Unternehmen haben angemessene Maßnahmen zu ergreifen, um Mitarbeiter und Dritte vor einer möglichen Ansteckung zu schützen.
Die verpflichtende Abfrage von Daten aller Mitarbeiter von Informationen zu Reisezielen und Reisezeiten, Gesundheitszuständen oder gar die Mitteilung über das pauschale Vorkommen von Grippe-Symptomen gegenüber anderen Mitarbeitern ist in Ermangelung einer datenschutzrechtlichen Rechtsgrundlage unzulässig.
Es steht Unternehmen frei, strengere Regeln zum Beispiel für die Einlasskontrolle festzulegen und beispielsweise Fiebermessungen durchzuführen. Solange keine Speicherung der Messergebnisse stattfindet, unterfällt dies wohl nicht dem Datenschutzrecht. Fiebermessen dürfte aber wohl ohnehin nur eine Datenverarbeitung darstellen, wenn die Messergebnisse aufgezeichnet werden. Der bloße temporäre Messvorgang ist eventuell keine Datenverarbeitung und würde demnach nicht unter die Anforderungen des Datenschutzrechts fallen. Wenn Messdaten länger aufgezeichnet werden sollen, bedarf es einer Rechtsgrundlage für die Datenverarbeitung der systemischen Erfassung.
Bei Torkontrollen lässt sich die Verarbeitung „normaler“ personenbezogener Daten, wie des Namens eines Besuchers, auf Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO stützen. Sofern auch Fiebermessungen vor dem Einlass stattfinden sollen, gilt das Vorerwähnte. Ohne eine Speicherung der Messergebnisse bedarf es keiner datenschutzrechtlichen Erlaubnisnorm. Wenn die Daten gespeichert werden sollen, bedarf es einer ausdrücklichen Einwilligung der betroffenen Person nach Art. 9 Abs. 1 lit. a DSGVO oder einer behördlichen Anordnung nach Art. 9 Abs. 2 lit. i DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c BDSG.
Die Abfrage von Risikodaten mittels einer Excelliste, ob Personen in den letzten 2 Wochen (also der max. Inkubationszeit) in einem Risikogebiert waren oder Kontakt mit einem Infizierten hatten, lässt sich in Bezug auf die „normalen“ personenbezogener Daten, wie den Namen, auf Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO stützen. Die Abfrage der Risikokriterien sollte idealerweise negativ formuliert werden (z.B.: Ich war in den letzten zwei Wochen nicht in einem der Risikogebiete) und binär mittels ja oder nein zu beantworten sein. In dieser Variante lässt sich die Angabe nämlich aller Voraussicht nach noch nicht als Gesundheitsdatum ansehen. Dann wäre auch keine zusätzliche Ausnahme nach Art. 9 Abs. 2 DSGVO erforderlich. Die Abfrage der Risikokriterien wird auch seitens der irischen Aufsichtsbehörde als zulässig erachtet.
Aufgrund der Risikolage einer möglichen Infektion im Falle der Erfüllung der örtlichen und personellen Risikokriterien ließe sich aus Sicht eines Arbeitgebers eine Datenverarbeitung auch von Gesundheitsdaten der Mitarbeiter wohl auf Grundlage von § 26 Abs. 3 BDSG (zur Erfüllung rechtlicher Pflichten aus dem Arbeitsverhältnis) rechtfertigen. Eine Abwägung mit den Persönlichkeitsrechten der Mitarbeiter ist aber durchzuführen.
suhling tooling #dsgvo09 #corona #dsgvo06