Mitarbeiter ist krank in Zeiten von Corona?

Ihr Mitarbeiter zeigt Krankheitsymptome? Eventuell eine Corona-Infizierung. Was dürfen Sie als Arbeitgeber fragen? Was verarbeiten?

Eine geringer Krankenstand unter der Belegschaft stärkt die Wettbewerbsfähigkeit. Aktuell denken viele, beim kleinsten Anzeichen einer Krankheit direkt an eine Corona-Infektion.

Sollten sich Mitarbeiter tatsächlich mit dem Corona-Virus infiziert haben, stellt  dies den Arbeitgeber vor bisher nicht gekannte Herausforderungen: Wurden weitere Mitarbeiter infiziert? Welche Maßnahmen muss bzw. darf ich nun – auch aus Datenschutzsicht – ergreifen?

Was genau sind „Gesundheitsdaten“?

Gesundheitsdaten von Beschäftigen gehören zu den besonders schützenswerten Daten nach Artikel 9 der DSGVO.

Ab wann handelt es sich konkret um Gesundheitsdaten? Ist z.B. die Information, dass eine Person sich gegenwärtig in Quarantäne aufhält, bereits ein Gesundheitsdatum mit allen entsprechenden datenschutzrechtlichen Folgen?

Art. 4 Nr. 15 Datenschutz-Grundverordnung (DSGVO) schreibt:

Gesundheitsdaten sind „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“

Erwägungsgrund 35 verdeutlicht, dass solche Daten zu den Gesundheitsdaten zählen, „die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen.“

Der Gesundheitsbegriff ist daher weit auszulegen. Ausreichend sind Tatsachen, die in irgendeiner Art und Weise einen Rückschluss auf den Gesundheitszustand des Betroffenen ermöglichen.

Quarantäne und Aufenthalt im Risikogebiet

Ist aber nun die Information, dass sich jemand in Quarantäne befindet, bereits eine Aussage über seinen Gesundheitszustand?

Oder weiter gedacht: Wenn sich ein Mitarbeiter (sei es privat oder beruflich) in einem vom Robert-Koch-Institut als „Risikogebiet“ eingestuften Land aufgehalten hat: Stellt diese Angabe schon ein Gesundheitsdatum dar?

Trotz der weiten Auslegung des Begriffs der Gesundheitsdaten wird man wohl beide Fragen verneinen müssen.

Denn: Quarantäne bedeutet nicht, dass sich eine Person mit dem Virus angesteckt hat. Vielmehr könnte es auch sein, dass sie lediglich Kontakt zu einer mit COVID-19 infizierten Person hatte und sich nun – solange nicht feststeht, ob sie sich selbst angesteckt hat – in Quarantäne aufhalten muss.

Und lediglich die Tatsache, dass man möglicherweise Kontakt zu einer infizierten Person hatte, ist keine Aussage über den Gesundheitszustand.

Beim Aufenthaltsort gilt dasselbe: Zwar müssen sich Personen, die sich in einem „Risikogebiet“ aufgehalten haben, eventuell weitergehenden Untersuchungen unterziehen. Ein Rückschluss darauf, dass diese Personen auch erkrankt sind, ist aber nicht möglich.

Was macht der Arbeitgeber mit den Gesundheitsdaten?

Ein Arbeitgeber könnte derzeit durch unterschiedliche Maßnahmen Gesundheitsdaten erfassen:

Aufforderung, bestimmte Symptome (z.B. hohes Fieber, Erkältungssymptome, starker Husten) zu melden

An dieser Stelle ist hervorzuheben, dass solche Symptome zwar mit dem Covid-19-Virus in Verbindung gebracht werden – ein alleiniger Anhaltspunkt, dass eine Infizierung vorliegt, ist das aber nicht.

Somit müssten noch weitere Tatsachen hinzukommen wie ein Aufenthalt in einem Risikogebiet oder der Kontakt zu einer infizierten Person.

Fiebermessen vor Arbeitsbeginn

Auch hier gilt: Allein die Tatsache, dass jemand Fieber hat, lässt keinen Rückschluss auf eine Infizierung zu. Denkbar wären anderweitige Gesundheitsuntersuchungen.

So könnten Arbeitgeber Interesse daran haben, einen Covid-19-Schnelltest an ihren Mitarbeitern durchzuführen, sofern ein solcher zu einem späteren Zeitpunkt verfügbar ist.

Weitergabe von Gesundheitsdaten an Dritte

Möglich ist zudem, dass der Arbeitgeber Gesundheitsdaten an Dritte weitergeben möchte oder sogar muss (siehe Rechtsgrundlagen weiter unten).

In Betracht kommen hier etwa Behörden wie das Gesundheitsamt oder Kollegen und Kolleginnen, die, weil ein Mitarbeiter positiv getestet wurde, sich nun ebenfalls einer Untersuchung unterziehen müssen, sowie Kunden oder Gäste des jeweiligen Mitarbeiters, die mit ihm Kontakt hatten.

Bekanntgabe einer Infizierung an weitere Konzerngesellschaften

Um einen Überblick zu haben, wie viele Mitarbeiter im Unternehmen und insbesondere im Konzern von der aktuellen Situation betroffen sind, könnte ein Verantwortlicher daran denken, Gesundheitsdaten an andere Konzerngesellschaften weiterzugeben.

Hier dürfte es allerdings ausreichend sein, lediglich eine Anzahl betroffener Personen zu melden, ohne die Namen zu nennen.

Zu beachten ist allerdings, dass trotzdem ein Personenbezug möglich ist, sofern z.B. eine Konzerngesellschaft einen einzigen Erkrankten meldet und zu diesem Zeitpunkt nur ein einziger Mitarbeiter krankheitsbedingt abwesend ist.

Rechtsgrundlagen

Je nachdem, welche konkrete Maßnahme der Arbeitgeber umsetzen möchte, ob er z.B. eine Gesundheitsuntersuchung an den Mitarbeitern durchführen oder Daten an Dritte weitergeben möchte/muss, greifen unterschiedliche Rechtsgrundlagen.

DSGVO, BDSG, ArbSchG und IfSG

Die DSGVO, das Bundesdatenschutzgesetz (BDSG) und weitere Gesetze wie das Arbeitsschutzgesetz (ArbSchG) und das Infektionsschutzgesetz (IfSG) ermöglichen es Arbeitgebern, sensible personenbezogene Daten der Beschäftigten im Arbeitsverhältnis zu verarbeiten.

Wesentlich: die Fürsorgepflicht

Vorangestellt sei an dieser Stelle:

Verarbeitet ein Arbeitgeber Gesundheitsdaten für Zwecke des Beschäftigungsverhältnisses, ist dies zulässig, sofern es erforderlich ist, um Rechte auszuüben oder rechtliche Pflichten zu erfüllen aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse des Betroffenen am Ausschluss der Verarbeitung überwiegt.

Das ist z.B. der Fall, wenn der Arbeitgeber arbeitsrechtlichen Verpflichtungen nachkommen muss. Denn ihn treffen diverse Fürsorgepflichten gegenüber seinen Angestellten. Das ergibt sich u.a. aus § 618 Bürgerliches Gesetzbuch (BGB).

Eine dieser Fürsorgepflichten ist die Gesundheitsvorsorge. Dazu hat der Arbeitgeber vermeidbare Schäden für seine Arbeitnehmer abzuwenden.

Ein solcher Schaden könnte etwa entstehen, wenn andere Arbeitnehmer sich mit dem Covid-19-Virus anstecken würden, weil der Arbeitgeber Maßnahmen der Gesundheitsfürsorge unterlassen hat.

Darüber hinaus kommen als weitere Rechtsgrundlagen in Betracht:

Einwilligung (Art. 6 Abs. 1 Buchst. a DSGVO)

Die Einwilligung ist als Rechtsgrundlage stets das letzte Mittel der Wahl. Doch das oben angesprochene „vorsorgliche Fiebermessen“ zu Arbeitsbeginn wäre beispielsweise eine Maßnahme, die der Arbeitgeber schwerlich auf eine andere Rechtsgrundlage als die der Einwilligung stützen könnte.

Lebenswichtige Interessen (Art. 6 Abs. 1 Buchst. d DSGVO)

Die Verarbeitung personenbezogener Daten kann auch erforderlich sein, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Erwägungsgrund 46 DSGVO erwähnt ausdrücklich die Notwendigkeit, Epidemien und ihre Ausbreitung zu überwachen. Eine Epidemie beschreibt dabei die Ausbreitung einer Erkrankung in örtlich beschränkter Weise. Sofern die Erkrankung auch über die Landes- und Kontinentsgrenzen hinausgeht, wird von einer Pandemie gesprochen.

Da der Erwägungsgrund von „Epidemie“ spricht, muss sich eine Verarbeitung personenbezogener Daten erst recht im Fall einer Pandemie auf Art. 6 Abs. 1 Buchst. d DSGVO stützen lassen.

Allerdings beschreibt der Erwägungsgrund auch, dass Verantwortliche die Verarbeitung zum Schutz lebenswichtiger Interessen nur dann heranziehen sollen, wenn keine offensichtlich andere Rechtsgrundlage einschlägig ist.

Dennoch gilt: Für Notfallsituationen darf sich der Arbeitgeber hierauf stützen.

Für Gesundheitsdaten müssen Verantwortliche auch Art. 9 Abs. 2 Buchst. c DSGVO heranziehen. Er schränkt die Verarbeitung insoweit ein, als der Schutz lebenswichtiger Interessen dann erforderlich sein kann, wenn die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung abzugeben.

Die vorher beschriebene Notsituation muss also – sollte man sich auf diese Rechtsgrundlage stützen wollen – bereits so weit eskaliert sein, dass ohne die Verarbeitung der personenbezogenen Daten eine Gefahr für Leib und Leben des Betroffenen besteht.

Berechtigte Interessen (Art. 6 Abs. 1 Buchst. f DSGVO)

Die Verarbeitung könnte sich je nach Sachverhalt auch darauf stützen, dass sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Interessen oder Grundfreiheiten der betroffenen Person dürfen allerdings nicht überwiegen.

So wäre denkbar, Auswertungen zu Erkrankungen innerhalb des Unternehmens hierauf zu stützen, um einen Überblick über die Erkrankungssituation zu erhalten.

Erwägungsgrund 48 DSGVO spricht davon, dass ein berechtigtes Interesse gegeben sein kann, wenn personenbezogene Daten – auch von Beschäftigten – für interne Verwaltungszwecke an Konzerngesellschaften übermittelt werden.

Zu beachten ist jedoch, dass der Betroffene die Möglichkeit hat, jederzeit gegen die Verarbeitung seiner Daten Widerspruch einzulegen. Sollte ein Arbeitnehmer von diesem Recht Gebrauch machen, darf der Arbeitgeber diese Daten nicht mehr verarbeiten, außer er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen.

Auf ihr Widerspruchsrecht ist die betroffene Person spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich hinzuweisen. Aus Gründen der Praktikabilität ist diese Rechtsgrundlage daher nur bedingt tauglich.

Quarantäne und Tätigkeitsverbot (§§ 30, 31 IfSG)

Auch das Infektionsschutzgesetz kann eine Rechtsgrundlage zur Verarbeitung sensibler Daten bieten.

So ist dort beispielsweise geregelt, dass die zuständige Behörde Kranken, Krankheitsverdächtigen, Ansteckungsverdächtigen und Personen, die zwar keine Symptome zeigen, aber Erreger übertragen könnten, die Ausübung bestimmter beruflicher Tätigkeiten ganz oder teilweise untersagen kann.

Rechtliche Verpflichtung (Art. 6 Abs. 1 Buchst. c DSGVO)

Die Datenverarbeitung kann erforderlich sein, um eine rechtliche Verpflichtung zu erfüllen, der der Arbeitgeber unterliegt. Diese Rechtsgrundlage kann z.B. in Verbindung mit Vorschriften des Infektionsschutzgesetzes stehen:

Abwenden von Gefahren durch übertragbare Krankheiten (§ 16 Abs. 1 und Abs. 2 Satz 3 IfSG)

Hiernach kann die zuständige Behörde (z.B. das Gesundheitsamt) notwendige Maßnahmen treffen, um Gefahren abzuwenden, die durch übertragbare Erkrankungen entstehen.

Die hierbei erhobenen personenbezogenen Daten dürfen nur für Zwecke des Infektionsschutzgesetzes verarbeitet werden.

Hierfür kann es erforderlich sein, dass ein Arbeitgeber bestimmte Daten einer zuständigen Behörde übermitteln muss. Denn dann unterliegt der Arbeitgeber gemäß Art. 6 Abs. 1 Buchst. c sowie Abs. 2 und 3 DSGVO einer rechtlichen Verpflichtung, diese Daten zu verarbeiten.

Informationspflichten

Der Verantwortliche muss zum Zeitpunkt der Datenerhebung die betroffene Person entsprechend Art. 13 DSGVO informieren.

Liegt eine Anordnung vor, dass der Arbeitgeber Daten z.B. an Behörden wie das Gesundheitsamt übermitteln muss, muss er den Betroffenen auch hierüber ins Bild setzen.

Sofern es darum geht, personenbezogene Daten nicht direkt bei der betroffenen Person zu erheben, muss eine Information entsprechend Art. 14 DSGVO erfolgen.

Das kann z.B. der Fall sein, wenn ein infizierter Mitarbeiter Auskunft darüber geben muss, mit welchen Personen er in letzter Zeit Kontakt hatte, um auch diesen Personen zu ermöglichen, weitergehende Maßnahmen zu veranlassen.

Verzeichnis von Verarbeitungstätigkeiten

Je nachdem, wie ein Arbeitgeber Gesundheitsdaten im Arbeitsverhältnis verarbeitet, muss er diese Verarbeitung als neue Tätigkeit in das Verzeichnis von Verarbeitungstätigkeiten aufnehmen.

Wichtig ist, Überlegungen zur Erforderlichkeit und zur Rechtsgrundlage zu dokumentieren. Je nach Fallkonstellation kann die Rechtsgrundlage variieren. Auch die Übermittlung an externe Stellen, etwa an das Gesundheitsamt, muss hier dargestellt sein.

Sofern bereits ähnliche Verarbeitungstätigkeiten existieren, z.B. Gesundheitsuntersuchungen im Beschäftigungsverhältnis, muss der Arbeitgeber prüfen, ob sich die konkret geplanten Maßnahmen im Zusammenhang mit der Covid-19-Situation hierunter subsumieren lassen bzw. ob es notwendig ist, diese Verarbeitungstätigkeit zu überarbeiten und anzupassen.

So ist insbesondere danach zu differenzieren, ob die Maßnahme auf derselben Rechtsgrundlage beruht. Führt der Arbeitgeber beispielsweise arbeitsmedizinische Vorsorgeuntersuchungen durch, weil der Mitarbeiter während seiner Arbeit mit Gefahrstoffen in Berührung kommt, lässt sich darauf kein Fiebermessen stützen.

Bietet ein Unternehmen dagegen freiwillige Untersuchungen an, deren Rechtmäßigkeit eine Einwilligung sicherstellt, ließe sich ein ebenso freiwilliges Fiebermessen hierunter fassen.

Fazit: Es geht v.a. um Fürsorgepflichten

Der Arbeitgeber hat insbesondere aufgrund seiner Fürsorgepflichten die Möglichkeit, Gesundheitsdaten im Beschäftigungsverhältnis zu verarbeiten. Es können aber auch andere Rechtsgrundlagen infrage kommen.

Den Arbeitnehmer seinerseits treffen gewisse Nebenpflichten. Sie können so weit gehen, dass er seine Gesundheitsdaten preisgeben muss – unter sehr engen Voraussetzungen und je nach Konstellation im Einzelfall.

Das gilt v.a., wenn er dadurch, dass er die Daten nicht preisgibt, andere gefährden würde.

Quelle: Datenschutz-Praxis

Geschäftsstelle

Barth Datenschutz GmbH
Theodor-Veiel-Straße 94
70374 Stuttgart

Tel: 0711 / 40070720
Fax: 0711 / 40070729
info@barth-datenschutz.de

Wenn Sie Ihre korrekte E-Mail-Adresse im Formular eintragen und auf „Eintragen“ klicken, erhalten Sie bis auf Widerruf „unseren Newsletter kostenlos in unregelmäßigen Abständen via E-Mail zugesandt. Sie erhalten allgemeine Datenschutz- und IT-Informationen, Fachbeiträgen und aktuellen Entwicklungen, sowie Informationen zu Produkten und Dienstleistungen der Barth Datenschutz GmbH.

Hinweis: Für eine Anmeldung zum Newsletters ist die Angabe einer E-Mail-Adresse erforderlich. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 Satz 1 Buchstabe a DS-GVO. Die Einwilligung kann entweder durch Anklicken des Abmeldelinks in der Newsletter-E-Mail oder durch eine E-Mail jederzeit widerrufen werden.

Wir verwenden die von Ihnen angegebenen Daten ausschließlich zum Versand des Newsletters. Wir geben Ihre Daten nicht an Dritte weiter. Bitte beachten Sie auch unsere Datenschutzerklärung.

Und so einfach geht es:

© Copyright – Barth Datenschutz GmbH – 0711 / 40070720 – info@barth-datenschutz.de