Schutzmaßnahmen gehört schon fast zum Alltag. So beachten wir die Nies- und Hustenetikette, halten Sicherheitsabstände zu Kollegen ein und waschen und desinfizieren unsere Hände – um nur einen kleinen Teil der Maßnahmen zu nennen.
 
Natürlich machen wir uns darüber hinaus Gedanken über die langfristigen Folgen der Pandemie, denn auch die Wirtschaft ist infiziert.

Doch ein Thema rückt häufig in den Hintergrund oder bleibt sogar ganz vergessen: Der Datenschutz in Zeiten des Corona-Virus!
 
Und das, obwohl auch hier gilt: Außergewöhnliche Zeiten erfordern außergewöhnliche Maßnahmen. Bei näherem Hinsehen ergeben sich eine Vielzahl von datenschutzrechtlichen Fragen im Hinblick auf die Krisensituation:

Was ist datenschutzrechtlich in der aktuellen Situation zu beachten? Gelten angesichts der Pandemie Ausnahmen von der sonstigen Rechtslage und muss der Datenschutz hinter dem Gesundheitsschutz zurückstehen?

Um diese Frage zu beantworten, ist ein kurzer Blick auf die Grundsätze der DSGVO unerlässlich. Zunächst einmal müssen wir uns vor Augen führen, dass die DSGVO zwischen unterschiedlichen Daten-Kategorien unterscheidet:

  • Nicht-personenbezogene Daten dürfen grundsätzlich immer verarbeitet - also erhoben, gespeichert und verändert - werden.
  • Personenbezogene Daten, wie zum Beispiel Name, Alter oder Anschrift, dürfen nur unter besonderen Voraussetzungen gespeichert werden. Diese sind vor allem in Art.5 DSGVO niedergelegt. Die Verarbeitung darf beispielsweise nur zur Erfüllung eines nachvollziehbaren Zweckes erfolgen, es darf nur gespeichert werden, was wirklich notwendig ist und solange es notwendig ist usw.
  • Bei besonders sensiblen Daten, unter welche auch die Gesundheitsdaten fallen, sind noch strengere Maßstäbe heranzuziehen, vgl. Art. 9 DSGVO. Zulässig ist die Verarbeitung zum Beispiel, wenn hierfür ein erhebliches öffentliches Interesse besteht.

Im Zusammenhang mit der Corona-Pandemie werden aktuell vermehrt Daten verarbeitet, welche personenbezogen sind und nicht selten sogar als besonders sensibel einzustufen sind. Beispielsweise werden private Kontaktdaten für Notfälle erhoben, Informationen über Aufenthalts- und Urlaubsorte werden gesammelt oder Gesundheitsdaten werden durch das Erfassen der Körpertemperatur gespeichert.

Während sich die Meldungen zur Ausbreitung und zu den verschiedenen Eindämmungsmaßnahmen überschlagen, ist es da gar nicht leicht, den Überblick zu bewahren und sich datenschutzkonform zu verhalten. Schließlich gilt – wie oben dargestellt - für die unterschiedlichen Arten von Daten auch ein unterschiedliches Schutzniveau.

Doch das heißt nicht, dass der Datenschutz in der aktuellen Situation unmöglich ist oder der Infektionsbekämpfung im Wege steht!

Die Landesbeauftragten für Datenschutz haben mittlerweile Stellung zu den Möglichkeiten der Verarbeitung bezogen. Sie betonen, dass die Verarbeitung von Gesundheitsdaten zwar nur restriktiv möglich ist. Trotzdem sollen zur Eindämmung der Pandemie oder zum Schutz von Mitarbeitern datenschutzkonform Daten verarbeitet werden können. Im Vordergrund steht dabei die Beachtung der Verhältnismäßigkeit und der gesetzlichen Grundlagen.

Die Verarbeitung personenbezogener Daten von Beschäftigten durch den Arbeitgeber ist zulässig, wenn dies erforderlich ist, um die Ausbreitung des Virus einzudämmen.

Das klingt zunächst einmal sehr theoretisch, daher im Folgenden etwas konkreter:

Insbesondere dürfen Daten über eine festgestellte Infektion oder den Kontakt mit einer nachweislich infizierten Person erhoben werden. Dasselbe gilt für Daten über die Rückkehrer aus Risikogebieten.

Unter denselben Voraussetzungen ist auch die Verarbeitung personenbezogener Daten von Gästen und Besuchern des Unternehmens zulässig.

Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktperson ausnahmsweise erforderlich ist.

 

Daraus resultierende Handlungsempfehlungen:

1. Abwägung zwischen Gesundheitsschutz und Datenschutz

Die Landesbeauftragten betonen, dass die Fürsorgepflicht des Arbeitgebers diesen zum Gesundheitsschutz der Arbeitnehmer verpflichtet. Hierzu gehört auch eine angemessene Reaktion des Arbeitgebers auf die Pandemie. Vorsorge und Nachverfolgbarkeit von Infektionsketten stehen dabei im Fokus, diese müssen möglich und rechtlich zulässig sein.

Dabei darf aber niemals die Verhältnismäßigkeit außer Acht gelassen werden. Es ist also stets zu überlegen: Welches Rechtsgut wiegt gerade schwerer? Das Recht auf Gesundheitsschutz oder das Recht des Betroffenen darauf, selbst darüber entscheiden zu können, welche personenbezogenen Daten gespeichert werden und welche nicht (Recht auf informationelle Selbstbestimmung)?

2. Vertraulichkeit und Zweckgebundenheit

Darüber hinaus müssen die Daten, welche im Zusammenhang mit der Corona-Krise erhoben werden, selbstverständlich vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Spätestens mit dem Ende der Pandemie müssen die personenbezogenen Daten unverzüglich gelöscht werden!

3. Einfachste Lösung: Einwilligung einholen

Die schwierige Frage, ob bestimmte Daten erhoben werden dürfen, kann im Übrigen dahingestellt werden, wenn der Betroffene ohnehin in die Verarbeitung einwilligt. Dies ist für alle Beteiligten die einfachste Lösung. Wichtig ist jedoch, dass die Einwilligung ausdrücklich und eindeutig formuliert wird und zu Beweiszwecken idealerweise schriftlich festgehalten wird.

4. Kontroll- und Mitbestimmungsrechte des Betriebsrats nutzen

Soweit die Verarbeitung personenbezogener Daten mittels technischer Einrichtung erfolgt, bestehen Mitwirkungs- und Mitbestimmungsrechte des Betriebsrats, § 87 Abs.1 Nr.6 BetrVG.

Zudem kommt dem Gremium ein umfangreiches Informationsrecht im Hinblick auf § 80 Abs.2 BetrVG zu – natürlich auch was den Datenschutz angeht.

Mithilfe dieser Rechte können Sie als Betriebsrat auch in Zeiten des Corona-Virus Ihre Einflussrechte nutzen und den Beschäftigten Ihres Betriebs zur Seite stehen. Insbesondere kommt es darauf an, dass die Datenverarbeitung sich im Rahmen des Notwendigen bewegt.

Bei Fragen und Unsicherheiten kann der Betriebsrat sich an den Datenschutzbeauftragten wenden, welcher beratend zur Seite stehen kann. Der Weg zur Aufsichtsbehörde sollte dagegen das letzte Mittel sein.

Seminartipps