Coronavirus: Für Infektionsschutz dürfen Gesundheitsdaten erhoben werden

Datenschutz und Infektionsbekämpfungsmaßnahmen stehen sich nicht entgegen, stellen die deutschen Datenschutzaufsichtsbehörden gemeinsam fest.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 120 Beiträge

(Bild: vchal/Shutterstock.com)

Von

Viele Arbeitgeber und Beschäftigte stehen vor der Frage, in welchem Umfang sie unter welchen Umständen Gesundheitsdaten austauschen dürfen und müssen. Die Datenschutzaufsichtsbehörden des Bundes und der Länder in der Datenschutzkonferenz (DSK) stellten eine gemeinsame Position vor.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

Mehr zum Coronavirus:

Der Bundesdatenschutzbeauftragte Ulrich Kelber betonte, dass Gesundheitsinformationen sehr sensible Daten seien und Datenverarbeiter sich daher ihrer besonderen Verantwortung bewusst sein sollten. Doch "solange die Maßnahmen der Arbeitgeber und Dienstherren verhältnismäßig sind, steht der Datenschutz der Infektionsbekämpfung nicht im Weg.“ Die Gesundheit der Bürgerinnen und Bürger stehe nämlich jetzt im Mittelpunkt.

Unternehmen und Organisationen können zur Eindämmung der Corona-Pandemie nicht nur die personenbezogenen Daten von Beschäftigten, sondern auch von Gästen und Besuchern erheben und verwenden, um eine Ausbreitung des Virus in der Mitarbeiterschaft zu verhindern. Dazu zählen beispielsweise Daten zu Fällen, in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.

Gesundheitsdaten dürfen auch erhoben werden, wenn im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut als Risikogebiet eingestuften Gebiet stattgefunden hat. Die Daten von nachweislich infizierten Personen oder von Personen, die unter Infektionsverdacht stehen, ist nur dann rechtmäßig, "wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist“. Das bedeutet, dass die Nennung des Namens grundsätzlich zu vermeiden ist.

Die Aufsichtsbehörden verweisen darauf, dass die Fürsorgepflicht den Arbeitgeber bzw. den Dienstherren dazu verpflichtet, den Gesundheitsschutz aller Beschäftigten sicherzustellen. Entsprechend müsse er „angemessen“ auf die Verbreitung einer meldepflichtigen Krankheit reagieren. Allerdings müssten die Vorsorgemaßnahmen „natürlich immer auch verhältnismäßig“ sein. Deshalb müssten die jeweiligen Daten vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Spätestens mit dem Ende der Pandemie müssten die erhobenen Daten "unverzüglich gelöscht“ werden.

Eine Einwilligung der Betroffenen sei nur dann möglich, wenn diese über die Datenverarbeitung informiert sind und freiwillig in die Maßnahme einwilligen können. Beschäftigte müssten allerdings auch Rücksichts-, Verhaltens- und Mitwirkungspflichten gegenüber ihrem Arbeitgeber und Dritten erfüllen. So seien sie verpflichtet, ihren Dienstherrn bzw. Arbeitgeber über eine Infektion mit dem Corona-Virus zu informieren, woraus auch eine Offenlegungsbefugnis nach DSGVO bezüglich der Kontaktpersonen folgen könne.

Der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink stellt aber klar, dass in der Regel Ermittlungs- und Eingriffsbefugnisse nicht dem Arbeitgeber, sondern nur den staatlichen Gesundheitsbehörden zustehen. Im Zweifel sollten Arbeitgeber daher den Kontakt zu den Gesundheitsbehörden zu suchen und nicht "auf eigene Faust“ oder gar gegen Gesundheitsdaten den Willen der Beschäftigten erheben. Brink hat dazu ein sehr ausführliches, praxisorientiertes "FAQ zum Thema Corona“ veröffentlicht.

Darin stellt Stefan Brink auch fest, dass der Arbeitgeber private Kontaktdaten von der Belegschaft erheben darf, um die Beschäftigten im Falle einer Betriebsschließung kurzfristig warnen zu können – das Einverständnis des Beschäftigten vorausgesetzt. Brink verweist darauf, dass das Handbuch des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe den Aufbau eines auf den jeweiligen Betrieb zugeschnittenen "innerbetrieblichen Kommunikationsnetzwerks“ empfehle, damit Unternehmen je nach Pandemiephase bestimmte Maßnahmen treffen können. Spätestens nach der Pandemie seien die Kontaktdaten aber wieder zu löschen und dürften nicht für andere Zwecke genutzt werden.

Inwieweit ist die Bevölkerung bereit, Einschränkungen ihrer Privatsphäre hinzunehmen, um die Corona-Krise einzudämmen? Dieser Frage ging eine repräsentative Umfrage unter 1.020 Deutschen nach, die das Tech-Unternehmen Usercentrics beim Marktforschungsinstitut Innofact im März 2020 in Auftrag gegeben hatte. Sie kam zu dem Ergebnis, dass die meisten zu Einschränkungen bereit wären: Beispielsweise zeigten sich 66,8 Prozent bereit, sich im Infektionsfall namentlich in eine öffentliche Datenbank eintragen zu lassen, um Dritte zu warnen, die mit ihnen in Kontakt standen. 69,5 Prozent befürworten die Ausweitung der Vorratsdatenspeicherung bei Flug- und Reisedaten, um im Verdachtsfall benachrichtigt werden zu können oder die Verbreitung des Virus einzudämmen. 54,6 Prozent würden öffentlichen Stellen gestatten das persönliche Bewegungsprofil zu nutzen, um die Verbreitung des Virus nachzuvollziehen.

[Update 15.3.2020 12:48 Uhr:] Die Ausweitung der Vorratsdatenspeicherung bei Flug- und Reisedaten befürworten 69,5 Prozent – die Zahl wurde korrigiert. (bme)