Zum Hauptmenü Zum Inhalt

Datenschutzrechtliche Aspekte beim Umgang mit COVID-19


Neben vielen anderen Rechtsbereichen sind bei den verschiedenen Maßnahmen zur Verhinderung der Verbreitung des Coronavirus auch datenschutzrechtliche Anforderungen zu beachten. Dies betrifft sowohl den Umgang mit erhobenen Informationen betreffend Erkrankungen von Arbeitnehmern als auch den Einsatz von Home Office und Telearbeit.

Zu beachten ist dabei vorweg, dass sämtliche Maßnahmen, bei denen Gesundheits- und damit sensible Daten erhoben werden, restriktiven Bestimmungen der DSGVO und der nationalen Gesetze unterworfen sind. Bereits die Speicherung der Information, dass ein Mitarbeiter Symptome des Coronavirus zeigt, stellt, mag dies letztlich auch nicht zutreffen, bereits ein Gesundheitsdatum dar, welches nur unter strengen Voraussetzungen verarbeitet werden darf. Auch sonstige, in Form von Fragebögen eingeholte Informationen mit dem Ziel, den Gesundheitszustand zu erheben, können ebenso solche Daten darstellen.

1. Darf bzw muss eine bekannt gewordene COVID-19-Erkrankung (oder deren Verdacht) an die Behörde gemeldet werden?

Verdachts- oder Erkrankungs- sowie Todesfälle an COVID-19 sind nach dem Epidemiegesetz der Bezirksverwaltungsbehörde (Gesundheitsamt) zu melden. Die Anzeigepflicht trifft jedoch nur einen eingeschränkten Personenkreis: neben Ärzten und Laboren etwa Inhaber von Gast- und Schankgewerben, Vorsteher öffentlicher und privater Lehranstalten und Kindergärten, Hausbesitzer bzw die mit der Handhabung der Hausordnung betraute Person oder auch Wohnungsinhaber oder die an seiner Stelle mit der Obsorge für die Wohnung betraute Person.

Eine Erfassung dieser Krankheits- und Verdachtsfälle bedarf einer datenschutzrechtlichen Grundlage, welche zunächst in Art 9 Abs 2 lit i DSGVO gefunden werden kann. Diese erlaubt die Verarbeitung von Gesundheitsdaten ua zum Schutz vor schweren grenzüberschreitenden Gesundheitsgefahren, womit nach den Erwägungsgründen der DSGVO die Prävention oder Kontrolle ansteckender Krankheiten, also die Abwehr von Pandemien (vgl ErwGr 46 und 52) gemeint ist. Die Datenverarbeitung erfordert nach der DSGVO jedoch eine zusätzliche Rechtsgrundlage. Eine solche findet sich im Epidemiegesetz.

Sollten Arbeitgeber nicht ohnehin zum Kreis der nach dem Epidemiegesetz Anmeldepflichtigen zählen, kann eine Meldepflicht allerdings auch aus der Fürsorgepflicht des Arbeitgebers (§ 3 ASchG) abgeleitet werden. Art 9 Abs 2 lit b DSGVO lässt idZ eine Verarbeitung und damit Übermittlung von Krankheits- bzw Verdachtsfällen an die Behörde zu, wenn dies erforderlich ist, damit der Verantwortliche seine aus dem Arbeitsrecht, der sozialen Sicherheit und des Sozialschutzes erwachsenen Rechte und Pflichten ausüben kann und diese gesetzlich zulässig sind. Dies bedeutet, dass der Arbeitgeber Informationen an die Gesundheitsbehörde zu übermitteln hat, wenn dies zum Schutz der sonstigen Belegschaft vor Ansteckung geboten ist, was im Fall einer Infektion mit dem Coronavirus bejaht werden kann. Zudem wurde in den §§ 2 ff Härtefallfondsgesetz eine Rechtsgrundlage zur Datenübermittlung betreffend Förderanträge für Härtefälle von KMU geschaffen.

Darüber hinaus kann eine Verarbeitung auch mit ausdrücklicher Einwilligung jedes betroffenen Arbeitnehmers vorgenommen werden (Art 9 Abs 2 lit a DSGVO). In Ausnahmefällen kann sich das Unternehmen auf Art 9 Abs 2 lit c DSGVO stützen, welcher die Verarbeitung zum Schutz lebenswichtiger Interessen ua von anderen natürlichen Person erlaubt, wenn dies erforderlich ist und es dem Betroffenen (Arbeitnehmer) aus körperlichen Gründen nicht mehr möglich ist, seine ausdrückliche Einwilligung zu erteilen (zB weil er im Krankenhaus behandelt wird und für das Unternehmen nicht mehr erreichbar ist).

2. Sind Unternehmen verpflichtet, Anfragen der Gesundheitsbehörden über an COVID-19 erkrankte Mitarbeiter zu beantworten?

Gemäß § 5 Abs 3 Epidemiegesetz sind sämtliche Personen (daher nicht nur Kranke, Krankheitsverdächtige und Ansteckungsverdächtige) und somit auch alle Unternehmen, die zu den Erhebungen anzeigepflichtiger Erkrankungen einen Beitrag leisten könnten, auf Verlangen der Bezirksverwaltungsbehörde zur Auskunftserteilung verpflichtet. Die datenschutzrechtliche Ermächtigung zur Auskunftserteilung findet sich in Art 9 Abs 2 lit i DSGVO.

3. Was passiert mit den an die Behörde gemeldeten bzw vom Unternehmer erhobenen Daten?

Der für das Gesundheitswesen zuständige Bundesminister hat ein elektronisches Register über die Anzeigen gemäß § 3 Epidemiegesetz und die von den Gesundheitsbehörden sonst erhobenen Daten zu führen. Letzterer ist damit „Verantwortlicher“ iSd DSGVO. Die Daten stehen den zuständigen Behörden ausschließlich zu Zwecken der Epidemiebekämpfung zur Verfügung (siehe jedoch zu den eingeschränkten Rechten Betroffener Punkt 8 unten).

Der Unternehmer hat die von ihm selbst erhobenen Gesundheitsdaten seiner Mitarbeiter entsprechend dem Grundsatz der Datensicherheit vor sämtlichen Zugriffen Dritter zu schützen und ist daher zu einem sensiblen (auf wenige Personen beschränkten) Umgang verpflichtet und hat dabei jedenfalls auch den Grundsatz der Datensparsamkeit zu wahren; mit anderen Worten hat er den Umfang der Daten auf ein Mindestmaß zu reduzieren (für Gesundheitsdiensteanbieter besteht eine kurzfristige Erleichterung von den strengen Datensicherheitsanforderungen in den §§ 26 und 27 GTelG [Übermittlung auch per Fax und E-Mail möglich]).

Die so gespeicherten Gesundheitsdaten sind (mangels gesetzlich vorgegebener Fristen) zu löschen bzw unwiderruflich zu anonymisieren, sobald sie zur Epidemiebekämpfung nicht mehr erforderlich sind. Dies ist dann der Fall, wenn die entsprechenden Maßnahmen getroffen wurden und nicht mehr für weitere behördliche Erhebungen benötigt werden. Der Unternehmer wird die von ihm erhobenen Daten spätestens dann zu löschen haben, wenn sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen nicht mehr erforderlich sind. Unter Umständen wird der Unternehmer auch verpflichtet sein, (Teile der) Daten bereits früher zu löschen.

In den verschiedenen, in den Monaten September bis November erlassenen Registrierungsverordnungen für Gäste ist eine Speicherdauer der von den Gastronomen erhobenen Registrierungsdaten ihrer Gäste (Name, Anschrift, Telefonnummer, ua) von vier bis sechs Wochen vorgesehen, wobei diese Fristen stets vor dem Hintergrund des Grundsatzes der Datensparsamkeit gemäß Art 5 DSGVO zu betrachten sind.

4. Darf der Unternehmer der Belegschaft gegenüber eine COVID-19-Erkrankung bekanntgeben?

Aus Gründen der Fürsorgepflicht des Arbeitgebers (und aus der den Arbeitnehmer treffenden Treuepflicht) kann der Belegschaft gegenüber das Vorliegen eines Verdachts- bzw Infektionsfalles im Unternehmen bekannt gegeben werden. Datenschutzrechtliche Rechtsgrundlage hierfür wäre wiederum gemäß Art 9 Abs 2 it b DSGVO. Ebenso kann der Arbeitgeber eine entsprechende Bekanntgabe auf Art 9 Abs 2 lit h DSGVO (Verarbeitung zum Zwecke der Erfüllung arbeits- und sozialrechtlicher Pflichten) stützen. Mit Blick auf den Grundsatz der Datenminimierung (Art 5 Abs 1 lit c DSGVO) sollte die Mitteilung (zunächst) allerdings anonymisiert erfolgen, also ohne die Identität des/der Betroffenen preiszugeben. Zum Schutz der übrigen Arbeitnehmer kann aber die Nennung weiterer Details zu dieser Person notwendig sein, etwa darüber, in welcher Abteilung oder in welchem Gebäude bzw Gebäudeabschnitt diese gearbeitet hat. Denkbar wäre aber auch die Nennung der konkreten Person, wenn dies bspw zur Abklärung, mit welchen Personen die erkrankte Person zuletzt Kontakt hatte, erforderlich ist.

Eine Weitergabe der konkreten Namen von erkrankten Mitarbeitern an Dritte – etwa an Kunden oder Lieferanten – wird in aller Regel mangels Notwendigkeit zu unterbleiben haben.

5. Schutzmaßnahmen von Unternehmen vor infizierten Arbeitnehmern

Um die Aufrechterhaltung des Betriebes sichern zu können, ist die Identifizierung von Krankheitsfällen und Verdachtsfällen von essentieller Bedeutung. Neben dem Aufruf und der Anweisung, bei entsprechenden Anzeichen einer Erkrankung das Unternehmen unverzüglich zu verständigen und nicht in den Betrieb zu kommen, ist vor allem an Zutrittskontrollen zu denken, bei welchen die Arbeitnehmer zu entsprechenden Corona-Verdachtsszenarien befragt werden, so etwa zu einem Besuch in Ländern, die als Risikogebiete gelten. Datenschutzrechtliche Rechtsgrundlage wäre wiederum Art 9 Abs 2 lit b DSGVO, welcher zusätzlich die Angemessenheit und Erforderlichkeit/Verhältnismäßigkeit der Maßnahme voraussetzt.

Zum Schutz vor möglichen Schließungen des gesamten Betriebs wegen eines oder mehreren Erkrankten könnte zudem in einer Art „Bewegungsprotokoll“ dokumentiert werden, in welchen Bereich(en) des Unternehmens sich welche Arbeitnehmer befinden bzw ihre Arbeit verrichten, wobei hier eine strenge Angemessenheits- und Verhältnismäßigkeitsprüfung der jeweiligen Maßnahme vorzunehmen ist. Mit Ausnahme von gewöhnlichen, jedoch für den Unternehmer wenig hilfreichen Zugangskontrollen beim Betreten des Unternehmensgeländes, können solche Schritte eine Betriebsvereinbarung bzw in Betrieben ohne einen Betriebsrat eine einzelvertragliche Einwilligung des jeweiligen Arbeitnehmers erfordern (§ 96 Abs 1 Z 3 ArbVG und § 10 AVRAG). Datenschutzrechtlich können solche Maßnahmen mit einer (tatsächlich!) freiwilligen Einwilligung vorgenommen werden.

Unter den gleichen Prämissen können Unternehmen etwa auch eine Temperaturmessung vornehmen, um mögliche Erkrankte oder Krankheitsverdächtige nicht in das Unternehmen zu lassen. Verpflichtende Präventivtests innerhalb der Belegschaft und die Speicherung der daraus gewonnenen personenbezogenen Daten sind aufgrund ihres umfassenden Charakters aus datenschutzrechtlicher Sicht jedoch kritisch zu betrachten. Eine ebenso wirksame Alternative hierzu stellen manuelle Fiebertests dar, bei welchen eine Verarbeitung der so gewonnenen Daten nicht erfolgt (und für die Zwecke des Schutzes des Unternehmens grundsätzlich auch nicht erforderlich ist). Weil somit personenbezogene Daten nicht verarbeitet werden, unterfällt eine solche Maßnahme nicht dem Datenschutz, wohl aber (nach wie vor) dem Arbeitsrecht.

Zwecks Information der Arbeitnehmer über Krankheits- oder Verdachtsfälle bzw über die Schließung des Betriebs oder Teilen davon, können auch die privaten Telefonnummern erhoben und temporär gespeichert werden; dies in Entsprechung des Grundsatzes der Datenminimierung nur bis zum Ende der Eindämmung des Virus. Nach Ansicht der DSB können die Arbeitnehmer zu dieser Bekanntgabe jedoch nicht gezwungen werden. Auf der Website der DSB findet sich nunmehr ein Musterformular für die Erhebung privater Kontaktdaten von Mitarbeitern.

6. Welche Maßgaben gibt es im Zusammenhang mit Home Office / Telearbeit zu beachten?

Verrichten Arbeitnehmer ihre Arbeit nunmehr vermehrt von zu Hause aus, ist dies in aller Regel ohne Fernzugriff auf das Firmennetzwerk und auf die dort gespeicherten personenbezogenen Daten über Kunden/Klienten, Lieferanten ua nicht möglich. Dies birgt unweigerlich ein erhöhtes Sicherheitsrisiko, auf welches der Arbeitgeber aufgrund seiner allgemeinen Verpflichtung zu angemessenen Datensicherheitsmaßnahmen (Art 32 DSGVO) mit entsprechenden technischen und organisatorischen Maßnahmen zu reagieren hat; dies vor allem dann, wenn es sich um sensible bzw besonders schützenswerte Daten handelt. Dies bedeutet einerseits, dass der Zugriff auf die Firmendaten etwa mittels sicherer VPN-Verbindung ausgestaltet sein muss, jedoch auch die von den Mitarbeitern benutzen Geräte gegenüber Fremdeingriffen angemessen geschützt zu sein haben. Andererseits sind die Arbeitnehmer selbst dazu anzuhalten, die bei ihrer Arbeit regelmäßig zur Kenntnis gelangenden Geschäfts- und Betriebsgeheimnisse zu wahren. Vor allem bei Tätigkeiten in sensiblen Bereichen muss sichergestellt sein, dass nur solche Personen im Unternehmen Zugriff auf personenbezogene Daten erhalten, welche diese auch tatsächlich im Rahmen ihrer Tätigkeit zur Erfüllung des Verarbeitungszwecks benötigen.

Entsprechende Sicherheitsmaßnahmen bzw Anordnungen an das Personal zur Geheimhaltung sind auch dann erforderlich, wenn die Informationen zwar keine personenbezogenen Daten betreffen, es sich jedoch um Geschäfts- und Betriebsgeheimnisse handelt. Auch hier steht das Unternehmen in der Pflicht, für angemessene Geheimhaltungsmaßnahmen zu sorgen. Diese betreffen nicht nur den sorgsamen Umgang mit den durch den Zugriff auf das Netzwerk verbundenen Daten, sondern auch Telefonate, Videokonferenzen, Chats ua.

Die mittlerweile vielfach angebotenen kostenlosen Videokonferenzsysteme erfüllen die referierten Standards vielfach nicht und sind auch nicht auf die Nutzung durch Unternehmen ausgerichtet (hier ist anzuraten die jeweiligen AGB und Lizenzbedingungen anzusehen).

Die DSB hat auf ihrer Website Hinweise für die Einhaltung der Datensicherheit bei Home Office zur Verfügung gestellt.

7. Auswirkungen der vom Arbeitgeber im Zuge von COVID-19 getroffenen Maßnahmen auf dessen allgemeine Pflichten bei der Verarbeitung von personenbezogenen Daten

Die Verarbeitung und Übermittlung von Daten im Zusammenhang mit COVID-19 stellen neue Datenverarbeitungen dar, die in das vom Arbeitgeber zu führende Datenverarbeitungsverzeichnis und in seine Datenschutzerklärung aufzunehmen sind (über die Modifikation kann der Arbeitgeber unkompliziert im Rahmen anderer, ohnehin zu erfolgender Korrespondenzen informieren). Infolge der Verarbeitung von Gesundheitsdaten ist bei entsprechendem Ausmaß auch eine Datenschutzfolgenabschätzung zu erstellen.

8. Rechte des Betroffenen gegen die Datenverarbeitung durch Gesundheitsbehörden

Das Epidemiegesetz sieht in Übereinstimmung mit Art 23 DSGVO Einschränkungen der allgemeinen, in der DSGVO verbrieften Rechte vor. So ist das Widerspruchsrecht des Betroffenen (Art 21 DSGVO) gegen die Verarbeitung seiner Daten nach dem Epidemiegesetz ausgeschlossen. Weiters sollen nach den Erläuternden Bemerkungen zur jüngsten Novelle zum Epidemiegesetz weder die Informationspflichten der Gesundheitsbehörden als Verantwortliche (Art 13 und Art 14 DSGVO) noch die Löschungsrechte Betroffener (Art 17 DSGVO) zum Tragen kommen. Uneingeschränkt steht dem Betroffenen aber das Recht auf Datenauskunft (Art 15 DSGVO) und jenes auf Datenberichtigung (Art 16 DSGVO) zu.

9. Sanktionen bei Rechtsverstößen iZm Maßnahmen gegen das Coronavirus

Finden im Zuge der durch Unternehmen gesetzten Maßnahmen Übertretungen der DSGVO oder des DSG statt, drohen, wie sonst auch, neben Schadenersatzansprüchen Betroffener insbesondere (Geld-)Strafen. In Anbetracht der derzeit vorherrschenden Ausnahmesituation sowie der über weite Strecken fehlenden Spruchpraxis sprechen, sofern keine exzessiven Verstöße vorliegen, jedoch gute Gründe dafür, dass die Datenschutzbehörde von der ihr gemäß § 11 DSG zukommenden Möglichkeit Gebrauch machen und bei erstmaligen Verstößen lediglich eine Verwarnung aussprechen würde.

10. Sonderbestimmung für Mobilfunkbetreiber

Anbieter von mobilen Kommunikationsdiensten können gemäß § 98a TKG 2003 bis Ende 2020 durch die Bundesregierung oder durch ein anderes bundesstaatliches Organ verpflichtet werden, Endnutzer (sofern wirtschaftlich und technisch zumutbar und mit den Datenschutzbestimmungen vereinbar) kostenlos über SMS öffentliche Warnungen vor drohenden oder sich ausbreitenden größeren Notfällen und Katastrophen oder damit im Zusammenhang stehende Aufrufe zu übermitteln. Zur Durchführung des Auftrages darf der Anbieter die dafür erforderlichen Stamm- und Standortdaten verarbeiten, soweit dies ausschließlich für die zielgerichtete Information der betreffenden Nutzer erforderlich ist.

Für die Beantwortung weiterer Fragen rund um das Thema Datenschutz stehen unsere ExpertInnen Ihnen gerne telefonisch oder unter akut@hnp.at zur Verfügung.

Disclaimer:

Dieser Beitrag stellt lediglich eine allgemeine Information dar und ersetzt keine Rechtsberatung. Haslinger / Nagele übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieses Beitrages.

(Stand: 02.12.2020, 19:00 Uhr)

  • Referenz | Haslinger / Nagele, Logo: JUVE Awards
  • JUVE Top 20 Wirtschaftskanzlei-Oesterreich
  • Promoting the best. Women in Law Award