Von Unternehmern wird derzeit viel abverlangt. Die durch das Corona-Virus ausgelöste Krise konfrontiert Arbeitgeber nicht nur mit wirtschaftlichen Herausforderungen sondern auch mit schwierigen organisatorischen Fragen: Was ist zu tun, wenn im Betrieb plötzlich ein Covid-19-Fall auftritt? Dürfen Dienstgeber Daten über infizierte Mitarbeiter speichern – und falls ja, wie lange? Und wer ist für das Contact-Tracing zuständig?

Eine Frage der Fürsorge

Daten über Infektionen mit dem Corona-Virus und über Verdachtsfälle zählen zur Kategorie der Gesundheitsdaten und damit zu den sensiblen Daten, für die das Datenschutzrecht einen besonderen Schutz vorsieht. Den haben selbstverständlich auch Arbeitgeber zu beachten. Gleichzeitig sind sie gegenüber ihren Arbeitnehmern zur umfassenden Fürsorge verpflichtet, wozu insbesondere der Ausschluss von Gesundheitsrisiken am Arbeitsplatz zählt. Ganz in diesem Sinne, also im Rahmen der Fürsorgepflichten des Arbeitgebers, lässt sich die Verarbeitung von Gesundheitsdaten von Mitarbeitern rechtfertigen, weil die Verarbeitung der Daten in diesem Fall in Erfüllung arbeits- und sozialrechtlicher Pflichten und damit legitim erfolgt. Zudem ist jeder Arbeitgeber berechtigt, Gesundheitsdaten der Angestellten aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie insbesondere dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, zu verarbeiten. So sieht es unter anderem das österreichische Datenschutzgesetz vor. Darüber hinaus kann eine Verpflichtung zur Meldung von Erkrankungen oder Verdachtsfällen nach dem Epidemiegesetz bestehen. Zwar beschränkt sich diese Anzeigepflicht auf ganz bestimmte Personen wie etwa Ärzte, Hebammen, Laborpersonal und Pfleger. Auf Verlangen der Bezirksverwaltungsbehörde sind jedoch alle Personen, explizit auch Arbeitgeber, zur Auskunftserteilung verpflichtet. Eine solche Auskunft kann selbstverständlich nur dann erteilt werden, wenn entsprechende Informationen im Unternehmen gespeichert sind.

Je weniger davon wissen, desto besser

Gemäß dem Grundsatz von Integrität und Vertraulichkeit müssen Arbeitgeber dafür Sorge tragen, dass die Daten ihrer Mitarbeiter sicher verarbeitet werden, was durch geeignete technische und organisatorische Maßnahmen zu erfolgen hat. Solche Maßnahmen sollen gewährleisten, dass Unbefugte keinen Zugriff auf diese Daten erhalten. Dies gilt übrigens auch betriebsintern. Aber lässt sich ein Covid-19-Fall in einem Unternehmen wirklich geheim halten? Gegen das – oft unvermeidliche – Getuschel in der Kaffeeküche sind selbst besonders umsichtige Chefs in der Regel machtlos. Um sich datenschutzrechtlich abzusichern, sollte der Arbeitgeber die Anzahl jener Personen, die er über einen Verdachtsfall oder eine Infektion einweiht, jedenfalls auf ein Minimum beschränken – und auch nur jenen Mitarbeitern oder Abteilungen einen Zugriff auf die Gesundheitsdaten gewähren, die ihn unbedingt benötigen: die Personalabteilung, ein Betriebsarzt. Ansonsten sollte nur die Geschäftsführung Zugriff auf die sensiblen Daten haben.

Muss der Chef die Belegschaft informieren?

Covid-19-Erkrankungen und Verdachtsfälle innerhalb der Belegschaft bringen Arbeitgeber zwangsläufig in einen Zwiespalt: Einerseits müssen sie im Rahmen ihrer Fürsorgepflicht abklären, welche Mitarbeiter sich angesteckt haben könnten, weil jeder Arbeitgeber arbeitsrechtlich dazu verpflichtet ist, seinen Mitarbeitern einen sicheren Arbeitsplatz zur Verfügung zu stellen. Andererseits kann das „Outing“ infizierter Kollegen zur Stigmatisierung und Diskriminierung führen. Informationsschreiben sollten daher nur in Ausnahmefällen und nach entsprechender Abwägung im Einzelfall an die Belegschaft verschickt werden und, soweit möglich, vorerst nur in anonymisierter Form, ohne die Identität der Betroffenen preiszugeben. Sollte es zum Schutz der übrigen Arbeitnehmer in weiterer Folge notwendig sein, können weitere Details bekannt gegeben werden – etwa wann konkret der betroffene Mitarbeiter zuletzt gearbeitet hat und in welcher Abteilung. Selbst eine namentliche Nennung wird sich rechtfertigen lassen, wenn sie zur Abklärung erforderlich ist, mit welchen Personen die erkrankte Person zuletzt Kontakt hatte. Ansonsten sollten Offenlegungen innerhalb des Betriebes aber tunlichst vermieden werden.

Daten speichern, aber nicht unbegrenzt

Nach den datenschutzrechtlichen Vorgaben hat die Verarbeitung der Covid-19-Daten unter strenger Einhaltung des Zweckbindungsgrundsatzes zu erfolgen – der verlangt, dass die Datensätze nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen. Fällt dieser Zweck weg, müssen die gesammelten Daten gelöscht werden. Daten über Covid-19-Erkrankungen dürfen daher ausschließlich für die Gesundheitsvorsorge und die Eindämmung des Virus verarbeitet werden und das auch nur so lange, wie es unbedingt nötig ist. So verlangt es der Grundsatz der Speicherbegrenzung. Spätestens nach dem Ende der Pandemie sind daher jene Daten, die nicht mehr zur Virus-Bekämpfung notwendig sind, zu löschen, wobei die Zulässigkeit zur Speicherung laufend zu überprüfen ist. Insofern sind Gesundheitsdaten von Arbeitnehmern, die als Verdachtsfälle gespeichert wurden, umgehend zu löschen, wenn sich der Verdacht der Erkrankung nicht bewahrheitet hat.

STEPHAN KLIEMSTEIN