Zulässige Maßnahmen durch Unternehmen gegenüber Dritten wie Kunden, Besuchern etc. zum Zweck des Infektionsschutzes

Unternehmen (z.B. Messeveranstalter, Theater etc.) dürfen auf freiwilliger Grundlage sowie nach Aufforderung durch Gesundheitsbehörden Daten von Kunden oder Besuchern erheben, speichern oder übermitteln für den Fall, dass später bekannt wird, dass eine infizierte Person auf der Veranstaltung war:


Solange eine behördliche Anordnung nicht vorliegt, ist es Veranstaltern unbenommen, die Namen und Kontaktdaten ihrer Besucher zu dem Zweck, diese den Gesundheitsbehörden auf Anforderung zu übermitteln, auf der Grundlage einer Einwilligung nach Artikel 6 Absatz 1 Buchstabe a DSGVO von den Besuchern zu erheben und zu speichern. Die Dauer der Speicherung sollte sich in diesem Fall an der mutmaßlichen Inkubations- und Entdeckungszeit von Infektionen orientieren.


Für den Fall, dass seitens der zuständigen Behörde eine auf Speicherung von Besucherdaten gerichtete Verfügung ergangen ist, kann der Veranstalter die Erhebung und Speicherung der Daten entsprechend der behördlichen Anordnung auf Artikel 6 Absatz 1 Buchstabe c sowie Absatz 2 und 3 DSGVO stützen. Einer solchen Anordnung zur Speicherung von Besucherdaten entspricht regelmäßig eine Übermittlungspflicht an die zuständige Behörde, etwa nach der Regelung des § 16 Absatz 2 Satz 3 IfSG. Demnach besteht die Verpflichtung, auf Verlangen der Behörde die erforderlichen Auskünfte zu erteilen und Unterlagen vorzulegen.


§ 16 Absatz 1 IfSG sieht vor: „Werden Tatsachen festgestellt, die zum Auftreten einer übertragbaren Krankheit führen können, oder ist anzunehmen, dass solche Tatsachen vorliegen, so trifft die zuständige Behörde die notwendigen Maßnahmen zur Abwendung der dem Einzelnen oder der Allgemeinheit hierdurch drohenden Gefahren. Die bei diesen Maßnahmen erhobenen personenbezogenen Daten dürfen nur für Zwecke dieses Gesetzes verarbeitet werden.“


Sobald eine solche behördliche Anordnung vorliegt, sollte das von ihr betroffene Unternehmen prüfen, ob die hieraus resultierende Datenverarbeitung (insbesondere die Erhebung und Speicherung der betreffenden Daten und ggf. die Übermittlung an die Gesundheitsbehörde) in der Datenschutzerklärung des Unternehmens nach Artikel 13, 14 DSGVO angeführt wird, und andernfalls eine Anpassung vornehmen und die Betroffenen gesondert informieren.


In jedem Fall ist sicherzustellen, dass die erhobenen Daten nicht von unbefugten Dritten (auch nicht von anderen Besuchern) eingesehen werden können, und nur für den Zweck der Kontaktaufnahme von Besuchern nach Maßgabe des Gesundheitsamtes verwendet sowie vor dem Zugriff von außen gesichert werden.


Nach Ablauf der Aufbewahrungspflicht sind die erhobenen Daten endgültig und restlos zu löschen oder vernichten. Eine Verarbeitung der so erhobenen Daten zu anderen Zwecken (etwa Werbung) als denen des § 28 IfSG nach Maßgabe der gesundheitsbehördlichen Anordnungen ist grundsätzlich unzulässig.

Zulässige Maßnahmen von Arbeitgebern bzw. Dienstherren im Interesse des Infektionsschutzes

Arbeitgeber und Dienstherren haben ihre Fürsorgepflicht für Beschäftigte in gesundheitlicher und datenschutzrechtlicher Hinsicht rechtskonform zu erfüllen. Der einzelne Betroffene bleibt dabei – im Rahmen des Arbeits- oder Dienstverhältnisses – grundsätzlich „Herr seiner Daten“, insbesondere auch seiner besonders sensiblen Gesundheitsdaten.

 

Jeder Einzelne ist gehalten, verantwortlich mit einer (möglichen) Erkrankung umzugehen und auch den Schutz von möglicherweise stärker gefährdeten weiteren Beschäftigten zu bedenken. Dabei kann sogar eine arbeits- oder dienstrechtliche Pflicht bestehen, durch Angaben über Aufenthaltsorte oder Kontaktpersonen dem Arbeitgeber oder Dienstherrn eine Einschätzung zu ermöglichen, ob Gesundheitsrisiken für den Betroffenen oder andere Beschäftigte bestehen.


Konkrete Angaben zur eigenen Gesundheit muss der Beschäftigte allerdings gegenüber seinem Arbeitgeber oder Dienstherrn im Regelfall nicht machen – eine Auskunftspflicht oder die Pflicht, sich einer ärztlichen Untersuchung zu unterziehen, kann allerdings gegenüber Gesundheitsbehörden bestehen.


Der Arbeitgeber oder Dienstherr hat umgekehrt Fürsorgepflichten gegenüber allen Beschäftigten, Gesundheitsrisiken am Arbeitsplatz soweit wie möglich auszuschließen.


Ermittlungs- und Eingriffsbefugnisse stehen aber in der Regel nicht ihm, sondern nur den staatlichen Gesundheitsbehörden zu. Arbeitgeber und Dienstherren sind daher aufgefordert, im Zweifel den Kontakt zu den Gesundheitsbehörden zu suchen und nicht „auf eigene Faust“, schon gar nicht gegen den Willen des Beschäftigten, Gesundheitsdaten zu erheben.


Nur mit Einwilligung der Beschäftigten und zu genau bestimmten Zwecken dürfen Arbeitgeber und Dienstherren private Telefonnummern oder andere Kontaktdaten von der Belegschaft erheben, um die Beschäftigten im Falle einer Betriebsschließung oder in ähnlichen Fällen kurzfristig warnen oder auffordern zu können, zu Hause zu bleiben.


Zur Pandemie-Prävention wird vielfach der Aufbau eines auf den jeweiligen Betrieb zugeschnittenen innerbetrieblichen Kommunikationsnetzwerks empfohlen, damit Unternehmen, Behörden, Institutionen etc. je nach Pandemiephase bestimmte Maßnahmen treffen können.


Der SDB stellt für diese Erhebung von Kontaktdaten im Arbeitsverhältnis ein Formular zur Verfügung, das die wesentlichen datenschutzrechtlichen Vorgaben wiederholt und dessen Verwendung empfohlen wird (Hinweise zum Musterformular).


Damit die Beschäftigten auch kurzfristig gewarnt werden können und nicht zunächst im Betrieb oder bei der Arbeit erscheinen, dürfen Arbeitgeber und Dienstherren von ihren Beschäftigten ggfs. auch die aktuelle private Telefonnummer etc. abfragen und temporär speichern. Dies kann allerdings nur mit Einwilligung des Beschäftigten erfolgen; eine Pflicht zur Offenlegung privater Kontaktdaten besteht für die Beschäftigten nicht, kann jedoch regelmäßig in deren eigenem Interesse liegen.


Entscheidend ist hierbei, dass die Erhebung der privaten Kontaktdaten für eindeutige, konkrete und legitime Zwecke erfolgt. In Betracht kommt insbesondere der Zweck, die Infektionsgefährdung der Beschäftigten zu verringern. Spätestens nach Ende der Pandemie sind die erhobenen Kontaktdaten vom Arbeitgeber oder Dienstherrn wieder zu löschen. Keinesfalls dürfen diese Daten später ohne gesonderte Einwilligung für Kontaktaufnahmen, etwa gar nach Feierabend oder am Wochenende, oder für andere Zwecke genutzt werden.


Arbeitgeber und Dienstherren dürfen in begrenztem Umfang Informationen darüber erheben und weiterverarbeiten, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte etc. (https://www.coronavirus.sachsen.de/informationen-fuer-einreisende-nach-sachsen-7298.html).


Arbeitgeber und Dienstherren sind auf Grund ihrer Fürsorgepflicht und nach dem Arbeitsschutzgesetz (ArbSchG) verpflichtet, die erforderlichen Maßnahmen zu treffen, um die betriebliche Sicherheit und Gesundheit der Belegschaft zu gewährleisten. Hiervon ist auch die Pflicht des Arbeitgebers bzw. Dienstherrn umfasst, dafür zu sorgen, die anderen Beschäftigten vor einer Infektion durch eine erkrankte Person zu schützen, vgl. die eingehende Darstellung des Robert-Koch-Instituts (https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/Kontaktperson/Management.html). Für diesen
Zweck und in diesem Umfang ist es datenschutzrechtlich zulässig, Informationen darüber zu erheben, zu welchen Personen der erkrankte Mitarbeiter Kontakt hatte.


Gemäß Artikel 6 Absatz 1 Buchstabe c DSGVO i.V.m. Artikel 9 Absatz 1, Absatz 4 DSGVO und § 26 Absatz 3 Satz 1, § 22 Absatz 1 Nummer 1 Buchstabe b BDSG darf der Arbeitgeber bzw. Dienstherr zum Zweck der arbeitsmedizinischen Vorsorge die erforderlichen Daten verarbeiten.


Der Arbeitgeber oder Dienstherr darf demnach beispielsweise auch Urlaubsrückkehrer befragen, ob sie sich in einem, etwa durch das Robert Koch-Institut festgelegten, Risikogebiet, aufgehalten haben. Eine Negativauskunft des Beschäftigten genügt regelmäßig. Liegen weitere Anhaltspunkte vor, kann gegebenenfalls eine weitere Nachfrage erfolgen.


Arbeitgeber und Dienstherren dürfen den Beschäftigten mitteilen, dass in einer bestimmten Gruppe (Abteilung, Referat etc.) ein Mitarbeiter am Virus erkrankt ist, um darauf aufbauend mögliche Kontaktpersonen freizustellen, jedoch nur ausnahmsweise den betreffenden Mitarbeiter identifizieren, etwa durch Namensnennung.


Die Kenntnis von der COVID-19-Erkrankung eines Mitarbeiters kann für diesen zu einer enormen Stigmatisierung führen. Die Nennung des Namens des betroffenen Mitarbeiters oder andere individualisierender Merkmale ist daher grundsätzlich zu vermeiden. Gleichzeitig sind Mitarbeiter, welche in direktem Kontakt mit einem Infizierten waren, zu warnen und werden in der Regel selbst zur Eindämmung der Ansteckungsgefahr von der Präsenzpflicht freigestellt. Regelmäßig dürfte eine derartige Offenlegung ihren Zweck gruppen- bzw. teambezogen auch ohne konkrete Identifizierung bzw. Namensnennung erreichen.


Ist dies ausnahmsweise nicht ausreichend, so muss der Arbeitgeber oder Dienstherr Kontakt mit den Gesundheitsbehörden aufnehmen und um deren Entscheidung ersuchen.
Nur wenn dies nicht möglich ist, dürfen die übrigen Mitarbeiter über den Verdacht der Ansteckung oder der Erkrankung des konkreten Mitarbeiters informiert werden, um Infektionsquellen zu lokalisieren und einzudämmen.


Arbeitgeber und Dienstherren dürfen nach Aufforderung durch Gesundheitsbehörden Daten über erkrankte Beschäftigte, über Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten an die Behörden übermitteln:


Gesundheitsbehördliche Maßnahmen vor dem Hintergrund der COVID-19-Pandemie können durch die jeweilige Ortspolizeibehörde oder das zuständige Gesundheitsamt erlassen werden.


Besonders bedeutsam mit Blick auf den betrieblichen Pandemieschutz sind die Vorschriften der §§ 30, 31 des Infektionsschutzgesetzes (IfSG), welche die Quarantäneanordnung und das berufliche Tätigkeitsverbot durch das Gesundheitsamt regeln, sowie die Generalklauseln in § 16 Absatz 1 und Absatz 2 Satz 3 IfSG (zu diesen siehe noch den folgenden Hinweis). Die Rechtsgrundlage hängt von der konkreten behördlichen Anfrage ab, welche dort erfragt werden kann.
Bei Ersuchen von zuständigen Hoheitsträgern, etwa bzgl. erkrankter Beschäftigter im Betrieb, besteht eine mit der Übermittlungspflicht korrespondierende Übermittlungsbefugnis des Arbeitgebers oder Dienstherrn.
.

Musterformular des Sächsischen Datenschutzbeauftragten zur Erhebung privater Kontaktdaten von Mitarbeitern zur Risikoprävention


Arbeitgeber sind im Rahmen ihrer Fürsorgepflicht gehalten, Gesundheitsrisiken am Arbeitsplatz zu reduzieren. Im Rahmen der derzeitigen COVID-19-Pandemie ist es nach Auffassung des Sächsischen Datenschutzbeauftragten (SDB) zulässig, die privaten Kontaktdaten von Arbeitnehmern (auch im Folgenden stets: jeglichen Geschlechts) zu erheben und diese temporär zu speichern. Dadurch können Arbeitnehmer kurzfristig über Verdachtsfälle oder Infektionen im Unternehmen oder der Behörde gewarnt werden, ohne am Arbeitsplatz erscheinen und sich einem Risiko aussetzen müssen.


Diese Maßnahme dient auch der Eindämmung einer Infektionsverbreitung. Arbeitnehmer können zu dieser Bekanntgabe jedoch nicht gezwungen werden. Die erhobenen privaten Kontaktdaten sind nach Ende der Epidemie zu löschen und dürfen nicht anderweitig verwendet werden.


Dieses Musterformular kann zur Erhebung der Kontaktdaten von Arbeitnehmern verwendet werden und deckt die datenschutzrechtlichen Informationspflichten gemäß Art. 13 und Art. 7 Abs. 3 Datenschutz-Grundverordnung (DSGVO) ab. Aus Vereinfachungsgründen wird hier lediglich auf Art. 6 Abs. 1 Buchstabe a DSGVO abgestellt.

Download/Druck als Microsoft Word-Datei