Datenschutz bei Corona-Verdachts- oder -Infiziertenfällen im Unternehmen

Eigentlich dachte ich, zu Corona sei so langsam alles gesagt, doch da lag ich wohl falsch: „Lockdown light“ … was hat das nun schon wieder mit „dem Datenschutz“ zu tun, der zurzeit ja in jeder Talkshow als mindestens für die halbe Misere Verantwortlicher ausgemacht wird?

Angesichts steigender Infiziertenzahlen wächst die Wahrscheinlichkeit, dass sich auch in den Betrieben die Infizierten- bzw. Verdachtsfälle mehren werden. Und dann? Einmal kurz wie im Supermarkt an der Kasse Durchsage an alle „Der Müller ist infiziert – bitte alle, die mit ihm Kontakt hatten, melden“? Besser nicht … Arbeitgeber dürfen Daten von Beschäftigten verarbeiten, wenn es zur Durchführung des Arbeitsverhältnisses erforderlich ist. Eine Krankschreibung enthält daher nur Angaben, die für Abrechnung, Ressourcenplanung usw. nötig sind – keine Diagnosen. Kenntnis vom Krankheitsfall dürfen nur die Personen im Unternehmen haben, die davon wissen müssen (z. B. Personalabteilung, direkte Vorgesetzte), dabei spielt die Diagnose in den seltensten Fällen eine Rolle. Da würde auch Covid-19 keinen Unterschied machen – wären da nicht die Corona-Verordnungen und das Infektionsschutzgesetz, demgemäß Covid-19 eine meldepflichtige Krankheit ist. Und nun kann Corona sich für Sie zum Problem auswachen, denn Sie müssten ja ggf. mit Verdachtsfällen bzw. Quarantäne umgehen. Ausnahmsweise ist mal nicht die Rechtsgrundlage der Showstopper – da kann man sich dank Infektionsschutzgesetz und der im öffentlichen Interesse liegenden Gesundheit lustig aus Art. 6 Abs. 1 lit. c, d oder e bedienen: die erlauben bzw. zwingen Unternehmen sogar, mehr als sonst üblich mit den Daten der Beschäftigten zu tun.

Klingt gut? Mag sein, aber der Teufel steckt im Detail und in der Praxis ist es dann oft unübersichtlich, weil trotz buntem Strauß möglicher Rechsgrundlagen und Rechtsvorschriften die Pflicht zur Reduzierung auf das erforderliche Minimum der Datenverarbeitung besteht. Kommen wir zurück auf die Supermarktdurchsage: möglich oder nicht? Nein, denn der grobe Tenor der Datenschutzaufsichtsbehörden zur Umsetzung lautet verkürzt gesagt: Die Daten von Verdachts- oder bestätigten Fällen dürfen nur verarbeitet werden, wenn es zwingend erforderlich ist, um den Fall zu bearbeiten und beispielsweise Kollegen zu warnen. Zudem muss man differenzieren: Nur die Personen, die ihn wissen müssen, dürfen den konkreten Namen des Betroffenen kennen – für alle anderen reichen allgemeine Informationen. Zur Vorsorge wird der Arbeitgeber bei Verdachtsfällen etwas tun müssen: Ob es allerdings erforderlich ist, nicht unmittelbar mit der Person zusammenarbeitende Beschäftigte nicht nur zu warnen, sondern auch die möglicherweise infizierte Person zu nennen, ist sicher knifflig. Natürlich können Beschäftigte das Risiko besser einschätzen, wenn sie den Namen eines Verdachtsfalls kennen – möglicherweise hatte man ja keinen Kontakt zu dem (evtl.) infizierten Kollegen. Dass ein Name dann auch zu Kollegen „durchsickert“, die keinen Kontakt hatten, mag im Gesundsheitsinteresse vertretbar sein. In der Regel sind Namensnennungen aber allein deshalb nicht nötig, weil abhängig von der Betriebsgröße ohnehin ein erklecklicher Teil der Beschäftigten sich denken können wird, um wen es geht. Hier gilt wie so oft: gesunden Menschverstand walten lassen – Risiken lassen sich minimieren, selten aber ganz ausschließen.