Bundesweit kostenfreie Erstberatung per Telefon und E-Mail Erstberatung:
 info@jurando.de  0800 18 272 00

Corona-Virus vs. Datenschutz (DSGVO)

15.03.2020: DSGVO in der Corona-Krise  

Corona-Virus vs. Daten­schutz: Was Unternehmen jetzt beachten müssen

Corona-Virus vs. Datenschutz: Das SARS-CoV-2, besser bekannt als „Covid-19“, macht selbst vor datenschutzrechtlichen Belangen keinen Halt: Maßnahmen zur Corona-Prävention können - mit Blick auf den Datenschutz - nicht ohne weiteres umgesetzt werden. Was Unternehmen im Rahmen von zu treffenden Maßnahmen zur Eindämmung, sowie zur Verhinderung der Ausbreitung des Virus in ihrem Unternehmen zu beachten haben, wollen wir nachfolgend kurz erläutern.

Corona-Virus vs. Datenschutz: Was Unternehmen jetzt beachten müssen
Quelle: © peterschreiber.media – stock.adobe.com

Update vom 23.03.2020: Wie Unternehmen sich vor dem Corona-Virus schützen - Die neue Rechtsaufassung der DSK

In unserem Ursprungsartikel vom 15.03.2020 hatten wir Sie bereits darüber informiert, wie Unternehmen sich intern auf die Ausweitung des Corona- Virus vorbereiten und welche Schutzmaßnahmen sie hierfür ergreifen. Die Datenschutzkonferenz (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, sah bis vor kurzem, insbesondere die Schutzmaßnahme in Form einer vor Betreten eines Betriebsgeländes durchzuführenden automatischen Temperaturmessung sämtlicher Beschäftigter und Besucher eines Unternehmens, sehr kritisch. Die DSK hat ihre Rechtsauffassung zu dieser Art der Schutzmaßnahme nunmehr - mit Blick auf den zunehmenden Anstieg an Infizierten - drastisch geändert.

Die Zahl der an dem Corona- Virus infizierten Menschen steigt nicht nur in Italien von Tag zu Tag drastisch an. Weltweit sind aktuell fast mehr als 330.00 Menschen infiziert, die Anzahl der an COVID- 19 verstorbenen Patienten liegt aktuell bei 14.400. Auch Deutschland weist immer mehr Fälle auf; so liegt die Zahl der Infizierten allein in Nordrhein- Westfalen zur Zeit bei rund 7.361 nachgewiesenen Fällen (Stand 22.03.2020, 11 Uhr), dass sind gut 600 Fälle mehr, als noch am Vortag. Ein Ende dieses exponentiellen Wachstums ist noch lange nicht in Sicht. Wie bereits mitgeteilt, schätzen Experten die Zahl der noch zu erwartenden Infizierten auf rund 60 - 70 Prozent (knapp 50 - 58 Millionen) der deutschen Bevölkerung.

Verständlich ist daher, dass Unternehmen alles versuchen, um eine Ausbreitung des Virus unter den Beschäftigten zu verhindern.

Die Schutzmaßnahme in Form einer automatischen Messung der Körpertemperatur bei Beschäftigten und Besuchern

Insbesondere der Zutritt zum Betriebsgelände eines Unternehmens bedarf nunmehr einer strengeren Überwachung. Unternehmen statten daher ihre bereits vorhandenen Vereinzelungsschleusen ("Drehkreuze") mit Infrarotwärmebildkameras aus, die beim Passieren der Schleuse automatisch die Körpertemperatur der jeweiligen Person messen soll. Sobald eine erhöhte Körpertemperatur (ab 37,5 Grad Celsius) festgestellt wird, soll dann ein Warnhinweis ertönen und bei der betroffenen Person eine - erneute - Fiebermessung durchgeführt und Maßnahmen wie Freistellung und/ oder Zutrittsverweigerung ergriffen werden.

Sind solche Schutzmaßnahmen datenschutzkonform?

Bis vor kurzen war es aus datenschutzrechtlichen Gründen eigentlich undenkbar, diese Schutzmaßnahme in Unternehmen umzusetzen. Denn, zu den personenbezogenen Daten im Sinne der DSGVO zählen auch die Gesundheitsdaten, die grundsätzlich dem ausdrücklichen Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO unterliegen. Demnach ist eine Erhebung und Verarbeitung dieser Daten eigentlich nur unter bestimmten Voraussetzungen gestattet. Durch die automatische Temperaturmessung werden Messdaten - Gesundheitsdaten - von Beschäftigten und Besuchern des Unternehmens gesammelt. Eine Verarbeitung dieser Daten darf  demnach eigentlich nur erfolgen, wenn eine Ausnahmeregelung im Sinne des Art. 9 Abs. 2 DSGVO zur Erhebung und Speicherung dieser Gesundheitsdaten vorliegt.

Nach einer Pressemitteilung der DSK dürfte es nunmher aber zulässig sein, dass Unternehmen bei Ihren Mitarbeitern und Besuchern automatisierte Fiebermessungen im Rahmen von Eingangskontrollen bei Vereinzelungsschleusen durchführen! Voraussetzung hierfür ist jedoch, dass die Fiebermessungen auf freiwilliger Basis erfolgen, und die hierbei gewonnenen Daten nicht gespeichert werden. Diese Art der Gesundheitsdatengewinnung verstöße nicht gegen datenschutzrechtliche Grundsätze und sei zum Schutz der Arbeitnehmer vor einer Infektion mit dem neuartigen Corona-Virus und zur Eindämmung einer weiteren Ausbreitung des Virus erforderlich und zweckmäßig, gleichwohl die Verarbeitung von Gesundheitsdaten nach Art. 9 DSGVO nur restriktiv möglich sei.

Bei der Berechtigung zur Verarbeitung dieser so gewonnen Gesundheitsdaten ist zwischen zwei Arten von Arbeitgebern zu differenzieren: die Berechtigung für öffentlich- rechtliche Arbeitgeber folgt grundsätzlich aus Art. 6 Abs. 1 S. 1 lit. e DSGVO; die Berechtigung zur Verarbeitung für Arbeitgeber im nicht- öffentlich rechtlichen Bereich folgt hingegen aus § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 S. 1lit. f DSGVO in Verbindung mit den einschlägigen beamtenrechtlichen sowie tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts.

Nach Auffassung der DSK erscheint es aber weiterhin schwierig, diese Art der Datenverarbeitung auf Grundlage des § 26 Abs. 3 BDSG „Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses“ zu stützen. Die Verarbeitung von pbD zu diesem Zwecke ist nur dann zulässig, wenn sie „zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt“. Die automatisierte (und zwanghafte) Fiebermessung beim Passieren eines Drehkreuzes verfolgt jedoch keiner der in § 26 Abs. 3 BDSG genannten Zwecke, sondern dient lediglich dazu, eine „möglicherweise“ mit dem Corona- Virus infizierte Personen frühzeitig am Betreten des Betriebsgeländes zu hindern.

Erfordernis einer datenschutzrechtlichen Einwilligung nicht mehr erforderlich

Die Verarbeitung der durch die automatisierte Fiebermessung gewonnenen Gesundheitsdaten bedarf somit grundsätzlich keiner seitens der Beschäftigten und/ oder Besucher erteilten ausdrücklichen Einwilligung, darf aber auch nicht zwangsweise, bzw. der Folge einer möglichen Zutrittsverwehrung, durchgesetzt werden. Unternehmen und Arbeitgeber sind  auch weiterhin gehalten, die Personen, deren Gesundheitsdaten im Wegen der automatisierten - freiwilligen - Fiebermessung erhoben werden, vollumfänglich über die Verarbeitung sowie den Zweck einer solchen aufzuklären.

Hürden im Zuge der praktischen Umsetzung

Wie und ob sich diese Schutzmaßnahme jedoch in der Praxis zum Schutz der Ausbreitung des Virus bewährt, erscheint jedoh weiterhin fraglich. Auch die Frage, ob die bei dieser Maßnahme gewonnen Messdate, zur Erreichung des Zwecks - Identifizierung von infizierten Beschäftigten/ Schutz der Beschäftigten vor einer möglichen Infektion - tatsächlich erfolgsversprechend ist, bleibt erst einmal unbeantwortet. Am Corona-Virus infizierte Personen leiden nicht zwingend an Fiebersymptomen, sodass die Messung der Körpertemperatur bei diesen Personen keinen Sinn ergibt. Auch ist Fieber nur ein generelles Symptom, dass den ersten Hinweis auf einen im Körper befindlichen Entzündungsprozess liefert. Eine erhöhte Körpertemperatur kann somit auch Folge eines anderen Prozesses sein und lässt einen zwingenden Rückschluss auf das Corona-Virus nicht zu.

Unternehmen ist daher zu raten sich nicht ausschließlich auf die automatisierten Fieber- bzw. Körpertemperaturmessung im Rahmen von Zutrittskontrollen bei Beschäftigten und Besuchern zu verlassen.

Datenschutzkonforme und unbedenkliche Schutzmaßnahmen

Hinweisschilder für Mitarbeiter und Besucher sollten darauf aufmerksam machen, auf das Händeschütteln zu verzichten und zum vermehrten Händewaschen, sowie dem Griff zum Desinfektionsmittel aufzufordern. Datenschutzrechtlich unbedenklich ist, Zugangssperren für bestimmte öffentliche Bereiche im Unternehmen zu verhängen oder Besuchsmöglichkeiten zu beschränken. Informieren Sie Besucher und Beschäftigte und sprechen Handlungsempfehlungen aus, die generelle Informationen enthalten wie zum Beispiel „falls Sie an den nachfolgend aufgezählten Symptomen leiden, bitten wir Sie - um einer möglichen Infizierung unserer Beschäftigten vorzubeugen - unser Gelände und unsere Räumlichkeiten nicht zu betreten“.

Auch ist Arbeitgeber und Unternehmen zu raten, so vielen Mitarbeitern wie möglich, einen Home- Office Arbeitsplatz einzurichten. Welche datenschutzrechtlichen Anforderungen hierbei zu beachten sind, erfahren Sie in unserem anderen Artikel "Datenschutz - Home- Office in der Corona- Krise".

Die Fürsorgepflicht des Arbeitgebers in Zeiten der Corona-Pandemie

Dem Arbeitgeber obliegt eine Fürsorgepflicht gegenüber jedem einzelnen Arbeitnehmer, die ihn dazu verpflichtet, den Gesundheitsschutz der Gesamtheit aller Beschäftigten und/ oder Besucher in einem Unternehmen sicherzustellen. Hierzu zählt insbesondere die angemessene und notwendige Reaktion auf die pandemische Ausbreitung des neuartigen Corona- Virus Covid 19.  Die von den Unternehmen getroffenen Schutzmaßnahmen dienen sowohl zur Verhinderung der weiteren Ausbreitung, dem Schutz vor einer möglichen Infektion, als auch der Vorsorge und Nachverfolgbarkeit, also der nachgelagerten Vorsorge gegenüber möglichen Kontaktpersonen.

Darüber hinaus können Unternehmen beispielsweise noch die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Corona- Pandemie als datenschutzrechtlich legitimiert betrachtet werden:

Erhebung und Verarbeitung pbD und Gesundheitsdaten von Beschäftigten durch den Arbeitgeber/ Dienstherrn, um eine Ausbreitung des Virus unter den Beschäftigten zu verhindern und/ oder bestmöglich einzudämmen

Erhebung und Verarbeitung pbD inkl. Gesundheitsdaten von Gästen und Besuchern, insbesondere um festzustellen, ob diese selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen oder sich im relevanten Zeitraum in einem Risikogebiet aufgehalten haben.

Unternehmen haben jedoch zu beachten, dass die Offenlegung pbD von nachweislich infizierten Personen oder unter Infektionsverdacht stehenden Kontaktpersonen nur dann datenschutzrechtlich legitim ist, wenn die Kenntnis der Identität für die zu treffenden Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Ihr Unternehmen hat individuelle Fragen zu Corona & DSGVO?

Unser Team aus TÜV-zertifizierten Datenschutzbeauftragten berät Sie gerne bei zu individuellen Fragen zum Datenschutz in Verbindung mit der Corona-Krise. Sprechen Sie uns jederzeit telefonsich (0800 1827200) oder per E-Mail an: info@jurando.de .

>> Unsere Leistungen als Datenschutzbeauftragter >> Demo-Schulung zur DSGVO starten (Dauer: 20min.)
15.03.2020: DSGVO in der Corona-Krise

Dr. Dennis Werner

Fachanwalt für IT-Recht
TÜV-zertifizierter Datenschutz­beauftragter

Corona-Virus vs. Datenschutz: Was Unternehmen jetzt beachten müssen

Fragen zum Datenschutz?

Rufen Sie uns an
0800 18 272 00
Oder schreiben Sie uns
info@jurando.de
Wie wir Sie im Datenschutz unterstützen,
erfahren Sie im Video.

Datenschutzlösungen im Vergleich

Kein Datenschutz­beauftragter Trotz Verpflichtung
  • Kein Datenschutz­beauftragter
  • Bußgelder bis 10 Mio. € auch gegenüber kleinen Unternehmen
  • Abmahnrisiko durch Mitbewerber
  • Haftung der Geschäftsführung
  • Reputationsverlust bei Geschäftspartnern
Klassischer Datenschutz­beauftragter Interner/Externer DSB vor Ort
  • Interner o. externer Datenschutz­beauftragter
  • Ansprechpartner bei allen Fragen zum Datenschutz
  • Keine moderne Softwarelösung
  • Meist höhere Kosten durch Vor-Ort-Schulungen
  • Interner DSB: Arbeitsrechtlicher Kündigungsschutz
  • Interner DSB: Zeit- und kostenaufwendige Aus-/Fortbildung
Digitaler Datenschutz­beauftragter Die Jurando-Lösung
  • Externer Datenschutz­beauftragter
  • Ansprechpartner bei allen Fragen zum Datenschutz
  • Minimaler eigener Zeitaufwand
  • Keine kostenintensiven Vor-Ort-Termine erforderlich
  • Datenschutz-Management-Software automatisiert Prozesse
  • Ständig aktuelles Datenschutz-Management-Handbuch
  • E-Learning zur Mitarbeiter­schulung

Kundenmeinungen

„Wir sind ein kleiner Betrieb, hatten mit Datenschutz bisher wenig zu tun. Die Mitarbeiter von Jurando GmbH haben uns bei den ersten Schritten geholfen und uns kompetent bei der Umsetzung der neuen Pflichten unterstützt.“

Christian K.

„Das Team von Jurando hat mich schnell mit einem Sofort-Maßnahmen-Paket zur Aktualisierung meiner Datenschutzerklärung unterstützt. Mein Ansprechpartner war gut erreichbar. Deshalb: 5 Sterne!“

Michael S.

„Ich bin viel zu spät auf die Datenschutzverordnung aufmerksam geworden. Zum Glück habe ich noch jurando gefunden, die mich kurzfristig bei der Umsetzung der wichtigsten Verpflichtungen unterstützt hat.“

Dieter W.

„Da wir über 10 Mitarbeiter sind, mussten wir im Mai den neuen Datenschutz befolgen. Wir sind dann im Web auf dieses Angebot gekommen und wurden in mehreren persönlichen Gesprächen gut von Dr. Werner unterstützt“

Ardian F.

„Bei uns war ein Datenschutzbeauftragter erforderlich. Den haben wir hier unkompliziert gefunden. Bisher alles gut.“

Daniel T.

„Als Arztpraxis hatte man uns auf die DSGVO aufmerksam gemacht. Ich bin dann bei ihrer Veranstaltung im Kulturhaus gewesen. Gut, dass wir in unserer Nähe einen Datenschutzbeauftragten als Ansprechpartner gefunden haben.“

Matthias H.

JURANDO GmbH hat 4,92 von 5 Sternen | 34 Bewertungen auf ProvenExpert.com
Externer Datenschutzbeauftragter (DSGVO & Datenschutz-Management-Software)
Erfahrungen & Bewertungen zu JURANDO GmbH