Datenerfassung von Betriebsfremden (Symbolbild)
Login

Datenschutzrechtliche Unternehmerpflichten in Zeiten von Corona – Die Corona-Warn-App, Datenerfassung von Betriebsfremden

Die Corona-Krise stellt Unternehmen auch rechtlich vor besondere Herausforderungen. Der regulatorische Rahmen für Arbeitgeber ergibt sich aus dem Arbeitsschutzrecht (§ 618 BGB i.V.m. § 3 Abs. 1 ArbSchG) und der Pflicht zur Fürsorge gegenüber ihren Beschäftigten. Dazu gehört es auch, sowohl die betriebliche Sicherheit als auch die Gesundheit der Beschäftigten sicherzustellen. Das Bundesministerium für Arbeit und Soziales (BMAS) hat im Zusammenhang mit der Rückkehr der Beschäftigten an ihre Arbeitsplätze den Arbeitsschutzstandard SARS-CoV1 veröffentlicht, um einen einheitlichen Schutz für Beschäftigte zu schaffen. Zudem gelten die landesrechtlichen Corona-Verordnungen, die ständig aktualisiert werden und sich in Details unterscheiden.

Der Beitrag behandelt ein wegen der sich stets verändernden Krisenlage hochaktuelles Thema. Nach Erscheinen können sich sehr schnell Änderungen der Sach- und Rechtslage ergeben. Unser Autor gibt die ihm bekannte Sach- und Rechtslage mit Stand vom 30.06.2020 wieder.

Wir bedanken uns bei Professor Dr. Rolf Schwartmann, Mitherausgeber von Schwartmann/Jaspers/Thüsing/Kugelmann, Heidelberger Kommentar DSGVO/BDSG für seinen Gastbeitrag. Die voraussichtlich im Juli bei juris verfügbare 2. Auflage bearbeitet aktuelle Datenschutzfragen schon unter Berücksichtigung der Corona-Pandemie auf.

Im Fokus der Debatte steht zunächst die Corona-Warn-App. Der Gesetzgeber setzt auf freiwillige Installation. Aber dürfen Arbeitgeber den Zutritt zum Betrieb verweigern, wenn die App nicht eingerichtet ist? Mehr noch: Dürfte der Arbeitgeber Beschäftige anweisen, die App auf Privatgeräten zu installieren oder sie auf dem Diensthandy selbst installieren?

Klare Ansage des LDA-Bayern: Corona-Warn-App auch im Arbeitsrecht nur freiwillig

Dadurch würde die freiwillige App faktisch in der konkreten Anwendung zur Zwangs-App. Das Bayerische Landesamt für Datenschutzaufsicht warnt davor: „Da wir keine Gewähr dafür sehen, dass grundlegende datenschutzrechtliche Anforderungen eingehalten werden können, werden wir solche Zweckentfremdungen der Warn-App wenn nötig auch mit Geldbußen unterbinden“, heißt es in einer Presserklärung.

Die Begründung liefert der Datenschutz. Wer die Nutzung der App anordnen oder kontrollieren wolle, der müsse für diese Anwendung auch die datenschutzrechtliche Verantwortung übernehmen. Dafür fehle es an einer Rechtsgrundlage in der DSGVO und im ergänzenden Landesrecht. Rechtlichen Konstruktionen, die dem Zwang etwas Freiwilliges abgewinnen wollen, erteilen die Datenschützer aus Bayern eine konkrete Absage. „Gesonderte Einwilligungen der Beschäftigten bzw. Kunden und Gäste können mangels hinreichender Freiwilligkeit keine belastbare datenschutzrechtliche Rechtfertigung vermitteln“, heißt es in der Presserklärung. Zudem könnten zentrale Pflichten des Datenschutzrechts, etwa zur Information oder Dokumentation nicht wahrgenommen werden.

Die klare Ansage aus Bayern bindet Aufsichtsbehörden in anderen Bundesländern nicht und sie kann gerichtlich überprüft werden. Die Argumentation hat aber datenschutzrechtlich und politisch einiges für sich. Wenn der Staat auf Freiwilligkeit setzt, dann darf der Zwang zur Einführung der App nicht über Umwege kommen. Der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht Michael Will bringt es auf den Punkt: „Das Projekt der WarnApp überzeugt durch guten Datenschutz und sein Konzept der Freiwilligkeit, Druck und falsche Anreize beschädigen es.“

Rechtspflichten für die Datenerfassung von Betriebsfremden

Die Datenerfassung von Beschäftigten und Betriebsfremden wird vor allem seit dem Corona-Ausbruch in der Fleischindustrie diskutiert. Der Hygiene-GAU dort hat auch eine wichtige datenschutzrechtliche Dimension für Unternehmen. Nicht nur in Schlachtereibetrieben halten sich neben eigenen Mitarbeitern, deren Kontaktdaten und Anschriften zur schnellen Rückverfolgbarkeit bekannt sind, auch Beschäftigte von sog. Subunternehmen auf. Vom Zulieferer mit Aufenthalt im Unternehmen, über Handwerker und Reinigungspersonal bis zum Wachdienst ist ein Betrieb ein Ort der Zusammenkünfte von potentiell Infizierten. Wenn die Pandemie ausbricht, ist es für Gesundheitsbehörden entscheidend, schnell alle Personen, die relevanten Kontakt zueinander hatten identifizieren und aufsuchen zu können. Dazu gehören auch Beschäftigte von firmenfremden Unternehmen. Tönnies konnte den Behörden deren Adressen nicht vollständig vorlegen und verwies auf den Datenschutz. Man habe die Subunternehmen zur Preisgabe der Daten aufgefordert, weil man die Mitarbeiterdaten der Subunternehmer selbst aus Gründen des Datenschutzes nicht einmal haben dürfe.

Pandemierecht modifiziert Arbeitsrecht

Dieses richtige und wichtige Argument des Werkvertrags- und Beschäftigtendatenschutzrechts wird durch das Pandemierecht verdrängt. Die Datenschutz-Grundverordnung lässt Datenerhebungen zur Erfüllung rechtlicher Verpflichtungen zu (Art. 6 Abs. 1 S. 1 c DSGVO), die auch durch Rechtsverordnungen der Verwaltung angeordnet werden können (EG 41 DSGVO). In der der Coronaschutzverordnung2 des Landes NRW ist das geschehen. Danach dürfen berufliche Zusammenkünfte in Unternehmen zwar stattfinden. Allerdings muss dann die Rückverfolgbarkeit gesichert sein.

Wenn die dazu erforderlichen Daten – wie es bei eigenen Mitarbeitern der Fall ist – nicht ohnehin im Betrieb vorliegen, ist gemäß § 4 CoronaSchVO NRW die „einfache Rückverfolgbarkeit“ nach § 2 a CoronaSchVO NRW sicherzustellen. Dazu ist erforderlich, dass der Unternehmer, der einen Begegnungsraum eröffnet, „alle anwesenden Personen (Gäste, Mieter, Teilnehmer, Besucher, Kunden, Nutzer usw.) mit deren Einverständnis mit Name, Adresse und Telefonnummer sowie – sofern es sich um wechselnde Personenkreise handelt – Zeitraum des Aufenthalts bzw. Zeitpunkt von An- und Abreise schriftlich erfasst und diese Daten für vier Wochen aufbewahrt.“ Diese datenschutzrechtlich befremdliche Doppelung von gesetzlicher Erlaubnis und Einverständnis – dessen Freiwilligkeit schwer zu begründen sein dürfte - ist also der NRW-Verordnung ausdrücklich vorgesehen.

Sitzplan oder Einsatzplan erstellen

Zusätzlich ist ein Sitzplan zu erstellen und vier Wochen lang aufzubewahren. Daraus muss sich ergeben, welche Person wo gesessen hat. An die Stelle eines Sitzplanes dürfte in anderen Fällen ein Einsatzplan treten müssen. Die Datenerfassung kann körperlich oder digital erfolgen, aber die Anforderungen des Datenschutzes sind sicherzustellen.3

Diese Anforderungen des Pandemierechts in Nordrhein-Westfalen zur effektiven Bekämpfung von Covid19 sind weitreichend. Sie gelten generell für Unternehmen.

Wo die Grenze der Erfassungspflicht liegt ist offen. Wie kann man sie konkretisieren? Möglicherweise über den Begriff der Zusammenkunft aus beruflichen, gewerblichen und dienstlichen Gründen von Betriebsangehörigen und Externen. Dafür, dass mit einer Zusammenkunft keine rein typische dienstliche Zusammenkunft, etwa ein „Meeting“ unter Mitarbeitern gemeint ist, und nicht der Plausch mit dem Postboten, ergibt sich kein Anhaltspunkt. Es dürfte jede Art der dienstlichen Zusammenkunft mit Externen unabhängig von der ihrem Anlass oder ihrer Art erfasst sein, denn das Pandemierisiko ist dasselbe und mit dem einer Zusammenkunft in einer Gaststätte vergleichbar.

Pflichten des Betriebsinhabers

Die Verantwortlichkeit trifft auch den Unternehmer als „die den Begegnungsraum eröffnende Person (Gastgeber, Vermieter, Einrichtungsleitung, Betriebsinhaber, Veranstaltungsleitung usw.)“ Personen, die sich länger im Betrieb aufhalten, dürften grundsätzlich zu erfassen sein. Aber muss ein Unternehmen auch die Adresse des Postboten vorhalten? Wie ist es bei fremdem Reinigungspersonal, das sich außerhalb der Dienstzeiten im Betrieb aufhält oder wie ist es beim Wachpersonal? Für diesen Personenkreis wird zumindest kein Begegnungsraum eröffnet, es sei denn man trifft die Reinigungskraft im Büro doch an, weil sich deren Dienst mit dem des üblichen Personals überschneidet. Das von der Reinigungskraft auf die Tastatur genieste Virus jedenfalls, überlebt aber bis zum Dienstbeginn. Dazu muss man seinem Träger nicht begegnen.

Faustformel für mögliche Grenze der Erhebungspflicht: Weniger als 1,5 m und mehr als 15 Minuten

Damit die Erfassungspflicht für Unternehmen nicht uferlos wird, und man als Unternehmer nicht die Adresse des Postboten speichern muss, bei dem nur ein kurzer Kontakt stattfindet, ist eine pragmatische Einschränkung wichtig. Vorschlag: Da pandemierelevante Begegnungen nach epidemiologischen Erkenntnissen einen Abstand von unter 1,5 Metern und eine Dauer von über 15 Minuten erfordern, sollte die Erfassungspflicht erst bei solchen Kontakten einsetzen. Die Formel lautet also auch hier: „Weniger als 1,5 und mehr als 15.“

DSGVO-Pflichten im Detail

Die genannten Datenverarbeitungen müssen datenschutzkonform sein. Die Datenverarbeitung darf digital oder muss – wenn vom Betroffenen gewünscht – papiergebunden erfolgen. Es sind die Informationspflichten nach Art. 13 f. DSGVO zu erfüllen und die Daten und der Sitzplan sind für 4 Wochen zu speichern und danach zu löschen. Je nach körperlicher oder digitaler Erfassung unterscheiden sich die technischen und organisatorischen Schutzmaßnahmen. Erfolgt die Erfassung durch einen Dritten, so ist dieser weisungsgebunden und die Anforderungen der Auftragsverarbeitung nach Art. 28 DSGVO sind einzuhalten. Hier ist auch zu regeln, wen in welchen Fällen die Pflicht zur Herausgabe an die Behörde trifft.4

Fußnoten

1 https://www.bmas.de/SharedDocs/Downloads/DE/PDF-Schwerpunkte/sars-cov-2-arbeitsschutzstandard.pdf?__blob=publicationFile&v=1

2 https://www.land.nrw/sites/default/files/asset/document/2020-06-19_fassung_coronaschvo_ab_20.06.2020_lesefassung.pdf

3 https://web.de/magazine/news/app-zettel-kontaktdatenerfassung-gastronomie-34806900

4 Einen vertiefenden Überblick geben die FAQ der Gesellschaft für Datenschutz und Datensicherheit: https://www.gdd.de/datenschutz-und-corona/FAQ-Corona

Lesen Sie zum Thema "Datenschutz" auch:

Lesen Sie weitere interessante Beiträge im juris Magazin:


juris unterstützt Sie in allen Rechts- und Themengebieten.

Finden Sie aus unserer Auswahl das für Sie passende Modul oder Produkt:


			juris PartnerModul Compliance
juris PartnerModul Compliance
Lösungsansätze zur Umsetzung von compliance-rechtlichen Vorgaben innerhalb diverser Rechtsgebiete, wie z. B. dem Arbeits- oder Wirtschaftsrecht.
Weitere Produktinformationen

			juris PartnerModul Compliance premium
juris PartnerModul Compliance premium
Erfahren Sie u.a. welche Maßnahmen bei der Prävention und Vermeidung von Haftung und Strafbarkeit zu ergreifen sind.
Weitere Produktinformationen

			juris PartnerModul Datenschutz
juris PartnerModul Datenschutz
Umfassende Fachliteratur zur DSGVO und zum neuen BDSG - in EINEM Modul, sukzessive aktualisiert.
Weitere Produktinformationen

			juris PartnerModul IT-Recht
juris PartnerModul IT-Recht
Beantwortet alle Fragen aus dem IT-rechtlichen Alltag (DSGVO, BDSG, TMG, TKG u.v.m.) unter Berücksichtigung von UWG und StGB.
Weitere Produktinformationen

			juris PartnerModul Arbeitsrecht
juris PartnerModul Arbeitsrecht
Lösungsmöglichkeiten für alle arbeitsrechtlichen Fragestellungen ausgerichtet am Bedarf des anwaltlichen Praktikers.
Weitere Produktinformationen

			juris PartnerModul Arbeitsrecht premium
juris PartnerModul Arbeitsrecht premium
Von der krankheitsbedingten Entlassung über Kranken-/Mutterschaftsgeld bis zur betrieblichen Altersversorgung und Schwerbehindertenrecht.
Weitere Produktinformationen

Nicht das Passende für Sie dabei?

Wir beraten Sie gerne persönlich und unverbindlich: 0800 – 587 47 33