Corona, Datenschutz und DSGVO

Die Verbreitung des Corona Virus in Deutschland und Europa motiviert Unternehmen zunehmend zu Abwehrmaßnahmen. Eine dieser Maßnahmen ist die Befragung von Besuchern, um zu verhindern, dass potenziell Infizierte das Unternehmen betreten. Die DSGVO ist dabei nur zu beachten, wenn die abgefragten Informationen dokumentiert werden.

Rechtmäßigkeit der Verarbeitung

In Praxis ist dann zu unterscheiden, ob Gesundheitsdaten (z.B. Symptome, Gesundheitszustand, Körpertemperatur etc.) abgefragt werden oder nur allgemeine personenbezogene Daten (z.B. Aufenthaltsorte, Reisen etc.).

Die Abfrage von allgemeinen Daten lässt sich über Art. 6 Abs. 1 lit. f DSGVO rechtfertigen, da aktuell ein erhöhtes berechtigtes Interesse der Verantwortlichen besteht.

Soweit besondere Kategorien von Daten verarbeitet werden, kann dies über Art. 9 Abs. 1 lit i DSGVO gerechtfertigt werden, da eine Einwilligung mangels Freiwilligkeit wohl ausscheidet. Art. 9 Abs. 1 lit. i DSGVO greift jedoch nur in Verbindung mit einer weiteren Rechtsgrundlage. In Deutschland ist dies § 22 BDSG, der die Verarbeitung gestattet, wenn bestimmte Schutzmaßnahmen nach § 22 Abs. 2 BDSG getroffen werden. Dabei handelt es sich überwiegend um technische und organisatorische Maßnahmen.
Alternativ ist auch denkbar, die Verarbeitung auf Art. 9 Abs. 1 lit. b DSGVO zu stützen und den Schutz der Mitarbeiter in den Vordergrund zu stellen. Auch in dieser Variante wäre aber eine zusätzliche Rechtsgrundlage notwendig, beispielsweise das ArbSchG i.V.m. § 3a ArbStättVO. Danach hat der Arbeitgeber hat dafür zu sorgen, dass Arbeitsstätten so eingerichtet und betrieben werden, dass Gefährdungen für die Sicherheit und die Gesundheit der Beschäftigten möglichst vermieden und verbleibende Gefährdungen möglichst gering gehalten werden. Fraglich bleibt dabei, ob diese Vorschrift den Anforderungen an die DSGVO mit Hinblick auf Garantien für die Rechte und Freiheiten der betroffenen Personen erfüllt.

Informationspflichten

Die Besucher müssen außerdem nach Art. 13 DSGVO über die Verarbeitung informiert werden

Praxisempfehlung:

Idealerweise beschränkt man die Verarbeitung von Daten auf allgemeine Daten und versucht auf Gesundheitsdaten zu verzichten. Sollte dies nicht umsetzbar sein, sollten klare Vorgaben an die Mitarbeiter formuliert werden, wie mit den Daten umgegangen werden darf (Vertraulichkeit, Aufbewahrung etc.) - dies dient vor allem der eigenen Accountability. Jeder befragte Besucher muss eine Art. 13 Information erhalten. Dies kann über einen allgemeinen Aushang erfolgen oder bei Verwendung von Formularen dort hinzugefügt werden.