Datenschutz und Corona - Quick Guide für Mittelständler

Gültigkeit der EU-DSGVO

Grundsätzlich ist nach wie vor, auch während der aktuellen Krise, die EU-DSGVO gültig. Diese schreibt die Verarbeitung personenbezogener Daten durch private und öffentliche Datenverarbeiter gesetzlich vor und stellt somit den Schutz dieser Informationen sowie einen freien Datenverkehr innerhalb der Europäischen Union sicher. Bei Nichteinhaltung drohen Sanktionen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes.

Im Zuge der Coronakrise können unter bestimmten Bedingungen Gesundheitsdaten zur Bekämpfung der Pandemie erhoben und datenschutzkonform weiterverarbeitet werden. Diese sind im Folgenden aufgeführt.

Erhebung privater Kontaktdaten der Mitarbeiter durch den Arbeitgeber

Aktuelle private Kontaktdaten von Mitarbeitern (Handynummern, Email Adressen, etc.) dürfen von Arbeitgebern abgefragt und temporär gespeichert werden wenn der Zweck, wie beispielsweise eine schnellere Kommunikation während der Pandemie, klar definiert ist sowie eine Einwilligung der Mitarbeiter eingeholt worden ist. Nach Beendigung des Pandemiefalls ist der Arbeitgeber verpflichtet diese Daten wieder zu löschen. Auch hiervon, vor allem über die Dauer der Speicherung, ist der Betroffene zu informieren. Zum derzeitigen Kenntnisstand sollten daher die Löschfristen auf 8 Wochen eingegrenzt werden, bzw. die Vernichtung der erhobenen Befragungsbögen nach dieser Zeit vorgenommen werden, da die Inkubationszeit 2 Wochen und eine weitere Sicherheitsfrist von 6 Wochen ausreichend sein sollten. Somit ist nach den 8 Wochen der Zweck der Verarbeitung erfüllt, sofern die Daten nicht zwischendurch abgerufen oder durch öffentliche Stellen zur Verarbeitung angefordert wurden.

Weiterverarbeitung von Mitarbeiterinformationen nach Bekanntwerden von Aufenthalten in Risikogebieten oder bei direktem Kontakt mit Erkrankten

Dies ist dem Arbeitgeber gestattet falls der folgende Zweck gegeben ist: Die auf Nachfrage erhobenen Informationen zu Urlaubsaufenthalten bzw. Kontakt zu erkrankten Personen dienen dem Schutz der Belegschaft vor einer Infektion.

Umgang und Weitergabe der Information im Fall einer Erkrankung eines Angestellten

  • In der Belegschaft
    Von einer namentlichen Nennung des Erkrankten in der Belegschaft ist abzusehen. Mitarbeiten, welche mit dem erkrankten in Kontakt standen, sollten umgehend freigestellt werden. Sollte diese Maßnahmen nicht erfolgreich umsetzbar sein, kann lediglich im absoluten Ausnahmefall und nach Abstimmung mit den Gesundheitsbehörden, der Namen des Erkrankten genannt werden um die Infektionsquellen zu identifizieren.
  • Übermittlung der Information an Behörden
    Falls Behörden bzw. zuständige Hoheitsträger Informationen z. B. über erkrankte Arbeitnehmer erfragen, hat der Arbeitgeber die Pflicht diese entsprechend weiterzugeben.

Weitergabe von Besucherdaten im Event- und Veranstaltungssektor nach Abfrage vom Gesundheitsbehörden für den Fall einer nachher festgestellten Erkrankung eines Teilnehmers

Sobald eine behördliche Anordnung oder eine Verfügung vorliegt, sollte der Veranstalter dieser nachkommen und die erhobenen personenbezogenen Daten der Besucher weitergeben. Jedoch muss hierbei stets der Zweck, dass diese Maßnahme notwendig ist um Gefahren für den Einzelnen oder der Allgemeinheit abzuwehren, gewahrt werden. Liegt keine Anordnung oder Verfügung vor, der Veranstalter jedoch die Einwilligung der Besucher hat, ist es ihm freigestellt diese Informationen mit den Behörden zu teilen oder nicht.

Datenerhebung und –weitergabe von Leistungserbringer (z.B. Krankenhäuser, Ärzte) an Gesundheitsbehörde

Leistungserbringer im Gesundheitsbereich sind dazu angehalten die folgenden Informationen, soweit vorhanden, an das Gesundheitsamt weiterzugeben:

  • Name und Vorname
  • Geschlecht
  • Geburtsdatum
  • Anschrift der Hauptwohnung oder des gewöhnlichen Aufenthaltsortes und, falls abweichend: Anschrift des derzeitigen Aufenthaltsortes
  • weitere Kontaktdaten
  • Diagnose oder Verdachtsdiagnose
  • Tag der Erkrankung, Tag der Diagnose, gegebenenfalls Tag des Todes und wahrscheinlicher Zeitpunkt oder Zeitraum der Infektion,
  • Wahrscheinliche Infektionsquelle, einschließlich der zugrunde liegenden Tatsachen, (Deutschland: Landkreis oder kreisfreie Stadt, außerhalb Deutschlands: Staat in dem die Infektion wahrscheinlich erworben worden ist.

Quellen:
Der Landesbeauftragte für Datenschutz und Informationsfreiheit (BW) - Häufig gestellte Fragen („FAQs“) zum Thema Corona
BfDI - Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie

Unterstützung durch unsere Experten

Haben Sie Fragen? Kontaktieren Sie uns.

Seite teilen