Update Corona – Richtiger Umgang mit Gesundheitsdaten
Die Datenschutzkonferenz (das Gremium der unabhängigen deutschen Datenschutzbehörden) schafft Rechtssicherheit zu einer der häufigsten Fragen der vergangenen zwei Wochen:
Darf ich Arbeitnehmer sowie Besucher und Kunden nach Gesundheitsdaten fragen und diese verarbeiten?
Hierzu heißt es nun: Eine Verarbeitung von Gesundheitsdaten ist nur restriktiv möglich ist, es können aber für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern datenschutzkonform Daten erhoben und verwendet werden. Danach sind folgende Maßnahmen legitimiert (Zitat DSK):
- Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:
– in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
– in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
- Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese
– selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
– sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.
- Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.
Diese Maßnahmen müssen natürlich immer verhältnismäßig sein. Das bedeutet gleichzeitig, dass Fragen nach einem Messen der morgendlichen Temperatur oder Husten oder Niesen nicht gestattet sind – ungeachtet der Aussagerelevanz.
Die Daten müssen vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks (regelmäßig also spätestens dem Ende der Pandemie) müssen die erhobenen Daten unverzüglich gelöscht werden.
Nach Auffassung der Datenschutzaufsichtsbehörden stellt zudem die Pflicht zur Information des Dienstherrn bzw. des Arbeitgebers über das Vorliegen einer Infektion mit dem Corona-Virus eine vertragliche Nebenpflicht zum Schutz hochrangiger Interessen Dritter dar, aus der unter gewissen Voraussetzungen auch eine Offenlegungsbefugnis gemäß Art. 6 Abs. 1 lit. c) und f) DSGVO bezüglich personenbezogener Daten der Kontaktpersonen folgt.
Für weitergehende Informationen wenden Sie sich jederzeit an:
Hans Georg Helwig
Partner