Chemnitz, 17. März 2020: Aufgrund zahlreicher Anfragen informiert der Datenschutzbeauftragte für Kirche und Diakonie als unabhängige Aufsichtsbehörde für den Datenschutz in seinem Aufsichtsbereich über die Frage der zulässigen Datenverarbeitung im Zuge der aktuellen Corona-Pandemie.
Wie auch die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder es für den staatlichen Bereich getan haben, stellt der Datenschutzbeauftragte für Kirche und Diakonie klar, „dass der Schutz personenbezogener Daten und Maßnahmen zur Bekämpfung der Infektion sich nicht entgegenstehen“.
Datenschutzrechtliche Informationen und Hinweise zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstgeber in Kirche und Diakonie im Zusammenhang mit der Corona-Pandemie
Zulässige Verarbeitung
Für Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern können Daten, einschließlich besonderer Kategorien von Daten erhoben, verarbeitet und verwendet werden. Dies schließt solche Daten ein, mit denen Bezüge zwischen Personen und deren Gesundheitszustand hergestellt werden und die nach § 13 DSG-EKD besonders geschützt zu behandeln sind.
Datenschutzrechtlich zulässig sind Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie, wie beispielsweise Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstgeber als auch von Gästen und Besuchern, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:
- in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
- in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.
Rechtliche Hintergrundinformationen
Die vorstehenden Maßnahmen lassen sich rechtlich auf Grundlage des DSG-EKD legitimieren. Zusätzlich zur grundsätzlichen Berechtigung zur Verarbeitung personenbezogener Daten bei Dienst- und Arbeitsverhältnissen gemäß § 49 DSG-EKD als abschließende Regelung, ergibt sich i.V.m. den einschlägigen tarif-, arbeits- und sozialrechtlichen Regelungen die Rechtmäßigkeit in Verbindung mit § 13 Abs. 2 Nr. 2 DSG-EKD.
Weiterhin ist zu beachten, dass spezielle staatliche Regelungen (lex specialis), wie z.B. das Infektionsschutzgesetz oder andere Anordnungen der Gesundheitsbehörden sowie anderer staatlicher, kirchlicher und diakonischer Leitungsinstitutionen eine erweiterte, personenbezogene Datenverarbeitung erforderlich machen können.
Ergänzende Hinweise für Dienstgeber bzw. Arbeitgeber
Fürsorgepflicht
Die Fürsorgepflicht der Arbeitgeber bzw. der Dienstgeber verpflichtet diese den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Hierzu zählt auch die angemessene Reaktion auf die epidemische oder pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und im Fall der Fälle der Nachverfolgbarkeit (also im Grunde nachgelagerte Vorsorge gegenüber den Kontaktpersonen) dient.
Verhältnismäßigkeit, Vertraulichkeit, Zweckbindung
Alle Maßnahmen müssen verhältnismäßig sein. Alle Daten müssen vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks (regelmäßig also spätestens dem Ende der Pandemie) müssen die erhobenen Daten unverzüglich gelöscht werden, soweit nicht die Erforderlichkeit oder Verpflichtung zur Aufbewahrung nachweisbar ist oder solche Daten auf der Grundlage von § 50 DSG-EKD für wissenschaftliche und statistische Zwecke verarbeitet werden sollen.
Einwilligung
Die unter Rechtliche Hintergrundinformationen aufgeführten Rechtsgrundlagen stellen nach Auffassung des Datenschutzbeauftragten für Kirche und Diakonie während des Andauerns der epidemischen oder pandemischen Verbreitung einer meldepflichtigen Krankheit die zulässige datenschutzrechtliche Verarbeitungsgrundlage dar.
Ergänzender Hinweis für Beschäftigte
Für Beschäftigte ergeben sich aus dem Arbeitsrecht verschiedene Nebenpflichten, unter anderem auch Rücksichts-, Verhaltens- und Mitwirkungspflichten gegenüber ihrem Arbeitgeber bzw. Dienstgeber und Dritten. So sind in den hier beschriebenen Fällen nach Auffassung der Datenschutzaufsichtsbehörde Beschäftigte verpflichtet zur Information des Dienstgebers bzw. des Arbeitgebers über das Vorliegen einer Infektion mit dem Corona-Virus. Dies stellt ein Nebenpflicht zum Schutz hochrangiger Interessen Dritter dar, aus der unter gewissen Voraussetzungen auch eine Offenlegungsbefugnis gemäß § 8 Abs. 7 DSG-EKD bezüglich personenbezogener Daten der Kontaktpersonen folgt.