Wie verhalten Sie sich als Arbeitgeber datenschutzrechtlich richtig bei Corona-Erkrankungen von Mitarbeiterinnen und Mitarbeitern?

Eine kurze Handlungshilfe für Unternehmerinnen und Unternehmer

Täglich erhalten wir Anfragen von Mandantenunternehmen, wie sie sich richtig bei Corona-Verdachtsfällen ihrer Mitarbeiter verhalten sollen. Eine zentrale Frage ist dabei, inwieweit es den Unternehmen möglich ist, den Namen eines etwaigen erkrankten Mitarbeiters innerhalb des Unternehmens preiszugeben, um dadurch die Kontaktpersonen des an Corona erkrankten Mitarbeiters zu ermitteln.

Die Unsicherheit innerhalb der Unternehmen ist groß. Dazu trägt auch bei, dass aufgrund der Arbeitsüberlastung von Gesundheitsbehörden etwaige Anfragen der Unternehmer wie sie sich richtig verhalten sollen unbeantwortet bleiben. Zahlreiche Unternehmen versuchen sich auf den verantwortungsvollen Umgang mit der sich ausbreitenden Corona-Infektion vorzubereiten.

Corona stellt nicht nur Behörden und Gesundheitssysteme, sondern auch die gesamte Wirtschaft vor bisher unbekannte Probleme.

Im Zusammenhang mit einer konkreten Anfrage eines von CL betreuten Unternehmens haben wir mit dem Landesamt für Datenschutz und Informationsfreiheit für Baden-Württemberg telefoniert – mit folgendem Ergebnis: Um es vorwegzunehmen: Es gibt (noch) keine offizielle Stellungnahme der Aufsichtsbehörden.

Für den konkreten Fall, der Gegenstand unserer telefonischen Unterredung war, wurde folgendes Vorgehen mit der Aufsichtsbehörde in concreto besprochen:

1. Es ist legitim, dass Sie als Unternehmerin und Unternehmer sämtlichen Mitarbeitern, die in entsprechenden Risikogebieten im Urlaub waren, empfehlen dürfen, dass diese 14 Tage nicht den Arbeitsplatz bei ihrem Arbeitgeber aufsuchen sollen.

2. Für den Fall einer bestätigten Coronainfektion einer  Mitarbeiterin/eines Mitarbeiters dürfen Sie diesen Befund dem Gesundheitsamt melden. Ein solches Vorgehen war bislang unter Datenschützern tatsächlich streitig (!). Das insoweit einschlägige Infektionsschutzgesetz nennt bis dato die Coronainfektion noch nicht explizit. Durch die Verordnung zur Ausweitung des Infektionsschutzgesetzes (CoronaVMeldeV) wurde diese Lücke speziell für die Coronainfektion nunmehr geschlossen.

3. Für den Fall einer bestätigten Coronainfektion sollten Sie nach Möglichkeit nicht den Namen des Betroffenen nennen, sondern eine Mitteilung an Ihre übrigen Mitarbeiterinnen und Mitarbeiter abgeben, dass „eine „Mitarbeiterin oder ein Mitarbeiter der Abteilung XY“ nunmehr bestätigt an Corona infiziert ist und daher alle Mitarbeiterinnen und Mitarbeiter, die mit Personen dieser Abteilung Kontakt haben und hatten für 14 Tage zu Hause bleiben sollen (Zeitraum richtet sich nach den Empfehlungen der Gesundheitsbehörden).

4. Den Anordnungen der Gesundheitsbehörden ist Folge zu leisten.

5. Denkbar ist wohl im allerschlimmsten Fall eine Nennung des Namens des Betroffenen, soweit die Nennung des Namens aus Gründen Ihrer Fürsorgepflicht als Arbeitgeber “erforderlich“ ist. Dies ist aber eine absolute Ausnahme, die sich ergeben kann aus Art. 9 Abs. 2 b DSGVO, wonach "eine Verarbeitung von personenbezogenen Daten einer besonderen Kategorie, somit auch Gesundheitsdaten, dann möglich ist, wenn die Verarbeitung erforderlich ist, damit der Verantwortliche, den ihm aus dem Arbeitsrecht resultierenden Pflichten nachkommen kann". Aus dem Arbeitsschutzgesetz, hier § 15, kann eine solche Pflicht resultieren.

Dabei ist wesentlich, dass nach Möglichkeit der Namen der erkrankten Mitarbeiterin bzw. des erkrankten Mitarbeiters nicht genannt werden sollte. Erfolgt die Nennung des Namens oder weitergehende Maßnahmen durch das Gesundheitsamt, so sind jedenfalls Sie als Arbeitgeber nicht verantwortlich für die Offenlegung der Identität der betroffenen Person.

Dabei ist dringend zu beachten, dass die Nennung des Namens des Betroffenen mit erheblichen Einbußen in dessen Rechte und Freiheiten verbunden sein wird. Wie den Medien zu entnehmen ist, werden zahlreiche infizierte Personen in sozialen Medien und auch im sozialen Umfeld gemobbt und diskriminiert.

Diese unsere Handlungsempfehlung ist in einem konkreten Fall, der keine allgemeine Gültigkeit haben muss, mit der entsprechenden Aufsichtsbehörde abgestimmt.

Aus unserer Sicht kann diese Handlungsempfehlung aber auf andere – vergleichbare - Fälle übertragen werden.

Bitte kommen Sie auf uns zu, sofern Sie Beratungsbedarf haben. Unsere Experten unseres Teams Datenschutz und Compliance unterstützen Sie gerne!

Caemmerer Lenz - Ihr leistungsfähiger Datenschutzpartner

Caemmerer Lenz - Datenschutzpartner für die öffentliche Verwaltung

Cornelius Weiß

Rechtsanwalt

Karlsruhe, den 09.03.2019