Das Coronavirus SARS-CoV-2 und die dadurch ausgelöste Lungenkrankheit COVID-19 hat zu umfangreichen Konsequenzen seitens der Regierungen geführt. Neben leeren Supermarktregalen und eingeschränktem gesellschaftlichen Leben stehen auch und gerade Unternehmen vor ganz ungewohnten Fragen. Hier bestehen oftmals Unsicherheiten, was angesichts einer solchen Sondersituation nun schon erlaubt, was noch verboten und was im Sinne der Fürsorgepflicht erforderlich ist. Wie lässt sich beispielsweise Home-Office rechtlich sicher einrichten? Welche neuen Herausforderungen stellen sich im Bereich IT-Sicherheit? Was muss die Unternehmensführung beachten und worauf müssen Mitarbeiter hingewiesen werden? Denn auch wenn der Kampf gegen die Pandemie im Vordergrund steht, sollten Unternehmen dennoch bedacht und rechtskonform vorgehen. In dieser Übersicht geben wir Antworten auf die wichtigsten Fragen.

Welche Maßnahmen und Datenverarbeitungen darf der Arbeitgeber zur Infektionsprävention durchführen?

Unternehmen müssen nun häufig zwischen der Fürsorgepflicht gegenüber ihren Mitarbeitern und deren Rechten, insbesondere in Bezug auf das Recht auf Schutz der personenbezogenen Daten, abwägen.
Für die nachfolgend als zulässig angesehenen Maßnahmen durch den Arbeitgeber kann Art. 6 Abs. 1 lit. c, Art. 9 Abs. 2 lit. b, Art. 88 DSGVO i.V.m. § 26 Abs. 3 S. 1 BDSG als Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten herangezogen werden. Daneben erscheint auch Art. 6 Abs. 1 lit. c, Art. 9 Abs. 2 lit. i, Art. 88 DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c BDSG für die Datenverarbeitung zur Aufrechterhaltung der öffentlichen Gesundheit plausibel.
Viele Fragen sind jedoch noch nicht abschließend geklärt und es kursieren unterschiedliche Ansichten zur Zulässigkeit verschiedener Maßnahmen. Die hier formulierten Grundsätze bilden daher auf Grundlage der uns derzeit bekannten Informationen unsere aktuelle Empfehlung ab.

Dürfen Mitarbeiter zu ihrem Gesundheitszustand befragt werden?
Das Bundesgesundheitsministerium empfiehlt für Personen, die sich zuletzt in einem der Risikogebiete aufgehalten haben, unnötige Kontakte zu vermeiden und wenn möglich zu Hause zu bleiben. Wer Kontakt zu einer infizierten Person hatte, sollte ohnehin unverzüglich zum Arzt und Kontakte verhindern. Arbeitgeber können daher ein Interesse daran haben zu wissen, ob unter ihren Mitarbeitern solche Fälle vorliegen.
Eine anlassbezogene Befragung von Mitarbeitern nach Dienstreisen in einem der Risikogebiete oder wegen möglicher Kontakte zu Verdachtspersonen auf SARS-CoV-2 ist aufgrund der Fürsorgepflicht begründet und datenschutzrechtlich zulässig. Daneben können die Mitarbeiter natürlich auf freiwilliger Basis in Selbstauskunfts- oder Fragebögen Informationen zu ihren Aufenthaltsorten und möglichen Symptomen mitteilen. Nach Ansicht der französischen Datenschutzbehörde sei darüber hinaus auch die Verarbeitung von Mitarbeiter-Gesundheitsdaten zulässig, wenn ein Mitarbeiter durch eine offizielle Stelle positiv auf SARS-CoV-2 getestet wurde oder er bestätigten Kontakt zu einer positiv getesteten Person hatte.
Hingegen ist eine anlasslose, systematische Befragung aller Beschäftigten nach ihrem Gesundheitszustand unzulässig. Gleiches gilt für den Fall, dass ein Arbeitgeber pauschal Informationen über Symptome abfragt oder sich von anderen Mitarbeitern mitteilen lässt. Auch darf er nicht fragen, ob sich der Mitarbeiter während des Urlaubs in einem Risikogebiet aufhielt.
Sind Fiebermessungen vor dem Zutritt zum Arbeitsplatz zulässig?
Eine besonders gravierende Datenerhebung stellt die Fiebermessung mittels Thermometer oder Wärmebildkamera vor dem Zutritt auf das Gelände des Arbeitsplatzes dar, die von einigen Unternehmen derzeit angedacht wird.
Eine solche Maßnahme ließe sich allenfalls auf Art. 6 Abs. 1 lit. c, Art. 9 Abs. 2 lit. b, Art. 88 DSGVO i.V.m. § 26 Abs. 3 S. 1 BDSG stützen. Eine Rechtfertigung durch das Hausrecht würde bei Mitarbeitern zu kurz greifen und wäre allenfalls gegenüber betriebsfremden Personen möglich. Selbst dann wäre aber wegen der Verarbeitung besonderer personenbezogener Daten Vorsicht geboten – und es müssten natürlich die grundsätzlichen Informationspflichten gegenüber den Besuchern eingehalten werden.
Man könnte Fiebermessungen für zulässig erachten, wenn die Ergebnisse der Maßnahmen lediglich für die Entscheidung des Zutritts genutzt werden. Jedenfalls zulässig sind sie jedoch, wenn sie rein freiwillig und ohne Nutzungsverpflichtung sind. Auch für besonders empfindliche Bereiche eines Unternehmens, wo die Weitergabe der Infektion zum Stillstand des Unternehmens führen könnte, erscheinen solche Maßnahmen angemessen. Die Zulässigkeit dieser Maßnahmen ist dabei umso wahrscheinlicher, je mehr Verdachtsfälle oder tatsächlich Infizierte es bereits im Unternehmen gab.

Eine verpflichtende Fiebermessung für alle Mitarbeiter, deren Ergebnis etwa zur sofortigen Freistellung führen würde, ist unzulässig, auch weil die Temperatur kein geeignetes Kriterium zur Feststellung einer Infektion mit SARS-CoV-2 ist. Denn eine erhöhte Temperatur tritt beispielsweise auch bei der normalen Influenza auf.

Darüber hinaus sollte stets berücksichtigt werden, dass, selbst wenn allein mit dem Fiebermessgerät kein Personenbezug hergestellt werden kann und die Ergebnisse nicht dokumentiert werden, dennoch indirekt eine Zuordnung zu den entsprechenden Mitarbeitern, zum Beispiel durch Beobachtung oder Aufzeichnung durch Kameras möglich wäre.

Müssen Unternehmen über bestätigte Fälle im Unternehmen informieren?
Ja, Unternehmen müssen ihre Beschäftigten darüber informieren, wenn sich ein Mitarbeiter mit SARS-CoV-2 infiziert hat. Aber: Der Name des Infizierten darf dabei nicht genannt werden, da dies zu einer enormen Stigmatisierung führen kann.
Müssen Mitarbeiter über ihre Ansteckung mit SARS-CoV-2 informieren?
Grundsätzlich müssen Mitarbeiter, die sich krankmelden, nicht die Art ihrer Erkrankung mitteilen. Lediglich Ärzte haben nach dem Infektionsschutzgesetz die Pflicht, eine Infektion mit SARS-CoV-2 an das zuständige Gesundheitsamt mitzuteilen. Allerdings dürfte eine Mitteilungspflicht gegenüber dem Arbeitgeber aufgrund der arbeitsrechtlichen Treuepflicht begründet sein. Denn nur dann kann der Arbeitgeber entsprechenden Maßnahmen gegen die weitere Ausbreitung des Virus ergreifen.

Arbeit im Home-Office: Was gibt es datenschutzrechtlich zu beachten?

Eine der sichtbarsten Veränderungen durch das Coronavirus SARS-CoV-2 ist die Einrichtung von Möglichkeiten zum Home-Office für die Mitarbeiter. Trotz Pandemiegefahr besteht selbstverständlich weiterhin der Grundsatz, dass die personenbezogenen Daten der Mitarbeiter zu schützen sind. Als datenschutzrechtlich Verantwortliche müssen Arbeitgeber diesen Schutz gewährleisten.

Welche Maßnahmen zur IT-Sicherheit sind notwendig?
Daher sollten ausreichende Sicherheitsmaßnahmen getroffen werden, um die personenbezogenen Daten der Mitarbeiter sowie Dritter zu schützen. Denn Home-Office bedeutet in der Regel auch erhöhte Sicherheitsrisiken, vor allem wenn Arbeitnehmer nicht allein wohnen.

Zu den Sicherheitsmaßnahmen gehören insbesondere:

  • Datenübertragungen sollten verschlüsselt erfolgen.
  • Der Zugang zum Firmenintranet sollte nur durch ein VPN-Netzwerk erfolgen.
  • Der Zugang zu Arbeitsgeräten sollte passwortgeschützt sein.
  • Das verwendete Arbeitsgerät sollte eine (automatische) Bildschirmsperre besitzen.
  • Nach Möglichkeit sollten Zwei-Faktor-Authentifizierungen eingesetzt werden.
  • Datenträger mit Firmendaten sollten verschlüsselt sein.
  • Eine Speicherung auf privaten Datenträgern sollte unterbleiben.

Aber auch außerhalb der IT gilt es, auf Datenschutz zu achten. Das umfasst insbesondere:

  • Vertrauliche Akten müssen bei Abwesenheit sicher eingeschlossen werden.
  • Das Arbeitszimmer sollte nicht von Unbefugten betreten werden und abschließbar sein.
  • Die Entsorgung von Akten muss sachgerecht erfolgen.

Da nicht alle Maßnahmen in der Hand des Arbeitgebers liegen können, sollten Mitarbeiter entsprechend zum Datenschutz im Home-Office verpflichtet und geschult werden. Im ersten Schritt gilt es, zunächst Informationen zusammenzustellen und die Mitarbeiter für das Thema zu sensibilisieren. Das ist umso wichtiger, wenn Home-Office im jeweiligen Unternehmen jetzt neu ist oder kurzfristig eingerichtet wurde.

Dürfen Mitarbeiter im Home-Office kontrolliert werden?
Angesichts geringerer Kontrollmöglichkeiten gegenüber ihren Mitarbeitern im Home-Office stellt sich für Unternehmen die Frage, inwieweit dieser Umstand wieder ausgeglichen werden kann. Im Rahmen des Beschäftigtendatenschutzes gilt § 26 BDSG: Ein Arbeitgeber darf personenbezogene Daten der Mitarbeiter ohne Einwilligung nur verarbeiten, wenn dies etwa für die Durchführung des Arbeitsverhältnisses erforderlich ist oder der Aufdeckung von Straftaten dient. Hier gelten die Grundsätze der Erforderlichkeit und Verhältnismäßigkeit von Maßnahmen, die für die Arbeit im Unternehmen genauso gelten wie für die Arbeit von zu Hause.
Für den Bereich Home-Office gibt es keine Spezialvorschriften, weshalb gilt: Weitergehende Kontrolle oder gar Überwachung allein durch den Umstand des Home-Office sind unzulässig und sollten daher ausbleiben. Arbeitgeber können sich allerdings Kontroll- und Zutrittsrechte vertraglich einräumen lassen. Ob das für temporäre Heimarbeit wegen SARS-CoV-2 sinnvoll ist, muss aber je nach Einzelfall entschieden werden. Grundsätzlich jedoch sollten die Kontroll- und Zugriffsrechte bei Home-Office – auch in Hinblick auf Datenschutzbeauftragte und Behörden – vertraglich mit den Mitarbeitern geregelt werden. Im Übrigen sind die Mitarbeiter im Home-Office natürlich auch zur Vertraulichkeit zu verpflichten.

Fazit und Empfehlung

Das Coronavirus SARS-CoV-2 führt bei Arbeitnehmern und Arbeitgebern gleichermaßen zur Verunsicherung und ist mit kurzfristigen Maßnahmen und Anpassungen verbunden. Sofern sich Unternehmen entscheiden, ihre Mitarbeiter besser im Home-Office arbeiten zu lassen, um so den Kontakt zwischen den Mitarbeitern und Kunden zu reduzieren, empfehlen wir diesen, ihre Mitarbeiter für die wesentlichen Aspekte im Home-Office zu schulen. Zum Home Office bietet lawpilots einen entsprechenden interaktiven Schulungskurs für Mitarbeiter an, der die wesentlichen Grundlagen anschaulich vermittelt.
Den lawpilots Kurs zu Covid-19 möchten wir Ihnen kostenlos anbieten.  Lawpilots ist als Legal-Tech-Unternehmen in enger Kooperation mit der Rechtsanwaltskanzlei Schürmann Rosenthal Dreyer Rechtsanwälte und dem Beratungsunternehmen ISiCO Datenschutz entstanden. Damit verfügt es über die Expertise, Datenschutzwissen zu vermitteln.

Sofern Sie weitergehende Fragen zum Datenschutz im Beschäftigungsverhältnis haben oder Home-Office in Ihrem Unternehmen einführen oder etablieren wollen, helfen wir Ihnen gerne, die entsprechenden Maßnahmen zu ergreifen, Richtlinien zu entwickeln und so die datenschutzrechtlichen Anforderungen einzuhalten.

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!