Datenschutz: Darauf ist bei der Rückkehr ins Firmenbüro zu achten

Im folgenden Beitrag erläutert Datenschutz-Expertin Mareike Vogt von Tüv Süd Sec-IT, wie eine Verarbeitung von Gesundheitsdaten bei einer Corona-Infektion nach den Anforderungen der EU-DSGVO aussehen sollte. Eine Checkliste zeigt, wie der Datenschutz eingehalten werden kann. Viele Unternehmen überlegen, entsprechende Maßnahmen zum Schutz der Mitarbeitenden vor einer Corona-Infektion einzuleiten, beispielsweise durch pauschale Temperaturmessungen. Dabei werden sensible Daten in Form von Gesundheitsdaten erhoben, die nur entsprechend den Vorgaben der EU-DSGVO verarbeitet werden dürfen.

Datenerhebung erfordert einen legitimen Zweck

„Für jede Datenerhebung ist ein legitimer Zweck erforderlich, der durch die Verarbeitung erfüllt wird. Eine erhöhte Temperatur ist aber noch keine Bestätigung einer Infektion mit Covid-19. Es ist daher fraglich, welche Aussagekraft die Temperatur des Mitarbeiters hat und ob diese Maßnahme daher überhaupt sinnvoll ist“, erklärt erklärt Mareike Vogt von Tüv Süd Sec-IT. Gemäß Artikel 9 Absatz 1 der EU-DSGVO verbietet die Verarbeitung von besonderen Kategorien personenbezogener Daten, wie Gesundheitsdaten. Allerdings weist der Gesetzgeber konkrete Ausnahmetatbestände auf, unter denen eine Verarbeitung von besonders sensiblen Daten möglich ist.

Dies betrifft beispielsweise die konkrete Einwilligung des Betroffenen sowie gesetzliche Anforderungen des Arbeitsrechts oder eine Verarbeitung zum Schutz lebensnotwendiger Interessen des Betroffenen oder einer anderen natürlichen Person. Unternehmen benötigen daher in Kombination zu einer Rechtsgrundlage aus Art. 6 Abs. 1 EU-DSGVO ebenso eine der Voraussetzungen des Art. 9 EU-DSGVO zur Verarbeitung von Gesundheitsdaten.

Datenschutz: Richtiges Verhalten im Krankheitsfall

Arbeitnehmer unterliegen grundsätzlich erst einmal keiner Verpflichtung, ihrem Arbeitgeber den Grund einer Arbeitsunfähigkeit mitzuteilen. Durch das Infektionsschutzgesetz ist jedoch bereits der Arzt dazu verpflichtet, dem zuständigen Gesundheitsamt einen Verdacht sowie eine Erkrankung an Covid-19 mitzuteilen. Dieses leitet dann weitere Maßnahmen ein und kann infolgedessen auch den Arbeitgeber des Infizierten kontaktieren. Wird dieser durch den Arbeitnehmer selbst oder das Gesundheitsamt über eine Covid-19-Erkrankung informiert, so darf der Name des infizierten Mitarbeiters nicht an die übrige Belegschaft kommuniziert werden.

Es sollte jedoch geklärt werden, zu welchen Kollegen er Kontakt hatte und welche Maßnahmen im Sinne der Fürsorgepflicht des Arbeitgebers getroffen werden müssen. Das könnte auch die zeitweise Rückkehr ins Homeoffice bedeuten. Das zuständige Gesundheitsamt kümmert sich gemäß § 25 Infektionsschutzgesetz um die weiteren Ermittlungen. Zu diesem Zweck kann das Unternehmen dazu aufgefordert werden, personenbezogene Daten von Mitarbeitenden an das Gesundheitsamt zu übermitteln.

Nachfolgend eine Checkliste für die Umsetzung einer EU-DSGVO-konformen Datenverarbeitung:

• Wofür werden die Daten benötigt und was soll mit der Verarbeitung erreicht werden? Kann der Zweck mit alternativen Maßnahmen erreicht werden?
• Welche Daten werden zur Erfüllung des Zwecks benötigt? Ist es notwendig, besonders sensible Daten zu erheben?
• Ist eine Rechtsgrundlage für die Datenerhebung vorhanden?
• Wenn die Verarbeitung personenbezogener Daten auf einer gesetzlichen Anforderung basiert, kann eine Aufbewahrungsfrist damit einhergehen.
• Den Datenschutzbeauftragten des Unternehmens frühzeitig einbinden, wenn eine neue Maßnahme zur Datenverarbeitung geplant ist.

Im Jahr 1866 als Dampfkesselrevisionsverein gegründet, ist TÜV Süd heute ein weltweit tätiges Unternehmen. Mehr als 25.000 Mitarbeiter sorgen an über 1.000 Standorten in rund 50 Ländern für die Optimierung von Technik, Systemen und Know-how. Sie leisten einen Beitrag dazu, technische Innovationen wie Industrie 4.0, autonomes Fahren oder erneuerbare Energien sicher und zuverlässig zu machen. (sg)

Lesen Sie auch: Datenschutzbeauftragter: Sind interne oder externe Mitarbeiter besser geeignet?