DATENSCHUTZ IN DER CORONA-PANDEMIE

Seit Beginn der Corona-Pandemie ergeben sich in zahlreichen Lebenslagen neue rechtlichen Problemstellungen. Neben sicherheitsrechtlichen Aspekten wie beispielsweise gezielten Phishing-Angriffen, die einen Bezug zur Covid-19-Pandiemie aufwiesen, kommt es auch im Datenschutzrecht immer wieder zu Fragen rund um das Arbeiten im „Homeoffice“, den Einsatz von Videokonferenzsystemen, die Durchführung von Kontaktdatenerfassung, die Durch- und Nachweisführung von Corona-Test und dergleichen. Der Sächsische Datenschutzbeauftragte widmete sich in seinem aktuellen Tätigkeitsbericht sowie Veröffentlichungen auf der Webseite ebenfalls an einigen Stellen dem Datenschutz in Zeiten der Coronavirus-Pandemie. Mit dem nachfolgenden Beitrag greifen wir – auch mit Blick auf die derzeit erneut steigenden Corona-Infektionszahlen – einige im Zusammenhang mit der in Sachsen aktuell geltenden Corona-Schutz-Verordnung (Sächsische Corona-Schutz-Verordnung – SächsCoronaSchVO) stehende datenschutzrechtliche Fragestellungen auf.


WELCHE DATEN WERDE BEI EINEM CORONA-TEST VERARBEITET?

Bei Covid-19 handelt es sich um eine meldepflichtige Krankheit im Sinne des § 6 Infektionsschutzgesetz (IfSG), vgl. § 6 Abs. 1 Nr. 1 lit. t) IfSG. Sollte ein Arzt feststellen, dass der Patient daran erkrankt ist, hat er dies nach § 8 Abs. 1 Nr. 1 IfSG an das zuständige Gesundheitsamt zu melden. Gleiches gilt für ein beauftragtes Labor gemäß § 8 Abs. 1 Nr. 2 IfSG. Bei den entnommenen Proben handelt es sich nach Auffassung des Sächsischen Datenschutzbeauftragten erst dann um personenbezogene Daten i.S.v. Art. 4 Nr. 1 DS-GVO, wenn die Proben analysiert und den Patienten betreffende Informationen verarbeitet werden. Welche Daten bei der Feststellung einer Covid-19-Infektion zu melden sind folgen aus § 9 IfSG. Hierunter fallen u.a. Name und Vorname, Adresse sowie Kontaktdaten. Die Datenverarbeitung erfolgt in diesen Fällen gemäß Art. 6 Abs. 1 Satz 1 lit. c) und e), Abs. 3 DS-GVO in Verbindung mit den einschlägigen Normen des IfSG. Soweit Gesundheitsdaten verarbeitet werden, so ist dies nach Art. 9 Abs. 2 lit. g) und i), Abs. 3 DS-GVO zulässig.


DÜRFEN GESUNDHEITSDATEN VON BESCHÄFTIGTEN VERARBEITET WERDEN?

Der konkrete Sachverhalt im Tätigkeitsbericht bezog sich auf die Abfrage von Gesundheitsdaten in Bezug auf chronische Vorerkrankungen von Beschäftigten und auch von Angehörigen, die mit ihnen im Haushalt zusammenleben, die auf ein Risiko einer Covid-19-Erkrankung hindeuten.

Personenbezogene Daten von Beschäftigten dürfen gemäß Art. 88 Abs. 1 DS-GVO in Verbindung mit § 26 Abs. 1 BDSG bzw. § 11 Abs. 1 Sächsisches Datenschutzdurchführungsgesetz (SächsDSG) verarbeitet werden, soweit dies zur Durchführung des Beschäftigten- bzw. Dienst- oder Arbeitsverhältnisses (oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes erforderlich ist). Im Rahmen der Erforderlichkeitsprüfung sind die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen. Es sind dabei die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem Ausgleich zu bringen, so dass möglichst beide Interessen so weit wie möglich berücksichtigt werden. Erhebliche Zweifel bestehen daher bereits an pauschalen Abfragen seitens der Arbeitgeber beziehungsweise Dienstherren zu chronischen Vorerkrankungen der Beschäftigten.

Weiter führt die Aufsichtsbehörde aus, dass die Verarbeitung von Gesundheitsdaten mittels Einwilligung nach Art. 9 Abs. 2 lit. a) DS-GVO nur dann wirksam erteilt werden kann, wenn die betroffene Person in die Verarbeitung der Gesundheitsdaten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt hat und die Voraussetzungen von Art. 4 Nr. 11 und Art. 7 DS-GVO erfüllt, sind. Außerdem wird im Rahmen von Beschäftigtenverhältnissen häufig das Tatbestandmerkmal der Freiwilligkeit der Einwilligungserklärung in Frage zu stellen sein. Aufgrund der bestehenden Abhängigkeiten im Beschäftigungsverhältnis sind besondere Anforderungen im Hinblick auf die Beurteilung der Freiwilligkeit zu stellen. Dies gilt laut Sächsischer Aufsichtsbehörde insbesondere im Hinblick auf die Umstände, unter denen die Einwilligung erteilt worden ist und dass es sich um besonders sensible Daten (Gesundheitsdaten) handelt.


WELCHE DATEN DÜRFEN IM RAHMEN DER KONTAKTNACHVERFOLGUNG VERARBEITET WERDEN?

Mit den Allgemeinverfügungen zum Vollzug des Infektionsschutzgesetzes des Sächsischen Staatsministeriums für Soziales und Gesellschaftlichen Zusammenhalt wurden als Schutzmaßnahmen unter anderem Kontaktnachverfolgungen normiert. Ziel soll die Rückverfolgung von Infektionsketten sein. Mit dieser Maßnahme sollen dann die Infektionsketten unterbrochen und damit auch weitere Infektionen vermieden werden.  Ziel dieser Kontaktdatenerhebung ist der Gesundheitsschutz der Bevölkerung sowie der Beschäftigten. Diese Form der Datenverarbeitung ist gemäß Art. 6 Abs. 1 Satz 1 lit. c), Abs. 3 DS-GVO i.V.m. § 32 i.V.m. § 28 Abs. 1 Satz 1 und 2 IfSG i.V.m. SächsCoronaSchVO und Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO gerechtfertigt.

In der aktuellen Fassung der Sächsischen Corona-Schutz-Verordnung bildet § 6a SächsCoronaSchVO die zentrale Regelung zur Art und Weise der Kontakteerfassung. Umfasst wird die Erfassung mittels digitaler Systeme (insbesondere die Corona-Warn-App). Zusätzlich ist eine analoge Form der Kontakterfassung (Name, Telefonnummer oder E-Mail-Adresse und Anschrift) vorzusehen. Bei der Kontakteerfassung ist sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist. Die Daten dürfen nur zum Zweck der Aushändigung an die für die Kontaktnachverfolgung zuständigen Behörden verarbeitet werden und sind vier Wochen nach der Erhebung zu löschen.

In welchen konkreten Fällen die Kontakteerfassung erforderlich ist, regelt die Verordnung an verschiedenen Stellen: vgl. § 10 Abs. 2, § 11 Abs. 2, § 12 Abs. 2, § 13 Abs. 2, § 14 Abs. 2 SächsCoronaSchVO uvm.


WELCHE DOKUMENTATIONEN VERLANGT § 9 ABS. 1a SÄCHSCORONASCHVO?

Gemäß § 9 Abs. 1a SächsCoronaSchVO müssen Beschäftigte, die mindestens fünf Werktage hintereinander aufgrund von Urlaub und vergleichbaren Dienst- oder Arbeitsbefreiungen nicht gearbeitet haben, am ersten Arbeitstag nach dieser Arbeitsunterbrechung dem Arbeitgeber einen tagesaktuellen Test vorlegen oder im Verlauf des ersten Arbeitstages einen dokumentierten beaufsichtigten Test durchführen. Erfolgt die Arbeitsaufnahme im Homeoffice, gilt die Verpflichtung für den ersten Tag, an dem die Arbeit im Betrieb oder an sonstigen Einsatzorten außerhalb der eigenen Häuslichkeit stattfindet.

Für Arbeitgeber stellt sich hier die Frage in welchem Umfang sie zur Kontrolle und gegebenenfalls Dokumentation der Testpflicht angehalten sind. Der Sächsische Datenschutzbeauftragte geht in einer diesbezüglich veröffentlichten Mitteilung davon aus, dass die Ergebnisse der Tests oder Kontrollen ohne Personenbezug zu dokumentieren sind. „Stattdessen können Arbeitgeber lediglich dokumentieren, dass sie einen Prozess zur Durchführung derartiger Kontrollen eingeführt haben.“ Dies sei deshalb ausreichend, da in § 9 Abs. 1a SächsCoronaSchVO eine Vorlagepflicht der Beschäftigten, jedoch keine weitergehende Dokumentation des Arbeitgebers geregelt wird.


FAZIT

Einigen zentralen datenschutzrechtlichen Themen, welche im Zuge der Corona-Pandemie an Bedeutung erlangt haben, wird aufgrund der steigenden Fallzahlen demnächst wieder mehr Bedeutung zuzumessen sein. Dies betrifft mit Sicherheit die Nachweispflichten zu Impf-, Genesenen- und Teststatus (§§ 8, 9 SächsCoronaSchVO), insbesondere in Verbindung mit der Covid-19-Schutzmaßnahmen-Ausnahmenverordnung (SchAusnahmV) zum Nachweis von Impfungen und Genesungen, welche gleichwohl digital als auch in verkörperter Form möglich sein sollen, §§ 2 Nr. 3, 5, 7 SchAusnahmV. Auch die Kontaktdatenerfassung sowie die Verarbeitung von Gesundheitsdaten der Beschäftigten wird wieder in den Vordergrund rutschen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Corona-Pandemie
  • Kontaktnachverfolgung
  • Sächsischer Datenschutzbeauftragter
  • Testpflicht
Lesen

AUFBEWAHRUNG VON BESCHÄFTIGTENDATEN

Im Rahmen einer Bewerbung sowie eines sich daran gegebenenfalls anschließenden Beschäftigungsverhältnisses fallen eine Reihe verschiedener Dokumente und Unterlagen mit personenbezogenen Daten an. Bei der datenschutzrechtlichen Betrachtung dieser Prozesse steht regelmäßig der maximal zulässige Aufbewahrungszeitraum im Fokus. Wann sind derartige Dokumente und Unterlagen spätestens zu vernichten?


WANN SIND BEWERBUNGSUNTERLAGEN ZU VERNICHTEN?

Auch wenn nach Beendigung des Bewerbungsverfahrens die Unterlagen von Bewerbenden nicht mehr benötigt werden, sollten diese jedoch keinesfalls sofort vernichtet oder zurückgeschickt werden. Grund hierfür ist, dass Bewerbende nach einer erfolglosen Bewerbung Ansprüche aus dem Allgemeinen Gleichbehandlungsgesetz (AGG) geltend machen kann, wobei die Bewerbungsunterlagen unter Umständen als Beweismittel dienen können. Unter Berücksichtigung der dort hinterlegten Fristen ist eine Aufbewahrung von bis zu sechs Monaten aus datenschutzrechtlicher Sicht vertretbar. Eine hierüber hinausgehende Aufbewahrung, beispielsweise um die bewerbende Person gegebenenfalls für eine andere Stellenausschreibung kontaktieren zu können, bedarf einer Einwilligung dieser.

Die Pflicht zur Löschung von Bewerbungsunterlagen bezieht sich neben dem Anschreiben, dem Lebenslauf sowie den Zeugnissen auch auf etwa angefertigte Notizen zur Person und Eignung. Werden postalisch zugesandte Bewerbungsunterlagen nicht zurückgeschickt, sondern im Unternehmen datenschutzgerecht vernichtet, ist die bewerbende Person hierauf bereits bei der Absage hinzuweisen.


FÜR WELCHEN ZEITRAUM KÖNNEN PERSONALAKTEN AUFBEWAHRT WERDEN?

Personalakten sollten noch für mindestens drei Jahre nach Beendigung des Beschäftigungsverhältnisses aufbewahrt werden. Erst anschließend verjähren die im Bürgerlichen Gesetzbuch (BGB) geregelten Ansprüche aus dem Arbeitsverhältnis. Diese umfassen beispielsweise die Einforderungen eines Arbeitszeugnisses oder eines möglichen Schadenersatzanspruches. Hinsichtlich der Verjährungsfristen ist jedoch Vorsicht geboten: Diese wird immer erst ab dem Ende des jeweiligen Jahres gerechnet, in dem der Arbeitsvertrag endet – unabhängig vom genauen Zeitpunkt der Kündigung. Endet das Arbeitsverhältnis beispielsweise zum 30. September 2021, sind derartige Unterlagen erst zum 01. Januar 2025 zu vernichten.

Für öffentliche Stellen können sich darüber hinaus hiervon abweichende Aufbewahrungsfristen ergeben. Ziff. 4.1 der VwV Personalakten sieht für Personalakten von Beschäftigten im öffentlichen Dienst des Freistaates Sachsen beispielsweise eine regelmäßige Aufbewahrungsfrist von bis zu fünf Jahren vor.

Bestimmte Dokumente einer Personalakte sind hingegen länger aufzubewahren. Die Länge der Aufbewahrungsfrist ist spezialgesetzlich geregelt. Dabei dürfen nur die Teile der Personalakte aufbewahrt werden, die den jeweiligen spezialgesetzlichen Aufbewahrungsfristen unterliegen. Anschließend ist die sachgerechte Vernichtung auch dieser Dokumente durchzuführen.

So ergeben sich beispielsweise für Dokumente und Unterlagen…
– arbeitsrechtlicher Natur regelmäßige Aufbewahrungsfristen von drei Jahren (z.B. Arbeitszeugnisse);
– zur Lohnsteuer regelmäßige Aufbewahrungsfristen von sechs Jahren (z.B. Freistellungsbescheinigungen, Arbeitszeitlisten, Reisekostenabrechnungen);
– zum Lohn mit Relevanz für die betriebliche Gewinnermittlung regelmäßige Aufbewahrungsfristen von zehn Jahren (z.B. Lohnsteuerunterlagen, Lohnlisten);
– zur Altersvorsorge über Pensionskassen regelmäßige Aufbewahrungsfristen von bis zu 30 Jahren.


WAS IST BEI DER AUFBEWAHRUNG VON BESCHÄFTIGTENDATEN NOCH ZU BEACHTEN?

Im Bereich digitaler Daten gibt es Unterlagen, die Arbeitnehmer selbst löschen müssen. Der Arbeitgeber macht sich unter Umständen beim Löschen des E-Mail-Kontos ausgeschiedener Beschäftigter ohne derer Erlaubnis schadenersatzpflichtig, so ein Urteil des Oberlandesgerichts Dresden (OLG Dresden, Urt. v. 05.09.2021, Az.: 4 W 961/12). Arbeitgeber sind deshalb gut beraten, Beschäftigte an ihrem letzten Arbeitstag aufzufordern personenbezogene Daten aus dem gesamten System zu löschen. Hierzu können insbesondere private E-Mails, Ziele, die im betrieblichen Navigationssystem gespeichert sind, sowie private Dateien auf betrieblichen Endgeräten zählen.


WEITERFÜHRENDE INFORMATIONEN

Weitere Informationen zum Thema gesetzliche Aufbewahrungsfristen und Löschung personenbezogener Daten erhalten Sie in unserem Blog-Beitrag „Löschpflicht vs. Aufbewahrungsfrist“ sowie in unseren Informationsmaterialien „Aufbewahrung – Datenschutzrechtliche Grundlagen und Informationen hinsichtlich der Verpflichtung zur Löschung von personenbezogenen Daten unter Berücksichtigung gesetzlicher Aufbewahrungsfristen“.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Aufbewahrungsfrist
  • Beschäftigtendatenschutz
  • Bewerbungsunterlagen
  • Löschpflicht
  • Personalakte
Lesen

UMGANG MIT BEWERBUNGSUNTERLAGEN

Bewerbungen enthalten eine Fülle personenbezogener Daten. Umso wichtiger ist es, dass das gesamte Bewerbungsverfahren, einschließlich der Verwaltung und anschließenden Löschung der Bewerbungsunterlagen, den datenschutzrechtlichen Regelungen entspricht. Dabei gelten neben den allgemeinen Grundsätzen des Datenschutzes auch einige Besonderheiten. Wie eine praxisnahe Umsetzung erfolgen kann, erfahren Sie im Folgenden.


DIE WAHL DES BEWERBUNGSWEGES

Bewerbungen können dem Unternehmen auf zahlreichen Wegen zugehen. Neben der Zusendung auf dem Postweg oder per E-Mail werden hierfür oftmals auch Bewerberportale genutzt. Bei letzterem muss zwingend darauf geachtet werden, dass dieses über eine ausreichende Verschlüsselung nach aktuellem Stand der Technik verfügt. Weiterhin sollte für die Datenverarbeitung innerhalb des Bewerberportals eine Datenschutzerklärung erstellt oder die vorhandene Datenschutzerklärung des Unternehmens ergänzt werden. Kommt im Zusammenhang mit dem Bewerberportal außerdem ein Dienstleister zum Einsatz, ist mit diesem unter Umständen ein Vertrag zur Auftragsverarbeitung abzuschließen.

Wird den Bewerbern angeboten ihre Bewerbungsunterlagen per E-Mail einzusenden, ist ebenfalls dafür zu sorgen, dass eine ausreichende Verschlüsselung gewährleistet wird. Doch auch mit dieser birgt die Zusendung per E-Mail einige Risiken, sodass Formulierungen, nach denen die Bewerbungsunterlagen ausschließlich oder bevorzugt per E-Mail zu versenden sind, vermieden werden sollten. Den Bewerbern soll die Wahl des Bewerbungsweges grundsätzlich ohne Befürchtung von Nachteilen frei zustehen.


VERWALTUNG

Unabhängig des Bewerbungsweges dürfen Bewerbungsunterlagen nur für direkt am Bewerbungsverfahren beteiligte Personen zugänglich sein. Hierzu können beispielsweise die Personalabteilung und der jeweilige Entscheidungsträger gehören. Dementsprechend sollten in der Ausschreibung auch keine allgemeinen E-Mail-Adressen, wie zum Beispiel info@unternehmen.de, sondern stets allein der Personalabteilung zugeordnete E-Mail-Adressen angegeben werden. Bei der Vervielfältigung oder elektronischen Ablage von Bewerbungsunterlagen ist ebenso auf die Einhaltung eines gestuften Berechtigungskonzeptes zu achten. Weiterhin ist dafür Sorge zu tragen, dass Bewerbungsunterlagen niemals frei zugänglich am Arbeitsplatz zurückgelassen werden und stets getrennt von anderen Datensätzen aufbewahrt werden.


AUFBEWAHRUNG & LÖSCHUNG

Auch wenn nach Beendigung des Bewerbungsverfahrens die Daten des Bewerbers nicht mehr benötigt werden, sollten die Bewerbungsunterlagen jedoch keinesfalls sofort vernichtet oder zurückgeschickt werden. Grund hierfür ist, dass der Bewerber nach einer erfolglosen Bewerbung Ansprüche des Allgemeinen Gleichbehandlungsgesetzes (AGG) geltend machen kann, wobei die Bewerbungsunterlagen unter Umständen als Beweismittel dienen können. Um einen derartigen Anspruch geltend zu machen, wird dem Bewerber durch das AGG eine Frist von zwei bis sechs Monaten gegeben. Unter Berücksichtigung von etwaigen Verzögerungen bei der Zustellung ist dementsprechend eine Aufbewahrungsfrist von drei Monaten angemessen. Eine hierüber hinausgehende Aufbewahrung, beispielsweise um den Bewerber für eine andere Stellenausschreibung kontaktieren zu können, bedarf einer Einwilligung des Bewerbers.

Die Pflicht zur Löschung von Bewerbungsunterlagen bezieht sich neben dem Anschreiben, dem Lebenslauf sowie den Zeugnissen auch auf etwa angefertigte Notizen zur Person und Eignung des Bewerbers. Werden postalisch zugesandte Bewerbungsunterlagen nicht zurückgeschickt, sondern im Unternehmen datenschutzgerecht vernichtet, ist der Bewerber hierauf bereits bei der Absage hinzuweisen.


FAZIT

Wie eingangs erwähnt, sind innerhalb des Bewerbungsverfahrens einige datenschutzrechtliche Besonderheiten zu beachten. Die Umsetzung dieser in die Praxis stellt jedoch keinen besonderen Aufwand dar. Wie bei anderen Prozessen auch, empfiehlt es sich unter Abstimmung mit den im Unternehmen am Bewerbungsverfahren beteiligten Personen, ein datenschutzfreundliches Vorgehen zu etablieren. So kann von Beginn an potentiellen Mitarbeitern gezeigt werden, welchen Stellenwert der Datenschutz im Unternehmen hat.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.

    Tags:
  • Aufbewahrung
  • Beschäftigtendatenschutz
  • Bewerbung
  • Bewerbungsunterlagen
  • Datenschutz
  • Löschung
Lesen