Dank der Coronapandemie werden immer mehr Maßnahmen erdacht, die die Ansteckungsgefahr eindämmen sowie mögliche Infizierte identifizieren sollen. Mobiles Arbeiten aus dem Homeoffice ist plötzlich in vielen Bereichen möglich wo es vorher nicht denkbar war, Hygieneregeln werden erlassen, Selbstauskünfte zu Reisen in Risikogebiete erhoben.
Viele dieser von Unternehmen eingeführten Maßnahmen betreffen nicht nur betriebsverfassungsrechtlich garantierte Mitbestimmungsrechte, auch der Datenschutz muss in diesen Fällen zwingend beachtet werden.
Generelle Zulässigkeit von Maßnahmen
Aufgrund der Fürsorgepflicht des Arbeitgebers bzw. Dienstherren ist dieser verpflichtet, den Gesundheitsschutz der gesamten Belegschaft sicherzustellen. Im Falle des Coronavirus handelt es sich derzeit um eine pandemische und darüber hinaus meldepflichtige Krankheit, die auch nach Auffassung der Aufsichtsbehörden[1] die Verarbeitung von Gesundheitsdaten durch den Arbeitgeber in diesem Ausnahmefall zulässt.
Zulässige Maßnahmen zur Feststellung, ob ein Mitarbeiter ggfs. infiziert ist, sind demnach zulässig, um weitere Informationen in den Fällen zu erlangen
- in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
- in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
Dieselben Kriterien gelten auch für Besucher.
Zulässigkeit der Messung der Körpertemperatur
Ob in diesem Fällen eine obligatorische Messung der Körpertemperatur zulässig sein kann, ist indes nicht abschließend geklärt. Einige Aufsichtsbehörden, wie etwa die Irische und Ungarische Aufsichtsbehörde sind der Ansicht, dass die Messung der Körpertemperatur zulässig ist, andere Aufsichtsbehörden, wie etwa die Französische oder Luxemburgische Behörde halten dies für generell unzulässig, nicht zuletzt, weil die Körpertemperatur alleine kein geeignetes Mittel ist, eine Infektion zu identifizieren. Die Deutschen Aufsichtsbehörden haben sich zur konkreten Fragen leider bislang nicht eindeutig geäußert.
Einhaltung der Datenschutzgrundsätze
Einig sind sich sämtliche Behörden hingegen, dass die Datenerhebung transparent erfolgen muss, d.h. die betroffenen Personen müssen darüber informiert werden, welche personenbezogene Daten erhoben werden (etwa falls eine Wärmebildkamera eingesetzt wird), die Grundsätze der Datenminimierung müssen eingehalten werden (so wenige Daten wie möglich erfassen) und selbstverständlich müssen die Daten auch wieder in den angemessenen Fristen gelöscht werden.
Die Vertraulichkeit der Daten spielt außerdem eine besondere Rolle. Die Corona Erkrankung kann zu einer Stigmatisierung des Mitarbeiters führen, weshalb die Namensnennung gegenüber anderen Mitarbeitern grundsätzlich zu vermeiden ist. Nur in Ausnahmefällen dürfen die übrigen Mitarbeiter über den Verdacht der Ansteckung eines Mitarbeiters informiert werden, um Infektionsquellen zu lokalisieren und einzudämmen.
Rechtsgrundlage
Die Rechtsgrundlage zur Verarbeitung personenbezogener Mitarbeiterdaten ergibt sich in diesen Fällen für Arbeitgeber im nicht-öffentlichen Bereich aus § 26 Abs 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO jeweils i.V.m. den einschlägigen tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts. Soweit Gesundheitsdaten verarbeitet werden, sind zudem auch § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO einschlägig.
Weitergabe der Daten an Behörden?
Eine Pflicht zur Weitergabe der Daten an Behörden (Meldepflicht) besteht nur für Leistungserbringer aus dem Gesundheitsbereich (Ärzte, Krankenhäuser), nicht für Unternehmen. Sofern allerdings behördliche Anfragen (Ortspolizeibehörde, zuständiges Gesundheitsamt) vorliegen, können sich diese aus den spezifischen Länderregelungen ergeben. Hier müssen zunächst die angegebenen Rechtsgrundlagen geprüft werden.
Fazit
Wir halten die anlasslose verpflichtende Messung der Körpertemperatur von sämtlichen Mitarbeitern derzeit für nicht zulässig. Sofern eine solche Messung auf freiwilliger Basis angeboten wird, muss diese unter Einhaltung sämtlicher Datenschutzgrundsätze erfolgen. Die Vertraulichkeit der Ergebnisse müssen gewahrt werden. Mitbestimmungsrechte des Betriebsrats sind einzuhalten.
i.A. des Datenschutzbeauftragten
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
[1]https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html
Diese Frage sehen wir immer wieder in den Personalfragebögen bei unseren Mandanten und wir prüfen, ob diese Frage aus datenschutzrechtlichen Gründen überhaupt zulässig ist.
Schließlich geht es den Arbeitgeber nichts an, was die Mitarbeiter in ihrer Freizeit machen, oder vielleicht doch?
Aus (datenschutz)rechtlicher Sicht sieht das ganze so aus: Nach Art. 12 GG herrscht die Berufsfreiheit, d.h. prinzipiell darf jeder einen Nebenjob annehmen. Allerdings sind dem auch Grenzen gesetzt: Maximal 48 Stunden pro Woche sind gem. § 3 ArbZG erlaubt, vorübergehend darf dies sogar auf bis zu 60 Stunden (= 10 Stunden pro Werktag) erhöht werden. Dabei werden die Arbeitszeiten von Haupt- und Nebenjob zusammengezählt. Wichtig ist dabei vor allem, dass die Ruhe und Pausenzeiten auch eingehalten werden. Es müssen mindestens 11 Stunden gesetzliche Ruhezeit eingehalten werden, bevor die Arbeit erneut beginnt (§ 5 ArbZG). Abgestellt wird hierbei auf das tatsächliche Ende der Arbeitszeit, also sowohl des Haupt- als auch des Nebenjobs. Wer um 9 Uhr morgens mit seinem Hauptjob beginnt, muss also spätestens um 22 Uhr seine Arbeit im Nebenjob beendet haben.
Doch wer ist für die Einhaltung dieser Regelungen verantwortlich? Es sind die Arbeitgeber, die sich aufgrund ihrer Fürsorgepflicht um die Arbeits- und Ruhezeiten ihrer Mitarbeiter kümmern müssen.
Der Arbeitgeber, der hiergegen verstößt begeht eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 15.000 Euro geahndet werden kann (§ 22 Abs.1, 2 ArbZG).
Jeder Arbeitgeber ist also gesetzlich dazu verpflichtet, dafür zu sorgen, dass er seinen Mitarbeiter die gesetzlichen Ruhezeiten gewährt. Insofern ist es gesetzlich geboten, eine eventuelle Nebentätigkeit abzufragen und ggfs. sogar zu verbieten, wenn zu befürchten ist, dass hierdurch gegen das Arbeitszeitgesetz verstoßen wird. Andernfalls würde dem Arbeitgeber fahrlässiges Verhalten vorgeworfen werden können. Als Rechtsgrundlage für die Erhebung dieser Daten dient damit Art. 6 Abs. 1 lit b), c) DSGVO. Ein Verstoß gegen datenschutzrechtliche Bestimmungen liegt somit nicht vor.
Falls Sie Fragen dazu haben, welche Informationen Sie im Rahmen Ihrer Personalfragebögen stellen dürfen sprechen Sie uns gerne an.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz