RECHT ODER PFLICHT ZUR OFFENLEGUNG DER IDENTITÄT INFIZIERTER MITARBEITER?
Immer wieder seit Ausbruch der Pandemie stehen Arbeitgeber vor der Frage, ob, in welcher Weise und gegenüber wem sie die Identität eines infizierten oder der Infektion verdächtigen Mitarbeiters offenlegen dürfen. Die Kollision der Fürsorgepflicht gegenüber der Belegschaft mit der Pflicht zur Wahrung des Persönlichkeitsrechts und des Schutzes der Daten des Betroffenen lässt sich bei verhältnismäßigem Vorgehen des Arbeitgebers im Sinne der Fürsorgepflicht und damit des Infektionsschutzes lösen.
Problem
Viele Personalverantwortliche, Betriebs- und Werksleiter kennen und fürchten die Situation seit März vergangenen Jahres: Ein Mitarbeiter, der in den Tagen zuvor im Betrieb tätig war, meldet sich arbeitsunfähig, weil er entweder positiv auf Corona getestet wurde oder der konkrete Verdacht einer außerbetrieblichen Ansteckung besteht. Der Empfänger der schlechten Nachricht muss nun unter Einbindung von Krisenstab, Betriebsarzt und ggf. dem Gesundheitsamt entscheiden, wie er seine übrigen Beschäftigten schnell und wirkungsvoll vor Ansteckung schützen kann, ohne gleich den Namen des Betroffenen ans (virtuelle) schwarze Brett zu hängen.
Abwägung und Lösung
Bei der Information über eine (mögliche) Infektion handelt es sich um ein Gesundheitsdatum. Für diese Kategorie personenbezogener Daten gelten besonders strenge Vorschriften. Während nach den Art. 5 und 6 der DS-GVO bereits hohe Hürden für die rechtmäßige Verarbeitung aller personenbezogenen Daten bestehen, ist nach Art. 9 Abs. 1 DS-GVO die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich untersagt. Zu diesen Kategorien zählen neben Daten etwa über die rassische und ethnische Herkunft oder politische Meinungen auch die Gesundheitsdaten. Ausnahmen von der Untersagung sind im zweiten Absatz des Art. 9 DS-GVO geregelt. Insbesondere zwei davon können dem Arbeitgeber bei der Lösung des beschriebenen Problems helfen: (i) Die betroffene Person willigt ausdrücklich in die Offenlegung ihrer (möglichen) Infektion ein. Nicht nur wegen des besonderen Erfordernisses der Ausdrücklichkeit ist die Einwilligungslösung wie in vielen Fällen auch hier riskant. Die Einwilligung muss freiwillig erfolgen, was im Über-/Unterordnungsverhältnis zwischen Arbeitgeber und Arbeitnehmer per se zweifelhaft ist. Zudem muss der Zweck der Verarbeitung des Gesundheitsdatums konkret festgelegt werden. Abgesehen von diesen rechtlichen Problemen scheitert der Weg über die Einwilligung gerade bei schweren Verläufen mit womöglich stationärer Behandlung häufig bereits an den tatsächlichen Gegebenheiten. (ii) Praktisch relevanter ist daher die Ausnahme vom Verarbeitungsverbot nach Art. 9 Abs. 2 b) DS-GVO, wenn die Verabeitung der Gesundheitsdaten erforderlich ist, damit der Arbeitgeber die ihm aus dem Arbeitsrecht obliegenden Pflichten erfüllen kann. Die u.a. im SARS-CoV-2-Arbeitsschutzstandard kodifizierte Fürsorgepflicht des Arbeitgebers auferlegt ihm den Schutz seiner Beschäftigten vor Ansteckung mit dem Coronavirus aus Anlass ihrer Tätigkeit für den Arbeitgeber. Mögliche betriebliche Kontaktpersonen des Infizierten benötigen die Information über die Gefahr, um sich und ihre Angehörigen soweit wie möglich zu schützen. Alle übrigen Mitarbeiter sind darauf angewiesen, dass die Kontaktpersonen schnell identifiziert und isoliert werden, was regelmäßig nur über die allgemeine Kenntnis von der Infektion eines bestimmten Kollegen möglich ist, weil der Arbeitgeber nahezu niemals alle betrieblichen Kontaktpersonen der letzten Tage selbst ermitteln kann.
Im Regelfall dürfte der Arbeitgeber daher sowohl datenschutzrechtlich berechtigt als auch arbeitsrechtlich verpflichtet sein, über den Umstand einer (möglichen) Infektion zu informieren. Dies bedeutet nun aber keinesfalls stets das Recht zur Offenlegung der Identität des Infizierten an die gesamte Belegschaft. Vielmehr muss der Arbeitgeber die allgemeinen datenschutzrechtlichen Verarbeitungsgrundsätze, hier namentlich diejenigen der Zweckbindung und Datenminimierung, beachten, welche letztlich Ausdruck des allgemeinen Verhältnismäßigkeitsgrundsatzes sind.
So wird der Arbeitgeber vor jeder Informationsweitergabe gewissenhaft prüfen müssen, ob sich der Kreis möglicher Kontakte im Betrieb nicht doch eingrenzen lässt, sodass nur diese Kontakte aufgefordert bzw. gebeten werden müssen, bis auf Weiteres dem Betrieb fern zu bleiben, sich ggf. testen zu lassen und bei dem Auftreten von Symptomen den Arzt aufzusuchen. Obwohl den Informierten die namentliche Zuordnung nicht schwer fallen wird, wird der Arbeitgeber bei der Information einer abgrenzbaren Einheit wie einer Abteilung oder einem Team den Namen des Betroffenen nicht nennen müssen (dürfen). Nur dann, wenn der (mögliche) Infizierte theoretisch mit einer unbestimmbaren Anzahl von Kollegen im relevanten Zeitraum in Kontakt gekommen sein kann, wird sich die Offenlegung der Identität des Infizierten an die gesamte Belegschaft nicht vermeiden lassen.
In diesem Sinne halten auch die Datenschutzbeauftragten des Bundes und der Länder die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen dann für rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.