Vom Homeoffice zurück ins Büro

Mit sinkenden Infektionszahlen setzen viele Unternehmen darauf, die Tätigkeit ihrer Angestellten wieder in das Büro zu verlagern. Zwingende Voraussetzung hierfür ist ein Sicherheitskonzept, um Ansteckungen zu verhindern. Doch welche Maßnahmen sind datenschutzrechtlich zulässig und welche nicht? Dazu haben sich in Deutschland und Europa Behörden geäußert - mit teils unterschiedlichen Ansichten.

Die meisten potenziellen Maßnahmen von Unternehmen gegenüber ihren Angestellten bezwecken, ihren Gesundheits­zustand zu untersuchen. Doch Gesundheitsdaten dürfen nach Artikel 9 DSGVO nur unter strengen Voraussetzungen erhoben werden. Denkbar wäre der Einsatz von Fragebögen. Zulässig ist es, nach positiven Corona-Tests oder nach dem Auftreten typischer Symptome zu fragen, wobei eine Corona-Infektion bekanntlich auch symptomlos ablaufen kann. Pauschal nach dem Gesundheitszustand eines Arbeitnehmers zu fragen, ist hingegen unzulässig. Gestattet sind Fragen nach Kontakten mit Infizierten in den letzten 14 Tage, so weit die Infizierten aus dem unmittelbaren Umfeld der Beschäftigten stammen (Haushaltsangehörige, enge Bekannte, Ärzte). Kritisch zu sehen ist die Frage nach dem Aufenthalt in Risikogebieten, weil das Virus inzwischen ja weltweit auftritt.

Vorstellbar sind Fiebermessungen durch Einsatz von Thermometern oder Wärmebildkameras. Hierzu äußert sich kritisch die Datenschutzbehörde Baden-Württembergs. Grundsätzlich dürfen Arbeitgeber Daten der Arbeitnehmer nach § 26 BDSG verarbeiten, so weit dies zur Begründung oder Durchführung des Beschäftigungsverhältnisses erforderlich ist. Dem steht entgegen, dass eine Corona-Infektion laut Robert-Koch-Institut nur in weniger als der Hälfte der Fälle mit erhöhtem Fieber einhergeht. Umgekehrt spricht eine erhöhte Temperatur nicht zwingend für eine Infektion. Fieber zu messen ist also ungeeignet, um eine Infektion nachzuweisen. Dennoch schlagen das Bundesamt für Bevölkerungsschutz und Katas­trophenhilfe und die Datenschutzbehörde Italiens Temperaturmessungen durch den Betriebsarzt vor. Alternativ könnte man Arbeitnehmern Thermometer und Infrarot-Tests zur Eigenkontrolle geben, ohne dass das Ergebnis dem Arbeitgeber bekannt wird. Sollte eine Datenerhebung durch den Arbeitgeber erfolgen, sollten die Ergebnisse keinesfalls länger als einen Tag lang gespeichert werden, da sie im Zweifel nur für den Zutritt zum Betriebsgelände am gleichen Tag relevant sind. 

Eine mögliche Lösung stellt das Einholen von Einwilligungen der Arbeitnehmer dar. Diese müssten allerdings freiwillig erteilt werden. Hängt der Einlass zum Betriebsgelände aber von der Erteilung einer Einwilligung zur Temperaturkontrolle ab, ist eine Freiwilligkeit im Zweifel nicht gegeben.

Bei jeder Maßnahme, die mit einer Datenverarbeitung einhergeht, gilt es Grundsätze des Datenschutzes zu beachten. Zum einen ist für hinreichende Transparenz zu sorgen. Über jede geplante Datenverarbeitung hat der Arbeitgeber die Angestellten nach Artikel 13 und 14 DSGVO zu unterrichten. Daneben sollten Daten nur so weit erforderlich erhoben und nur so lange wie nötig gespeichert werden. Wird bei einem Angestellten eine Corona-Infektion festgestellt, so darf die restliche Belegschaft darüber informiert werden. Eine namentliche Nennung des Erkrankten sollte aber nicht erfolgen, da die Erkrankung mit einer erheblichen Stigmatisierung einhergehen kann. Etwas anderes gilt nach Auffassung der Datenschutzbehörde Bayerns nur, wenn dies unabdingbar ist, um Vorsorgemaßnahmen zum Schutz der Kontaktpersonen des Erkrankten zu treffen.