Corona & Datenschutz: Das Wichtigste für Arbeitgeber und Arbeitnehmer

Fachbeitrag
Seit einer Woche müssen Arbeitgeber in manchen Bundesländern nun ihren Beschäftigten ein kostenloses Covid-19-Schnelltest-Angebot bereitstellen. Daneben gibt es zahlreiche weitere Möglichkeiten für Arbeitgeber die versprechen, einen Beitrag zur Eindämmung der Corona-Pandemie zu leisten. So z.B. Einlasskontrollen durch Temperaturmessungen oder Fragebögen, die Installation von Corona-Apps, Befragungen zur Impfung oder eine Pflicht zum Schnelltest. Doch, wie und ob diese Maßnahmen datenschutzkonform umgesetzt werden können, soll dieser Beitrag zeigen.

16 Bundesländer und damit 16 Rechtsverordnungen

Eine große Schwierigkeit ist unserem Föderalismus geschuldet. Jedes Bundesland kann derzeit für sich selber eine Rechtsverordnung zur Eindämmung der Corona-Pandemie erlassen. Zwar sind die Zielrichtungen der Verordnungen gleich, aber der Weg dorthin ist doch oftmals unterschiedlich. Dies wirkt sich nicht nur darauf aus, wie viele Personen privat getroffen werden dürfen, oder ob es eine Sperrstunde gibt. Auch die Qualität der Verordnungen hinsichtlich klarer Regelungen schwankt stark, ein Umstand den wir bereits letztes Jahr bei den Gästelisten und dem Urteil des VGH Saarland angemerkt haben.

Für Arbeitgeber bedeutet dies, dass sie sich immer konkret über die Regelungen ihres Bundeslandes informieren müssen. Soweit es mehrere Arbeitsstätten in unterschiedlichen Bundesländern gibt, kann dies auch dazu führen, dass sie sich auf unterschiedliche Vorgaben einstellen müssen.

Dieser Blogbeitrag kann sich nicht den Besonderheiten aller Bundesländer widmen, daher sollte bei den hier genannten Empfehlungen immer noch geprüft werden, ob sich aus der für Sie aktuell geltenden Rechtsverordnung Abweichungen ergeben könnte.

Die Pflicht des Arbeitgebers zum Stellen eines Corona-Schnelltest-Angebotes

Nach § 6a der Zweiten SARS-CoV-2-Infektionsschutzmaßnahmenverordnung Berlin sind Arbeitgeber nunmehr verpflichtet, Mitarbeitenden Antigen-Tests anzubieten und auf Wunsch eine Dokumentation über das Testergebnis zu erstellen. Für Mitarbeitende mit Kundenkontakt ist die Teilnahme an den Tests verpflichtend. Mitarbeitende sind außerdem zur Speicherung des Ergebnisses für einen Zeitraum von 4 Wochen verpflichtet. Wenn Arbeitgeber kein entsprechendes Testangebot anbieten und auch kein Ausnahmetatbestand greift, dann handeln sie ordnungswidrig.

Auch andere Bundesländer wie Hamburg (§§ 10d ff. und 14 der Rechtsverordnung), Bremen (§15a Rechtsverordnung) und Sachsen (§3a der Rechtsverordnung) haben ähnliche Regelungen getroffen, wobei die konkrete Gestaltung sehr unterschiedlich ausfällt. Hier gibt es jedenfalls keine bundeseinheitliche Linie. Auch wenn das eigene Bundesland noch keine entsprechende Regelung hat, kann sich dies zeitnah ändern. So bestehen wohl schon ein Verordnungsentwurf der Bundesregierung für ein flächendeckendes verpflichtendes Testangebot der Unternehmen über die nächste Woche entschieden werden soll.

Update: Mittlerweile ergibt sich eine bundesweite Testangebotspflicht aus § 5 der SARS-CoV-2 Arbeitsschutzverordnung. Eine Aufbewahrung von Testergebnissen wird darin nicht vorgeschrieben. Lediglich der Nachweis über die Beschaffung von Tests muss vorgehalten werden.

Welche Daten werden verarbeitet?

Die bloße Erfassung, welche Mitarbeitende zu welchem Zeitpunkt einen Schnelltest bei der Arbeitsstätte durchgeführt haben, stellt noch „einfache“, personenbezogene Daten dar. Sobald aber das Testergebnis in irgendeiner Form verarbeitet wird, handelt es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO. Diese gelten als besondere Datenkategorien, da sie besonders schutzbedürftig sind.

Was ist die Rechtsgrundlage?

Hier muss man die verschiedenen Vorgänge unterscheiden. Soweit Mitarbeitende das Testangebot wahrnehmen, kann man sich bei der Testung als solches fragen, ob überhaupt der Anwendungsbereich der DSGVO und des BDSG eröffnet ist. Hier sei auf § 26 Abs. 7 BDSG hingewiesen, wonach die datenschutzrechtlichen Regelungen auch dann greifen, wenn personenbezogene Mitarbeiterdaten nicht automatisiert verarbeitet oder nicht in einem Dateisystem gespeichert werden.

Bei der Verarbeitung von Gesundheitsdaten können sich Rechtsgrundlagen aus Art. 9 Abs. 2 lit. b oder g DSGVO i.V.m. der jeweiligen landesrechtlichen Rechtsverordnung ergeben. Dies ist aber nur möglich, wenn in der Verordnung explizit geregelt ist, dass die Gesundheitsdaten aus dem Testverfahren durch den Arbeitgeber verarbeitet werden dürfen. Wenn dem nicht so ist, kann sich der Arbeitgeber lediglich auf eine Einwilligung des Arbeitnehmers stützen. Dies trifft beispielsweise für Berlin zu. Hier hat der Verordnungsgeber es – mit oder ohne Absicht – versäumt, dem Arbeitgeber dieses Recht bzw. die Pflicht ausdrücklich einzuräumen.

Soweit der Arbeitgeber lediglich Übersichten führt, welche Mitarbeitende das Testangebot wahrgenommen haben, ist dies regelmäßig nach § 26 Abs. 1 BDSG und Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt. Zum Schutz der anderen Mitarbeitenden und Kunden ist es notwendig, dass der Arbeitgeber einen Überblick behält, soweit Mitarbeitenden direkten Kontakt zu diesen haben. Durch Abstandsregelungen, Desinfektionen und Masken kann die Ansteckungsgefahr zwar reduziert werden. Dies allein genügt aber nicht, um die Pandemie effektiv einzudämmen. Da infizierte Personen nicht immer Symptome aufweisen, können die Schnelltest zudem eine bessere Aussage zur Ansteckungsgefahr geben.

Was darf der Arbeitgeber aufbewahren?

Soweit Bundesländer eine Testpflicht dem Arbeitgeber aufbürden, regeln sie diese Frage sehr unterschiedlich. Berlin beispielsweise trifft hierzu keine Aussage. Nur Mitarbeitende trifft eine Aufbewahrungspflicht der ausgestellten Test-Bescheinigung von 4 Wochen. Daraus folgt, dass der Arbeitgeber ohne Einwilligung des Mitarbeitenden die Testergebnisse nicht aufbewahren sollte. Der Berliner Arbeitgeber begeht auch nur dann eine Ordnungswidrigkeit, wenn er kein Testangebot zur Verfügung stellt, obwohl er dies müsste.

Hamburg wiederum sieht vor, dass der Arbeitgeber ein sog. Test-Logbuch über die durchgeführten Testungen und Testergebnisse führt. Dieses soll für 4 Wochen aufbewahrt werden und muss der zuständigen Behörde auf Verlangen vorgelegt werden.

Kann der Arbeitgeber von Mitarbeitenden die Durchführung von Schnelltests verlangen?

Hier kommt die typische Juristen-Antwort: Es kommt drauf an.

Für Mitarbeiter, die lediglich im Home-Office arbeiten und daher keinen direkten Kontakt zu Kunden oder Kollegen hat, wird man dies mangels Erforderlichkeit klar verneinen müssen. Soweit aber Mitarbeitende berufsbedingt doch direkten Kontakt zu Kunden und Kollegen haben könnten, wird man dies eher bejahen können. Dies umso mehr, wenn die Mitarbeitende bereits durch die entsprechendes Landes-Rechtsverordnung zur Durchführung des Schnelltests verpflichtet sind. Aber auch ohne eine ausdrückliche gesetzliche Grundlage kann man dies mit Blick auf dem Hausrecht des Arbeitgebers und seinen Schutz- und Fürsorgepflichten bejahen. Hier muss man aber immer den konkreten Einzelfall an § 26 Abs. 1 BDSG i.V.m. Art. 9 Abs. 2 DSGVO prüfen.

Temperaturmessung als Einlasskontrolle

Bevor man ins Büro darf, kontrolliert die nette Empfangsdame die Körpertemperatur. Oder aber Wärmebildkameras werden im Eingangsbereich eingesetzt. Hat man erhöhte Körpertemperatur, wird man nach Hause geschickt. Ist die Temperatur normal darf man eintreten.

Auch hier stellt sich die berechtigte Frage, ob dieses Vorgehen allein schon ausreicht, um die Datenschutzpflichten zu begründen oder ob noch weitere Vorgänge wie Dokumentation nötig wären. Durch § 26 Abs. 7 BDSG ist aber auch hier der Anwendungsbereich des BDSG und damit auch der DSGVO eröffnet.

Leider gibt es genügend Fälle, bei den infizierte Personen keinerlei Symptome zeigen. Auch kann eine erhöhte Temperatur andere Ursachen als eine Corona-Infektion haben. Das Messen der Temperatur ist somit kein sicherer Indikator und damit ungeeignet. Datenverarbeitungen, die von Anfang an als ungeeignet gelten, sind allerdings unzulässig. So auch der Beschluss der DSK vom 10.09.2020, wonach auch die Erforderlichkeit der Datenverarbeitung grundsätzlich zu verneinen ist:

„Zudem sind mildere Maßnahmen wie z. B. die Einhaltung der Hygiene-und Abstandsbestimmungen und die anlassbezogene Befragung der Beschäftigten durch den Arbeitgeber denkbar.“

Arbeitgeber sollten also dieses Mittel zur Bekämpfung der Pandemie nicht anwenden.

Fragebogen zur Selbsteinschätzung zum Gesundheitszustand

Anstatt die Temperatur zu messen, könnte man den Beschäftigten aber auch einen Fragebogen zum Ausfüllen geben, wo sie sich zu ihren Gesundheitszuständen äußern sollen. Hierzu werden Fragen gestellt, ob man Fieber oder Kratzen im Hals hat. Aber auch Angaben zum Aufenthalt in den letzten drei Wochen könnte man aufnehmen. Wenn jemand zuletzt in einem (anderen) Risikogebiet war, wird ja allgemein vermutet, dass man sich angesteckt haben könnte.

Auch bei solchen Fragebögen sind wieder Gesundheitsdaten betroffen, sodass auch hier sauber die Rechtsgrundlagen zu prüfen sind. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hatte sich mit der Zulässigkeit solcher Fragebögen im Kontext des Zutritts von Bürgern zu einem Rathaus auseinandergesetzt. Hier sah es u.a. die Erforderlichkeit der Datenverarbeitung als kritisch an:

„Dabei müssten zunächst ausschließlich wahrheitsgemäße Angaben in den Fragebögen enthalten sein. (…) Als weniger eingriffsintensive Maßnahme anstelle einer Erhebung persönlicher Angaben mittels Fragebogen wäre z. B. die Bereitstellung von Aushängen in Betracht zu ziehen, wo um ein Absehen von Besuchen gebeten wird, falls entsprechende Fragen innerlich mit „ja“ beantwortet werden müssten.“

Soweit mildere, gleich effektive Maßnahmen zu Verfügung stehen, gilt die Datenverarbeitung als nicht erforderlich und muss daher unterbleiben. Diese Überlegungen können auch für den Arbeitskontext herangezogen werden. Danach empfiehlt es sich also, dass Arbeitgeber darüber informieren, unter welchen Umstände diese lieber nicht die Arbeitsstätte aufsuchen und sich lieber testen sollten.

Arbeitsrechtliche Pflicht zur Nutzung der Corona-Warn-App

Manche Arbeitgeber überlegen, ob es nicht sinnvoll wäre, Mitarbeitende zu verpflichten, die Corona-Warn-App, Lucas-App oder Ähnliches zu nutzen. Soweit Mitarbeitende keine Dienstgeräte haben, können Sie hierzu ohnehin nicht gezwungen werden. Aber auch wenn dienstliche Smartphones zur Verfügung gestellt werden, sollten Arbeitgeber von einer Verpflichtung absehen. Diese ist datenschutzrechtlich kaum zu rechtfertigen. Für § 26 Abs. 1 BDSG fehlt es an der Erforderlichkeit der Datenverarbeitung, da sie die Arbeitsdurchführung per se nicht fördert. Für die berechtigten Interessen des Arbeitgebers i.S.v. Art. 6 Abs. 1 lit. f DSGVO sprechen zwar grundsätzlich die zu erfüllenden Fürsorgepflichten gegenüber allen Beschäftigten und Kunden und die Unterstützung der Eindämmung der Pandemie. Aber die Privatautonomie und das Recht auf informationelle Selbstbestimmung der Mitarbeitende ist an dieser Stelle nicht zu unterschätzen. Die Datenschutzkonferenz hatte sich hierzu schon letztes Jahr dafür ausgesprochen, dass die Nutzung der Corona-Warn-App nur freiwillig erfolgen und nicht als Eintrittskontrolle missbraucht werden darf. Diese Aussage wird für vergleichbare Apps ebenfalls zutreffen.

Insbesondere im Beschäftigtenkontext ist darauf zu achten, dass die Freiwilligkeit gewahrt wird. Das Entstehen durch Drucksituationen ist daher zu vermeiden. Also bitte keine Fragen der Vorgesetzten in Team-Meetings danach, wer denn schon alles die App installiert hat.

Arbeitgebern ist es aber weiterhin möglich, seine Beschäftigten über den Nutzen dieser Apps zu informieren und mögliche Vorbehalte proaktiv auszuräumen.

Darf der Arbeitgeber nach einer erfolgten Corona-Impfung fragen?

Die Debatte über die verschiedenen Impfmöglichkeiten gegen den Corona-Virus ist enorm. Ob geimpfte Personen „Sonderrechte“ bei der Teilnahme an öffentlichen Veranstaltungen oder Reisemöglichkeiten erhalten soll, wird schon seit letztem Jahr heiß diskutiert. Jeder bildet sich hierzu seine eigene Meinung und in diesem Beitrag soll auch nicht über den Sinn oder Unsinn philosophiert werden. Manch ein Arbeitgeber könnte es aber ein Anliegen sein oder werden, dass seine Beschäftigten mit direkten Kundenkontakt auf lange Sicht geimpft sind. Vielleicht möchten einzelne Mitarbeitende auch nur noch mit geimpften Kollegen zusammenarbeiten. Darf der Arbeitgeber also danach fragen, ob man sich impfen lässt und/oder kann er dies zur Voraussetzung für die Begründung eines Arbeitsverhältnisses verlangen?

Dies lässt sich grundsätzlich verneinen. Auch bei den Impfdaten handelt es sich um Gesundheitsdaten, deren Zulässigkeit der Verarbeitung sich an die engen Voraussetzungen von Art. 9 Abs. 2 DSGVO bemisst. So auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen:

„Impfdaten sind als Gesundheitsdaten besonders geschützt und dürfen nur in besonderen Ausnahmefällen von Privaten verarbeitet werden. Es ist ein Irrtum zu glauben, dass die Vertragsfreiheit zu den Ausnahmetatbeständen gehört.“

Nur wenn der Gesetzgeber eine Impflicht regelt und deren Einhaltung vom Arbeitgeber kontrolliert werden muss, dürfen diese Informationen verarbeitet werden. Der Europäische Gerichtshof für Menschenrechte hat jüngst entschieden, dass nationale Impfpflichten grundsätzlich zulässig sind. Hier ging es zwar um eine tschechische Regelung, wonach Kindern bestimmte Impfungen haben müssen, um den Kindergärten besuchen zu dürfen. Diese erachtete der EGMR für zulässig. Aber mit Blick auf Corona-Schutzimpfungen scheinen solchen Regelungen für die Zukunft nicht abwegig.

Es ist im Übrigen nicht möglich, sich eine Einwilligungserklärung einzuholen, da hier die Freiwilligkeit aufgrund des Über- und Unterordnungsverhältnisses im Beschäftigungsverhältnis nicht gewahrt sein wird. Auch Verstöße des Kopplungsverbotes kommen hier in Betracht.

Woran müssen Arbeitgeber noch denken?

Egal, welche Maßnahmen zur Eindämmung der Corona-Pandemie ergriffen werden, folgende Aspekte sollten Arbeitgeber immer bedenken:

  • Der Grundsatz der Datensparsamkeit gebietet es, nur die erforderlichen Informationen einzuholen. Unnötige Informationen sollte man am Besten gar nicht erst erheben oder jedenfalls als freiwillige Angaben markieren.
  • Keine Verarbeitung personenbezogener Daten ohne Rechtsgrundlage. Da diese ohnehin nicht immer identifizierbar sind und mit den ständig ändernden Rechtsverordnungen es erst recht nicht leicht ist, sollte der Datenschutzbeauftragte einbezogen werden.
  • Da es sich hier oftmals um Gesundheitsdaten handelt und diese sensibel sind, sind diese besonders vor unberechtigten Personen zu schützen. Sowohl die IT-Sicherheit als auch organisatorische Prozesse sollten daher kritisch überprüft werden.
  • Aus Art. 30 Abs. 1 DSGVO ergibt sich die Pflicht, Verarbeitungsprozesse zu dokumentieren.
  • Personenbezogene Daten sind zu löschen, wenn der Zweck erreicht oder entfallen ist und auch sonst keine Aufbewahrungspflicht mehr besteht. Im Zusammenhang mit Corona-Maßnahmen genügt regelmäßig eine Aufbewahrung von 4 Wochen. Danach sollten die Daten sicher gelöscht werden.
  • Bitte nicht die Informationspflichten aus Artt. 12 und 13 DSGVO vergessen. Dies gilt auch bei der Einholung von Einwilligungserklärungen, da diese sonst unwirksam sind.
  • Betriebsräte oder sonstige Mitarbeitervertretungen sollten ebenfalls vorab einbezogen werden. Teilweise kann sich auch ein Mitbestimmungsrecht aus § 87 BetrVG ergeben.

Gerade der Aspekt der Informationspflichten muss nochmal hervorgehoben werden. Die Berliner Senatsverhaltung hat vorbildlich für die Bescheinigung des Testergebnisse durch den Arbeitgeber eine Vorlage erstellt und zur Verfügung gestellt. Leider vermisst man bei dieser Vorlage die Informationspflichten. Diese müssen also Arbeitgeber also selbständig ergänzen. Klarer Fall von „Vertrauen ist gut, Kontrolle ist besser.“

Eindämmung von Corona vs. Datenschutz?!

Es gibt viele Möglichkeiten, wie man die Ausbreitung des Corona-Virus eindämmen kann. Aber auch hier darf nie der Blick für den Datenschutz verloren gehen. Dies darf bitte nicht so missverstanden werden, dass man sich hier zwischen den Gesundheitsschutz und dem Schutz personenbezogener Daten entscheiden muss. Denn beides kann in Ausgleich gebracht werden.

Vielmehr muss die Regierung – und früher oder später auch der Gesetzgeber – hier rechtssichere Regelungen schaffen. Teilweise lesen sich die Verordnungen so, dass zwar die Ziele klar sind, aber die konkrete Umsetzung durch Unternehmen und Arbeitgeber wird teilweise offengelassen. Also bitte konkret regeln, welche Daten vom Unternehmen verarbeitet werden dürfen, ob es sich dabei um eine gesetzliche Pflicht oder um eine freiwillige Alternative handelt und wie lange diese gespeichert werden dürfen. Es darf nicht sein, dass Verantwortliche in die Zwickmühle geraten, dass sie sich zwischen dem Bußgeldkatalog der DSGVO oder der Corona-Verordnung entscheiden müssen, weil sie nicht alle auferlegten Rechtsvorschriften gleichermaßen erfüllen können. Auch muss bedacht werden, dass die DSGVO zwar von allen Verantwortlichen zu beachten ist, aber nicht jeder einen Datenschutzbeauftragten an seiner Seite hat. Wenn die Regierung schon Vorlagen für die Unternehmen entwirft, dann bitte doch auch so, dass diese unbedenklich und ohne weiteren Ergänzungen genutzt werden können.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutzberatung

22 Kommentare zu diesem Beitrag

  1. Meine Frage bezieht sich auf folgende Situation. Helfer vom einer Hilfsorganisation sind bei einer C-19-Teststelle eingesetzt. Bevor diese jedoch den Dienst aufnehmen dürfen, müssen sie einen Schnelltest machen. Bei einem positiven Ergebnis darf der Helfer nicht eingesetzt werden. Darf die Hilfsorganisation dies in den Akten vermerken? Muss auch hier die DSVGO beachtet werden?

    • Durch den Vermerk in den Akten ist der Anwendungsbereich der DSGVO grundsätzlich eröffnet. Es gibt hier auch keine Ausnahmebereich für Hilfsorganisationen. Eine Ausnahme bestünde nur für ausschließlich persönliche oder familiäre Tätigkeiten (vgl. Art. 2 Abs. 2 d DSGVO), was hier aber nicht greifen wird.

      Im Übrigen sollte die Verarbeitung des Testergebnisses durch die Hilfsorganisation im Einklang mit der jeweiligen landesrechtlichen Verordnung erfolgen. Wie aus dem Beitrag hervorgeht, kann man hier leider keine pauschale Antwort geben.

    • Corona Tests, egal welche, deren Resultat eine direkte Konsequenz für die Betroffenen haben, sind automatisierte Einzelentscheidungen nach Art. 22 DSGVO. Dies gilt insbesondere auch für die PCR-Test, deren positives Resultat eine Quarantäne zur Folge hätte.
      Dieser Umstand wurde bisher (leider) noch nicht beachtet und berücksichtigt, hat dies doch insbesondere für umfangreiche Massentests an Schule Auswirkungen.

  2. Vielen Dank für den Beitrag.
    Freuen würde ich mich über einen ähnlichen Beitrag zum Thema Testpflicht in Schulen zur Qualifizierung am Präsenzunterricht. Und auch darüber, ob den positiv getesteten Kindern nicht ein Beschulung auf gleichem Niveau wie dem Präsenzunterricht zugänglich gemacht werden kann. In NRW ist es alternativ zur Testung im Klassenverband auch möglich einen bestätigten Bürgertest vorzulegen. Wer müsste den bezahlen, damit alle Kinder diese Wahlmöglichkeit haben? Darf die Schule Listen führen (Name, Datum, Testergebnis) und wie lange darf die Schule diese aufheben? Zur Nachdruckverleihung, gäbe es Schadensersatz?

    • Danke für die lobende Worte.
      In der Tat wäre dies ebenfalls ein interessanter und komplexer Beitrag. Aber auch bei diesem Thema kann man keine pauschale Antworten geben, weil hier neben landesrechtlich-unterschiedlichen Regelungen zur Bekämpfung der Corona-Pandemie auch noch das unterschiedlich geregelte Schulrecht zu beachten ist. Schule ist nämlich ebenfalls Ländersache. Teilweise räumen die Länder sogar den einzelnen Kommunen Handlungsspielräume ein.

      Hinsichtlich der Kosten kann wohl – ohne Gewähr – dies so beantwortet werden, dass bei Einführung einer Testpflicht für Schuler/innen an öffentlichen Schulen gewährleistet sein muss, dass die Teilnahme an Präsenzunterricht nicht vom Geldbeutel der Eltern abhängen darf. Entweder sehen die Regelungen so aus, dass die Schulen die Kosten für alle Schüler/innen tragen müssen oder die Kosten werden einkommensschwachen Eltern unter bestimmten Voraussetzungen erstattet bzw. abgenommen.
      Für private Schulen können sich Sonderreglungen hinsichtlich der Kostenregelung ergeben.

  3. Hallo,
    ich fände es toll wenn bei solchen Artikeln auch die Arbeitgeber und Arbeitnehmer von öffentlichen Stellen, Landes- und Bundesbehörden einbezogen würden. Meist ist oft nur von Betrieben oder ähnlichem die Rede. Gerade auch was die Abstellung auf Art. 6 lit. f angeht, der ja für Behörden zu 99% nicht herangezogen werden kann, wenn überhaupt.
    Schöne Woche!
    Jörg

  4. Vielen Dank für den umfangreichen Beitrag, der an mehreren Stellen Bezug auf § 26 Abs. 7 BDSG nimmt. M.E. verstößt diese Vorschrift gegen höherrangiges Recht, da die DSGVO mit Art. 88 den nationalen Gesetzgebern zwar die Möglichkeit zu Regelungen des Beschäftigtendatenschutzes einräumt, jedoch keine Klausel zur Änderung des sachlichen Anwendungsbereichs (Art. 2 DSGVO) und die Schaffung eines „Nebendatenschutzrechts“ für nicht automatisierte Verarbeitungen enthält. Gleiches gilt für die Legaldefinitionen der DSGVO, hier Art. 4 Nr. 2, wonach die Verarbeitung personenbezogener Daten (darauf nimmt § 26 Abs. 7 BDSG ausdrücklich Bezug) mittels automatisierter Verfahren erfolgen muss. Wenn also ein Tester dem Getesteten das Ergebnis mündlich mitteilt, aber nicht automatisiert oder teilautomatisiert speichert, ist m.E. das gesamte Datenschutzrecht sachlich nicht anwendbar.

    • Vielen Dank für Ihren Kommentar.
      Ihre Bedenken können wir jedoch – glücklicherweise – entkräften:

      Dass § 26 Abs. 7 BDSG datenschutzrechtliche Regelungen im Beschäftigtenkontext etabliert, die auch gelten, ohne dass die Daten „in einem Dateisystem gespeichert sind oder gespeichert werden sollen“, verstößt keineswegs gegen die DSGVO. Ganz im Gegenteil beansprucht die DSGVO nach ihrem Anwendungsbereich (Art. 2 Abs. 1) für solche Fälle gar keine Geltung. Daher stand es dem deutschen Gesetzgeber frei, für diese Fälle eine eigene Regelung zu schaffen. Wie diese Schaffung eines „Nebendatenschutzrechts“, wie Sie es genannt haben, rechtspolitisch zu beurteilen ist, sei an dieser Stelle dahingestellt. Die Diskussion um das Schutzgut und -konzept des Datenschutzrechts im Allgemeinen ist jedenfalls ein Dauerbrenner.

      Art. 4 Nr. 2 DSGVO sollten Sie sich vielleicht noch einmal genauer ansehen: Gemäß dieser Legaldefinition kann eine „Verarbeitung“ nämlich explizit „mit oder ohne Hilfe automatisierter Verfahren“ erfolgen. § 26 Abs. 7 BDSG steht also auch insoweit nicht im Widerspruch zur DSGVO.

  5. Kann man als Arbeitnehmer auf eine Aushändigung des Testergebnisses bestehen ?

    Unsere Geschäftsführung bietet zwar Schnelltests an, möchte aber keine Bestätigungen aushändigen falls der Test negativ ist. (Wäre ja für diverse Einkäufe sinnvoll, ist aber nicht gewollt von der GF)

    • Aus der jeweiligen Rechtsverordnung des Bundesländer kann sich bereits direkt ein Anspruch auf Aushändigung einer Bescheinigung des Tests ergeben, wie dies auch im Blogartikel erläutert wird. Dies trifft beispielsweise für Berlin derzeit so zu.
      Der Verordnungsgeber hat dies sicherlich aus den von ihnen angeführten Gründen so geregelt, damit die bereits gemachten Tests auch sinnvoll für die Wirtschaft genutzt werden kann und man unnötige doppelte Testungen (und damit mögliche Engpässe bei verfügbaren Tests) vermeiden kann.

      Wenn in der Rechtsverordnung selbst keine Pflicht des Arbeitgebers ausdrücklich normiert ist, könnte man versuchen dies über ein Auskunftsrecht (gekoppelt mit Recht auf Kopie) aus Art. 15 DSGVO durchzusetzen. Hier könnte vielleicht Streit darüber entstehen, was konkret zum Auskunftsrecht zählt, da dies in der Rechtsprechung noch nicht einheitlich beantwortet wurde. Schwierig kann dies insbesondere dann werden, wenn der Arbeitgeber das Testergebnis selbst gar nicht dokumentiert.

      Ggf. können sich aber auch aus dem Arbeitsverhältnis eine entsprechende Nebenpflicht ergeben. Dies müsste von einem Juristen mit Expertise im Arbeitsrecht beurteilt werden und kann daher nicht durch uns an dieser Stelle geklärt werden.

  6. Hallo Dr. Datenschutz,
    ich habe ein positives Schnelltestergebnis mit anschließenden positiven PCR-Testergebnis erhalten.
    Ich habe meinem Arbeitgeber einen Krankenmeldeschein vom Hausarzt eingereicht. Nun verlangt mein Arbeitgeber die Laborergebnisse meines PCR-Tests. Ist das überhaupt notwendig?
    Vielen Dank im Vorraus

    • Hier stellt sich bereits die Frage, warum der Arbeitgeber das konkrete Laborergebnis wünscht. Eventuell möchte der Arbeitgeber den Arbeitsausfall über den Staat anstatt der Krankenkasse ausgleichen lassen. Die Krankschreibung vom Hausarzt genügt zur Geltendmachung hierfür grundsätzlich nicht. Allerdings wäre die von der Gesundheitsbehörde erteilte Quarantäne-Anordnung zu verwenden. Das Laborergebnis wäre hierfür also nicht erforderlich.

      Das neue Infektionsschutzgesetz des Bundes verpflichtet Arbeitnehmer ebenfalls nicht, die Laborergebnisse zu überreichen. Aus spezifischen Landesrecht kann sich natürlich eine abweichende Bewertung ergeben, aber es sind derzeit keine solche Pflichten bekannt. Und dann wäre auch immer zu prüfen, ob diese noch neben der neuen Bundesregelung Anwendung finden.

      Letztlich muss der Arbeitgeber darlegen, auf welcher Rechtsgrundlage er die Herausgabe des Testergebnisses verlangt. Datenschutzrechtlicher Maßstab ist jedenfalls Art. 9 Abs. 2 DSGVO.

  7. Hallo Dr. Datenschutz,
    ich gehöre zur Impf-Gruppe Prio 3 „kritische Infrastruktur“ und würde mich gern impfen lassen. Es muss eine entsprechende Arbeitgeberbescheinigung vorgelegt werden.
    Mein Arbeitgeber hat dies bereits angeboten allerdings läuft das Ganze über die Personalabteilung. Davon bin ich nicht begeistert – mit Datenschutz hat das nichts zu tun oder liege ich falsch?
    Ich habe in Beitrag gelesen, dass der Arbeitgeber nicht nach einer Impfung fragen darf.
    Mit dieser Methode bekommt es die Personalabteilung frei Haus geliefert.
    Bitte um Info
    Vielen Dank

    • Hallo Heike, ich springe hier mal rein:
      Die benötigte Bescheinigung (der Einstufung als MitarbeiterIn in kritischer Infrastruktur) von der Personalabteilung ausstellen zu lassen, das ist völlig in Ordnung. Das ist eine Information, die der Personalabteilung bereits bekannt ist, dies zu bescheinigen wirft erst einmal keine DS-rechtlichen Fragen auf.
      Aus der (der Anfrage an die Personalabteilung) impliziten Information, dass Sie bisher nicht geimpft sind, entsteht auch kein Problem: Sie begründen damit (notwendigerweise) ihr berechtigtes Interesse an einer Bescheinigung.
      Ob sie die Bescheinigung dann zur Wahrnehmung eines Impftermins nutzen oder nicht, müssen sie ja nicht zurückmelden – so lange in Ihrem Tätigkeitsbereich keine rechtssicher angeordnete Impfplicht besteht.
      Insofern gewinnt die Personalabteilung ja gar keine Information…

  8. Darf der Arbeigeber die Kenntnis, dass ein Arbeitnehmer geimpft ist oder infiziert war, nutzen, um die Herausgabe von Schnelltests zu verweigern? In unserem Fall wurden vom Arbeitgeber für die Impftermine Zeitstunden gutgeschrieben, und für die Infektion werden zu Abrechnungszwecken die Quarantänebescheide eingefordert. Jetzt sollen die Betreffenden keine Arbeitgeberschnelltests mehr bekommen (Öffentlicher Dienst, sensibler Bereich).
    Danke schon im Voraus!
    Carolin

    • Vielen Dank für Ihre Anfrage. Die Antwort zu ihrer Frage ergibt sich nicht aus dem Datenschutz, sondern vielmehr ob das Verhalten des Arbeitgebers nach dem Arbeitsrecht und Infektionsschutzgesetz zulässig ist.
      Ob der Arbeitgeber die Frage nach Impfung oder Genesung überhaupt stellen darf, richtet sich nach Art. 9 Abs. 2 DSGVO i.V.m. mit den jeweils geltenden Vorschriften zum Infektionsschutzgesetz sowie Arbeitsschutzbestimmungen.

      • Vielen Dank für die Antwort. Es geht aber darum, dass der Arbeitgeber nicht nach Impfung oder Infektion gefragt hat, sondern einfach die ihm in der Zeiterfassung vorliegenden Angaben nutzt, um den Mitarbeitern die Herausgabe der Schnelltests zu verweigern. Ist das datenschutzrechtlich zulässig?

        • Es macht rechtlich erstmal keinen Unterschied, ob der Arbeitgeber direkt nach einer Impfung oder Genesung fragt oder sich dies indirekt aus bereits vorhandenen Informationen dies ableitet. Auch in diesem Falle beurteilt sich die Zulässigkeit der Datenverarbeitung nach Art. 9 Abs. 2 DSGVO i.V.m. mit den jeweils geltenden Vorschriften zum Infektionsschutzgesetz sowie Arbeitsschutzbestimmungen. Zudem würde in dem von Ihnen geschilderten Fall eine Zweckänderung der bereits vorhandenen Informationen erfolgen, sodass auch die Rechtsgedanken aus Art. 6 Abs. 4 DSGVO zu beachten sind. Danach ist eine Zweckänderung nur zulässig, wenn der ursprüngliche Zweck mit dem neuen Zweck vereinbar ist. Hier wird einerseits der Umstand der beiden Datenverarbeitungen verglichen und die Erwartungshaltung der Betroffenen berücksichtigt.

          Die Zweite SARS-CoV-2-Infektionsschutzmaßnahmenverordnung des Bundeslandes Berlin sieht beispielsweise die Pflicht des Arbeitgebers, seinen Mitarbeitern ein Testangebot anzubieten, uneingeschränkt vor. Zugunsten der Arbeitgeber ist aber zu berücksichtigen, dass die Bereitstellung dieser Tests finanzielle Unternehmensressourcen beansprucht, die der Arbeitgeber daher so gering wie möglich halten möchte. Da die Rechtsverordnungen viele Fragen offen lassen, kann man auch schwer sagen, dass das uneingeschränkte Testangebot absichtlich so geregelt wurde. Leider ist es derzeit wahrscheinlicher, dass sich die Regierung und der Gesetzgeber mit diesen Fragen einfach noch nicht auseinandergesetzt haben.

          Aufgrund dieser neuen und recht ungeklärten Rechtslage kann daher ihre Frage nicht eindeutig beantwortet werden, zumal auch dieser Blog keine individuelle Rechtsberatung leisten kann und darf.

  9. Dürfen Statistiken mit Angabe wieviel Mitarbeiter infiziert und wieviel in Quarantäne waren durch den Personalrat veröffentlicht werden? Es werden nur Zahlen genannt, keine personenbezogenen Daten. Hier vermute ich ein Problem in der Vertraulichkeit, da das positive Ergebnis und die Quarantäne nur einen begrenzten Personenkreis mitgeteilt wurde und jetzt statistisch ausgewertet wurde. Wie sehen Sie es?
    Danke im voraus
    Wolfgang

    • Soweit durch die Statistiken ausgeschlossen ist, dass ein mittelbarer oder unmittelbarer Personenbezug hergestellt werden kann, unterliegen die Statistiken selbst nicht den Regelungen der DSGVO. Ein mittelbarer Bezug kann aber insbesondere dann möglich sein, wenn die Gruppieren zu klein erfolgen oder Gruppen Merkmale aufweisen, die nur auf einzelne Mitarbeiter zutreffen. Wenn beispielsweise in der Statistik erkennbar ist, dass an einem Standort 2 von 3 Mitarbeiter erkrankt und 3 von 3 Mitarbeiter in Quarantäne waren, dann ist hierdurch eine mittelbare Zuordnung Leichtens möglich.
      Wenn das Unternehmen eine hohe Mitarbeiteranzahl hat und die Statistik sehr allgemein hält, kann dies datenschutzrechtlich unproblematisch sein.

      Die Notwendigkeit der Veröffentlichung einer solchen Statistik mit Blick auf den Mitarbeiterschutz erscheint hier aber fragwürdig. Sehr wahrscheinlich wird über andere Krankheiten auch keine Statistik geführt und man kann sich fragen, was mit der Statistik bezweckt werden soll. Sollen Mitarbeitergruppen, die sich mit dem Covid-19-Virus infiziert hatten oder wegen Kontakt zu Infizierten in Quarantäne mussten, an den Pranger gestellt werden?! Falls man der Rechtsaufassung vertritt, wonach der Anonymisierungsvorgang (wozu auch die Erstellung einer Statistik in gewisser Weise gehört) selbst eine Rechtsgrundlage nach Art. 6 oder 9 DSGVO bedarf, könnte man hier aus diesem Grunde auch die Erforderlichkeit der Datenverarbeitung hinterfragen. Eine Statistik, um den wirtschaftlichen Schaden für das Unternehmen wegen der Corona-Pandemie zu ermitteln, lässt sich noch ggf. rechtfertigen. Die Veröffentlichung durch den Personalrat wären von diesen legitimen Gründen aber nicht mehr gedeckt.

  10. Sie haben das hier sehr gut für Arbeitgeber/Arbeitnehmer dargestellt. Wie sieht es denn aber bei Veranstaltungen aus (bspw. Konferenzen oder so)? Hat man da nicht auch irgendwie eine Pflicht sowas zu checken und zu dokumentieren? Besten Dank

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.