Den Diözesandatenschutzbeauftragten der norddeutschen Bistümer erreichen derzeit viele Anfragen von kirchlichen Stellen, ob und wie personenbezogene Daten von Beschäftigten und Besuchern bei Maßnahmen verarbeitet werden können, die im Zusammenhang mit der Corona-Pandemie stehen. In Anlehnung an die Information der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder [1] gibt der Diözesandatenschutzbeauftragte der norddeutschen Bistümer dazu nachfolgend einige allgemeine Hinweise:
Im Zusammenhang mit der Corona-Pandemie ist es für Dienstgeber bei vielen Maßnahmen, die zum Schutz der Beschäftigten ergriffen werden, notwendig, personenbezogene Daten der Beschäftigten zu erheben. Diese Daten enthalten oftmals Angaben zum Gesundheitszustand der Beschäftigten. Durch die Verbindung der Angaben zur Person mit den Angaben zum Gesundheitszustand handelt es sich um Gesundheitsdaten, die nach § 11 des Gesetzes über den Kirchlichen Datenschutz (KDG) besonders zu schützen sind.
Die Verarbeitung von Gesundheitsdaten ist grundsätzlich nur restriktiv möglich. Zur Eindämmung der Corona-Pandemie oder zum Schutz der Beschäftigten kirchlicher Einrichtungen können für verschiedene Maßnahmen datenschutzkonform (Gesundheits-)Daten erhoben und verwendet werden. Auch in diesen Fällen ist der Grundsatz der Verhältnismäßigkeit zu beachten und die Maßnahme ist auf eine konkrete gesetzliche (Ermächtigungs-)Grundlage zu stützen.
Vor diesem Hintergrund können beispielsweise die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie als datenschutzrechtlich legitimiert betrachtet werden:
- Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Dienstgeber um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:
- in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
- in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
- Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese
- selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
- sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.
- Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.
Rechtliche Hintergrundinformationen:
Die Fürsorgepflicht des Dienstgebers verpflichtet diesen, den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Hierzu zählt nach Ansicht der Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die epidemische bzw. inzwischen pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und im Fall der Fälle der Nachverfolgbarkeit (also im Grunde nachgelagerte Vorsorge gegenüber den Kontaktpersonen) dient. Diese Maßnahmen müssen dabei natürlich immer auch verhältnismäßig sein. Die Daten müssen vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks (regelmäßig also spätestens dem Ende der Pandemie) müssen die erhobenen Daten unverzüglich gelöscht werden.
Die oben genannten Maßnahmen können rechtlich auf der Grundlage des KDG und evtl. relevanter weiterer Fachgesetze legitimiert werden. Dabei sind für jede Maßnahme die einschlägigen Rechtsgrundlagen zu nutzen.
Ungeachtet dessen gelten aber die folgenden allgemeinen Grundsätze:
Die Berechtigung zur Verarbeitung personenbezogener Daten der Beschäftigten ergibt sich in diesen Fällen grundsätzlich aus § 53 Abs. 1 KDG. Soweit kirchliche Stellen nicht öffentlich-rechtlich organisiert sind, könnte eine Maßnahme auch auf § 6 Abs. 1 lit. g) KDG in Verbindung mit den einschlägigen tarif-, arbeits- und sozialrechtlichen Regelungen des kirchlichen und staatlichen Rechts gestützt werden. Die öffentlich-rechtlich organisierten kirchlichen Stellen (z.B. die Bistümer und die Pfarrgemeinden) könnten die Maßnahmen auf § 6 Abs. 1 lit. f) KDG in Verbindung mit den einschlägigen tarif-, arbeits- und sozialrechtlichen Regelungen des kirchlichen und staatlichen Rechts stützen. Für die Verarbeitung von Gesundheitsdaten ist § 11 Abs. 2 lit. b) KDG einschlägig und für die Maßnahmen heranzuziehen. Soweit Beschäftigte an Stellen arbeiten, die für die Bewältigung der Pandemie unverzichtbar sind, könnten die Maßnahmen unter den dort genannten Voraussetzungen auch auf § 11 Abs. 2 lit. g) KDG gestützt werden.
Maßnahmen gegenüber Dritten können bei nicht öffentlich-rechtlich organisierten kirchlichen Stellen auf § 6 Abs. 1 lit. g) KDG, bei den öffentlich-rechtlich organisierten kirchlichen Stellen (z.B. die Bistümer und die Pfarrgemeinden) § 6 Abs. 1 lit. f) KDG gestützt werden. Für die Verarbeitung von Gesundheitsdaten oder anderer besonders sensibler Daten der Dritten wäre § 11 Abs. 2 lit. i) KDG heranzuziehen.
Eine Einwilligung der von den Maßnahmen Betroffenen allein sollte hingegen vorliegend nur als datenschutzrechtliche Verarbeitungsgrundlage in Betracht gezogen werden, wenn die Betroffenen über die Datenverarbeitung informiert sind und freiwillig in die Maßnahme einwilligen können.
Zusätzlich zu den bestehenden Rechtsgrundlagen für die Datenverarbeitung auf Seiten des Dienstgebers ergeben sich aus dem Tarifrecht bzw. dem Arbeitsrecht für Beschäftigte verschiedene Nebenpflichten, unter anderem auch Rücksichts-, Verhaltens- und Mitwirkungspflichten gegenüber ihrem Arbeitgeber und Dritten. Vorliegend stellt nach Auffassung der Datenschutzaufsichtsbehörden beispielsweise die Pflicht zur Information des Dienstgebers über das Vorliegen einer Infektion mit dem Corona-Virus eine solche Nebenpflicht zum Schutz hochrangiger Interessen Dritter dar, aus der unter gewissen Voraussetzungen auch eine Offenlegungsbefugnis gemäß § 6 Abs. 1 lit. d) und g) KDG bezüglich personenbezogener Daten der Kontaktpersonen folgt.
[1] Siehe stellvertretend die Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 13.03.2020 (Ausgabe 07/2020).