Datenschutz und Corona – das müssen Sie beachten
Wenn Sie als Unternehmer mit dem Thema Corona konfrontiert sind, geht es fast automatisch auch um Gesundheitsdaten. Diese sind datenschutzrechtlich aber besonders heikel. Fahrlässiges Verhalten kann hier schnell zu Bußgeldern oder anderen Sanktionen der Datenschutzbehörden führen. Aber nicht nur der Umgang mit sensiblen Daten spielt eine Rolle – auch wenn Sie Ihre Mitarbeiter ins Homeoffice schicken gibt es zahlreiche datenschutzrechtliche Fallstricke.
Wir beantworten in diesem FAQ die wichtigsten Datenschutzfragen zum Thema Corona.
1. Darf ich überhaupt Daten darüber erfassen, welche Mitarbeiter an Corona erkrankt sind und mit wem sie Kontakt hatten?
Ja. Zwar handelt es sich hierbei um besonders schützenswerte Daten. Die Fürsorgepflicht des Arbeitgebers und der Schutz vor schweren Infektionen geht hier jedoch vor. Dies ergibt sich direkt aus dem Gesetz aus Art. 6 Abs. 1 S. 1 lit. c DSGVO in Verbindung mit § 26 Abs. 3 S. 1 und § 22 Abs. 1 Nr. 1 lit. b BDSG.
2. Kann ich meine Mitarbeiter verpflichten, mich darüber zu informieren, wenn Sie an Corona erkrankt sind?
Nein, Sie als Arbeitgeber können Mitarbeiter nicht dazu zwingen eine Corona-Erkrankung oder ein Corona-Verdacht mitzuteilen.
3. Darf ich Mitarbeiter fragen, ob sie einem Corona-Risikogebiet waren?
Ja. Wenn ein Mitarbeiter beispielsweise gerade aus dem Urlaub zurückgekehrt ist, dürfen Sie ihn fragen, ob er in einem vom Robert-Koch-Institut ausgewiesenen Risikogebiet war. Eine aktuelle Liste der Corona-Risikogebiete finden Sie hier:
https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/Risikogebiete.html
4. Darf ich als Arbeitgeber die privaten Handynummer meiner Mitarbeiter erfragen, um sie im Falle von Infektionen oder betriebsbedingten Schließungen schnell erreichen zu können?
Sofern Sie über diese Daten nicht schon verfügen, dürfen Sie sie erfragen. Wenn Sie die Daten jedoch zur Corona-Prävention erheben, dürfen Sie sie auch nur dafür nutzen. Sie sollten den Mitarbeiter dann also nicht nach Feierabend auf seiner privaten Nummer anrufen, damit er noch schnell mal eine Mail für Sie gegenliest. Zur Herausgabe zwingen können Sie den Mitarbeiter übrigens nicht.
5. Darf ich meine Mitarbeiter darüber informieren, dass Mitarbeiter im Unternehmen am Coronavirus erkrankt sind?
Aufgrund Ihrer arbeitsrechtlichen Fürsorgepflicht sind Sie sogar dazu verpflichtet, Ihre Mitarbeiter vor den bestehenden Gesundheitsrisiken zu warnen. Dazu gehört auch die Tatsache, dass Kollegen am Coronavirus erkrankt sind bzw. erkrankt sein könnten. Ob hier auch der Namen genannt werden muss, ist allerdings eine andere Frage (vgl. hierzu die nächste Frage).
6. Darf ich Corona-infizierte Mitarbeiter namentlich nennen?
Den Namen der erkrankten Person sollten Sie nur preisgeben, wenn es Sie keine andere Möglichkeit sehen, um Ihre anderen Mitarbeiter zu schützen. Eine namentliche Nennung wäre beispielsweise dann notwendig, wenn nicht ohne weiteres nachvollzogen werden kann, mit wem der betroffene Mitarbeiter in Kontakt stand. Auch in diesem Fall sollten Sie vorher aber auch andere Maßnahmen in Betracht ziehen. Unter Umständen kann der betroffene Mitarbeiter selbst umfassend darlegen, mit welchen Personen er in Kontakt stand. Gegebenenfalls genügt es auch, lediglich die betroffene Abteilung oder das Team zu informieren.
In jedem Fall sollten Sie Ihre Entscheidung gut abwägen und schriftlich dokumentieren. So zeigen Sie im Streitfall, dass Sie die Daten nicht leichtfertig offengelegt haben. Des Weiteren sollten Sie den betroffenen Mitarbeiter vorab über den Vorgang in Kenntnis setzen.
7. Darf ich meine Mitarbeiter einseitig ins Homeoffice schicken?
Nein. Im Normalfall dürfen Arbeitgeber nicht einseitig festlegen, dass Mitarbeiter im Homeoffice arbeiten müssen. Es sollte eine Vereinbarung mit dem Arbeitnehmer getroffen werden. Diese kann auch mündlich erfolgen. Aus Beweisgründen empfiehlt sich jedoch eine schriftliche Vereinbarung. Eine solche Vereinbarung finden Sie bei PRIVE:
Direkt zu PRIVE
8. Welche datenschutzrechtlichen Maßnahmen sollten getroffen werden, wenn Mitarbeit im Homeoffice arbeiten?
Wenn Ihre Mitarbeiter im Homeoffice arbeiten, sollten Sie bestimmte datenschutzrechtliche Standards einhalten. So sollten mobile Arbeitsgeräte stets verschlüsselt werden (Festplattenverschlüsselung), damit bei einem Diebstahl keine unbefugte Kenntnisnahme von Daten zu befürchten ist. Ferner sollte der Fernzugriff auf das Firmennetzwerk nur über eine verschlüsselte Verbindung erfolgen (z.B. VPN-Tunnel). Sorgen Sie außerdem dafür, dass der Arbeitsplatz des Mitarbeiters datenschutzrechtlichen Mindestanforderungen genügt.
9. Sollte mit Mitarbeitern, die im Homeoffice arbeiten, eine datenschutzrechtliche Vereinbarung abgeschlossen werden?
Eine Homeoffice-Datenschutzverpflichtung ist sehr zu empfehlen. Das gilt auch dann, wenn Sie bereits eine allgemeine Homeoffice-Regelung im Arbeitsvertrag haben. Denn die meisten Datenschutzverstöße beruhen noch immer auf menschlichen Fehlern. Mit einer geeigneten Datenschutzbelehrung können Sie Ihre Mitarbeiter sensibilisieren und einen verbindlichen Rahmen für den Umgang mit personenbezogenen Daten und Betriebsgeheimnissen festlegen. Außerdem können Sie dann auch im Falle einer behördlichen Prüfung nachweisen, dass Sie den Datenschutz ernst nehmen.
Eine rechtssichere Homeoffice-Datenschutzverpflichtung können Sie bei PRIVE bequem online abschließen:
Direkt zu PRIVE
10. Muss ich den Behörden melden, wenn ich erfahre, dass ein Mitarbeiter an Corona erkrankt ist?
Nein. Eine Meldepflicht trifft nach dem Infektionsschutzgesetz nur Ärzte und andere medizinische Einrichtungen. Wenn es jedoch einen Coronafall oder -verdacht in Ihrem Unternehmen gibt, sollten Sie sich bei ihrem zuständigen Gesundheitsamt melden, um das weitere Vorgehen abzustimmen. Auch hier sollten Sie jedoch die betroffenen Mitarbeiter zunächst nicht namentlich nennen. Das für Sie zuständige Gesundheitsamt können Sie über Ihre Postleitzahl hier suchen:
Bleiben Sie gesund! 🙂