Inhalt

Information der Datenschutzbehörde zum Coronavirus (Covid-19)

Stand: 20.5.2020

Aufgrund der derzeitigen Epidemie stellt sich für Unternehmen, Behörden und auch für ArbeitnehmerInnen die Frage, unter welchen Umständen Daten (insbesondere Gesundheitsdaten) verarbeitet und ausgetauscht werden können und dürfen. 

Die Datenschutzbehörde weist einleitend darauf hin, dass Daten über Infektionen mit dem Coronavirus (Covid-19) sowie über Verdachtsfälle zu jenen sensiblen Daten zählen, für die das Datenschutzrecht einen besonderen Schutz vorsieht. 

Das Datenschutzrecht sieht jedoch ebenso vor, dass diese Gesundheitsdaten in jenem Ausmaß verwendet werden können, das notwendig ist, um die Verbreitung des Virus einzudämmen und um die Mitmenschen zu schützen. Dazu zählt insbesondere die Datenerhebung von Personen, bei denen eine Infektion festgestellt wurde oder bei denen ein Verdachtsmoment aufgrund eines Kontakts mit einer infizierten Person oder aufgrund eines Aufenthalts in einer Risikoregion besteht.

Im arbeitsrechtlichen Kontext ist festzuhalten, dass jeder Arbeitgeber gegenüber seinen ArbeitnehmerInnen zur Fürsorge verpflichtet, wozu der Ausschluss von Gesundheitsrisiken am Arbeitsplatz zählt. Vor diesem Hintergrund kann die Verarbeitung von Gesundheitsdaten auf Art. 9 Abs.lit.b DSGVO iVm den jeweils einschlägigen Bestimmungen zur Fürsorgepflicht (Verarbeitung zum Zwecke der Erfüllung arbeits- und sozialrechtlicher Pflichten) gestützt werden. Für die Übermittlung der Gesundheitsdaten an die Gesundheitsbehörden normiert Art. 9 Abs. 2 lit.i DSGVO iVm § 10 Abs. 2 DSG eine entsprechende Rechtsgrundlage (Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit). Weiters kann auf Verlangen der Bezirksverwaltungsbehörden ebenso eine Pflicht des Arbeitgebers zur Auskunftserteilung (über Verdachtsfälle und Infektionen) nach Art. 9 Abs.lit.i DSGVO iVm § 5 Abs.Epidemiegesetz 1950 bestehen. In unseren FAQ finden Sie weiterführende Informationen. Bitte wenden Sie sich bei Fragen, wem festgestellte Infektionen oder Verdachtsfälle zu melden sind, an die Gesundheitsbehörden.

Zur Risikoprävention ist es ferner zulässig, dass Arbeitgeber die private Handynummer der ArbeitnehmerInnen erfragen und temporär speichern, um diese kurzfristig über eine Infektion im Betrieb oder in der Behörde warnen zu können und damit diese nicht am Arbeitsplatz erscheinen müssen. Die ArbeitnehmerInnen können zu dieser Bekanntgabe jedoch nicht gezwungen werden. Die Datenschutzbehörde stellt auf ihrer Webpage ein Musterformular für die Erhebung privater Kontaktdaten von Mitarbeiter zur freien Verwendung zur Verfügung. 

Die Datenverarbeitung hat unter Einhaltung des Zweckbindungsgrundsatzes gemäß Art. 5 Abs.lit.a DSGVO zu erfolgen. Eine Verwendung der Gesundheitsdaten für andere Zwecke als der Gesundheitsvorsorge, der Eindämmung des Virus und der Heilbehandlung ist daher unzulässig. Darüber hinaus ist auf den Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs.lit.e DSGVO hinzuweisen. Nach Ende der Epidemie sind daher jene Daten, die nicht mehr notwendig sein werden, (wie insbesondere die privaten Kontaktdaten der ArbeitnehmerInnen) zu löschen. Aufgrund des Umstands, dass vermehrt Home-Office zum Einsatz kommt, ist schließlich auf die Sicherheitsvorgaben gemäß Art. 5 Abs.lit.iVm Art. 32 Abs. 1 DSGVO hinzuweisen. Die Arbeitgeber sollten Ihre Mitarbeiter insbesondere darauf hinweisen, dass Hardware (wie Dienstlaptops und Diensthandys) sicher aufzubewahren und dass eine geschützte WLAN-Verbindung mit einem starken Passwort (optimalerweise auch eine verschlüsselte VPN-Verbindung) zu verwenden ist (so diese vorhanden) sowie, dass erhöhte Aufmerksamkeit gegenüber Phishing-Nachrichten mit angeblich neuen Informationen über das Coronavirus bestehen sollte. Die Datenschutzbehörde stellt auf ihrer Webpage ein weiterführendes Informationsblatt zum Thema Datensicherheit und Home-Office zur Verfügung. 

Dokumente