Das Corona-Krisenmanagement fordert Unternehmen auf allen Ebenen. Auch wenn vielfach die Priorität der Aufrechterhaltung des Betriebs unter schwierigen Bedingungen gilt, dürfen die grundlegenden Anforderungen des Datenschutzes nicht ausgeblendet werden. 

Aufgrund der herrschenden Rechtsunsicherheit über das „Ob“ und „Wie“ der Verarbeitung personenbezogener Daten im Zusammenhang mit der gegenwärtigen Corona-Pandemie („Gesundheitsschutz vs. Datenschutz“), haben die Datenschutzbehörden in den letzten Tagen Hinweise und Handlungsempfehlungen veröffentlicht.

Die Datenschutzbehörden kommen zu dem Schluss, dass eine Verarbeitung von Gesundheitsdaten grundsätzlich und trotz allem nur restriktiv möglich ist. Für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern können personenbezogene Daten jedoch datenschutzkonform verarbeitet werden. Dabei sind insbesondere das Vorliegen einer gesetzlichen Erlaubnis und der Grundsatz der Verhältnismäßigkeit zu beachten. 

Gesundheitsdaten sind besonders sensibel und deshalb besonders geschützt:

Die Zulässigkeit der Verarbeitung personenbezogener Daten ist im Wesentlichen von den damit verfolgten Zwecken (hier: Gesundheits- bzw. Infektionsschutz) sowie von den Kategorien der betroffenen personenbezogenen Daten abhängig. Werden im Zusammenhang mit der Corona-Pandemie personenbezogene Daten erhoben, werden in den meisten Fällen Bezüge zwischen Personen und deren Gesundheitszustand hergestellt (z.B. Vorerkrankungen, Krankheitssymptome). In diesem Fall handelt es sich um sensible Gesundheitsdaten, die nach Art. 9 EU Datenschutz-Grundverordnung (DSGVO), § 22 Bundesdatenschutzgesetz (BDSG) besonders geschützt sind.

Nach den Datenschutzbehörden können „die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie als datenschutzrechtlich legitimiert betrachtet werden:

• Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:
  • in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
  • in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
• Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese
  • selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
  • sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.
• Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.“ (BfDI, DSK, abrufbar unter https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html?nn=5217154.). 

Weitere Hinweise zum Thema Corona hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) in Form von FAQ veröffentlicht. Zu diesen Themen siehe auch im Folgenden:

Dürfen Arbeitgeber aktuelle private Handynummern oder andere Kontaktdaten von der Belegschaft erheben, um die Beschäftigten im Falle einer Schließung des Betriebs oder in ähnlichen Fällen kurzfristig warnen oder auffordern zu können, zu Hause zu bleiben? 

Dürfen Arbeitgeber Informationen darüber erheben und weiterverarbeiten, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte etc.?

Dürfen Arbeitgeber den Beschäftigten mitteilen, dass ein bestimmter Mitarbeiter am Virus erkrankt ist, sogar unter Nennung des konkreten Namens, um darauf aufbauend mögliche Kontaktpersonen freizustellen?

Dürfen Arbeitgeber nach Aufforderung durch Gesundheitsbehörden Daten über erkrankte Beschäftigte, über Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten an die Behörden übermitteln?

Dürfen Unternehmen auf Aufforderung durch Gesundheitsbehörden Daten von Kunden oder Besuchern von Veranstaltungen (z. B. Messeveranstalter, Theater usw.) erheben, speichern oder übermitteln für den Fall, dass später bekannt wird, dass eine infizierte Person auf der Veranstaltung war?

Welche Daten (über Erkrankte und Nichterkrankte) haben Leistungserbringer im Gesundheitsbereich (z. B. Krankenhäuser/Ärzte) insoweit zu erheben und an Gesundheitsbehörden zu melden?