Informationen über Coronavirus-Erkrankungen und Datenschutz
Stand: 03.03.2020
Tritt in einem Unternehmen eine Coronavirus-Infektion auf oder besteht der Verdacht einer solchen Infektion, ist dies auch ein datenschutzrechtliches Thema: Dürfen oder müssen Unternehmen darüber informieren, wer von Infektion oder Verdacht betroffen ist? Diese Information betrifft sensitive Gesundheitsdaten und unterliegt daher auch datenschutzrechtlich spezifischen Schutzmechanismen.
Zur Erinnerung: Personenbezogene Daten dürfen nach den Vorgaben von Datenschutzgrundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) nur dann verarbeitet – also auch bekannt gegeben – werden, wenn eine Verarbeitungserlaubnis dies trägt.
Dies gilt auch für die Information, dass eine bestimmte Person mit dem Coronavirus infiziert ist oder ein Verdacht besteht. Ebenso gilt dies für diese Information, wenn sie sich auf eine bestimmbare Person bezieht, also nicht nur, wenn der Name genannt wird, sondern auch, wenn aufgrund der Begleitumstände erkennbar wird, welcher Kollege oder welche Kollegin gemeint ist.
Da es sich bei diesen Informationen um Gesundheitsdaten handelt, ist die zulässige Verarbeitung nochmals beschränkt: Gesundheitsdaten werden im Datenschutzrecht als besonders sensitiv qualifiziert und unterliegen daher besonderen Schutzmechanismen.
Meldepflicht?
Die damit notwendige Verarbeitungserlaubnis etwa für die Bekanntgabe dieser Information ist regelmäßig gegeben, wenn ein Unternehmen gesetzlich zur Meldung verpflichtet ist und die gesetzliche Meldepflicht auch die namentliche Nennung vorschreibt (§ 26 Abs. 3, § 22 Abs. 1 Nr. 1 lit. a BDSG, Art. 9 Abs. 2 lit. b DSGVO). Gesetzliche Meldepflichten im Zusammenhang mit bestimmten Erkrankungen wie auch dem Coronavirus sieht das Infektionsschutzgesetz für Unternehmen im Allgemeinen allerdings nicht vor. Meldepflichtig sind neben Ärzten u.ä. Angehörigen der Gesundheitsberufe nur Gemeinschaftseinrichtungen wie z.B. Kindertagesstätten oder Schulen
(§ 8 i.V.m. §§ 36, 33 IfSG). Diese müssen nach der Corona-Meldepflichtverordnung vom 30.01.2020 Verdachtsfälle, Erkrankungen und Todesfälle namentlich melden. Unternehmen aber sind danach nicht zur Meldung verpflichtet und aus diesem Grund auch nicht datenschutzrechtlich zur Meldung befugt.
Information aus öffentlichem Interesse
Darüber hinaus dürfen derartige Gesundheitsdaten aber auch dann verarbeitet werden, wenn dies aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, erforderlich ist (§ 22 Abs. 1 Nr. 1 lit. c BDSG, Art. 9 Abs. 2 lit. i DSGVO).
Die Information über die Infektion mit dem Coronavirus oder einen Verdacht auf eine solche Infektion müsste dann erforderlich und gegenüber dem Betroffenen auch angemessen sein, um die öffentliche Gesundheit zu schützen. Zu denken ist insofern an eine frühzeitige Erkennung, um Maßnahmen zur Eindämmung der Virusverbreitung zu treffen, wie sie derzeit ein wesentliches Ziel darstellen. Unter Umständen kann ein Tätigwerden des Unternehmens erforderlich sein, um eine weitere Ausbreitung des Virus zu verhindern – und unter Umständen ist es dafür auch unabdingbar, personenbezogene Informationen über den Verdachts- oder Infektionsfall zu verarbeiten.
Solche Erwägungen können es im Einzelfall – nach umfassender Abwägung der Gesamtumstände, die zu dokumentieren ist (!), – erlauben, einen Verdachts- oder Infektionsfall gegenüber Dritten zu kommunizieren. Dabei dürfte die notwendige Abwägung anders verlaufen, je nachdem, ob es um eine Meldung an das Gesundheitsamt geht oder um eine Information der Belegschaft. Gerade bei Letzterer muss besonders streng geprüft werden, ob die Bekanntgabe, welcher Mitarbeiter betroffen ist, überhaupt erforderlich ist. In vielen Fällen wird die allgemeine Information ohne Personenbezug (und dann auch ohne Anwendbarkeit des Datenschutzrechts) ausreichen (und Fürsorgepflichten genügen). Auch eine Meldung an das Gesundheitsamt sollte nicht ohne datenschutzrechtliche Prüfung erfolgen. Ggf. kann eine solche Meldung auch zunächst anonym vorgenommen werden, etwa, wenn aufgrund enger Zeitfenster die datenschutzrechtliche Prüfung noch nicht finalisiert werden konnte. Ordnet ein Gesundheitsamt dann die namentliche Mitteilung an, kann dies Auswirkungen auf die datenschutzrechtliche Bewertung haben: Dies kann u.U. eine Erlaubnis zur namentlichen Mitteilung beinhalten, jedenfalls aber die Folgen für das Unternehmen abmildern, wenn eine Datenschutzaufsichtsbehörde im Nachgang die Weitergabe der namentlichen Information an ein Gesundheitsamt als datenschutzrechtswidrig einstufen sollte.
(Der Streit, ob auch im Arbeitsverhältnis auf diese allgemeineren Regelungen des § 22 BDSG, Art. 9 DSGVO neben § 26 BDSG zurückgegriffen werden kann, mag an dieser Stelle übrigens dahinstehen – gute Argumente sprechen dafür.)
Einwilligung
Denkbar ist schließlich auch, Meldungen im Einvernehmen mit dem betroffenen Arbeitnehmer vorzunehmen. Bei korrekter Ausgestaltung können dann Einwilligungen des Arbeitnehmers die Meldung an das Gesundheitsamt oder auch Informationen an die Kollegen datenschutzrechtlich erlauben (§ 26 Abs. 3 Satz 2, § 22 Abs. 1 Nr. 1 lit. a BDSG, Art. 9 Abs. 1 lit. a DSGVO). In der Praxis ist darauf zu achten, dass der Arbeitnehmer nicht unter Druck gesetzt wird, sodass die gesetzlich gebotene Freiwilligkeit der Einwilligung gewahrt bleibt.
Nur im Unternehmen
Für den ausschließlich persönlichen oder familiären Bereich gelten all diese Einschränkungen übrigens nicht: Dort ist die DSGVO nicht anwendbar (Art. 2 Abs. 2 lit. c DSGVO).