Ein Blog von Mareike Gehrmann
Das Coronavirus hält die Welt in Atem. Täglich überschlagen sich die Pressemeldungen zu neu Infizierten und zu ergreifenden Maßnahmen. Vor allem Arbeitgeber stehen vor der Herausforderung, den gewöhnlichen Geschäftsbetrieb ihres Unternehmens sicherzustellen und zugleich ihre Mitarbeiter vor den gesundheitlichen Risiken zu schützen. Um geeignete Maßnahmen ergreifen und etwaige Risiken für den Geschäftsbetrieb und die Gesundheit ihrer Mitarbeiter einschätzen zu können, sind Arbeitgeber auf bestimmte Informationen von Beschäftigten und Besuchern angewiesen.
In diesem Zusammenhang machen immer mehr Arbeitgeber davon Gebrauch, Beschäftigten und Besuchern Fragen zu Aufenthalten in Risikogebieten und zur Gesundheit zu stellen. So beziehen sich die Fragen der Arbeitgeber auf die folgenden Aspekte: Hat sich der Arbeitnehmer in bestimmten Risikogebieten aufgehalten? Zeigt der Beschäftigte Symptome einer COVID-19-Erkrankung oder ist er sogar schon erkrankt? Fraglich ist darüber hinaus auch, ob seitens des Arbeitgebers bekanntgegeben werden darf, dass der Mitarbeiter an COVID-19 erkrankt ist. Doch ist dies datenschutzrechtlich überhaupt zulässig?
Bei all diesen Daten handelt es sich nämlich um personenbezogene Daten, sodass die EU-Datenschutzgrundverordnung (DSGVO) greift. Da es sich hierbei auch um Gesundheitsdaten handelt, sind es zudem besonders schützenswerte Daten, deren Verarbeitung hohen Anforderungen unterliegt (vgl. Art. 9 Abs. 1 DSGVO).
Mehrere europäische Datenschutzbehörden haben nun Stellung bezogen, jedoch mit unterschiedlichen Ansätzen, allen voran auch die Datenschutzbehörden der BeNeLux-Staaten und Deutschlands.
Rechtslage in Deutschland
Die deutschen Aufsichtsbehörden haben sich so positioniert, dass der Arbeitgeber personenbezogene Daten zu Reisen seines Beschäftigten erheben darf, wenn es sich um eine Reise in ein Risikogebiet handelt. Er kann jedoch nur eine Negativauskunft verlangen. Auch darf er seinen Beschäftigten fragen, ob er bereits an COVID-19 erkrankt ist. Das allerdings nur nach einer Aufklärung bezüglich des Verarbeitungszwecks und -umfangs.
Er kann jedoch nur im Einzelfall nach Symptomen fragen und auch hier nur nach vorheriger Aufklärung. Schließlich kann er auch zum Schutze der anderen Beschäftigten offenlegen, dass es einen COVID-19-Fall gab, wenn es als Vorsichtsmaßnahme notwendig ist. Eine Anonymisierung muss wegen der möglichen Kontaktpersonen nicht erfolgen. Der Arbeitgeber kann auch die personenbezogenen Daten von Besuchern und Gästen erheben und verarbeiten, um herauszufinden, ob sie selbst infiziert sind oder sich in einem der Risikogebiete aufgehalten haben.
Rechtslage in BeNeLux
Die BeNeLux-Staaten haben eine wesentlich restriktivere Auffassung. Belgien verbietet beispielsweise jegliche Erhebung und Verarbeitung der personenbezogenen Daten im Zusammenhang mit den vorgenannten Fragen, außer die Bekanntgabe, dass es einen Fall im Betrieb gab. Die Bekanntgabe darf nur anonymisiert erfolgen.
Die niederländische Aufsichtsbehörde knüpft an die Freiwilligkeit der Datenübermittlung an. Es ist dem Arbeitgeber grundsätzlich nicht gestattet, den Beschäftigten nach seinen Reisen, Symptomen und seiner Erkrankung zu fragen, es sei denn, er gibt es freiwillig preis. Eine Bekanntgabe, dass es einen COVID-19-Fall gibt, bleibt möglich, aber nur, wenn sie anonymisiert erfolgt und für die Arbeitsfähigkeit der Gesundheitsbehörden erforderlich ist.
Letztlich bewegt sich Luxemburg zwischen dem sehr freien Umgang Deutschlands und den sehr strengen Anforderungen Belgiens und der Niederlande. Dort kann der Arbeitgeber personenbezogene Daten zu Reisen und einer CONVID-19-Erkrankung erheben, wenn eine vorherige Aufklärung erfolgt. Er kann auch ohne Nennung des Namens bekanntgeben, dass es einen Krankheitsfall im Betrieb gibt. Lediglich die Frage nach Symptomen ist nicht gestattet – weder systematisch per Fragebogen noch auf individuelle Nachfrage. Besucher und Gäste dürfen nicht dazu gezwungen werden, Erklärungen abzugeben, dass sie nicht infiziert sind und nicht in einem der Risikogebiete waren.
Ausblick
Trotz Pandemie – der Schutz der personenbezogenen Daten ist weiterhin einzuhalten. Hierbei gibt es – vor allem zum Nachteil international tätiger Unternehmen – keine einheitliche Guideline, sondern erneut einen „Flickenteppich“. Das ist besonders in Zeiten, wo ein europaweites einheitliches Zusammenwirken erforderlich ist, nicht hilfreich. Es bleibt abzuwarten, ob die europäischen Datenschutzbehörden im Interesse aller eine einheitliche Guideline finden, die sowohl dem Datenschutz als auch dem Schutz der Gesundheit und Wirtschaft dient.
Über die Autorin
Mareike Gehrmann ist Salary Partnerin bei Taylor Wessing. Als Fachanwältin für IT-Recht leitet sie Mandanten durch den Wandel der Digitalisierung. Sie verfügt über eine ausgewiesene Expertise im IT-Vertrags- und Datenschutzrecht und berät vor allem zu KI, Datenschutz und Cyber Security. Hierbei arbeitet sie grenzüberschreitend mit dem niederländischen Team von Taylor Wessing zusammen und betreut niederländische Unternehmen vor allem beim Eintritt in den deutschen Markt.
