Corona

corona-blog-thumbnail

Tatsächlich räumt die DSGVO Arbeitgebern und den zuständigen Gesundheitsbehörden die Möglichkeit ein, personenbezogene Daten im Zusammenhang mit Epidemien (zB. Corona) zu verarbeiten, ohne die Zustimmung der betroffenen Person einholen zu müssen. Etwa, wenn die Verarbeitung personenbezogener Daten für die Arbeitgeber aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder zum Schutz lebenswichtiger Interessen (Art. 6 und 9 DSGVO) oder zur Erfüllung einer anderen gesetzlichen Verpflichtung notwendig ist.

Hier die wichtigsten Fragen und Themen im Überblick:

Darf mein Arbeitgeber meine personenbezogenen Gesundheitsdaten verarbeiten?

Ja, und zwar (zB. Corona):

  • zum Zwecke der Gesundheitsvorsorge, der Eindämmung des Virus und der Heilbehandlung
  • zum Ausschluss von Gesundheitsrisiken am Arbeitsplatz
  • zum Zwecke der Erfüllung arbeits- und sozialrechtlicher Pflichten
  • für die Übermittlung der Gesundheitsdaten an die Gesundheitsbehörden
  • auf Verlangen der Bezirksverwaltungsbehörden zur Auskunftserteilung nach § 5 Abs. 3 Epidemiegesetz 1950

 

Darf mein Arbeitgeber aktuelle private Handynummern oder andere Kontaktdaten von mir erheben?

Zur Risikoprävention ist es zulässig, dass Arbeitgeber die private Handynummer der ArbeitnehmerInnen erfragen und temporär speichern. Dadurch können die Beschäftigten auch kurzfristig gewarnt werden und davor bewahrt werden nicht zunächst im Betrieb oder bei der Arbeit erscheinen. Der AN ist natürlich nicht verpflichtet seine Handynummer herauszugeben. Der AG hat sich also vorab die Einwilligung einzuholen. Nach Ende der Pandemie (zB. Corona) sind daher jene Daten, die nicht mehr notwendig sein werden, (wie insbesondere die privaten Kontaktdaten der ArbeitnehmerInnen) zu löschen.

 

Dürfen Arbeitgeber Informationen darüber erheben und weiterverarbeiten, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte etc.?

Aufgrund ihrer Fürsorgepflicht auch gegenüber anderen Arbeitnehmern sind AG verpflichtet, die erforderlichen Maßnahmen zu treffen, um die betriebliche Sicherheit und Gesundheit der Belegschaft zu gewährleisten. Es ist daher zulässig,

  • Informationen darüber zu erheben, zu welchen Personen der erkrankte Mitarbeiter Kontakt hatte (Art 6 Abs 1 lit c iVm Art 9 Abs 1 und Abs 4 DSGVO)
  • die Arbeitnehmer nach Urlaubsrückkehrer zu befragen, ob sie sich in einem, etwa durch das Robert Koch-Institut festgelegten Risikogebiet, aufgehalten haben. Eine Negativauskunft des AN genügt regelmäßig.

 

Welche arbeitsrechtliche Maßnahmen sind aus datenschutzrechtlicher Sicht als unzulässig zu qualifizieren:

  • Arbeitgeber dürfen den Beschäftigten nicht unter Nennung des konkreten Namens mitteilen, dass ein bestimmter Mitarbeiter am Virus erkrankt ist, da die Kenntnis von der Corona-Erkrankung eines Mitarbeiters für diesen zu einer enormen Stigmatisierung führen kann. Stattdessen können Abteilungs-/ bzw. Teambezogen ohne konkrete Namensnennung Maßnahmen ergriffen werden. Mitarbeiter mit direktem Kontakt zu Infizierten sollten gewarnt und vorübergehend freigestellt werden.
  • Die pauschale Befragung aller Mitarbeiter zu Reisezielen (ohne konkrete Anhaltspunkte oder Reise).
  • Die pauschale Befragung aller Mitarbeiter zu ihrem Gesundheitszustand (z.B. über Grippesymptome).
  • Eine Meldepflicht für Mitarbeiter, wenn ein Kollege Symptome zeigt (italienische Datenschutzaufsicht).
  • Die verpflichtende Fiebermessung von Mitarbeitern am Eingang des Betriebsgeländes oder ähnliche medizinische Maßnahmen (z.B. Rachenabstriche für Speichelproben). Nach anderer Ansicht sind Fiebermessungen zulässig, wenn die Ergebnisse nur für eine Einlasskontrolle mit Entscheidung Zutritt ja/nein genutzt werden.

 

Ist die Nutzung privater Geräte im Home-Office erlaubt?

Eine vorübergehende Verwendung von Privatgeräten sowie die Nutzung von Messengern und Clouddiensten (Videokonferenzen) kann etwa unter folgenden Rahmenbedingungen erlaubt sein:

  • Idealerweise sollte keine Speicherung von sensiblen Daten auf dem Privatgerät erfolgen, ansonsten muss die Möglichkeit zur unkomplizierten Löschung der Daten bestehen.
  • Die Kommunikation sollte möglichst datensparsam erfolgen.
  • Mobile Geräte müssen mindestens durch eine PIN oder ein Passwort geschützt werden.
  • Sobald die Nutzung dieser Dienste nicht mehr erforderlich ist, sind die damit verarbeiteten personenbezogenen Daten zu löschen, insbesondere die zu diesem Zweck gespeicherten Telefonnummern von privaten Geräten.

 

Wenn Sie dazu weitere Fragen haben, nehmen Sie bitte mit mir Kontakt auf: Kontakt

Ich freue mich auf Ihre Nachricht!

Mag. Bettina Rauf

Kommentar schreiben

*