COVID-19: People: Datenschutz-Update für Arbeitgeber (Deutschland)

In diesen beispiellosen Zeiten sehen sich Arbeitgeber durch COVID-19 gezwungen, schnell Maßnahmen zu ergreifen, die sowohl die Geschäftskontinuität als auch den Schutz der Mitarbeiter gewährleisten sollen. Die Maßnahmen erfordern vermehrt die Verarbeitung von Gesundheitsdaten und zwar in einem Maß, das vor kurzem nicht denkbar gewesen ist. Angesichts des schnellen Wandels und der Geschwindigkeit der Reaktionen der Regierung, haben auch die deutschen Datenschutzbehörden die sich aus datenschutzrechtlicher Sicht den Arbeitgebern stellenden Herausforderungen gesehen und zu ihnen Stellung genommen. Allerdings betonen die Behörden, dass auch trotz globaler Pandemie der Datenschutz nicht außer Acht bleiben darf.

In diesem Artikel stellen wir Einzelmaßnahmen vor, die zur Verhinderung der Verbreitung von COVID-19 im Unternehmen denkbar sind und beleuchten die datenschutzrechtlichen Aspekte dieser Einzelmaßnahmen. Zudem geben wir eine kurze Übersicht über fünf datenschutzrechtliche Schritte, die Arbeitgeber bei der Einführung von Home Office beachten sollten.

Potenzielle Einzelmaßnahmen, um die Verbreitung von COVID-19 im Unternehmen zu verhindern

Von essentieller Bedeutung für Arbeitgeber ist die Frage, wie die Ausbreitung innerhalb des Unternehmens eingegrenzt oder verhindert werden kann. Unserer Erfahrung nach haben sich viele Arbeitgeber dazu entschieden, die Arbeitnehmer um eine Selbstauskunft zu bitten, z.B. durch das Ausfüllen von Fragebögen darüber, ob sie in ein ausgewiesenes Hochrisikogebiet gereist sind, COVID-19-ähnliche Symptome haben und/oder in Kontakt mit Personen standen, die sich mit dem Virus infiziert haben oder infiziert hatten. Einige Arbeitgeber haben jedoch strengere Maßnahmen eingeführt. Hierzu gehören beispielsweise das Messen der Körpertemperatur vor dem Betreten des Arbeitsplatzes oder die Durchführung anderer medizinischer Maßnahmen wie eine Überprüfung des äußeren Gesundheitszustands auf Schwitzen oder Husten.

Die Datenschutzbehörden der Bundesländer Rheinland-Pfalz und Sachsen haben auf ihren Websites Erklärungen veröffentlicht, wonach die Verpflichtung der Mitarbeiter, einen Gesundheitsfragebogen auszufüllen, Informationen über ihren Gesundheitszustand zu melden (mit Ausnahme von Informationen über kürzlich stattgefundene Urlaube in Risikogebieten und jeden Kontakt mit verdächtigen Personen) und die Verpflichtung der Mitarbeiter, sich einer ärztlichen Untersuchung wie z.B. der Messung der Körpertemperatur zu unterziehen, nach dem deutschen Datenschutzrecht nicht gerechtfertigt ist. Andere Behörden scheinen jedoch eine andere Auffassung zu vertreten. So hat beispielsweise der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine Stellungnahme veröffentlicht, wonach es zulässig sein soll, den Gesundheitszustand aller Mitarbeiter zwingend abzufragen, um die Sicherheit der eigenen Mitarbeiter zu gewährleisten und die Verbreitung des Virus zu verhindern (die Stellungnahme der BfDI ist hier abrufbar). Nach Auffassung der Datenschutzbehörden der Länder Hamburg und Nordrhein-Westfalen kann die Durchführung von medizinischen Zugangskontrollen am Eingang, wie z.B. die Messung der Temperatur, im Einzelfall gerechtfertigt werden. Die Behörde des Landes Nordrhein-Westfalen empfiehlt, eine möglichst einvernehmliche Lösung unter Einbeziehung der Beschäftigten, des Betriebsrats und des Datenschutzbeauftragten zu finden. Aus unserer Sicht trägt der Abschluss einer Betriebsvereinbarung als rechtliche Grundlage für die Verarbeitung von Arbeitnehmerdaten dazu bei, das Risiko der potenziellen Nichteinhaltung von Datenschutzbestimmungen durch den Arbeitgeber zu verringern.

Es ist dennoch zu beachten, dass bei der Umsetzung neuer Maßnahmen alle anderen relevanten Grundsätze und Verpflichtungen der Datenschutzgrundverordnung zu beachten und einzuhalten sind – wie beispielsweise die Informationspflicht nach Artikel 13, der Grundsatz der Datenminimierung, die Aktualisierung von Verarbeitungsverzeichnissen nach Artikel 30 und die Wahrung angemessener Löschfristen.

Wichtige Schritte, wenn es den Mitarbeitern erlaubt wird, von zu Hause aus zu arbeiten

Arbeitgeber auf der ganzen Welt fordern ihre Mitarbeitern dazu auf, von zu Hause aus zu arbeiten. Wenn Sie Ihre Mitarbeiter auch in das Home Office geschickt haben, haben wir aus datenschutzrechtlicher Sicht folgende fünf Schritte herausgearbeitet, die es dabei zu beachten gilt:

• Unternehmensrichtlinien sollten für die Arbeit im Home Office implementiert bzw. auf den neuesten Stand gebracht werden. Dazu kann gehören, dass es Einschränkungen der Zugriffsrechte gibt, dass die Mitarbeiter informiert werden, Geräte zu sperren, wenn sie unbeaufsichtigt sind, dass alle Telefongespräche oder Online-Besprechungen an einem Ort stattfinden, an dem sie nicht belauscht werden können (insbesondere, wenn es um vertrauliche oder sensible Informationen geht), dass die Mitarbeiter wissen, dass sie keine E-Mails an private Adressen weiterleiten dürfen, und dass sie erst alle Papierkopien ordnungsgemäß vernichten, wenn sie wieder im Büro sind.

• Notwendige IT-Sicherheitsmaßnahmen müssen vorhanden sein, z.B. muss das System auf dem neuesten Stand gehalten werden, alle Geräte sollten über einen Virenschutz und Firewalls verfügen und es sollte Ansprechpartner bei technischen Problemen geben.

• Erinnern Sie die Mitarbeiter daran, auf Sicherheitsprobleme (z.B. Phishing-E-Mails) zu achten.

• Ziehen Sie ad-hoc-Schulungen für diejenigen Mitarbeiter in Betracht, die normalerweise nicht von zu Hause aus arbeiten.

• Erinnern Sie die Mitarbeiter daran, dass alle bestehenden Vorgaben über das Verbot der privaten Nutzung der IT und des E-Mail-Systems bestehen bleiben.

Das Bundesamt für Sicherheit in der Informationstechnik hat ein vierseitiges Informationsblatt mit Tipps für sicheres mobiles Arbeiten zur Verfügung gestellt, das Sie als Arbeitgeber an Ihre Mitarbeiter weitergeben können. Das Informationsblatt ist hier erhältlich.

Wenn diese Themen für Sie oder einen Ihrer Kollegen von Interesse sind, können Sie sich gerne an uns wenden.

More on COVID-19