Seit Beginn der Corona-Pandemie ergeben sich in zahlreichen Lebenslagen neue rechtlichen Problemstellungen. Neben sicherheitsrechtlichen Aspekten wie beispielsweise gezielten Phishing-Angriffen, die einen Bezug zur Covid-19-Pandiemie aufwiesen, kommt es auch im Datenschutzrecht immer wieder zu Fragen rund um das Arbeiten im „Homeoffice“, den Einsatz von Videokonferenzsystemen, die Durchführung von Kontaktdatenerfassung, die Durch- und Nachweisführung von Corona-Test und dergleichen. Der Sächsische Datenschutzbeauftragte widmete sich in seinem aktuellen Tätigkeitsbericht sowie Veröffentlichungen auf der Webseite ebenfalls an einigen Stellen dem Datenschutz in Zeiten der Coronavirus-Pandemie. Mit dem nachfolgenden Beitrag greifen wir – auch mit Blick auf die derzeit erneut steigenden Corona-Infektionszahlen – einige im Zusammenhang mit der in Sachsen aktuell geltenden Corona-Schutz-Verordnung (Sächsische Corona-Schutz-Verordnung – SächsCoronaSchVO) stehende datenschutzrechtliche Fragestellungen auf.
WELCHE DATEN WERDE BEI EINEM CORONA-TEST VERARBEITET?
Bei Covid-19 handelt es sich um eine meldepflichtige Krankheit im Sinne des § 6 Infektionsschutzgesetz (IfSG), vgl. § 6 Abs. 1 Nr. 1 lit. t) IfSG. Sollte ein Arzt feststellen, dass der Patient daran erkrankt ist, hat er dies nach § 8 Abs. 1 Nr. 1 IfSG an das zuständige Gesundheitsamt zu melden. Gleiches gilt für ein beauftragtes Labor gemäß § 8 Abs. 1 Nr. 2 IfSG. Bei den entnommenen Proben handelt es sich nach Auffassung des Sächsischen Datenschutzbeauftragten erst dann um personenbezogene Daten i.S.v. Art. 4 Nr. 1 DS-GVO, wenn die Proben analysiert und den Patienten betreffende Informationen verarbeitet werden. Welche Daten bei der Feststellung einer Covid-19-Infektion zu melden sind folgen aus § 9 IfSG. Hierunter fallen u.a. Name und Vorname, Adresse sowie Kontaktdaten. Die Datenverarbeitung erfolgt in diesen Fällen gemäß Art. 6 Abs. 1 Satz 1 lit. c) und e), Abs. 3 DS-GVO in Verbindung mit den einschlägigen Normen des IfSG. Soweit Gesundheitsdaten verarbeitet werden, so ist dies nach Art. 9 Abs. 2 lit. g) und i), Abs. 3 DS-GVO zulässig.
DÜRFEN GESUNDHEITSDATEN VON BESCHÄFTIGTEN VERARBEITET WERDEN?
Der konkrete Sachverhalt im Tätigkeitsbericht bezog sich auf die Abfrage von Gesundheitsdaten in Bezug auf chronische Vorerkrankungen von Beschäftigten und auch von Angehörigen, die mit ihnen im Haushalt zusammenleben, die auf ein Risiko einer Covid-19-Erkrankung hindeuten.
Personenbezogene Daten von Beschäftigten dürfen gemäß Art. 88 Abs. 1 DS-GVO in Verbindung mit § 26 Abs. 1 BDSG bzw. § 11 Abs. 1 Sächsisches Datenschutzdurchführungsgesetz (SächsDSG) verarbeitet werden, soweit dies zur Durchführung des Beschäftigten- bzw. Dienst- oder Arbeitsverhältnisses (oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes erforderlich ist). Im Rahmen der Erforderlichkeitsprüfung sind die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen. Es sind dabei die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem Ausgleich zu bringen, so dass möglichst beide Interessen so weit wie möglich berücksichtigt werden. Erhebliche Zweifel bestehen daher bereits an pauschalen Abfragen seitens der Arbeitgeber beziehungsweise Dienstherren zu chronischen Vorerkrankungen der Beschäftigten.
Weiter führt die Aufsichtsbehörde aus, dass die Verarbeitung von Gesundheitsdaten mittels Einwilligung nach Art. 9 Abs. 2 lit. a) DS-GVO nur dann wirksam erteilt werden kann, wenn die betroffene Person in die Verarbeitung der Gesundheitsdaten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt hat und die Voraussetzungen von Art. 4 Nr. 11 und Art. 7 DS-GVO erfüllt, sind. Außerdem wird im Rahmen von Beschäftigtenverhältnissen häufig das Tatbestandmerkmal der Freiwilligkeit der Einwilligungserklärung in Frage zu stellen sein. Aufgrund der bestehenden Abhängigkeiten im Beschäftigungsverhältnis sind besondere Anforderungen im Hinblick auf die Beurteilung der Freiwilligkeit zu stellen. Dies gilt laut Sächsischer Aufsichtsbehörde insbesondere im Hinblick auf die Umstände, unter denen die Einwilligung erteilt worden ist und dass es sich um besonders sensible Daten (Gesundheitsdaten) handelt.
WELCHE DATEN DÜRFEN IM RAHMEN DER KONTAKTNACHVERFOLGUNG VERARBEITET WERDEN?
Mit den Allgemeinverfügungen zum Vollzug des Infektionsschutzgesetzes des Sächsischen Staatsministeriums für Soziales und Gesellschaftlichen Zusammenhalt wurden als Schutzmaßnahmen unter anderem Kontaktnachverfolgungen normiert. Ziel soll die Rückverfolgung von Infektionsketten sein. Mit dieser Maßnahme sollen dann die Infektionsketten unterbrochen und damit auch weitere Infektionen vermieden werden. Ziel dieser Kontaktdatenerhebung ist der Gesundheitsschutz der Bevölkerung sowie der Beschäftigten. Diese Form der Datenverarbeitung ist gemäß Art. 6 Abs. 1 Satz 1 lit. c), Abs. 3 DS-GVO i.V.m. § 32 i.V.m. § 28 Abs. 1 Satz 1 und 2 IfSG i.V.m. SächsCoronaSchVO und Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO gerechtfertigt.
In der aktuellen Fassung der Sächsischen Corona-Schutz-Verordnung bildet § 6a SächsCoronaSchVO die zentrale Regelung zur Art und Weise der Kontakteerfassung. Umfasst wird die Erfassung mittels digitaler Systeme (insbesondere die Corona-Warn-App). Zusätzlich ist eine analoge Form der Kontakterfassung (Name, Telefonnummer oder E-Mail-Adresse und Anschrift) vorzusehen. Bei der Kontakteerfassung ist sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist. Die Daten dürfen nur zum Zweck der Aushändigung an die für die Kontaktnachverfolgung zuständigen Behörden verarbeitet werden und sind vier Wochen nach der Erhebung zu löschen.
In welchen konkreten Fällen die Kontakteerfassung erforderlich ist, regelt die Verordnung an verschiedenen Stellen: vgl. § 10 Abs. 2, § 11 Abs. 2, § 12 Abs. 2, § 13 Abs. 2, § 14 Abs. 2 SächsCoronaSchVO uvm.
WELCHE DOKUMENTATIONEN VERLANGT § 9 ABS. 1a SÄCHSCORONASCHVO?
Gemäß § 9 Abs. 1a SächsCoronaSchVO müssen Beschäftigte, die mindestens fünf Werktage hintereinander aufgrund von Urlaub und vergleichbaren Dienst- oder Arbeitsbefreiungen nicht gearbeitet haben, am ersten Arbeitstag nach dieser Arbeitsunterbrechung dem Arbeitgeber einen tagesaktuellen Test vorlegen oder im Verlauf des ersten Arbeitstages einen dokumentierten beaufsichtigten Test durchführen. Erfolgt die Arbeitsaufnahme im Homeoffice, gilt die Verpflichtung für den ersten Tag, an dem die Arbeit im Betrieb oder an sonstigen Einsatzorten außerhalb der eigenen Häuslichkeit stattfindet.
Für Arbeitgeber stellt sich hier die Frage in welchem Umfang sie zur Kontrolle und gegebenenfalls Dokumentation der Testpflicht angehalten sind. Der Sächsische Datenschutzbeauftragte geht in einer diesbezüglich veröffentlichten Mitteilung davon aus, dass die Ergebnisse der Tests oder Kontrollen ohne Personenbezug zu dokumentieren sind. „Stattdessen können Arbeitgeber lediglich dokumentieren, dass sie einen Prozess zur Durchführung derartiger Kontrollen eingeführt haben.“ Dies sei deshalb ausreichend, da in § 9 Abs. 1a SächsCoronaSchVO eine Vorlagepflicht der Beschäftigten, jedoch keine weitergehende Dokumentation des Arbeitgebers geregelt wird.
FAZIT
Einigen zentralen datenschutzrechtlichen Themen, welche im Zuge der Corona-Pandemie an Bedeutung erlangt haben, wird aufgrund der steigenden Fallzahlen demnächst wieder mehr Bedeutung zuzumessen sein. Dies betrifft mit Sicherheit die Nachweispflichten zu Impf-, Genesenen- und Teststatus (§§ 8, 9 SächsCoronaSchVO), insbesondere in Verbindung mit der Covid-19-Schutzmaßnahmen-Ausnahmenverordnung (SchAusnahmV) zum Nachweis von Impfungen und Genesungen, welche gleichwohl digital als auch in verkörperter Form möglich sein sollen, §§ 2 Nr. 3, 5, 7 SchAusnahmV. Auch die Kontaktdatenerfassung sowie die Verarbeitung von Gesundheitsdaten der Beschäftigten wird wieder in den Vordergrund rutschen.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
