Corona und Datenschutz: (Nicht nur) Homeoffice wird zum Prüfstein
Die Corona-Krise stellt die Wirtschaft vor datenschutzrechtliche Herausforderungen – bei der Erhebung von Kontakt- und Gesundheitsdaten ebenso wie der Regelung der Arbeit im Homeoffice. Letzteres umso mehr, als die Tätigkeit in privater Umgebung verrichtet wird. Was Unternehmen beachten müssen, um Infektions- und Datenschutz sicherzustellen.
Wo Menschen zusammenkommen, schreiben die Infektionsschutzgesetze der Länder die Erfassung der Kontaktdaten vor. Die Gesundheitsämter sollen so Infektionsketten besser nachvollziehen und gezielt Betroffene kontaktieren können. Immer wieder aber werden die Daten missbraucht, im Falle von Unternehmen etwa für Marketingzwecke. Oder auch von Behörden, die im Rahmen von Ermittlungen teils anlasslos auf die Daten zugreifen.
Eindeutige Regeln für Datenzugriff
Prinzipiell dürfen die Informationen zur Person, ihrem Befinden, ihrem Umfeld oder auch ihrer privaten Arbeitsumgebung allein während der Pandemie und nur für den Zweck der Kontaktnachverfolgung im Infektionsfall erfasst werden. Die Gesundheitsbehörden dürfen nur auf die Daten zugreifen – und dann die Herausgabe der Anwesenheitsdokumentation verlangen –, wenn eine Corona-Infektion begründet anzunehmen oder nachgewiesen ist.
Herausforderungen im Homeoffice
Auch die nach den jüngsten Beschlüssen der Bund-Länder-Konferenz quasi-obligatorische Arbeit im Homeoffice kann für Probleme mit dem Datenschutz sorgen – gerade, wenn die Mitarbeiter dabei mit sensiblen, personenbezogenen Daten arbeiten müssen. Neben dem faktischen Zugriff muss bereits der Sichtzugriff auf Informationen durch Angehörige oder Partner wirksam verhindert werden. Auch darf kein Unbefugter bei Videocalls mithören.
Sichere Arbeitsumgebung Pflicht
Kurzum: Die Arbeitsumgebung im Homeoffice beziehungsweise bei mobiler Arbeit muss so ausgestaltet sein, dass Vertraulichkeit und Verfügbarkeit der Daten sichergestellt sind. In der Regel bedingt dies, dass ausschließlich vom Arbeitgeber bereitgestellte Geräte zu nutzen sind. Kommen dennoch (auch) private Geräte zum Einsatz, muss sichergestellt sein, dass betriebliche Daten nicht dauerhaft auf diesen gespeichert werden.
Jan Peplow, Prokurist und Legal Counsel bei der Datenschutz Süd GmbH in Würzburg weist daraufhin: „Die Praxis zeigt: je detaillierter die Vorgaben sind, desto geringer ist die Unsicherheit mit dem Thema Datenschutz im Homeoffice auch auf Seiten der Mitarbeiter.“
Privat keine absolute Sicherheit
Doch selbst wenn die Mitarbeiter lediglich terminal-basiert auf dem Unternehmens-Server arbeiten, bestehen in der Praxis dennoch Risiken. Das gilt mit Blick auf das ungeschützte Aufbewahren von Passwörtern und die Nutzung von Firmen-IT durch Familienangehörige oder Partner ebenso wie für eingerichtete Cloud-Synchronisierungen bei privat genutzter IT oder das Weiterleiten von geschäftlichen E-Mails auf private E-Mail-Accounts.
Konflikte mit Datenschutzrecht
Wo Tätigkeiten die Präsenzpflicht im Betrieb erfordern, versuchen viele Unternehmen, den Infektionsschutz durch Fiebermessen am Werkstor oder Ausfüllen von Fragebögen zum persönlichen Gesundheitszustand sicherzustellen. Die Rechtmäßigkeit der Erhebung solcher Daten ist in Fachkreisen durchaus umstritten. Doch selbst im gegebenen Falle bedeutet das nicht automatisch, dass Unternehmen die Daten auch speichern dürfen.
Nur Appell zur Warn-App-Nutzung
Auch die Corona-Warn-App speichert Informationen zu Aufenthaltsorten und Kontakten, wenn auch in verschlüsselter Form. Trotzdem ist ihr Gebrauch aus genau diesem Grund freiwillig – und deshalb sind verpflichtende Anordnungen des Arbeitgebers gegenüber den Arbeitnehmern zu Installation und Nutzung nicht zulässig. Der Arbeitgeber kann seine Mitarbeiter nur darum bitten, die App zum Gesundheitsschutz der Allgemeinheit zu nutzen.
Mehr zu den praktischen Erfahrungen von Syndizi im Umgang mit dem Infektions- und Datenschutz lesen Sie in der Ausgabe 1/21 des unternehmensjurist ab Seite 12.