Seit auftreten der Corona Krise werden deutlich mehr Mitarbeiterdaten gesammelt als bislang - dies nicht zuletzt aufgrund der notwendigen Kontrollmaßnahmen. Immer wieder tritt die Frage auf, wann und unter welchen Bedingungen Arbeitgeber Daten von Arbeitnehmern verarbeiten dürfen bzw. müssen.
Welche personenbezogenen Daten werden im Zuge von COVID-19 Maßnahmen verarbeitet?
Daten über die (potentiellen) Infektionen von Arbeitnehmern mit COVID-19 sowie über Verdachtsfälle (z.B. nach Reisen oder Infektionen im Bekanntenkreis) sind Gesundheitsdaten und zählen zu den „besonderen Kategorien personenbezogener Daten“. Diese Daten genießen im Regime der DSGVO besonderen Schutz.
Um diese Daten verarbeiten zu dürfen, benötigt der Arbeitgeber eine besondere Rechtsgrundlage. Die Datenschutz-Grundverordnung (DSGVO) sieht dazu nur vor, dass Daten zum Zwecke der Gesundheitsvorsorge verarbeitet werden dürfen, worunter etwa das Ziel fällt, die Verbreitung des Virus einzudämmen und andere Arbeitnehmer zu schützen.
Rechtmäßigkeit der Datenverarbeitung
Die Zulässigkeit der Datenverarbeitung hängt im Einzelfall davon ab, (i) ob die Datenverarbeitung wirklich erforderlich ist, um den angestrebten Zweck zu erreichen und (ii) ob sie gleichzeitig das gelindeste Mittel dafür darstellt.
Eine Pflicht zur Erhebung und Verarbeitung der Arbeitnehmerdaten entspringt dabei der Fürsorgepflicht des Arbeitgebers zur Vermeidung von Gesundheitsrisiken am Arbeitsplatz.
Beispiele für gerechtfertigt erhobene Daten
Gerechtfertigt ist nach der DSB die Befragung einzelner Arbeitnehmer, ob direkter Kontakt zu Erkrankten bestand oder eine Reise in ein Risikogebiet stattfand, wenn es dafür einen konkreten Anhaltspunkt gibt. Auch generelle Fragebögen zur freiwilligen Selbstauskunft der Arbeitnehmer (über derartige Risikofaktoren) sind zulässig. Eine zwingende Befragung aller Arbeitnehmer stellt jedoch nicht das gelindeste Mittel dar und ist daher unzulässig.
Arbeitgeber dürfen auch (private) Handynummern ihrer Arbeitnehmer erfragen und speichern, das gilt ebenfalls für Notfallkontaktnummern (von Angehörigen des Arbeitnehmers), wenn der Arbeitnehmer bestätigt, dass die Kontaktperson über die Bekanntgabe ihrer Kontaktdaten informiert wurde und damit einverstanden ist. Der Arbeitnehmer ist jedoch nicht verpflichtet, private Handynummern oder die des Notfallkontakts bekanntzugeben. Die Bekanntgabe der Daten darf nicht erzwungen werden.
Auch freiwillige Fiebermessung am Betriebsgelände oder -eingang (z.B. durch einen Betriebsarzt) sind erlaubt. Ob eine verpflichtende Temperaturkontrolle, die lediglich am Eingang erfolgt, zulässig ist, ist derzeit strittig. Nach unserem Dafürhalten ist eine verpflichtende Fiebermessung bei Arbeitnehmern vermutlich unzulässig, da es gelindere Mittel für die Kontrolle des Gesundheitszustandes der Arbeitnehmer gibt.
Gesundheitsdaten der Arbeitnehmer dürfen jedenfalls nur für die Dauer der erhobenen Zwecke verwendet werden (z.B. für die Dauer der Bekämpfung von COVID-19). Nach dem Wegfall des jeweiligen Zwecks sind daher die nicht mehr erforderlichen Daten zu löschen.
Autoren:
Mag. Gerhard Schedlbauer, Partner der ScherbaumSeebacher Rechtsanwälte GmbH, Wien und Graz
Mag. Thomas Schwab, Rechtsanwaltsanwärter der ScherbaumSeebacher Rechtsanwälte GmbH, Wien und Graz
Seminartipp! Update Datenschutzrecht - Best Practice, COVID-19, Lessons Learned