1. Home
  2. News
  3. Datenverarbeitung in Unternehmen zur aktuellen Pandemie-Eindämmung gegenüber Besuchern
  • Datenschutz

Datenverarbeitung in Unternehmen zur aktuellen Pandemie-Eindämmung gegenüber Besuchern

Neue Situationen benötigen neue Lösungen. Ohne Erfahrungswerte bedarf es einiger Kreativität, um Möglichkeiten zu finden, die neue Situation zu klären. Die Pandemie ist sicherlich eine solche neue Situation, die neue Lösungen fordert. Das Gebot der Stunde lautet Eindämmung der Pandemie. Die meisten Unternehmen werden Ihre Türen aus diesem Anlass für Besucher ohnehin gänzlich geschlossen haben. Manche Termine lassen sich allerdings nicht verschieben oder telefonisch erledigen. Beispielsweise Klempner haben noch keinen Weg gefunden, einen Wasserrohr­bruch im Gebäude virtuell zu beheben.

Im Einzelfall kann es also nötig sein, Besuchern den Zutritt zum Unternehmen zu ermöglichen. Im Rahmen der Fürsorgepflicht des Arbeitgebers muss der Besuch dabei so gefährdungslos wie möglich für Mitarbeiter und Besucher gestaltet werden. Hierfür bietet das Robert-Koch-Institut weitere Informationen. Sollte es dennoch zu einer Infektion gekommen sein, möchte man möglichst effektiv an einer Aufklärung und damit auch im Nachhinein an einer Eindämmung der Weiter­verbreitung mitwirken. Einige Unternehmen sind deshalb dazu übergegangen Fragebögen von Besuchern zu erfassen, die auch Gesundheitsdaten enthalten, wie z.B. „Wurde bei Ihnen das Coronavirus positiv getestet?“ oder „Leiden Sie unter grippeähnlichen Symptomen?“.

Trotz Krisenzeiten muss allerdings die Rechtsstaatlichkeit gewahrt bleiben. Dazu gehört die Einhaltung demokratisch legitimierter Wege. Sofern eine Anordnung des Gesundheitsamts ergeht, Auflagen zu erfüllen, liegt hierin zugleich auch die datenschutz­rechtliche Legitimation für diese Verarbeitung. Sollte zu diesen Auflagen gehören, dass Besucherdaten zu erheben sind, ist die Datenerhebung in dem geforderten Maße rechtmäßig.

Liegt eine solche Anordnung nicht vor, bedarf es einer anderen Rechtsgrundlage. Der Schutz Ihrer Mitarbeiter und die Wahrnehmung Ihres Hausrechts stellt grundsätzlich Ihr legitimes Interesse an einer Erfassung von Besucherdaten dar, was die meisten Unternehmen ohnehin auch ohne pandemische Lage tun. Diese Daten können, sofern es notwendig werden sollte, auch auf Anordnung der Gesundheits­behörde herausgegeben werden. Die Erfassung von Gesundheitsdaten bedarf allerdings einer eigenen Rechtfertigung.

In Betracht käme eine Rechtfertigung über Art. 9 Abs. 2 lit i DSGVO i.V.m. § 22 Abs. 1 lit. c BDSG, sofern „die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren […] erforderlich ist“. Zu messen ist die Rechtmäßigkeit der Erhebung von Gesundheitsdaten somit am Maßstab der Erforderlichkeit. Erforderlichkeit ist gegeben, wenn das mildeste unter gleich geeigneten Mitteln gewählt wurde. Stehen also andere gleich geeignete Mittel zur Verfügung, die einen geringeren Grundrechtseingriff darstellen, ist die Erhebung von Gesundheitsdaten nicht erforderlich.

Statt die Daten zu erheben, könnte über ein deutlich sichtbares Hinweisschild eine Selbst­verpflichtung am Eingang angebracht werden. Hierin sollte darauf hingewiesen werden, das Betreten zu unterlassen, wenn man selbst positiv auf das Virus getestet wurde oder Kontakt zu einer infizierten Person hatte, oder bei sich selbst grippeähnliche Symptome feststellt. Da es sich sowohl bei dem Hinweisschild als auch bei einem Fragebogen um eine Selbsteinschätzung handelt, dürfte die Effektivität dieser Maßnahmen gleichermaßen hoch oder niedrig sein. Bei dem Hinweisschild findet weder eine Datenerhebung, noch eine Speicherung statt, und stellt damit ggf. ein milderes Mittel dar, zu dem wir grundsätzlich raten möchten.

Gleichwohl räumen wir ein, dass bei einer schriftlichen Erhebung zusätzlich sichergestellt wird, dass die Hinweise nicht übersehen werden können. Insofern ist der Schluss legitim, dass ein Hinweisschild nicht gleich geeignet wie die schriftliche Erfassung mittels eines Fragebogens ist.

Die unabhängige Konferenz der Datenschutz­behörden hat jedenfalls in Anbetracht der pandemischen Lage die Fürsorgepflicht des Arbeitgebers für das Wohl der Gesamtheit der Beschäftigten als überragendes berechtigtes Interesse an der Erhebung von Besucherdaten inklusive der Gesundheitsdaten anerkannt. Dies kann jedoch nur solange gelten, wie das Verfahren der Datenerhebung datenschutz­konform gestaltet ist.

Dementsprechend sollte der Fragebogen möglichst datensparsam gestaltet werden. Eine einfache Bestätigung des Besuchers über das Nicht­vorhandensein einer nachgewiesenen Infektion mit dem Virus, kein bekannter Umgang mit einem nachweislich Infiziertem, kein Aufenthalt in einem der Risikogebiete nach Angaben des Robert-Koch-Instituts und das Fehlen von Symptomen dürfte regelmäßig ausreichen. Nicht erforderlich ist es, jeden einzelnen Punkt separat abzufragen.

Zugleich muss eine adäquate Datenschutz-Information nach den Vorgaben des Art. 13 DSGVO erfolgen. Eine intransparente Verarbeitung kann niemals das Schutzinteresse des Betroffenen überwiegen.

Da es sich auch bei einer Negativauskunft um Gesundheitsdaten handelt, sind die Daten entsprechend Ihres erhöhten Schutzbedarfs verschlossen, gegen unbefugten Zugriff geschützt aufzubewahren, und nur einem begrenzten Personenkreis zugänglich zu machen. Nach Wegfall des Zwecks müssen die Fragebögen datenschutz­konform entsorgt werden.

Ein Muster eines solchen Fragebogens inklusive der Datenschutz-Information finden unsere Kunden im Online-Portal myGINDAT.

About Cookies

This website uses cookies. Those have two functions: On the one hand they are providing basic functionality for this website. On the other hand they allow us to improve our content for you by saving and analyzing anonymized user data. You can redraw your consent to to using these cookies at any time. Find more information regarding cookies on our Data Protection Declaration and regarding us on the Imprint.
Mandatory

These cookies are needed for a smooth operation of our website.

Name Purpose Lifetime Type Provider
CookieConsent Saves your consent to using cookies. 1 year HTML Website
fe_typo_user Assigns your browser to a session on the server. session HTTP Website
PHPSESSID Temporary cookies which is required by PHP to temporarily store data. session HTTP Website
__cfduid missing translation: trackingobject.__cfduid.desc 30 missing translation: duration.days-session HTTP Cloudflare/ report-uri.com
Statistics

With the help of these statistics cookies we check how visitors interact with our website. The information is collected anonymously.

Name Purpose Lifetime Type Provider
_pk_id Used to store a few details about the user such as the unique visitor ID. 13 months HTML Matomo
_pk_ref Used to store the attribution information, the referrer initially used to visit the website. 6 months HTML Matomo
_pk_ses Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
_pk_cvar Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
MATOMO_SESSID Temporary cookies which is set when the Matomo Out-out is used. session HTTP Matomo
_pk_testcookie missing translation: trackingobject._pk_testcookie.desc session HTML Matomo