Es haben sich bereits zahlreiche ausländische Behörden zu den datenschutzrechtlichen Implikationen von Corona bzw. vielmehr des Umgangs damit geäussert, so u.a. die deutsche Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder: hier. Datenschutzrechtlich legitimiert seien etwa die folgenden Massnahmen:
- Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:
- in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
- in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
- Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese
- selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
- sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.
- Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.
Ebenfalls geäussert hat sich der Europäische Datenschutzausschuss (EDSA). Das Statement ist (nur auf Englisch) hier abzurufen. Bezug auf die – vor allem interessierenden – arbeitsdatenschutzrechtlichen Fragen hält der EDSA folgendes fest:
- Can an employer require visitors or employees to provide specific health information in the
context of COVID-19?
The application of the principle of proportionality and data minimisation is particularly relevant here.
The employer should only require health information to the extent that national law allows it.- Is an employer allowed to perform medical check-ups on employees?
The answer relies on national laws relating to employment or health and safety. Employers should
only access and process health data if their own legal obligations requires it.- Can an employer disclose that an employee is infected with COVID-19 to his colleagues or to
externals?
Employers should inform staff about COVID-19 cases and take protective measures, but should not
communicate more information than necessary. In cases where it is necessary to reveal the name of
the employee(s) who contracted the virus (e.g. in a preventive context) and the national law allows it,
the concerned employees shall be informed in advance and their dignity and integrity shall be
protected.- What information processed in the context of COVID-19 can be obtained by the employers?
Employers may obtain personal information to fulfil their duties and to organise the work in line with
national legislation.