COVID-19 ist wieder ein aktuelles Thema und auch im Arbeitsalltag wirft die Pandemie und die Verarbeitung von personenbezogenen Daten, insbesondere aber von Gesundheitsdaten, viele Fragen auf. Einige Fragestellungen, die mich in meinem Beratungsalltag beschäftigen:
„Darf ein Arbeitgeber seine ArbeitnehmerInnen befragen, ob sich diese in einer Risikoregion aufgehalten haben oder Kontakt mit Infizierten hatten?“
JA, denn der Arbeitgeber hat eine Fürsorgepflicht gegenüber anderen ArbeitnehmerInnen, die im Betrieb tätig sind, und muss diese u.a. auch vor etwaigen möglichen Ansteckungsrisiken schützen.
Die Frage zielt nicht auf die Verarbeitung von Gesundheitsdaten – die in Art. 9 DSGVO besonders geschützt sind – ab, sondern dient lediglich der Risikoeinschätzung. Sogar Art. 9 Abs. 2 lit. b DSGVO (gesetzliche Verpflichtung aus dem Arbeitsrecht, nämlich Fürsorgeverpflichtung) gestattet die Verarbeitung von Gesundheitsdaten in diesem Zusammenhang.
Zu beachten ist, dass der Arbeitgeber als Verantwortlicher im Sinne der DSGVO die betroffenen Personen (ArbeitnehmerInnen) gemäß Art. 13 DSGVO in transparenter und verständlicher Form u.a. über den Zweck (Verhinderung der Ausbreitung von COVID-19) oder auch die Speicherdauer der Informationen (28 Tage; länger wird es nicht erforderlich sein) zu informieren hat, und auch das Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO ist zu ergänzen.
„Wenn ein Arbeitgeber seine ArbeitnehmerInnen mündlich über den Gesundheitszustand befragt, findet das Datenschutzrecht keine Anwendung.“
Diese Aussage ist nicht richtig. Die DSGVO findet keine Anwendung, da es zu keiner Verarbeitung der personenbezogenen Daten im Sinne der DSGVO kommt. Das (österreichische) Datenschutzgesetz (§ 1 Abs. 1 DSG) schon, da alle personenbezogenen Daten vom Grundrecht auf Geheimhaltung umfasst sind.
„Darf ein Arbeitgeber anordnen, dass alle ArbeitnehmerInnen vor Betreten des Betriebes eine Temperaturmessung („Fiebermessen“) durchführen müssen?“
Grundsätzlich nicht, da auch andere Symptome auf COVID-19 hinweisen lönnen und auch gelindere Mittel anzuwenden sind. Ausnahmen können bei Folge- bzw. Eignungsuntersuchungen von MitarbeiterInnen möglich sein.
Dr. Thomas Schweiger,
LL.M. (Duke), CIPP/E
„Darf ein Arbeitgeber Besucherlistennführen und z.B. auch ArbeitnehmerInnen anweisen, Kontaktprotokolle während der Arbeitszeit (z.B. im Außendienst) zu führen?“
JA, aufgrund eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO), nämlich der Bekämpfung der Ausbreitung von COVID-19 sowie der Fürsorgepflicht des Arbeitgebers ist ein Arbeitgeber berechtigt, derartige Listen zu führen.
Zu beachten ist auch hier, dass die betroffenen Personen (Besucher) über die Datenerhebung iSd Art. 13 DSGVO informiert werden, eine entsprechende Speicherfrist/Löschfrist (28 Tage) definiert wird und die Daten für keine anderen Zwecke (Marketing u.ä.) verwendet werden.
„Darf ein Arbeitgeber Daten über Infektionsfälle an Gesundheitsbehörden übermitteln?“
JA. Die Weitergabe von personenbezogenen Daten ist gesetzeskonform, weil die Verarbeitung von Gesundheitsdaten aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden Gesundheitsgefahren erforderlich ist (Art. 9 Abs. 2 lit. i DSGVO) und die Übermittlung dieser Daten durch den Arbeitgeber an Verantwortliche des öffentlichen Bereichs zur Bewältigung der Katastrophe notwendig ist.