Sprache:

8. April 2020 - erstellt von Dominik Görtz
Corona & DSGVO: Was Unternehmen jetzt beachten müssen!

Die Corona-Pandemie wirft nicht nur in unserem Lebensalltag eine Vielzahl von Fragen auf. So stellt sich in Unternehmen derzeit die Frage, welche Gesundheitsinformationen ausgetauscht werden müssen und dürfen.

Schnelle, pragmatische Lösungen zum Gesundheitsschutz sind nötig. Aber auch in Ausnahmesituationen gelten die datenschutzrechtlichen Grundsätze fort!

Die aktuelle Lage ist ein nie dagewesener Stresstest für jeden Unternehmensablauf. Schnelle, pragmatische Lösungen zum Gesundheitsschutz sind nötig. Dennoch sind bei jeder Maßnahme, bei der personenbezogene Daten verarbeitet werden sollen, die datenschutzrechtlichen Vorschriften einzuhalten. Die allgemeinen Grundsätze der DSGVO gelten für die Datenverarbeitung – insbesondere auch jetzt – fort!

Rechtmäßigkeit bei der Verarbeitung sensibler Gesundheitsdaten

Die (mögliche) Corona-Erkrankung einer Person stellt eine personenbezogene Information dar. Gesundheitsdaten sind besonders sensible personenbezogene Daten, deren Verarbeitung strengen Rechtmäßigkeitsvoraussetzungen unterliegt. Sollen Gesundheitsdaten verarbeitet werden, sind besondere gesetzliche Rechtsgrundlagen oder die Einwilligung der betroffenen Person notwendig. Dies ist für jede Verarbeitung personenbezogener Daten im Einzelfall zu überprüfen.

Rechtmäßigkeit und Arbeitnehmerdatenschutz

Soweit z.B. Gesundheitsdaten der eigenen Mitarbeiter verarbeitet werden sollen, kann § 26 Abs. 3 DSGVO i.V.m. Art. 9 Abs. 2 DSGVO als Rechtsgrundlage in Betracht gezogen werden. Demnach ist die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie „zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt“. Für die einzelnen Maßnahmen ist folglich eine Interessenabwägung zwischen dem betrieblichen Gesundheitsschutz und den Persönlichkeitsrechten der Arbeitnehmer vorzunehmen.

Transparenz

Die betroffenen Personen müssen nach Art. 13 DSGVO insbesondere über den Zweck einer Datenverarbeitung und die rechtlichen Grundlagen informiert werden. Für viele Betriebe stellt die Verarbeitung von Gesundheitsdaten ein Novum dar, sodass ergänzende Informationen (Datenschutzhinweise/Datenschutzerklärungen) für die betroffenen Personen zur Verfügung gestellt werden müssen.

Weitere DSGVO-Vorgaben im Überblick

  • Es dürfen lediglich die unbedingt notwendigen Daten erhoben, weitergegeben oder gespeichert werden (Datenminimierung).
  • Der Zweck der Datenverarbeitung muss vorab festgelegt werden (Zweckbindung). Wurden beispielsweise Daten zur Gesundheitsvorsorge im Betrieb erhoben, darf keine Weitergabe oder gar eine Änderung dieses Zwecks der Nutzung – z.B. für kommerzielle Zwecke – erfolgen.
  • Die Speicherung der Daten muss zeitlich befristet sein (Speicherbegrenzung).
  • Des Weiteren sind die personenbezogenen Daten so zu speichern, dass sie einem speziellem Zugriffs- und Berechtigungskonzept unterliegen (Integrität und Vertraulichkeit).
  • Neue personenbezogene Datenverarbeitungsvorgänge sind überdies zu dokumentieren; das Verarbeitungsverzeichnis gegebenenfalls zu ergänzen (Rechenschaftspflicht).

Fazit: Datenschützer warnen: Die Corona-Krise darf nicht als Einfallstor dienen, um Unternehmen neue Zugriffe auf private Daten zu geben. Auch in der jetzigen Ausnahmesituation gelten die datenschutzrechtlichen Grundsätze fort. Besondere Vorsicht ist bei der Verarbeitung von Gesundheitsdaten geboten.

Wir wünschen Ihnen alles Gute, Gesundheit und trotz angespannter Lage schöne Osterfeiertage!

Ihre Görtz Legal Rechtsanwälte.