06 Apr Data protection aspects with regard to COVID-19
Der rechtmäßige Umgang mit personenbezogenen Daten im Zusammenhang mit der Bekämpfung des Coronavirus stellt viele Arbeitgeber vor weitere Herausforderungen.
Auf Folgendes weisen wir überblicksmäßig hin:
1. Verarbeitung von Gesundheitsdaten
Die Verarbeitung von personenbezogenen Gesundheitsdaten als eine „besondere Kategorie personenbezogener Daten“ (sogenannte „sensible Daten“) ist gemäß Artikel 9 Abs. 1 DSGVO untersagt. Zu den personenbezogenen Gesundheitsdaten zählen dem Erwägungsgrund 35 der DSGVO auch alle Daten, die sich „auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand hervorgehen“. Aufzeichnungen des Arbeitgebers über seine Mitarbeiter, die Informationen über eine Covid-19-Erkrankung beinhalten, fallen beispielsweise darunter.
Personenbezogene Gesundheitsdaten unterliegen somit grundsätzlich einem Verarbeitungsverbot, es sei denn, eine Verarbeitung ist gemäß Artikel 9 Abs. 2 DSGVO ausnahmsweise zulässig.
2. Zulässige Datenverarbeitung von Mitarbeiterdaten
Wenn ein Arbeitgeber über Mitarbeiter Informationen speichert und festhält, wonach beispielsweise
- ein Mitarbeiter Symptome des Coronavirus aufzeigt,
- ein Mitarbeiter an Covid-19 erkrankt ist oder
- ein Mitarbeiter in einem gefährdeten Gebiet war
verarbeitet er gesundheitsbezogene Daten. Damit eine derartige Datenverarbeitung zulässig ist, bedarf es einer Rechtsgrundlage. Als Rechtsgrundlage kommt zunächst die ausdrückliche Einwilligung der Mitarbeiter in Betracht, sofern sie für einen bestimmten festgelegten Zweck erfolgt. Ein Schweigen oder eine konkludente Zustimmung wäre demzufolge zu wenig.
Die DSGVO sieht jedoch abseits der Einwilligung auch andere Rechtsgrundlagen für eine zulässige Verarbeitung von Gesundheitsdaten vor. Gemäß Artikel 9 Abs. 2 lit. b DSGVO ist eine Verarbeitung zulässig, soweit
„die Verarbeitung erforderlich ist, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht (und dem Recht der sozialen Sicherheit und des Sozialschutzes) erwachsenen Rechte ausüben und nachkommen kann.“
Die zulässige Verarbeitung der Gesundheitsdaten kann daher aus der Fürsorgepflicht des Arbeitgebers resultieren, zum Zweck des Schutzes der Gesundheit der Mitarbeiter. Diese Ansicht hat die österreichische Datenschutzbehörde zuletzt bereits bestätigt. Dies allein genügt jedoch noch nicht, damit die Verarbeitung von Gesundheitsdaten DSGVO-konform erfolgt. Es ist entscheidend, dass auch die allgemeinen datenschutzrechtlichen Grundsätze – wie bei jeder Datenverarbeitung – beachtet werden. Dazu zählen gemäß Artikel 5 DSGVO in erster Linie
- Datenminimierung – es dürfen nicht mehr Daten verarbeitet werden, als für den „Zweck der Datenverarbeitung“ erforderlich ist;
- Zweckgebundenheit – es dürfen nur jene Daten verarbeitet werden, die für den konkreten Zweck erforderlich sind;
- Speicherbegrenzung – die Daten sind zu löschen, sobald der Zweck erfüllt ist.
Ein Verstoß gegen diese datenschutzrechtlichen Grundsätze stellt einen schwerwiegenden Verstoß dar und wird mit einer Geldbuße in Höhe von bis zu 20 Mio. oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet.
Welche konkreten Gesundheitsdaten Arbeitgeber in diesem Zusammenhang rechtmäßig verarbeiten dürfen ist einzelfall- und branchenabhängig: Im Bereich der Lebensmittelherstellung kann die Speicherung umfassenderer gesundheitsbezogener Angaben der Mitarbeiter gerechtfertigt sein; dagegen im Speditionsbereich weniger.
Wir empfehlen daher schriftlich festzuhalten, warum die jeweilige Datenverarbeitung der Gesundheitsdaten im konkreten Fall gerechtfertigt ist. Diese Datenverarbeitung ist im Übrigen auch im verpflichtend zu führenden Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO mitaufzunehmen. Dieses Verzeichnis kann bekanntlich von der Datenschutzbehörde jederzeit geprüft werden.
3. Verpflichtende Maßnahmen gegenüber Mitarbeitern
Der Arbeitgeber ist im Rahmen seiner Fürsorge verpflichtet, Maßnahmen zur Vermeidung von Infizierungen zu treffen und im Falle einer Infizierung seine übrigen Mitarbeiter zu schützen. Er hat dabei den infizierten Beschäftigten zu identifizieren und Maßnahmen zu ergreifen. Auch diese Vornahme hat im Einklang mit den datenschutzrechtlichen Grundsätzen (Stichwort: „Datenminimierung“) zu erfolgen. Die vom Arbeitgeber zu treffenden Maßnahmen haben angemessen zu sein; eine öffentliche Bloßstellung durch ein Mitarbeiterfoto am schwarzen Brett des infizierten Mitarbeiters wäre überschießend; eine mündliche Information der Betroffenen (z.B. Kollegen im selben Büro) wäre hingegen angemessen.
Als datenschutzrechtlich Verantwortlicher hat der Arbeitgeber stets die „gelindesten Mittel“ zu wählen: so ist ein tägliches verpflichtendes Fiebermessen in den meisten Fällen überschießend. Fieber ist nicht zwangsläufig ein sicheres Symptom für eine COVID-19-Erkrankung. Der Mitarbeiter kann – als gelinderes Mittel – beispielsweise auch regelmäßig über seinen Gesundheitszustand befragt werden. Ein regelmäßiges Fiebermessen auf freiwilliger Basis wäre hingegen möglich.
4. Übermittlung von Daten an Gesundheitsbehörden
Sollte ein Arbeitgeber aufgefordert werden, Gesundheitsdaten von Mitarbeitern an die Gesundheitsbehörde zu übermitteln, ist auch hierfür keine ausdrückliche Einwilligung des Mitarbeiters einzuholen. Gemäß Artikel 9 Abs. 2 lit. i DSGVO ist die Verarbeitung (von Gesundheitsdaten) zulässig, sofern:
„die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit zum Schutz von schwerwiegenden grenzüberschreitenden Gesundheitsgefahren erforderlich ist.“
Sollten daher Bezirksverwaltungsbehörden Auskunft über Gesundheitsdaten verlangen, ist dies auf Basis der bestehenden Rechtsgrundlage zulässig, was auch die Datenschutzbehörde bestätigt.
5. Homeoffice und Datenschutz
Die Ermöglichung von Teleworking oder Homeoffice (zusammen auch nur „Homeoffice“) stellt eine weitere Maßnahme dar, um die Ausbreitung des Coronavirus einzudämmen. Aus datenschutzrechtlicher Sicht ist zu beachten, dass Mitarbeiter damit personenbezogene Daten von zuhause aus verarbeiten. Arbeitgeber als datenschutzrechtlich Verantwortliche haben dafür zu sorgen, dass die gemäß Art 32 DSGVO getroffenen technischen und organisatorischen Schutzmaßnahmen zum Schutz personenbezogener Daten auch auf den Bereich Homeoffice erweitert werden. Der Arbeitgeber hat jene Mitarbeiter, die im Homeoffice tätig sind, somit beispielsweise anzuweisen,
- sämtliche personenbezogene Daten vertraulich zu behandeln (Passwörter schützen);
- geschützte WLAN oder LAN Verbindung zu verwenden;
- keine Ausdrucke anzufertigen bzw. Ausdrucke (sofern erforderlich) sicher zu verwahren bzw. gesondert (nicht im Hausmüll bzw. beim Altpapier) zu entsorgen (besser: im Office);
- keine privaten Kommunikationsmittel (Facebook, Instagram, WhatsApp) für den Austausch von beruflichen Informationen zu verwenden;
- Cyberkriminalität beachten – wachsam sein;
- etc.
Auch die Datenschutzbehörde hat bereits aufgefordert, (derartige) Schutzmaßnahmen im Homeoffice zu treffen. Es soll damit bestmöglich sichergestellt werden, dass der Arbeitgeber auch durch ein Homeoffice ein angemessenes Schutzniveau entsprechend dem Stand der Technik für die betrieblich verarbeiteten Daten gewährleisten kann. Sollte es zu einem Data-Breach-Fall kommen, hätte der Arbeitgeber gegenüber der Datenschutzbehörde nachzuweisen, welche konkreten Maßnahmen er zum Schutz personenbezogener Daten im Homeoffice getroffen hat. Daher empfiehlt es sich, auch darüber schriftliche Aufzeichnungen anzufertigen, die gegebenenfalls der Datenschutzbehörde vorgelegt werden können.
6. Exkurs
6.1. Überwachungsmaßnahmen
Es wird immer konkreter, dass auch Big Data zur Eindämmung des Coronavirus eingesetzt werden wird. Damit könnten Messdaten regelmäßig ausgewertet werden, die man z.B. über das Mobiltelefon erhält, um u.a. das Bewegungsprofil zu kontrollieren.
In Österreich gilt im Sinne der DSGVO, dass derartige Daten zur Bekämpfung grenzüberschreitender Gesundheitsgefahren verarbeitet werden dürfen. Unter Berücksichtigung der oben genannten datenschutzrechtlichen Grundsätze sind auch diese Daten nach Erfüllung des Zweckes wieder zu löschen.
6.2. Datenübermittlung an Bürgermeister
Mit dem 3. COVID-19-Gesetz wurde die nicht unumstrittene Maßnahme beschlossen, wonach Bezirksverwaltungsbehörden nunmehr ermächtigt sind, Bürgermeistern den Namen und die erforderlichen Kontaktdaten einer COVID-19 betroffenen Person, die im Gemeindegebiet des Bürgermeisters wohnhaft ist, mitzuteilen. Dies jedoch ausschließlich zum Zweck der Versorgung dieser Person mit notwendigen Gesundheitsdienstleistungen oder mit Waren bzw. Dienstleistungen des täglichen Bedarfs. Eine Verarbeitung zu anderen Zwecken ist unzulässig. Im Einklang mit den datenschutzrechtlichen Grundsätzen sind die Daten „unumkehrbar zu löschen“, sofern sie für den Zweck, für den sie gesichert wurden, nicht mehr erforderlich sind. Diese Ermächtigung der Datenübermittlung an Bürgermeister soll mit Ablauf des Jahres 2020 wieder außer Kraft treten. Fragen, wie die Kontrolle dieser Datenübermittlung erfolgen soll, sind allerdings noch offen; desgleichen steht auch eine Reaktion der Datenschutzbehörde noch aus.