26. März 2021

Corona-Tests und Datenschutz: Das müssen Unternehmer im Datenschutz beachten

Über Corona-Tests und Datenschutz

Mit dem Beschluss der Bundeskanzlerin und den Regierungschefs der Länder vom 22. März 2021 sind Unternehmen aufgefordert ihren Mitarbeitern Angebote für sogenannte Corona-Schnelltests zu unterbreiten. Diese Aufforderung wird durch eine Selbstverpflichtung der Wirtschaftsverbände flankiert sowie der Mitteilung der Bundesregierung diese freiwillige Selbstverpflichtung auch zügig zu prüfen, um sodann gegebenenfalls die Arbeitsschutzverordnung anzupassen. Wie sieht es in diesem Zusammenhang mit Corona-Tests und Datenschutz aus?

Noch ein Wort vorweg: Hier behandeln wir den datenschutzrechtlichen Aspekt der Corona-Tests und haben deshalb den Fokus auf das Thema Corona-Tests und Datenschutz gelegt - es geht also um die Verarbeitung personenbezogener Daten im Zusammenhang mit der Durchführung von Corona-Tests. Die Thematik wird aktuell aber in allen rechtlichen Gebieten betrachtet und ist deshalb vor dem Hintergrund neuer Beschlüsse jeweils neu zu bewerten.

Corona-Test-Datenschutz

Rechtsgrundlage für Corona-Tests und Datenschutz

Aus der Einleitung geht bereits hervor: Eine Rechtsgrundlage für verpflichtende Testungen gibt es bisher noch nicht, von einer Freiwilligkeit kann aber nur bedingt gesprochen werden. Diesem Thema widmet sich auch die Datenschutzkonferenz (DSK) in ihrer letzten Stellungnahme. Viele Unternehmen sind zwar gewillt die Tests bereitzustellen, haben aber Probleme eine Verpflichtung zur Testung herzuleiten, wollen sie angesichts des hohen Risikos aber auch nicht untätig bleiben.

Die erste Idee ist der Griff zur Einwilligung nach Artikel 9 Abs. 2 lit. a der Datenschutzgrundverordnung (DSGVO). Hierzu hat der Zentralverband des Deutschen Handwerks (ZDH) bereits ein Papier inklusive Einwilligungserklärung am Ende herausgegeben. Die Einwilligung setzt aber eine Freiwilligkeit, sowie eine umfassende Aufklärung voraus und kann jederzeit widerrufen werden. Deshalb sollte die Einwilligung nur als letztes Mittel genutzt werden. Ein Test als Zugangsvoraussetzung widerspricht der Freiwilligkeit, wenn dies erschwerend bedeutet, dass Mitarbeiter ohne Lohnfortzahlung nach Hause geschickt werden. Hierbei kann definitiv nicht von einer freiwilligen Maßnahme gesprochen werden.

Rechtliche Bestimmungen

Eigene Mitarbeiter

Die Rechtsgrundlage für die Verarbeitung personenbezogener Gesundheitsdaten im Arbeitsverhältnis ergibt sich aus § 26 Abs. 3 BDSG und Artikel 9 Abs. 2 lit b) DSGVO. Insbesondere ist aber der Artikel 9 Abs. 2 lit i) DSGVO, also der Verarbeitung zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, naheliegend. Weitere Rechtsgrundlagen für die Verarbeitung sind die Nebenpflichten aus dem Tarif- und Arbeitsrecht insbesondere die Rücksichts-, Verhaltens-, und Mitwirkungspflichten der Mitarbeiter.

Dritte

Gegenüber Dritten kann eine Verarbeitung der personenbezogenen Gesundheitsdaten mit Art. 9 Abs. 2 lit i) DS-GVO i.V.m. § 22 Abs. 1 Nr. 1 lit c) BDSG begründet werden. In beiden Fällen ausschlaggebend ist ebenfalls der Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren.

Information der Betroffenen über Corona-Tests und Datenschutz

Auch ohne Einwilligung müssen die Betroffenen über die Verarbeitung informiert werden. Dies ist in Artikel 12 der DSGVO geregelt. Hier also das Altbekannte: Der Verantwortlich muss die Betroffenen vor Erhebung der Daten darüber informieren, wer der Verantwortliche und wer sein Datenschutzbeauftragter ist, für welchen Zweck die Daten erhoben werden, wer ggf. Empfänger der Daten ist, ob sogar eine Übertragung in Drittländer stattfindet, über die Speicherdauer, sowie die Rechte der Betroffenen und die Auskunft über etwaige automatisierte Entscheidungsfindungen.

Eine Vorlage zur Information der Betroffenen können Sie hier kostenlos herunterladen.

Datenübermittlung an Dritte

Bei einem positiven Testergebnis ist das Gesundheitsamt zu informieren. Die jeweiligen Gesundheitsämter haben (Web)-Formulare vorbereitet, um Ihnen die Meldung zu erleichtern. Grundlage hierfür ist das Infektionsschutzgesetz.

Löschfristen 

Hier gilt der Grundsatz der Datenminimierung und Datensparsamkeit. Das Testergebnis sollte gar nicht erst gespeichert werden, jedoch soll nach dem oben genannten Beschluss der Test auch bescheinigt werden können. Es besteht also eine gewisse Nachweispflicht über das Anbieten des Tests. Eine Speicherdauer von sechs Wochen sollte aber nicht überschritten werden.

Über den Autor

Maximilian Kindshofer

M.-Kindshofer
{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Erhalten Sie unsere unverbindl. Updates über Neuerungen im Datenschutz & weiteren Compliance-Themen:

Mit abonnieren des Newsletters erklären Sie sich mit dem Erhalt von E-Mails zu o.g. Themen einverstanden. Weiterhin willigen Sie ein, dass wir die Öffnungs- und Klickraten unserer Newsletter erheben und in Empfängerprofilen zusammenfassen, zum Zwecke der Personalisierung und Gestaltung zukünftiger Newsletter. Ihre Einwilligung kann jederzeit widerrufen werden. Nähere Informationen erhalten Sie in unserer Datenschutzerklärung.

>