Coro­na: daten­schutz­recht­li­che Impli­ka­tio­nen

Es haben sich bereits zahl­rei­che aus­län­di­sche Behör­den zu den daten­schutz­recht­li­chen Impli­ka­tio­nen von Coro­na bzw. viel­mehr des Umgangs damit geäu­ssert, so u.a. die deut­sche Daten­schutz­kon­fe­renz (DSK), das Gre­mi­um der unab­hän­gi­gen deut­schen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der: hier. Daten­schutz­recht­lich legi­ti­miert sei­en etwa die fol­gen­den Mass­nah­men:

  • Erhe­bung und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten (ein­schließ­lich Gesund­heits­da­ten) von Beschäf­tig­ten durch den Arbeit­ge­ber oder Dienst­her­ren um eine Aus­brei­tung des Virus unter den Beschäf­tig­ten best­mög­lich zu ver­hin­dern oder ein­zu­däm­men. Hier­zu zäh­len ins­be­son­de­re Infor­ma­tio­nen zu den Fäl­len:
    • in denen eine Infek­ti­on fest­ge­stellt wur­de oder Kon­takt mit einer nach­weis­lich infi­zier­ten Per­son bestan­den hat.
    • in denen im rele­van­ten Zeit­raum ein Auf­ent­halt in einem vom Robert-Koch-Insti­tut (RKI) als Risi­ko­ge­biet ein­ge­stuf­ten Gebiet statt­ge­fun­den hat.
  • Erhe­bung und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten (ein­schließ­lich Gesund­heits­da­ten) von Gästen und Besu­chern, ins­be­son­de­re um fest­zu­stel­len, ob die­se
    • selbst infi­ziert sind oder im Kon­takt mit einer nach­weis­lich infi­zier­ten Per­son stan­den.
    • sich im rele­van­ten Zeit­raum in einem vom RKI als Risi­ko­ge­biet ein­ge­stuf­ten Gebiet auf­ge­hal­ten haben.
  • Die Offen­le­gung per­so­nen­be­zo­ge­ner Daten von nach­weis­lich infi­zier­ten oder unter Infek­ti­ons­ver­dacht ste­hen­den Per­so­nen zur Infor­ma­ti­on von Kon­takt­per­so­nen ist dem­ge­gen­über nur recht­mä­ßig, wenn die Kennt­nis der Iden­ti­tät für die Vor­sor­ge­maß­nah­men der Kon­takt­per­so­nen aus­nahms­wei­se erfor­der­lich ist.

Eben­falls geäu­ssert hat sich der Euro­päi­sche Daten­schutz­aus­schuss (EDSA). Das State­ment ist (nur auf Eng­lisch) hier abzu­ru­fen. Bezug auf die – vor allem inter­es­sie­ren­den – arbeits­da­ten­schutz­recht­li­chen Fra­gen hält der EDSA fol­gen­des fest:

  • Can an employ­er requi­re visi­tors or employees to pro­vi­de spe­ci­fic health infor­ma­ti­on in the
    con­text of COVID-19?
    The app­li­ca­ti­on of the princip­le of pro­por­tio­na­li­ty and data mini­mi­sa­ti­on is par­ti­cu­lar­ly rele­vant here.
    The employ­er should only requi­re health infor­ma­ti­on to the extent that natio­nal law allo­ws it.
  • Is an employ­er allo­wed to per­form medi­cal check-ups on employees?
    The ans­wer reli­es on natio­nal laws rela­ting to employ­ment or health and safe­ty. Employ­ers should
    only access and pro­cess health data if their own legal obli­ga­ti­ons requi­res it.
  • Can an employ­er dis­c­lo­se that an employee is infec­ted with COVID-19 to his col­leagues or to
    exter­nals?
    Employ­ers should inform staff about COVID-19 cases and take pro­tec­ti­ve mea­su­res, but should not
    com­mu­ni­ca­te more infor­ma­ti­on than necessa­ry. In cases whe­re it is necessa­ry to reve­al the name of
    the employee(s) who con­trac­ted the virus (e.g. in a pre­ven­ti­ve con­text) and the natio­nal law allo­ws it,
    the con­cer­ned employees shall be infor­med in advan­ce and their digni­ty and inte­gri­ty shall be
    pro­tec­ted.
  • What infor­ma­ti­on pro­ces­sed in the con­text of COVID-19 can be obtai­ned by the employ­ers?
    Employ­ers may obtain per­so­nal infor­ma­ti­on to ful­fil their duties and to orga­ni­se the work in line with
    natio­nal legis­la­ti­on.