Datenschutz: Firmen dürfen Coronavirus-Daten erheben

Nach Einschätzung von Datenschützern rechtfertigt die Bekämpfung der Coronavirus-Pandemie die umfassende Speicherung personenbezogener Daten. "So lange die Maßnahmen der Arbeitgeber und Dienstherren verhältnismäßig sind, steht der Datenschutz der Infektionsbekämpfung nicht im Weg. Denn die Gesundheit der Bürgerinnen und Bürger steht jetzt im Mittelpunkt", sagte der Bundesdatenschutzbeauftragte Ulrich Kelber am 13. März 2020. Die Deutsche Datenschutzkonferenz (DSK) veröffentlichte dazu datenschutzrechtliche Informationen.

Demnach dürfen personenbezogene Informationen zu Fällen gespeichert und verarbeitet werden, "in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat". Das gilt auch für Fälle, in denen sich Mitarbeiter im relevanten Zeitraum in einem der vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiete aufgehalten haben.

Stigmatisierung befürchtet

Der baden-württembergische Datenschutzbeauftragte Stefan Brink weist jedoch darauf hin, dass die Arbeitgeber nicht allen Beschäftigten mitteilen dürften, welcher Kollege mit dem Virus infiziert sei. "Die Kenntnis von der Corona-Erkrankung eines Mitarbeiters kann für diesen zu einer enormen Stigmatisierung führen", heißt es in einem FAQ zum Thema (PDF). Gleichzeitig seien Mitarbeiter, welche in direktem Kontakt mit einem Infizierten gestanden hätten, zu warnen und würden in der Regel selbst zur Eindämmung der Ansteckungsgefahr von der Arbeit freigestellt.

Auch von Gästen und Besuchern dürfen laut DSK demnach entsprechende Daten erhoben werden. Beispielsweise um festzustellen, ob diese selbst infiziert sind, im Kontakt mit einer nachweislich infizierten Person standen oder sich im relevanten Zeitraum in einem Risikogebiet aufgehalten haben. Die Offenlegung der Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen sei aber nur rechtmäßig, "wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist".

Die Daten müssen der DSK zufolge vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Spätestens nach dem Ende der Coronavirus-Pandemie seien sie unverzüglich zu löschen. Eine Einwilligung sollte nur dann als datenschutzrechtliche Verarbeitungsgrundlage in Betracht gezogen werden, "wenn die Betroffenen über die Datenverarbeitung informiert sind und freiwillig in die Maßnahme einwilligen können". Zudem weisen die Datenschützer darauf hin, dass ihrer Ansicht nach die Betroffenen verpflichtet sind, ihren Dienstherrn oder Arbeitgeber über eine Infektion mit dem Coronavirus zu informieren.