Personenbezogene Daten im Zusammenhang mit der Corona Pandemie
Vermehrt haben wir nachfragen zu der Thematik, wie personenbezogenen Daten bei Mitarbeitern, Gästen und Besuchern im Zusammenhang mit der Corona Pandemie verarbeitet werden können.
Sollten Sie Daten erheben, die im Zusammenhang mit der Corona Pandemie stehen, handelt es sich um Gesundheitsdaten nach Art. 9 DSGVO, welche gesondert geschützt sind. Selbstverständlich können Sie zur Eindämmung der Corona Pandemie und zum Schutz der Mitarbeiter und Gäste diese Daten, sofern sie denn Datenschutzkonform erhoben werden, erheben und verwenden. Allerdings ist dabei jeweils der Grundsatz der Verhältnismäßigkeit unter Berücksichtigung der gesetzlichen Grundlage zu beachten.
Folgende Beispiele können als legitim betrachtet werden:
- Fälle in denen eine Infektion festgestellt wurde oder Kontakt zu einer nachweislich infizierten Person bestanden hat
- Personen, die sich in einem relevanten Risikogebiet aufgehalten haben.
In derartigen Fällen ist die Erhebung und Verarbeitung personenbezogener Daten durch den Arbeitgeber/Dienstherren zulässig, um so die Ausbreitung der Pandemie zu verhindern und einzudämmen.
- die Erhebung und Verarbeitung personenbezogener Daten von Gästen und Besuchern, um feststellen zu können,
- ob es sich hier um infizierte Personen oder Personen handelt, die mit infizierten Kontakt hatten,
- festzustellen, ob sie aus einem Risikogebiet stammen.
Die Frage, die sich stellt ist, ob solche personenbezogene Daten dann auch offengelegt werden dürfen und müssen. Das dürfte dann der Fall sein, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktperson erforderlich ist.
Bitte beachten Sie, dass nach Auffassung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit folgende allgemeine Grundsätze gelten.
- die Berechtigung zur Verarbeitung personenbezogener Mitarbeiterdaten ergibt sich in den genannten Fällen für öffentlich-rechtliche Arbeitgeber grundsätzlich aus Art. 6 Abs. 1 Satz 1 lit. e) DSGVO und für Arbeitgeber im nicht-öffentlichen Bereich aus § 26 Abs. 1 BDSG, Art. 6 Abs. 1 Satz 1 lit. f) DSGVO jeweils i.V.m. den einschlägigen beamtenrechtlichen sowie tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts. Soweit Gesundheitsdaten verarbeitet werden, sind zudem auch § 26 S. 3 BDSG und Art. 9 Abs. 2 lit. b )DSGVO einschlägig.
Die Fürsorgepflicht der Arbeitgeber bzw. der Dienstherren verpflichtet diese den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Hierzu zählt nach Ansicht der unabhängigen Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die epidemische bzw. inzwischen pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und im Fall der Fälle der Nachverfolgbarkeit dient. Diese Maßnahmen müssen dabei natürlich immer auch verhältnismäßig sein. Die Daten müssen vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszweckes müssen die erhobenen Daten unverzüglich gelöscht werden. Eine Einwilligung der von Maßnahmen Betroffenen allein sollte hingegen vorliegend nur als datenschutzrechtliche Verarbeitungsgrundlage in Betracht gezogen werden, wenn die Betroffenen über die Datenverarbeitung informiert sind und freiwillig in die Maßnahme einwilligen können. Weitere Informationen erhalten Sie auf der Internetseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.
Sollten Sie Daten erheben, die im Zusammenhang mit der Corona Pandemie stehen, handelt es sich um Gesundheitsdaten nach Art. 9 DSGVO, welche gesondert geschützt sind. Selbstverständlich können Sie zur Eindämmung der Corona Pandemie und zum Schutz der Mitarbeiter und Gäste diese Daten, sofern sie denn Datenschutzkonform erhoben werden, erheben und verwenden. Allerdings ist dabei jeweils der Grundsatz der Verhältnismäßigkeit unter Berücksichtigung der gesetzlichen Grundlage zu beachten.
Folgende Beispiele können als legitim betrachtet werden:
- Fälle in denen eine Infektion festgestellt wurde oder Kontakt zu einer nachweislich infizierten Person bestanden hat
- Personen, die sich in einem relevanten Risikogebiet aufgehalten haben.
In derartigen Fällen ist die Erhebung und Verarbeitung personenbezogener Daten durch den Arbeitgeber/Dienstherren zulässig, um so die Ausbreitung der Pandemie zu verhindern und einzudämmen.
- die Erhebung und Verarbeitung personenbezogener Daten von Gästen und Besuchern, um feststellen zu können,
- ob es sich hier um infizierte Personen oder Personen handelt, die mit infizierten Kontakt hatten,
- festzustellen, ob sie aus einem Risikogebiet stammen.
Die Frage, die sich stellt ist, ob solche personenbezogene Daten dann auch offengelegt werden dürfen und müssen. Das dürfte dann der Fall sein, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktperson erforderlich ist.
Bitte beachten Sie, dass nach Auffassung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit folgende allgemeine Grundsätze gelten.
- die Berechtigung zur Verarbeitung personenbezogener Mitarbeiterdaten ergibt sich in den genannten Fällen für öffentlich-rechtliche Arbeitgeber grundsätzlich aus Art. 6 Abs. 1 Satz 1 lit. e) DSGVO und für Arbeitgeber im nicht-öffentlichen Bereich aus § 26 Abs. 1 BDSG, Art. 6 Abs. 1 Satz 1 lit. f) DSGVO jeweils i.V.m. den einschlägigen beamtenrechtlichen sowie tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts. Soweit Gesundheitsdaten verarbeitet werden, sind zudem auch § 26 S. 3 BDSG und Art. 9 Abs. 2 lit. b )DSGVO einschlägig.
Die Fürsorgepflicht der Arbeitgeber bzw. der Dienstherren verpflichtet diese den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Hierzu zählt nach Ansicht der unabhängigen Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die epidemische bzw. inzwischen pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und im Fall der Fälle der Nachverfolgbarkeit dient. Diese Maßnahmen müssen dabei natürlich immer auch verhältnismäßig sein. Die Daten müssen vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszweckes müssen die erhobenen Daten unverzüglich gelöscht werden. Eine Einwilligung der von Maßnahmen Betroffenen allein sollte hingegen vorliegend nur als datenschutzrechtliche Verarbeitungsgrundlage in Betracht gezogen werden, wenn die Betroffenen über die Datenverarbeitung informiert sind und freiwillig in die Maßnahme einwilligen können. Weitere Informationen erhalten Sie auf der Internetseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.