Ihr Mitarbeiter zeigt Krankheitsymptome? Eventuell eine Corona-Infizierung. Wo setzt der Datenschutz Ihnen als Arbeitgeber Grenzen? Was dürfen Sie fragen? Was verarbeiten? Eine geringer Krankenstand unter der Belegschaft stärkt die Wettbewerbsfähigkeit. Aktuell denken viele beim kleinsten Anzeichen einer Krankheit bei Mitarbeitern und Kollegen direkt an eine Corona-Infektion – und führt schnell zu Fragezeichen beim Datenschutz.
Das neue Coronavirus stellt nicht nur die gesamte Welt, sondern insbesondere Arbeitgeber vor ganz neue Herausforderungen. Was, wenn weitere Mitarbeiter infiziert werden? Was kann man tun, um die Ansteckung mit der Krankheit nachzuweisen? Welche Maßnahmen sind nun angebracht und was muss vor allem beim Datenschutz der erkrankten Mitarbeiter beachtet werden? Klären wir dazu zunächst einmal den Begriff „Gesundheitsdaten“.
Gesundheitsdaten: Die Grundlagen zum datenschutzkonformen Umgang mit Krankheitsfällen bei Mitarbeitern
Gesundheitsdaten von Beschäftigten gehören zu den besonders schützenswerten Daten nach Artikel 9 der DSGVO. Ab wann handelt es sich konkret um eben solche Gesundheitsdaten, auf die datenschutztechnisch genau zu achten ist? Zählen schon Informationen als Gesundheitsdaten, dass sich einer Ihrer Mitarbeiter derzeit in Quarantäne befindet? Art. 4 Nr. 15 Datenschutz-Grundverordnung (DSGVO) definiert den Begriff folgendermaßen:
Gesundheitsdaten sind „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“
Erwägungsgrund 35 verdeutlicht, dass solche Daten zu den Gesundheitsdaten zählen, „die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen.“ Der Begriff ist also je nach Situation recht offen auszulegen. Jede Inforrmation, die auf irgendeine Art und Weise Rückschlüsse auf den Gesundheitszustand des Betroffenen ermöglicht, kann darunter fallen.
Wie sind Quarantäne und der berühmte Aufenthalt in Risikogebieten auszulegen?
Was ist nun aber mit einem Quarantänefall im Unternehmen? Und was sagt die Datenschutzverordnung, wenn sich einer Ihrer Mitarbeiter in einem Risikogebiet aufgehalten hat und Sie diese Information weiterleiten möchten. Beides zählt tatsächlich nicht zu den Gesundheitsdaten. Schließlich bedeutet eine Quarantäne (besonders bei Covid-19) nicht unbedingt, dass der betroffene Mitarbeiter auch wirklich mit der Krankheit infiziert ist. Gerade in der aktuellen Pandemie dient der Rückzug schließlich oftmals dazu, eine eventuelle Infektion abzuwarten. Kontakt zu einer erkrankten Person oder ein Besuch in einem Risikogebiet erfordert zwar anschließende Tests. Doch einen direkten Rückschluss auf die Infektion lassen all diese Szenarien nicht zu.
Was sollte der Arbeitgeber beachten, um die Krankheit bzw. Krankschreibung bei Mitarbeitern datenschutzkonform zu erfassen?
Ein Arbeitgeber könnte derzeit durch unterschiedliche Maßnahmen Gesundheitsdaten erfassen:
Aufforderung, bestimmte Symptome (z.B. hohes Fieber, Erkältungssymptome, starker Husten) zu melden
An dieser Stelle ist hervorzuheben, dass solche Symptome zwar mit dem Covid-19-Virus in Verbindung gebracht werden – ein alleiniger Anhaltspunkt, dass eine Infizierung vorliegt, ist das aber nicht.
Somit müssten noch weitere Tatsachen hinzukommen wie ein Aufenthalt in einem Risikogebiet oder der Kontakt zu einer infizierten Person.
Fiebermessen vor Arbeitsbeginn
Auch hier gilt: Allein die Tatsache, dass jemand Fieber hat, lässt keinen Rückschluss auf eine Infizierung zu. Denkbar wären anderweitige Gesundheitsuntersuchungen wie zum Beispiel ein Covid-19-Schnelltest.
Weitergabe von Gesundheitsdaten an Dritte
Möglich ist zudem, dass der Arbeitgeber Krankheitsinformationen des Mitarbeiters an Dritte weitergeben möchte oder sogar muss (siehe Rechtsgrundlagen und Hinweise zum Datenschutz weiter unten).
In Betracht kommen hier etwa Behörden wie das Gesundheitsamt. Aber auch Kollegen, Kunden und Gäste, die eventuell angesteckt wurden, sollten informiert werden, damit sie sich ebenfalls einer Untersuchung unterziehen können.
In der Konzerngesellschaft über die Krankheit des Mitarbeiters informieren
Um den Überblick zu behalten, wie viele Mitarbeiter im Unternehmen von der Krankheit betroffen sind, können Arbeitgeber Gesundheitsdaten auch an andere Konzerngesellschaften weitergeben. Auch wenn es hier ausreichend sein dürfte, lediglich eine Anzahl betroffener Personen ohne Namen zu melden, sollte der Datenschutz nicht hintenüber fallen. Denn wenn beispielsweise zu diesem Zeitpunkt nur ein einziger Mitarbeiter krankheitsbedingt fehlt, ist der Personenbezug auch ohne namentliche Nennung deutlich.
Rechtsgrundlagen zum Datenschutz bei Krankheiten von Mitarbeitern
Ob und wie der Arbeitgeber konkrete Maßnahmen wie Untersuchungen durchführen darf, entscheiden unterschiedliche Rechtsgrundlagen.
DSGVO, BDSG, ArbSchG und IfSG
Die DSGVO, das Bundesdatenschutzgesetz (BDSG) und weitere Gesetze wie das Arbeitsschutzgesetz (ArbSchG) und das Infektionsschutzgesetz (IfSG) ermöglichen es Arbeitgebern, sensible personenbezogene Daten (z.B. Krankheitsdaten) der Mitarbeiter datenschutzgerecht zu verarbeiten.
Wesentlich: die Fürsorgepflicht
Vorangestellt sei an dieser Stelle: Verarbeitet ein Arbeitgeber Gesundheitsdaten für Zwecke des Beschäftigungsverhältnisses, ist dies zulässig, sofern es erforderlich ist, um Rechte auszuüben oder rechtliche Pflichten zu erfüllen aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse des Betroffenen am Ausschluss der Verarbeitung überwiegt.
Das ist z.B. der Fall, wenn der Arbeitgeber arbeitsrechtlichen Verpflichtungen nachkommen muss. Denn ihn treffen diverse Fürsorgepflichten gegenüber seinen Angestellten. Das ergibt sich u.a. aus § 618 Bürgerliches Gesetzbuch (BGB). Eine dieser Fürsorgepflichten ist die Gesundheitsvorsorge. Die schreibt vor, dass der Arbeitgeber sämtliche vermeidbare Schäden an seinen Mitarbeitern abzuwenden hat. Ein solcher Schaden könnte etwa entstehen, wenn andere Arbeitnehmer sich mit der Krankheit anstecken würden, weil der Arbeitgeber Maßnahmen der Gesundheitsfürsorge unterlassen hat – zum Beispiel auch aus Sorge vor Datenschutz-Missverständnissen.
Einwilligung (Art. 6 Abs. 1 Buchst. a DSGVO)
Die Einwilligung ist als Rechtsgrundlage stets das letzte Mittel der Wahl. Doch wenn wir das oben erwähnte Beispiel des vorsorglichen Fiebermessens noch einmal aufgreifen, bleibt hier kaum eine andere Rechtsgrundlage übrig.
Lebenswichtige Interessen (Art. 6 Abs. 1 Buchst. d DSGVO)
Die Verarbeitung personenbezogener Daten kann auch erforderlich sein, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Erwägungsgrund 46 DSGVO erwähnt ausdrücklich die Notwendigkeit, Epidemien und ihre Ausbreitung zu überwachen. Als Epidemie wird eine Krankheit bezeichnet, welche auf eine Region oder ein Land beschränkt ist. Bei einer Ausbreitung über Landesgrenzen oder gar Kontinente verwandelt sie sich in eine Pandemie. Im Erwägungsgrund wird zwar nur von einer Epidemie gesprochen – doch damit sollte im Rahmen von Art. 6 Abs. 1 Buchst. d DSGVO auch die Verarbeitung personenbezogener Daten während einer Pandemie abgedeckt sein.
Achtung: An dieser Stelle ist zu beachten, dass der Erwägungsgrund die Verarbeitung zum Schutz lebenswichtiger Interessen nur dann gestattet, wenn keine offensichtlich andere Rechtsgrundlage einschlägig ist. Dennoch gilt: Für Notfallsituationen darf sich der Arbeitgeber hierauf stützen.
Für den Datenschutz bei Krankheitsdaten von Mitarbeitern müssen Verantwortliche auch Art. 9 Abs. 2 Buchst. c DSGVO heranziehen. Er schränkt die Verarbeitung insoweit ein, als der Schutz lebenswichtiger Interessen dann erforderlich sein kann, wenn die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung abzugeben. Die vorher beschriebene Notsituation muss in diesem Fall also bereits so weit eskaliert sein, dass ohne diese Datenverarbeitung eine Gefahr für Leib und Leben Ihrer Mitarbeiter besteht.
Berechtigte Interessen (Art. 6 Abs. 1 Buchst. f DSGVO)
Die Verarbeitung könnte sich je nach Sachverhalt auch darauf stützen, dass sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Interessen oder Grundfreiheiten der betroffenen Person dürfen allerdings nicht überwiegen. So wäre denkbar, Auswertungen zu Erkrankungen innerhalb des Unternehmens hierauf zu stützen, um einen Überblick über die Erkrankungssituation zu erhalten.
Erwägungsgrund 48 DSGVO spricht davon, dass ein berechtigtes Interesse gegeben sein kann, wenn personenbezogene Daten – auch über Krankheitssymptome bei Mitarbeitern – für interne Verwaltungszwecke an Konzerngesellschaften übermittelt werden. Zu beachten ist jedoch, dass der Betroffene die Möglichkeit hat, jederzeit gegen die Verarbeitung seiner Daten Widerspruch einzulegen. Sollte ein Arbeitnehmer von diesem Recht Gebrauch machen, darf der Arbeitgeber diese Daten nicht mehr verarbeiten, außer er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen.
Auf ihr Widerspruchsrecht ist die betroffene Person spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich hinzuweisen. Aus Gründen der Praktikabilität ist diese Rechtsgrundlage daher nur bedingt tauglich.
Quarantäne und Tätigkeitsverbot (§§ 30, 31 IfSG)
Auch das Infektionsschutzgesetz kann eine Rechtsgrundlage zur Verarbeitung sensibler Daten bieten. So ist dort beispielsweise geregelt, dass die zuständige Behörde Kranken, Krankheitsverdächtigen, Ansteckungsverdächtigen und Personen, die zwar keine Symptome zeigen, aber Erreger übertragen könnten, die Ausübung bestimmter beruflicher Tätigkeiten ganz oder teilweise untersagen kann.
Rechtliche Verpflichtung (Art. 6 Abs. 1 Buchst. c DSGVO)
Die Datenverarbeitung kann erforderlich sein, um eine rechtliche Verpflichtung zu erfüllen, der der Arbeitgeber unterliegt. Diese Rechtsgrundlage kann z.B. in Verbindung mit Vorschriften des Infektionsschutzgesetzes stehen:
Abwenden von Gefahren durch übertragbare Krankheiten (§ 16 Abs. 1 und Abs. 2 Satz 3 IfSG)
Hiernach kann die zuständige Behörde (z.B. das Gesundheitsamt) notwendige Maßnahmen treffen, um Gefahren abzuwenden, die durch übertragbare Erkrankungen entstehen. Die hierbei erhobenen personenbezogenen Daten dürfen nur für Zwecke des Infektionsschutzgesetzes verarbeitet werden. Hierfür kann es erforderlich sein, dass ein Arbeitgeber bestimmte Daten einer zuständigen Behörde übermitteln muss. Denn dann unterliegt der Arbeitgeber gemäß Art. 6 Abs. 1 Buchst. c sowie Abs. 2 und 3 DSGVO einer rechtlichen Verpflichtung, diese Daten zu verarbeiten.
Informationspflichten, die sich aus Krankheitssymptomen von Mitarbeitern ergeben
Der Verantwortliche muss zum Zeitpunkt der Datenerhebung die betroffene Person entsprechend Art. 13 DSGVO informieren. Liegt eine Anordnung vor, dass der Arbeitgeber Krankheitsdaten z.B. an Behörden wie das Gesundheitsamt übermitteln muss, muss er den betroffenen Mitarbeiter laut Datenschutzverordnung auch hierüber ins Bild setzen. Sofern es darum geht, personenbezogene Daten nicht direkt bei der betroffenen Person zu erheben, muss eine Information entsprechend Art. 14 DSGVO erfolgen. Das kann z.B. der Fall sein, wenn ein infizierter Mitarbeiter Auskunft darüber geben muss, mit welchen Personen er in letzter Zeit Kontakt hatte, um auch diesen Personen zu ermöglichen, weitergehende Maßnahmen zu veranlassen.
Verzeichnis von Verarbeitungstätigkeiten
Je nachdem, wie ein Arbeitgeber Gesundheitsdaten im Arbeitsverhältnis verarbeitet, muss er diese Verarbeitung als neue Tätigkeit in das Verzeichnis von Verarbeitungstätigkeiten aufnehmen.
Wichtig ist, Überlegungen zur Erforderlichkeit und zur Rechtsgrundlage zu dokumentieren. Je nach Fallkonstellation kann die Rechtsgrundlage variieren. Auch die Übermittlung an externe Stellen, etwa an das Gesundheitsamt, muss hier dargestellt sein. Sofern bereits ähnliche Verarbeitungstätigkeiten existieren, z.B. Gesundheitsuntersuchungen im Beschäftigungsverhältnis, muss der Arbeitgeber prüfen, ob sich die konkret geplanten Maßnahmen im Zusammenhang mit der Covid-19-Situation hierunter subsumieren lassen bzw. ob es notwendig ist, diese Verarbeitungstätigkeit zu überarbeiten und anzupassen.
So ist insbesondere danach zu differenzieren, ob die Maßnahme auf derselben Rechtsgrundlage beruht. Führt der Arbeitgeber beispielsweise arbeitsmedizinische Vorsorgeuntersuchungen durch, weil der Mitarbeiter während seiner Arbeit mit Gefahrstoffen in Berührung kommt, lässt sich darauf kein Fiebermessen stützen. Bietet ein Unternehmen dagegen freiwillige Untersuchungen an, deren Rechtmäßigkeit eine Einwilligung sicherstellt, ließe sich ein ebenso freiwilliges Fiebermessen hierunter fassen.
Fazit: Es geht v.a. um Fürsorgepflichten
Der Arbeitgeber hat insbesondere aufgrund seiner Fürsorgepflichten die Möglichkeit, Gesundheitsdaten im Beschäftigungsverhältnis zu verarbeiten. Es können aber auch andere Rechtsgrundlagen infrage kommen. Den Arbeitnehmer seinerseits treffen gewisse Nebenpflichten. Sie können so weit gehen, dass er seine Gesundheitsdaten preisgeben muss – unter sehr engen Voraussetzungen und je nach Konstellation im Einzelfall. Das gilt v.a., wenn er andere gefährden würde, weil er aus Datenschutz-Unwissenheit nicht über Krankheitssymptome von Mitarbeitern informiert.
Quelle: Datenschutz-Praxis
