Trotz oder gerade wegen der COVID-19/SARS-CoV-2 Krise darf das Thema Datenschutz nicht ignoriert werden und stellt damit Unternehmen vor neue Herausforderungen. Dabei lassen sich folgende zwei Themenbereiche identifizieren:
Wie gehe ich als Arbeitgeber mit einem Corona-Verdachtsfall in meinem Unternehmen richtig um?
Welche Pflichten treffen mich als Unternehmer bei Home-Office oder Tele-Arbeit meiner Mitarbeiter?
1. Datenschutz im Unternehmen aufgrund von COVID-19
Einerseits handelt es sich bei Gesundheitsdaten um sogenannte sensible Daten für die besondere Voraussetzungen im Hinblick auf die Verarbeitung (Weitergabe, Speicherung etc) nach der DSGVO sowie den nationalen Gesetzen gelten.
Andererseits trifft den Arbeitgeber nach § 3 ASchG eine Fürsorgepflicht aufgrund derer er dafür Sorge zu tragen hat, dass Gesundheitsrisiken am Arbeitsplatz ausgeschlossen werden.
Die Erhebung des Gesundheitszustands durch den Arbeitgeber als Verantwortlichen iSd DSGVO kann insbesondere auf die Erfüllung arbeitsrechtlicher Pflichten gemäß Art 9 Abs 2 lit b DSGVO gestützt werden. Wesentlich dabei ist auf die Zweckbindung abzustellen und nur solche Informationen zu erheben, die auch tatsächlich erforderlich sind (Daten von Personen, die zu einem maßgeblichen Zeitpunkt in einem Risikogebiet; Daten von „betriebsfremden“ Personen, wie etwa Kunden, Geschäftspartnern oder Besuchern, die Kontakt mit eigenen Mitarbeitern
haben/hatten, zur Zurückverfolgung einer allfälligen Infektionskette bzw. zur Klärung ob allenfalls Kontakt mit infizierten Personen bestand).
Für die in weiterer Folge unter Umständen erforderliche Übermittlung von Informationen über konkrete Infektionsfälle an die Gesundheitsbehörde normieren neben Art 9 Abs 2 lit b DSGVO (Ausübung der aus dem Arbeitsrecht erwachsenden Pflichten) auch Art 9 Abs 2 lit h (Verarbeitung zum Zwecke der Gesundheitsvorsorge) und lit i (aus Gründen des öffentlichen Interesses im Bereich der Gesundheit) entsprechende Rechtsgrundlagen.
Allgemeine datenschutzrechtliche Grundsätze, wie insbesondere jener der Datenminimierung nach Art 5 Abs 1 lit c DSGVO dürfen dennoch nicht außer Acht gelassen werden. So ist im Einzelfall abzuwägen, ob es erforderlich ist, gegenüber der Belegschaft den Namen der Person zu nennen, die (möglicherweise) infiziert ist oder ob mit einer allgemeinen Information das Auslangen gefunden werden kann.
Die Verarbeitung von Daten im Zusammenhang mit COVID-19 stellt eine neue Form der Datenverarbeitung dar, die vom Arbeitgeber als Verantwortlichem iSd DSGVO in das von ihm zu führende Datenverarbeitungsverzeichnis und in seine Datenschutzerklärung aufzunehmen ist. Infolge der Verarbeitung von Gesundheitsdaten ist bei entsprechendem Ausmaß auch eine Datenschutzfolgenabschätzung zu erstellen. Gerne sind wir Ihnen dabei behilflich.
2. Datenschutz bei Home-Office und Tele-Arbeit aufgrund von COVID-19
Im Falle von Home-Office und Tele-Arbeit trifft Unternehmen die Verpflichtung Datensicherheit für ihre Kunden, Lieferanten und Geschäftspartner durch entsprechende technische und organisatorische Maßnahmen gemäß Art 32 DSGVO sicherzustellen. Erforderlich ist daher nicht nur eine VPN-Verbindung, die einen sicheren Fernzugriff auf Firmendaten erlaubt, sondern auch entsprechende Verhaltensrichtlinien für MitarbeiterInnen im Umgang mit personenbezogenen Daten sowie Betriebs- und Geschäftsgeheimnissen.
Die österreichische Datenschutzbehörde stellt auf ihrer Homepage ein entsprechendes Informationsblatt, welches am Arbeitsplatz ausgeteilt werden kann, zur Verfügung. Siehe dazu: Informationsblatt der Datensicherheit und Home Office
Mögen die wirtschaftlichen Folgen der Krise aktuell noch nicht abzuschätzen sein, ist mit Sicherheit davon auszugehen, dass das Thema Home-Office und Tele-Arbeit weiterhin eine große Rolle spielen wird. Ergreifen Sie daher bereits jetzt die erforderlichen Maßnahmen, um nach der Krise einen Schritt voraus zu sein. Wir unterstützen Sie dabei.
Für Fragen zum Thema Datenschutz steht Ihnen unser Expertenteam jederzeit gerne telefonisch unter 0732/773702 oder per E-Mail unter office@waitz-rechtsanwaelte.at zur Verfügung.
Disclaimer: Dieser Beitrag dient lediglich zur allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Für die Richtigkeit, Aktualität und Vollständigkeit wird von Waitz Haselbruner Rechtsanwälte GmbH keine Haftung übernommen.