Dürfen Arbeitgeber private Handynummern oder andere private Kontaktdaten von der Belegschaft erheben, um die Beschäftigten im Falle einer Schließung des Betriebs oder in ähnlichen Fällen kurzfristig warnen oder auffordern zu können, zu Hause zu bleiben?
Nach Auffassung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg („Datenschutzaufsicht BW“) ist dies NUR mit der Einwilligung des Beschäftigten zulässig. Eine andere Erlaubnisnorm kommt auch nach unserer Auffassung nicht in Betracht.
Dürfen Arbeitgeber Informationen darüber erheben und weiterverarbeiten, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte etc.?
Die Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder („DSK“) und die Datenschutzaufsicht BW bejahen dies mit einem Verweis auf die, den Arbeitgeber treffende und im Arbeitsschutzgesetz (ArbSchG) normierte Pflicht zur Fürsorge. Diese Fürsorgepflicht gilt auch gegenüber der Belegschaft als Ganzes. Der Arbeitgeber hat angemessene Maßnahmen zum Zweck der medizinischen Vorsorge zum Schutz der Belegschaft zu treffen. Dies kann der Arbeitgeber nur dann gewährleisten, wenn er hinreichende Informationen über potentielle Infektionsrisiken im eigenen Betrieb vorliegen hat. Auch nach unserer Auffassung überwiegen die schutzwürdigen Interessen des Beschäftigten nicht. Für die Praxis empfehlen wir, beim Einsatz der Erhebungsbögen drauf zu achten, dass im Fragebogen nur solche Fragen aufgeführt werden, die im unmittelbaren Zusammenhang mit den oben genannten Zwecken (Aufenthalt im Risikogebiet oder Kontakt mit Erkrankten) stehen.
Dürfen Arbeitgeber den Beschäftigten mitteilen, dass ein bestimmter Mitarbeiter am Virus erkrankt ist, sogar unter Nennung des konkreten Namens, um darauf aufbauend mögliche Kontaktpersonen freizustellen?
JA, ABER: Nach Auffassung der Datenschutzaufsicht BW ist die Nennung des Namens des infizierten Beschäftigten aufgrund der damit einhergehenden Stigmatisierungswirkung NUR im äußersten Notfall erlaubt. Der Arbeitgeber habe zunächst lediglich die Abteilung/das Team des infizierten Beschäftigten ohne Nennung des Namens des Beschäftigten zu informieren. Wenn dieses Vorgehen keinen Erfolg verspreche, habe der Arbeitgeber das Gesundheitsamt über die Infektion oder den Verdacht der Infektion zu informieren und um Anweisungen zum weiteren Vorgehen zu bitten. Sei das Gesundheitsamt nicht erreichbar (z.B. wegen Überlastung der Leitungen) oder das Vorgehen nicht erfolgversprechend, könne der Arbeitgeber als ultima ratio den Namen des infizierten Mitarbeiters im Betrieb gegenüber den anderen Mitarbeitern offenlegen.
Diese Position ist nicht praxisgerecht. Im Fall einer Infektion eines Beschäftigten im Betrieb müssen zwingend die möglichen Kontaktpunkte des infizierten Mitarbeiters identifiziert werden. Hierzu muss in aller Regel offengelegt werden, welcher Mitarbeiter mit dem jeweiligen Beschäftigten Kontakt hatte. Im Übrigen kann die datenschutzrechtliche Frage der Zulässigkeit der Offenlegung des Namens des infizierten Beschäftigten nicht in die Hand des Gesundheitsamtes gelegt werden.
Darf ein Arbeitgeber, der eigene Mitarbeiter aus dem Home-Office tätig werden lässt, die Privatadresse des Mitarbeiters an Kunden des Arbeitgebers offenlegen, damit diese z.B. zu erfassende Formulare direkt an die Mitarbeiter versenden können?
NEIN. Die Übermittlung der Privatadresse eines Beschäftigten an Kunden des Arbeitgebers ist regelmäßig nicht zur Durchführung des Beschäftigungsverhältnisses (Art. 26 Abs. 1 BDSG) erforderlich. Die Kommunikation kann unproblematisch über den Arbeitgeber erfolgen. Dies ist dem Arbeitgeber auch in Anbetracht der Kosten und des damit verbundenen Aufwands zuzumuten. Damit hat der Arbeitgeber stets eine Alternative, die weniger in das Persönlichkeitsrecht des Mitarbeiters eingreift.
Selbstverständlich kann der Arbeitgeber eine Einwilligung der Beschäftigten zu einer direkten Versendung der Formulare von den Kunden an die Arbeitnehmer erfragen. Hier ist aber ein besonderes Augenmerk auf die Freiwilligkeit der Einwilligung zu legen.
Welche besonderen Maßnahmen muss ein Arbeitgeber in datenschutzrechtlicher Hinsicht ergreifen, wenn er Mitarbeiter aus dem Home-Office tätig werden lässt?
Das Beschäftigungsverhältnis zwischen dem Arbeitgeber und dem Beschäftigen bestimmt die datenschutzrechtliche Bewertung der Home-Office Regelungen. Eine Veränderung der datenschutzrechtlichen Rollen der Beteiligten erfolgt hierdurch nicht. Der Arbeitgeber ist Verantwortlicher (Art. 4 Nr. 7 DSGVO) und der Arbeitnehmer ist Teil des Verantwortlichen. Die räumliche Trennung lässt die Einbindung des Arbeitnehmers in den Verantwortungsbereich des Verantwortlichen nicht entfallen. Der Verantwortliche muss die Home-Office „Zone“ daher als eine Erweiterung des eigenen Betriebes in räumlicher und IT-technischer Hinsicht begreifen. Von besonderer Bedeutung sind in diesem Zusammenhang die technisch-organisatorischen Maßnahmen („TOM“). Der Verantwortliche ist nach Art. 25, 32 DSGVO dazu verpflichtet, diese Sicherheitsmaßnahmen zum Schutz der Daten zu implementieren.
Zunächst sollte der Arbeitgeber grundsätzliche Bestimmungen zum Umgang mit den betrieblichen Mitteln (Hard- und Software) bestimmen. Insbesondere sollte die private Nutzung der betrieblichen Mittel (z.B. privates Surfen im Internet, Videostreaming-Dienste) untersagt werden. Gleichzeitig sollte der Arbeitgeber die Verarbeitung von betrieblichen Daten auf privaten Geräten (wie z.B. Laptops) untersagen. Beide Maßnahmen sollen gewährleisten, dass Daten innerhalb der betrieblichen Infrastruktur verbleiben. Durch eine Protokollierung kann zudem auch stets nachverfolgt werden, wie eine Datenverarbeitung im Einzelfall erfolgt.
Auch der konkrete Umgang mit den betrieblichen Mitteln sollte geregelt werden. So dürfen die Passwörter oder Daten nicht gegenüber Mitgliedern der häuslichen Gemeinschaft des Beschäftigten offengelegt werden. Ferner sollten auch Bestimmungen zu den Sicherheitsmaßnahmen des Mitarbeiters getroffen werden. Der Beschäftigte muss insbesondere gewährleisten, dass unbefugte Dritte keinen Zugang zu den betrieblichen Mitteln und Ausdrucken haben und etwaige Ausdrucke datenschutzkonform entsorgt werden.
Unser MELCHERS TEAM DATENSCHUTZ – Dr. Dennis Voigt, Johannes Fischer und Albert Noll unterstützt Sie schnell, effektiv und professionell bei allen Fragen rund um den Datenschutz.