Aktuell denken viele Unternehmen darüber nach, Mitarbeitern und Besuchern sog. Corona-Schnelltests anzubieten. Da die Testergebnisse oft Grundlage entsprechende (Schutz-) Maßnahmen (z.B. Verweigerung des Eintritts zum Betriebsgebäude) sind, werden in diesen Zusammenhang auch Gesundheitsdaten verarbeitet. Aus diesem Grund stellt die Durchführung von Corona-Schnelltests in Unternehmen aus datenschutzrechtlicher Sicht eine besonders heikle Sache dar. Es stellt sich die Frage, wie den datenschutzrechtlichen Vorgaben in diesem Zusammenhang Genüge getan wird.
1. Rechtsgrundlage
Die Durchführung von Corona-Schnelltests stellt eine Verarbeitung von Gesundheitsdaten dar, die einer Rechtsgrundlage bedarf. Hierbei muss zwischen Mitarbeitern und Besuchern unterschieden werden.
Bei Mitarbeiten kommt § 26 Abs. 3 BDSG als Rechtsgrundlage in Betracht. Demnach ist die Verarbeitung von Gesundheitsdaten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.
Die Durchführung von Corona-Schnelltests ist zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht erforderlich, da der Arbeitgeber damit seiner Fürsorgepflicht nachkommt, die den Gesundheitsschutz aller Beschäftigen sicherstellen soll. Das bedeutet, dass Arbeitgeber Ansteckungen mit dem Virus und schwere Verläufe verhindern müssen. Auch die Interessenabwägung fällt zugunsten des Arbeitgebers aus. Der Zweck eines Schnelltests dient dazu, die Pandemie einzudämmen und Mitarbeiterinnen und Mitarbeiter vor Ansteckung am Arbeitsplatz zu schützen. Abzuwägen ist demnach das Interesse des Arbeitgebers am Gesundheitsschutz auf der einen und das Interesse des einzelnen Arbeitnehmers hinsichtlich seines Persönlichkeitsrechts auf der anderen Seite. In diesem Zusammenhang ist auch der Verhältnismäßigkeitsgrundsatz zu beachten, sodass die Frage zu stellen ist, ob es andere – weniger in die Rechte der Mitarbeiterinnen und Mitarbeiter eingreifende – aber gleichwirksame Möglichkeiten des Gesundheitsschutzes gibt. Diese sind nicht ersichtlich. Die Interessenabwägung fällt demnach zugunsten der Arbeitgeber aus. Die Voraussetzungen der Rechtsgrundlage sind demnach erfüllt.
Bei Besuchern ist die Rechtslage derzeit komplizierter. Für die Verarbeitung von Gesundheitsdaten etwaiger Besucher kommt prinzipiell ein erhebliches öffentliches Interesse im Sinne des Art. 9 Abs. 2 Buchst. g) DSGVO in Frage. Hierzu gibt es bis dato allerdings noch keine höchstrichterliche Rechtsprechung oder einheitliche Meinung der Aufsichtsbehörden. Sicherheitshalber sollte daher eine Einwilligung der Besucher nach Art. 6 Abs. 1 Satz 1 Buchst. a) bzw. Art. 9 Abs. 2 Buchst. a) DSGVO eingeholt werden. Zu Nachweiszwecken sollten die Besucher diese schriftlich erteilen.
2. Datenschutzrechtliche Anforderungen
Unabhängig davon, ob es sich um Mitarbeiter oder Besucher handelt, müssen die Betroffenen gem. Art. 13 DSGVO über die Datenverarbeitung umfassend informiert werden. Es sollten demnach entsprechende Datenschutzhinweise ausgehändigt werden. Darüber hinaus sollten die Testergebnisse nur zur Ergreifung entsprechender Schutzmaßnahmen und nur durch einen begrenzten Personenkreis (Stichwort: Need-to-know Prinzip) verwendet werden.
Fazit
Da bei der Durchführung von Corona-Schnelltests in Unternehmen meist auch Gesundheitsdaten verarbeitet werden, ist die Gefahr von behördlichen Sanktionen, insbesondere Bußgeldern, bei datenschutzrechtlichen Verstößen besonders hoch. Es sollte demnach erst recht darauf geachtet werden, die datenschutzrechtlichen Vorgaben einzuhalten.
Stand: 29.03.2021
Weiterer interessanter Artikel: Nutzung eines gemeinsamen CRM-Systems