Newsletter heise-Bot heise-Bot

Impfstatus & Homeoffice: Beschäftigtendatenschutz in Zeiten der Pandemie

Viele Firmen sind unsicher, welche in Pandemiezeiten anfallenden Beschäftigtendaten sie verabeiten dürfen? Eine DSK-Anwendungshilfe verspricht hier Klarheit.

In Pocket speichern vorlesen Druckansicht 24 Kommentare lesen

(Bild: Wirestock Creators/Shutterstock.com)

Lesezeit: 4 Min.
iX Magazin
Von
  • Tobias Haar

Dürfen Beschäftigtendaten zur Pandemiebekämpfung verarbeitet werden? Dürfen Arbeitgeberinnen und Arbeitgeber die "3G-Daten" ihrer Beschäftigten verarbeiten? Dürfen Beschäftigtendaten bei der Nutzung von Videokonferenzsystemen verarbeitet werden? Diese und weitere datenschutzrechtliche Fragen stellen sich in Pandemiezeiten viele Arbeitgeber. Jetzt gibt eine Anwendungshilfe der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) die Antworten dazu. Das PDF-Dokument ist überschrieben mit "Häufige Fragestellungen nebst Antworten zur Verarbeitung von Beschäftigtendaten im Zusammenhang mit der Corona-Pandemie".

Die Antworten auf insgesamt 21 Seiten "sollen für den praktischen Vollzug als Hilfestellung" im Anwendungsbereich der DSGVO dienen. Die Anwendungshilfe ist als Ergänzung einer Pressemitteilung der DSK vom 13. März 2020 zu verstehen. Zu Beginn der pandemischen Lage hatte sich die DSK bereits zu Fragen der Verarbeitung von personenbezogenen Daten von Beschäftigten in Pandemie-Zeiten geäußert. Im April 2020 und im März 2021 gab es Entschließungen der DSK, die ebenfalls die Schnittstelle zwischen Beschäftigtendatenschutz und Pandemie-Bekämpfung beleuchteten

Nur eingeschränkt nutzbar

Laut DSK dürfen Beschäftigtendaten durch Arbeitgeber nur sehr eingeschränkt zur Pandemiebekämpfung verarbeitet werden, da es zunächst Aufgabe des Staates ist, eine Pandemie zu bekämpfen. Allerdings gilt auch: "Die Fürsorgepflicht der Arbeitgeberinnen und Arbeitgeber verpflichtet diese, den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen." In jedem Fall gelten aber die allgemeinen datenschutzrechtlichen Vorgaben, wie Verhältnismäßigkeit, Vertraulichkeit, Zweckbindung und Pflicht zur Löschung nach Wegfall des Verarbeitungszwecks. Eine Verarbeitung auf Grundlage einer Einwilligung der Beschäftigten ist im Verhältnis Arbeitgeber und Beschäftigten eine Herausforderung. In einem solchen Abhängigkeitsverhältnis dürfte es schwierig sein, eine "freiwillige" Einwilligung zu erlangen. Die Anwendungshilfe gibt hierzu allerdings einige konkrete Ratschläge.

Die wesentlichen Aussagen der Anwendungshilfe sind:

  • "Die namentliche Bekanntgabe der positiv getesteten Beschäftigten innerhalb der gesamten Belegschaft ist zur Wahrnehmung des vom Arbeitgeber oder der Arbeitgeberin verfolgten Interesses nicht erforderlich." Nur in wenigen Ausnahmefällen darf eine Namensnennung gegenüber möglichen Kontaktpersonen erfolgen.
  • Arbeitgeber dürfen Beschäftigte für Zwecke der Kontaktverfolgung und Aufklärung über Risikobegegnungen von einem positiven Covid19-Testergebnis eines (namentlich nicht genannten) Kollegen informieren. Ausnahmen bestehen allerdings für Beschäftigte, wenn sie einem besonderen Geheimnisschutz unterliegen, wie etwa betriebliche Datenschutzbeauftragte oder Aufsichtsratsmitglieder. Deren Kontakt-Historie-Daten dürfen außer einer Übermittlung an das Gesundheitsamt nur verarbeitet werden, wenn der Geheimnisschutz ihrer Kontaktpersonen nicht gefährdet wird.
  • Private Kontaktdaten von Beschäftigten dürfen zur Pandemiebekämpfung (beispielsweise zur Kontaktaufnahme bei Risikobegegnungen) nur verarbeitet werden, wenn eine wirksame Einwilligung vorliegt.
  • Der Einsatz von Wärmebildkameras zur Temperaturerfassung ist nur auf Grundlage einer wirksamen Einwilligung zulässig.
  • Eine dauerhafte Kameraüberwachung im "Homeoffice" ist unzulässig. Eine Verarbeitung von Beschäftigtendaten bei der Nutzung von Videokonferenzsystemen ist aber grundsätzlich gestattet. Die DSK verweist an dieser Stelle auf ihre Orientierungshilfe und Checkliste zu diesen Aspekten vom Herbst 2020.
  • "3G-Daten" von Beschäftigten dürfen durch den Arbeitgeber nur in gesetzlich geregelten Fällen verarbeitet werden. "Arbeitgeber und Arbeitgeberinnen sind nach § 28b Absatz 3 Satz 1 IfSG verpflichtet zu prüfen, ob Beschäftigte, die ihre Arbeitsstätte betreten, geimpft, genesen oder aber getestet sind (Überprüfungspflicht)." Die DSK stellt klar, dass die Identität eines Beschäftigten beim 3G-Nachweis mittels eines Werks- oder Personalausweises erfolgen darf.
  • Wollen Arbeitgeber "für einen vereinfachten Kontrollprozess den 2G-Status ihrer Beschäftigten und gegebenenfalls das Enddatum des jeweiligen Status (zum Beispiel bei Genesenennachweisen, digitalen Nachweisen) erfassen, wird ihnen aus Gründen der Rechtssicherheit geraten, die Einwilligung ihrer Beschäftigten einzuholen".
  • Wichtig im Rahmen der Pflicht zur Dokumentation der Nachweiskontrolle durch Arbeitgeber ist diese Aussage der DSK: "Die personengenaue Speicherung von Gesundheitsdaten der Beschäftigten oder gar das Kopieren von 3G-Nachweisen der Beschäftigten wird in der Regel nicht erforderlich sein."
  • Mit wirksamer Einwilligung der Beschäftigten dürfen Arbeitgeber Impftermine organisieren und in diesem Zusammenhang auch Beschäftigtendaten verarbeiten.

(avr)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot