Schnelltests in Einrichtungen

Die neue Coronavirus-Testverordnung (TestV) wurde am 14.10.2020 im Bundesanzeiger veröffentlicht. Darin wird u.a. der Anspruch auf Testungen konkretisiert und die Möglichkeit zur Durchführung von Antigen-Tests geschaffen.

Einrichtungen

Pflegeheime und Krankenhäuser können Antigen-Schnelltests nutzen, um Personal, Besucher sowie Patienten und Bewohner regelmäßig auf das Corona-Virus zu testen. Antigentests bieten die Möglichkeit, mehr zu testen und schneller Infektionen zu erkennen. Deswegen eignen sie sich besonders für Besucher, Beschäftigte, Bewohner und Patienten von Pflegeheimen und Krankenhäuser und anderen medizinischen Einrichtungen. Ihr Einsatz soll verhindern, dass sich alte und kranke Mitbürgerinnen und Mitbürger mit dem Coronavirus anstecken. Zu den Einrichtungen, in denen asymptotische Personen einen Anspruch auf Tests haben gehören neben Pflegeinrichtungen und Krankenhäusern unter anderem auch

  • voll- oder teilstationäre Einrichtungen zur Betreuung und Unterbringung älterer, behinderter oder pflegebedürftiger Menschen
  • Obdachlosenunterkünfte
  • Einrichtungen zur gemeinschaftlichen Unterbringung von Asylbewerbern, vollziehbar Ausreisepflichtigen, Flüchtlingen und Spätaussiedlern
  • Kindertageseinrichtungen und Kinderhorte, Schulen und sonstige Ausbildungseinrichtungen, Heime und Ferienlager
  • Arztpraxen, Zahnarztpraxen

Anspruch auf Testung

Versicherte haben nach Maßgabe der §§ 2 bis 5 der TestVo Anspruch auf Testungen auf den Coronavirus. Der Anspruch umfasst dabei das Gespräch mit der zu testenden Person im Zusammenhang mit der Testung, die Entnahme von Körpermaterial, die nach der Teststrategie des BMG empfohlene Diagnostik, die Ergebnismitteilung und die Ausstellung eines Zeugnisses über das Vorliegen oder Nichtvorliegen einer Infektion mit dem Coronavirus. Einen Anspruch auf Testungen auf den Coronavirus haben auch Personen, die nicht in der GKV versichert sind.

Kontaktpersonen

Kontaktpersonen haben Anspruch auf Testung, Kontaktpersonen sind:

  • Personen, die in den letzten 10 Tagen insbesondere in Gesprächssituationen mind. 15 Min. ununterbrochen oder durch direkten Kontakt mit Körperflüssigkeiten engen Kontakt zu einer mit dem Coronavirus infizierten Person hatten,
  • Personen, die mir einer mit dem Coronavirus infizierten Person in demselben Haushalt leben oder in den letzten 10 Tagen gelebt haben,
  • Personen, die in den letzten 10 Tagen durch die räumliche Nähe zu einer mit dem Coronavirus infizierten Person mit hoher Wahrscheinlichkeit einer relevanten Konzentration von Aerosolen auch bei größerem Abstand ausgesetzt waren (z. B. Feiern, gemeinsames Singen, Sporttreiben in Innenräumen)
  • Personen, die sich in den letzten 10 Tagen mit einer Coronavirus infizierten Person für eine Zeit von über 30 Minuten in relativ beengter Raumsituation oder schwer zu überblickender Kontaktsituation aufgehalten haben (z.B. Schulklasse, Gruppenveranstaltungen),
  • Personen, die in den letzten 10 Tagen durch die Corona Warn App des RKI eine Warnung erhalten haben,
  • Personen, die Kontakt zu einer mit dem Coronavirus infizierten Person hatten,
    – die sie in ihrem Haushalt oder in dem Haushalt der mit dem Coronavirus infizierten Person behandeln, betreuen oder pflegen oder in den letzten 10 Tagen behandelt, betreut oder gepflegt haben oder
    – von der sie in ihrem Haushalt oder in dem Haushalt der mit dem Coronavirus infizierten Person behandelt, betreut oder in den letzten zehn Tagen gepflegt werden oder wurden.

Häufigkeit von Testungen

estungen von Kontaktpersonen und Testungen von Personen nach Auftreten von Infektionen in Einrichtungen und Unternehmen sowie Testungen zur Verhütung der Verbreitung des Coronavirus (hier lediglich die Testungen von Personen die in Einrichtungen behandelt, betreut gepflegt oder untergebracht werden sollen und asymptomatische Reiserückkehrer aus Risikogebieten) können einmal pro Person wiederholt werden.

Testungen von Personen die in den genannten Einrichtungen tätig werden sollen oder tätig sind und Personen, die in oder von Einrichtungen nach § 4 Abs. 1 Nr. 3 behandelt, betreut oder gepflegt werden oder untergebracht sind oder Besucher dieser Personen können für jeden Einzelfall einmal pro Woche wiederholt werden.

Teststrategie

PCR-Tests bleiben aufgrund ihrer hohen Verlässlichkeit weiterhin essentieller Bestandteil der Teststrategie. Die Nationale Teststrategie legt fest, in welchen Situationen PCR-Tests angezeigt sind und in welchen Antigen-Schnelltests. Das Gesundheitsministerium veröffentlicht eine Übersicht zur Teststrategie.

Antigen-Tests müssen die Mindestkriterien für Antigen-Tests, die durch das Paul-Ehrlich-Institut in Abstimmung mit dem RKI festgelegt wurden, erfüllen. Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) führt eine Liste der Hersteller, deren Schnelltests im Rahmen der Nationalen Teststrategie des Bundes erstattet werden.
Der Test basiert auf dem Nachweis von SARS-CoV-2-Eiweißen. Dazu muss ein Abstrich im Nasenrachenraum vorgenommen werden. Die einfachere Auswertung eines Antigentests erlaubt die Testung auch außerhalb eines Labors, z. B. in einer Pflegeeinrichtung oder medizinischen Einrichtungen und Arztpraxen ohne Diagnostiklabor. Alle zurzeit auf dem Markt befindlichen Antigen-Schnelltests müssen von geschultem, medizinischem Personal durchgeführt werden.

Quellen: BMG, Paritätischer Gesamtverband

Abbildung:AdobeStock_331442777-scaled.jpg

Wieder da: Telefonische Krankschreibung

Telefonische Krankschreibungen wegen Erkältungsbeschwerden sind ab Montag bundesweit wieder möglich. Auf diese Sonderregelung, die zunächst bis zum Jahresende gelten soll, hat sich der Gemeinsame Bundesausschuss verständigt – wie schon einmal in der Anfangsphase der Coronavirus-Pandemie bis Ende Mai. Die niedergelassenen Ärzte müssen sich dabei persönlich vom Zustand der Patienten durch eine eingehende telefonische Befragung überzeugen. Die Krankschreibung gibt es für bis zu sieben Tage, eine einmalige Verlängerung um weitere sieben Tage ist ebenfalls telefonisch möglich.

Steigende Infektionszahlen

Angesichts bundesweit wieder steigender COVID-19-Infektionszahlen kurz vor Beginn der Erkältungs- und Grippesaison hat sich der Gemeinsame Bundesausschuss (G-BA) erneut auf eine Sonderregelung zur telefonischen Krankschreibung verständigt. Befristet vom 19. Oktober 2020 vorerst bis 31. Dezember 2020 können Patientinnen und Patienten, die an leichten Atemwegserkrankungen leiden, telefonisch bis zu 7 Kalendertage krankgeschrieben werden. Die niedergelassenen Ärztinnen und Ärzte müssen sich dabei persönlich vom Zustand der Patientin oder des Patienten durch eine eingehende telefonische Befragung überzeugen. Eine einmalige Verlängerung der Krankschreibung kann telefonisch für weitere 7 Kalendertage ausgestellt werden.

In der Pressemitteilung des G-BA heißt es dazu:
„Wir haben aktuell eine sich beschleunigende Infektionsdynamik mit dem COVID-19-Virus, zeitgleich aber auch vermehrt grippale Infekte. Diese parallele Entwicklung ist besorgniserregend. Wir müssen sie unbedingt unterbrechen, ohne dass die Versorgung der Patientinnen und Patienten darunter leidet. Hier brauchen wir eine bundesweite robuste Lösung, um Vertrauen aufzubauen. Klar ist: Wir erleben eine erschreckende Entwicklung der Neuinfektionen. Wenn wir in dieser ernsten Situation eines nicht brauchen, sind es volle Wartezimmer. Denn allein durch mögliche Kontakte auf dem Weg in die Praxis oder beim Warten in geschlossenen Räumen steigt das Risiko, sich anzustecken. Mit der Krankschreibung per Telefon gibt es für Menschen mit leichten Atemwegserkrankungen eine gute Alternative zum Praxisbesuch. Die Erfahrungen aus dem Frühjahr mit der Krankschreibung per Telefon haben gezeigt, wie umsichtig Versicherte damit umgehen. Von der räumlichen Trennung der Fälle werden vor allem auch viele ältere und multimorbide Risikopatienten ohne Atemwegsprobleme profitieren: Ihnen wollen wir die Angst nehmen. Sie können notwendige Arztbesuche und Behandlungen trotz eines aktiven Pandemiegeschehens nutzen, ohne sich einer erhöhten Ansteckungsgefahr auszusetzen oder Krankheiten zu verschleppen. Und diesen älteren und kranken Risikopatientinnen und Risikopatienten können wir nicht zumuten, täglich die 7-Tage-Inzidenz zu überprüfen, um eine Entscheidung über einen Arztbesuch zu treffen. Hier würden regional unterschiedliche Regelungen nur Verunsicherung schaffen. Als Verantwortliche in der Gesundheitsversorgung müssen wir uns daran messen lassen, wie wir jene Menschen schützen, die besonders hilfebedürftig sind. Das muss der Gradmesser unseres Handelns sein, natürlich auch in der Pandemie“, erläutert Prof. Josef Hecken, unparteiischer Vorsitzender des G-BA. „Durch die zeitlich befristete Regelung, erst einmal bis zum Jahresende, berücksichtigen wir zudem die dynamische Entwicklung der Pandemie. Der G-BA wird rechtzeitig vor dem Auslaufen über eine Anpassung der zeitlichen Befristung beraten. Wie schnell Entscheidungen im Pandemiefall überholt sein können und angepasst werden müssen, haben wir alle in diesem Jahr gelernt.“

Quellen: Bundesregierung, Gemeinsamer Bundesausschuss

Abbildung:AdobeStock_331442777-scaled.jpg

Krankenhauszukunftsgesetz

Der Bundesrat hat am 9.10.2020 ein Gesetzespaket beschlossen, das in erster Linie ein Investitionsprogramm für Krankenhäuser ermöglichen soll. Mit dazu gehören auch die Ende August im Koalitionsausschuss beschlossenen Verlängerungen von Corona-Maßnahmen.

Drei Milliarden

Kern des Gesetzes ist die Unterstützung von Kliniken für eine bessere und modernere Ausstattung. Ein neuer Krankenhauszukunftsfonds ermöglicht Investitionen, zum Beispiel in moderne Notfallkapazitäten und in bessere digitale Infrastrukturen der Krankenhäuser. Gefördert werden sollen Maßnahmen zur Digitalisierung der Ablauforganisation und Kommunikation, der Telemedizin, Robotik und Hightech-Medizin. Auch Investitionen in die IT- und Cybersicherheit der Krankenhäuser und die regionalen Versorgungsstrukturen können Unterstützung erhalten.

Das Gesetz verlängert die Laufzeit des Krankenhausstrukturfonds, der bereits vor einigen Jahren zur Förderung regionaler stationärer Versorgungsstrukturen gebildet worden war, um zwei Jahre bis 2024.

Pandemie-bedingte Maßnahmen

Kinderkrankengeld: Der Leistungszeitraum für das Kinderkrankengeld wird ausgedehnt. Beschäftigte, die ihr erkranktes Kind zu Hause betreuen müssen und daher nicht arbeiten können, haben im Jahr 2020 Anspruch auf 15 Arbeitstage, Alleinerziehende auf 30 Arbeitstage. Dazu wird im § 45 SGB V ein Absatz 2a eingefügt, der zum 1.1.2021 aber wieder verschwindet.

Kinderzuschlag: die vereinfachte Berücksichtigung des Vermögens beim Kinderzuschlag wird bis 31.12.2020 verlängert. (neuer Absatz 6a in § 20 BKGG)

Pflegeunterstützungsgeld: Ebenfalls bis 31.12. verlängert wird die Entschädigung bei kurzzeitiger Arbeitsverhinderung sowie das Pflegeunterstützungsgeld. Beides kann bis zu 20 Arbeitstage in Anspruch genommen werden. Monate, in denen wegen der Pandemie ein geringeres Einkommen erzielt wurde, bleiben bei der Ermittlung der Darlehenshöhe nach dem Familienpflegezeitgesetz auf Antrag unberücksichtigt. (§ 150 SGB XI, neu: § 4a und § 9 PflegeZG, neu: § 16 FPfZG)

Corona-Prämie für Pflegepersonal in Krankenhäusern: Krankenhäuser, die durch die Corona-Pandemie besonders belastet sind, können ihren Beschäftigten eine Prämie bis zu 1000 Euro zahlen – als Anerkennung für deren Leistungen bei der Bewältigung der Krise. Dafür stehen insgesamt 100 Millionen Euro bereit.

Bundesrat fordert weitere Änderungen

In einer begleitenden Entschließung setzt sich der Bundesrat dafür ein, dass die Länder Anträge auf Förderung von Investitionsmaßnahmen aus dem Krankenhauszukunftsfonds noch bis Ende des Jahres 2022 stellen können. Außerdem weist er auf die besondere Situation der Universitätskliniken hin und fordert, die Ausgleichsregelungen für Corona-bedingte Ausfälle bis mindestens 31. März 2021 zu verlängern.

Die Entschließung wurde der Bundesregierung zugeleitet. Diese entscheidet, ob und wann sie die Anliegen der Länder aufgreift. Feste Fristen gibt es hierfür nicht.

Quellen: Bundesrat, BMG, FOKUS-Sozialrecht

Abbildung: pixabay.com night-view-767852_1280.jpg

Aufenthaltsrecht durch Schulbesuch

Arbeitsuchende und Unionsbürger ohne Aufenthaltsrecht haben keinen Anspruch auf Sozialleistungen in Deutschland. So steht es im § 7 Absatz 1 des SGB II, explizit nach der Verschärfung dieser Vorschrift Ende 2016.

EUGH – Urteil

In einem Urteil des Europäischen Gerichtshof vom 6. Oktober 2020 wird deutlich, dass die Europa-Richter das anders sehen. In dem aktuellen Fall stellte der Gerichtshof klar, dass ein früherer Wanderarbeitnehmer und seine Kinder, denen ein Aufenthaltsrecht aufgrund des Schulbesuchs der Kinder zusteht, nicht mit der Begründung, dass dieser Arbeitnehmer arbeitslos geworden ist, automatisch von nach dem nationalen Recht vorgesehenen Leistungen der sozialen Grundsicherung ausgeschlossen werden kann.

EU – Verordnung

Wichtig in dem Zusammenhang ist die  Verordnung (EU) Nr. 492/2011. Danach haben die Kinder von in Deutschland beschäftigten, oder früher beschäftigten Unionsbürger*innen das Recht, unter den gleichen Bedingungen wie die Staatsangehörigen dieses Mitgliedstaats am allgemeinen Unterricht sowie an der Lehrlings- und Berufsausbildung teilzunehmen.

Aus diesem „Schulbesuchsrecht“ der Kinder ergibt sich nach der Rechtsprechung des EuGH zwingend auch ein eigenständiges Recht auf Aufenthalt, das unabhängig von einem gesicherten Lebensunterhalt besteht. Dieses Aufenthaltsrecht überträgt sich nach der Rechtsprechung des EuGH auch auf den Elternteil (oder beide Elternteile), der die elterliche Sorge für dieses Kind tatsächlich wahrnimmt.

Somit ist § 7 Abs.1 Satz 2 Nr. 2c SGB II europarechtswidrig. Dort werden gerade die Personen ausgeschlossen.

Urteilsbegründung

Begründet hat der Gerichtshof das Urteil damit, dass das Aufenthaltsrecht, das Kindern zuerkannt wird, um ihnen Zugang zum Unterricht zu gewährleisten, ursprünglich aus der Arbeitnehmereigenschaft dieses Elternteils folgt. Ist dieses Recht einmal erworben, erwächst es jedoch zu einem eigenständigen Recht und kann über den Verlust der Arbeitnehmereigenschaft hinaus fortbestehen. Des Weiteren hat der Gerichtshof entschieden, dass Personen, denen ein solches Aufenthaltsrecht zusteht, auch das in der Verordnung Nr.492/20115 vorgesehene Recht auf Gleichbehandlung mit Inländern im Bereich der Gewährung sozialer Vergünstigungen genießen, und zwar selbst dann, wenn sie sich nicht mehr auf die Arbeitnehmereigenschaft berufen können, aus der sie ihr ursprüngliches Aufenthaltsrecht hergeleitet haben. Diese Auslegung verhindert somit, dass eine Person, die beabsichtigt, gemeinsam mit ihrer Familie ihren Herkunftsmitgliedstaat zu verlassen, um in einem anderen Mitgliedstaat zu arbeiten, dem Risiko ausgesetzt ist, bei Verlust ihrer Beschäftigung den Schulbesuch ihrer Kinder unterbrechen und in ihr Herkunftsland zurückkehren zu müssen, weil sie nicht die nach den nationalen Rechtsvorschriften vorgesehenen Sozialleistungen in Anspruch nehmen kann, die den Lebensunterhalt der Familie in diesem Mitgliedstaat sicherstellen würden.

Verweis auf andere Urteile

Die Einschränkungen der Leistungen für Ausländer, die 2016 ganz offensichtlich auf Druck einer rechten Öffentlichkeit mit heißer Nadel gestrickt wurden, waren schon mehrmals Gegenstand von Verhandlungen vor den Sozialgerichten. Einen guten Überblick dazu gibt es von Stefan Sell in aktuelle-sozialpolitik.de.

Quellen: Pressemitteilung des Europäischen Gerichtshofs, LGO (Legal Tribune Online), Paritäischer Wohlfahrtsverband

Abbildung: Fotolia_91457673_M.jpg

Querschnittsprüfung bezüglich der Umsetzung der DSGVO durch Unternehmen

Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) gelingt (niedersächsischen) Unternehmen bisher nur teilweise. Dies ist das Ergebnis einer Querschnittsprüfung der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen.

Die LfD Niedersachsen hatte Ende Juni 2018, kurz nach Geltungsbeginn der DSGVO, einen Fragebogen an 50 mittelgroße und große Unternehmen mit Hauptsitz in Niedersachsen verschickt. Diese sollten Fragen zu zehn Bereichen des Datenschutzes beantworten. Die Antworten wurden mithilfe eines umfangreichen Kriterienkatalogs ausgewertet um im November 2019 veröffentlicht.

Große Defizite bei technisch-organisatorischem Datenschutz

„Wir haben Bereiche identifiziert, in denen die Regelungen der DSGVO bereits zufriedenstellend umgesetzt werden“, sagt Thiel. „Zugleich mussten wir aber auch erhebliche Defizite feststellen, die sehr besorgniserregend sind.“ Besonders großen Nachholbedarf haben die Unternehmen demnach im technisch-organisatorischen Datenschutz und bei der Datenschutz-Folgenabschätzung (DSFA). Diese Abschätzung müssen Unternehmen vorab durchführen, wenn sie Datenverarbeitungen planen, die voraussichtlich zu einem hohen Risiko für die betroffenen Personen führen. Die Prüfung zeigte, dass sich viele Unternehmen noch nicht ausreichend mit den rechtlichen Grundlagen zur DSFA befasst hatten.

Maßnahmen des technisch-organisatorischen Datenschutzes sollen sicherstellen, dass die Rechte und Freiheiten natürlicher Personen angemessen bei der Datenverarbeitung geschützt werden. Dazu gehört zum Beispiel der geeignete Schutz eines IT-Netzwerks gegen Cyber-Angriffe. Hier war besonders problematisch, dass zahlreiche Unternehmen den Fokus fast ausschließlich auf den Schutz der eigenen Interessen gelegt hatten. Im Datenschutz müssen aber die Interessen der Betroffenen im Zentrum stehen.

Zufriedenstellende Antworten

Es gab allerdings auch Bereiche, in denen die LfD überwiegend zufriedenstellende Antworten erhielt. Dazu zählen die Komplexe Auftragsverarbeitung, Datenschutzbeauftragte, Meldung von Datenpannen und Dokumentationspflichten.

Bewertung der Unternehmen

Bewertet wurden die Unternehmen abschließend mit einer Ampelfarbe: Grün, wenn sie überwiegend zufriedenstellend abgeschnitten hatten; Gelb, wenn es noch vereinzelt Handlungsbedarf gab; Rot, wenn erhebliche Defizite vorlagen. Am Ende erhielten 9 Unternehmen das Prädikat Grün, 32 Gelb und 9 Rot. In einigen der mit Rot bewerteten Unternehmen wird die LfD noch in diesem Jahr weitergehende Kontrollen durchführen. Stellt sie dabei schwerwiegende Verstöße gegen die Datenschutzregeln fest, sind auch Bußgelder gegen die Verantwortlichen möglich.

Fazit

Mit derartigen Querschnittsprüfungen muss auch in anderen Bundesländern gerechnet werden. Zeigt eine derartige Prüfung Mängel bei einem Unternehmen auf, muss dieses mit einer detallierten Einzelprüfung vor Ort und Bußgelder rechnen.

Sehr hilfreich zur Vorbereitung auf derartige Prüfungen ist von der LfD Niedersachsen veröffentlichte Fragenkatalog.

Fundstellen

Zählt Ihr Passwort auch zu den Top 20?

Das Hasso-Plattner-Institut (HPI) veröffentlicht jedes Jahr die meistgenutzten Passwörter der Deutschen. Auch im Jahre 2019 belegten – wie bereits in den Jahren zuvor – schwache und unsichere Zahlenreihen die Spitzenplätze.

Mit der Software Identity Leak Checker, einem Online-Sicherheitscheck des Hasso-Plattner-Instituts, lässt sich überprüfen, ob man Opfer eines Datendiebstahls geworden ist und die eigenen Identitätsdaten frei im Internet kursieren und missbraucht werden könnten. Auf Grundlage der Überprüfung von 67 Millionen Zugangsdaten wurden die folgende Top Twenty der im Jahre 2019 genutzten Passwörter ermittelt, die mindestens einmal geleakt wurden:

112345611dragon
212345678912iloveyou
31234567813password1
4123456714monkey
5password15qwertz123
611111116target123
7123456789017tinkle
812312318qwertz
9000000191q2w3e4r
10abc12320222222

Diese Passwörter lassen sich zwar leicht merken, genügen aber nicht den Sicherheitsanforderungen. Aufgrund dieser Erkenntnis empfiehlt das Hasso-Plattner-Institut Folgendes zur Passwortwahl:

  • Lange Passwörter (> 15 Zeichen)
  • Alle Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen)
  • Keine Wörter aus dem Wörterbuch
  • Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
  • Verwendung von Passwortmanagern
  • Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen
  • Zwei-Faktor-Authentifizierung aktivieren, wenn möglich

Passwortmanager

Zur Erfüllung dieser Vorgaben und Generierung sicherer Passwörter bietet sich die Nutzung eines Passwortmanagers an, der nicht nur bei der Vergabe von Passwörtern hilft, sondern diese auch verschlüsselt abspeichert. Der Zugriff auf diese Passwortdatei wird durch die Vergabe eines Master-Passworts geschützt.

Der Passwortmanager kann auch dazu genutzt werden, weitere wichtige, sensible Daten (z. B. Kontodaten, Software-Seriennummern) zugriffssicher aufzubewahren. Außerdem sind diese Daten dadurch vor einem Vergessen geschützt.

Fundstelle:

Pressemitteilung „Die beliebtesten deutschen Passwörter 2019“ des Hasso-Plattner-Instituts vom 18. Dezember 2020 – abrufbar im Internet unter https://hpi.de/pressemitteilungen/2019/die-beliebtesten-deutschen-passwoerter-2019.html

Veröffentlichung eines Fotos auf einer Fanpage bei Facebook ohne Einwilligung unzulässig

Das Verwaltungsgericht (VG) Hannover hat am 27.11.2019 entschieden, dass die Veröffentlichung von Personenfotos auf einer Facebook Fanpage ohne Einwilligung der Betroffenen unzulässig ist (Az.: 10 A 820/19).

Der Kläger (ein Ortsverein einer Partei) wandte sich gegen eine datenschutzrechtliche Verwarnung, welche die zuständige Datenschutzaufsichtsbehörde als Beklagte aufgrund der Veröffentlichung eines Fotos auf der Fanpage bei Facebook ausgesprochen hatte.

Der Ortsverein führte eine öffentliche Veranstaltung durch, bei der über den Bau einer Ampelanlage gesprochen wurde, die das Überqueren einer vielbefahrenen Straße erleichtern sollte. An dieser Veranstaltung nahmen nach Presseberichten etwa 70 Personen teil. Über die Veranstaltung wurde auch in der Presse berichtet. Den nach wie vor im Internet verfügbaren Berichten der Zeitungen ist jeweils ein Foto beigefügt, auf dem auch die Eheleute S. abgebildet sind. Ein weiteres Foto von der Veranstaltung, auf dem die Eheleute S. deutlich erkennbar abgebildet sind, wird vom Kläger weiterhin auf seiner Website veröffentlicht.

Nachdem Herr S. von einem Bekannten auf das Foto auf der Website angesprochen wurde, wandte er sich an den Kläger und forderte diesen zur Löschung des Fotos auf. Der Kläger erklärte gegenüber Herrn S., das Foto sei seinerzeit von einer ihm unbekannten Person aufgenommen und bereits vor vier Jahren im Internet gepostet worden. Jetzt sei es lediglich erneut veröffentlicht worden. Da die Eheleute S. zusammen mit mehreren anderen Personen abgebildet und nicht besonders hervorgehoben oder abträglich dargestellt worden seien, dürfe das Foto auch weiterhin veröffentlicht werden. Es sei ihm, dem Kläger, lediglich darum gegangen, das seit Jahren bestehende Interesse der Anwohnerinnen und Anwohner an der Realisierung der Ampelanlage aufzuzeigen. Dazu habe er das Foto auch verwenden dürfen. Dennoch werde er das Foto wunschgemäß löschen. Dies geschah dann auch.

Die Eheleute S. wandten sich gleichwohl mit einer Beschwerde an die zuständige Datenschutzaufsichtsbehörde und machten geltend, die Veröffentlichung des Fotos durch den Kläger auf seiner Fanpage bei Facebook habe gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen. Die gegenteilige Auffassung des Klägers sei nicht hinnehmbar. Die Datenschutzaufsichtsbehörde solle den Sachverhalt prüfen.

Die beklagte Datenschutzaufsichtsbehörde teilte dem Kläger mit, dass ihr die Beschwerde der Eheleute S. vorliege. Falls der geschilderte Sachverhalt zutreffe, könne das Verhalten des Klägers gegen Artikel 6 Abs. 1 Buchst. f DSGVO verstoßen. Sie, die Beklagte, müsse als Aufsichtsbehörde der Beschwerde der Eheleute S. nachgehen. Die Beklagte setzte dem Kläger eine Frist zur Stellungnahme. Die Rechtsanwältin des Klägers nahm dazu Stellung und vertrat darin die Auffassung, der Kläger habe nicht gegen die DSGVO verstoßen. Zum einen habe er als politische Partei im Rahmen seiner verfassungsrechtlichen Aufgabe nach Artikel 21 Abs. 1 Satz 1 des Grundgesetzes (GG), an der politischen Willensbildung des Volkes mitzuwirken, ein berechtigtes Interesse an der Werbung für seine politische Tätigkeit. Diese habe hier darin bestanden, sich letztlich erfolgreich für die Errichtung der von vielen Anwohnerinnen und Anwohnern seit Jahren geforderten Ampelanlage eingesetzt zu haben. Die Veröffentlichung des Fotos habe dazu gedient, das große Interesse an diesem Thema zu dokumentieren, und stehe daher in unmittelbarem Zusammenhang mit der politischen Tätigkeit des Klägers. Zum anderen könne er sich auf § 23 des Gesetzes betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (KUG) berufen. Danach sei eine Verbreitung von Bildern ohne Einwilligung der abgebildeten Personen u. a. dann zulässig, wenn diese nur Beiwerk seien und keinen bestimmenden Einfluss auf das Motiv ausübten. So liege es hier.

Mit Bescheid vom 9. Januar 2019 verwarnte die Beklagte den Kläger. Zur Begründung führte sie im Wesentlichen aus, der Kläger habe durch die Veröffentlichung des Fotos auf seiner Fanpage bei Facebook gegen Artikel 5 Abs. 1 Buchst. a in Verbindung mit Artikel 6 Abs. 1 Buchst. f DSGVO verstoßen. Er sei deshalb gemäß Artikel 58 Abs. 2 Buchst. b DSGVO zu verwarnen. Das Foto beinhalte personenbezogene Daten im Sinne des Artikels 4 Nr. 1 DSGVO. Die Veröffentlichung auf einer Fanpage bei Facebook sei eine Verarbeitung dieser Daten im Sinne des Artikels 4 Nr. 2 DSGVO. Eine solche Verarbeitung sei nach Artikel 6 Abs. 1 DSGVO nur zulässig, wenn einer der dort aufgeführten Tatbestände vorliege. Hier komme, da die Eheleute S. nicht in die fragliche Verarbeitung eingewilligt hätten, nur der Tatbestand nach Artikel 6 Abs. 1 Buchst. f DSGVO in Betracht. Der Kläger könne sich nicht darauf berufen, dass die fragliche Verarbeitung im Sinne dieser Vorschrift für die Wahrnehmung eines berechtigten Interesses erforderlich gewesen sei. Ob er sich auf § 23 KUG berufen könne, sei zweifelhaft. Darauf komme es aber im Ergebnis auch nicht an. Denn die Zulässigkeit der fraglichen Verarbeitung scheitere jedenfalls an dem überwiegenden Interesse der Eheleute S. an der Unterlassung der Veröffentlichung. Dem stehe auch die Eigenschaft des Klägers als politische Partei nicht entgegen, zumal die Verwendung des Fotos keinen Beitrag zur Werbung für die politische Tätigkeit des Klägers leiste, sondern nur das größere öffentliche Interesse an dem betreffenden Thema dokumentiere. Da der Kläger das Foto auf Verlangen der Eheleute S. von seiner Fanpage bei Facebook entfernt habe und keine Anhaltspunkte dafür bestünden, dass das Foto in Zukunft wieder öffentlich gemacht werde, sei die Verwarnung als aufsichtsbehördliche Maßnahme nach Artikel 58 Abs. 2 Buchst. b DSGVO verhältnismäßig.

Der Kläger hat gegen den Bescheid Klage erhoben. Zur Begründung macht er geltend, der Bescheid des Beklagten sei rechtswidrig. Die Verwarnung sei schon zu unbestimmt und nicht hinreichend begründet und deshalb formell rechtswidrig. Die Verwarnung sei aber auch materiell rechtswidrig. Denn er, der Kläger, sei als politische Partei berechtigt, Bilder zur Darstellung seiner politischen Arbeit zu verwenden und auf diese Weise gemäß seines verfassungsrechtlichen Auftrags nach Artikel 21 Abs. 1 Satz 1 GG an der politischen Willensbildung des Volkes mitzuwirken. Dazu habe er das streitige Foto auch verwendet, weil dieses das große Interesse der Anwohnerinnen und Anwohner an der Errichtung der Ampelanlage dokumentiert habe, dass er aufgegriffen und dem er durch seine politische Tätigkeit schließlich zum Erfolg verholfen habe. Er könne sich deshalb nicht nur auf Artikel 6 Abs. 1 Buchst. f DSGVO, sondern auch auf Artikel 6 Abs. 1 Buchst. e DSGVO stützen. Außerdem könne er sich durchaus auf § 23 KUG berufen, wonach die Veröffentlichung von Bildern, auf denen abgebildete Personen nur Beiwerk sind und keinen bestimmenden Einfluss auf das Motiv ausüben, zulässig seien. Diese Vorschrift gelte auch nach Inkrafttreten der DSGVO weiter.

Das VG Hannover erklärte die Klage als unbegründet. Die Verwarnung vom 9. Januar 2019 ist rechtmäßig und verletzt den Kläger nicht in seinen Rechten (§ 113 Abs. 1 Satz 1 VwGO). Rechtsgrundlage für die von der Beklagten ausgesprochene Verwarnung ist Artikel 58 Abs. 2 Buchst. b DSGVO. Danach hat die Aufsichtsbehörde nach Artikel 51 DSGVO die Befugnis, einen Verantwortlichen zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen die DSGVO verstoßen hat. Dies gilt für den Fall eines Verstoßes gegen die DSGVO selbst, darüber hinaus aber auch für den Fall eines Verstoßes gegen Rechtsvorschriften eines Mitgliedstaats im Anwendungsbereich der DSGVO.

Tatbestandsvoraussetzung für eine Verwarnung nach Artikel 58 Abs. 2 Buchst. b DSGVO ist, dass der Adressat der Verwarnung – hier: der Kläger – als Verantwortlicher personenbezogene Daten verarbeitet hat, und er damit gegen die DSGVO – oder eine Rechtsvorschrift eines Mitgliedstaats über den Datenschutz – verstoßen hat.

Der Kläger hat vorliegend als Verantwortlicher personenbezogene Daten verarbeitet. Die Veröffentlichung des streitgegenständlichen Fotos durch den Kläger auf seiner Fanpage bei Facebook stellt eine automatisierte Verarbeitung personenbezogener Daten der abgebildeten Personen dar (Artikel 2 Abs. 1, Artikel 4 Nrn. 1 und 2 DSGVO). Ausnahmen vom sachlichen Anwendungsbereich nach Artikel 2 Abs. 2 und 3 DSGVO liegen nicht vor. Als Betreiber einer Fanpage bei Facebook ist der Kläger für die streitgegenständliche Datenverarbeitung auch Verantwortlicher im Sinne des Artikels 4 Nr. 7 DSGVO (EuGH, Urteil vom 5. Juni 2018 – C210/16 –, juris Rn. 25 ff.).

Zudem hat der Kläger durch die Veröffentlichung des Fotos auf seiner Fanpage bei Facebook gegen die DSGVO bzw. Vorschriften des KUG verstoßen. Hierbei kann offenbleiben, ob sich die Rechtmäßigkeit – wie der Kläger meint – nach §§ 22, 23 KUG i. V. m. Artikel 85 Abs. 2 DSGVO oder – wie die Beklagte meint – nach Artikel 6 Abs. 1 DSGVO richtet. Denn sowohl nach den §§ 22, 23 KUG als auch unter Berücksichtigung von Artikel 6 Abs. 1 Buchst. e und f DSGVO war die Veröffentlichung ohne die Einwilligung der Betroffenen rechtswidrig.

Fundstelle:

Veröffentlichung des Urteils auf der Homepage des Niedersächsischen Landesjustizportals – abrufbar im Internet unter http://www.rechtsprechung.niedersachsen.de/jportal/portal/page/bsndprod.psml?doc.id=MWRE190004238&st=ent&doctyp=juris-r&showdoccase=1&paramfromHL=true

Wesentliche Anforderungen an die (behördliche) Nutzung „Sozialer Netzwerke“

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg veröffentlichte am 06. Februar 2020 eine Broschüre bezüglich der „Wesentlichen Anforderungen an die behördliche Nutzung sozialer Netzwerke“. Der LfDI greift die aktuelle Rechtsprechung des Europäischen Gerichtshofs und des Bundesverwaltungsgerichts zu „Sozialen Netzwerken“ auf und stellt fünf klare Forderungen bezüglich der Nutzung sozialer Netzwerke.

Die Broschüre hatte der LfDI bereits im Rahmen der Vorstellung seines Datenschutz-Tätigkeitsberichts 2019 angekündigt. Der Anforderungskatalog soll von allen Behörden zur Prüfung ihrer Auftritte in „Sozialen Netzwerken“ herangezogen werden. Gleichzeitig verbindet der LfDI damit die Erwartung, dass alle Behörden in Baden-Württemberg ihrer Vorbildfunktion gerecht werden und vorbehaltlos für eine rechtskonforme und damit im wahrsten Sinne bürgerfreundliche Informationsarchitektur sorgen.   

Wo Behörden die klar umschriebenen und erläuterten Anforderungen bei der Nutzung „Sozialer Netzwerke“ aktuell nicht erfüllen, müssen sie jetzt umgehend nachbessern. Allerdings setzt dies die Kooperation des jeweiligen Plattformbetreibers voraus. Kooperiert der Plattformbetreiber mit der Behörde nicht und gelingt es dieser nicht, die einschlägigen Vorgaben zu erfüllen, so ist sie aufgefordert, die Plattform zu verlassen.

Laut dem LfDI sind insbesondere folgende Anforderungen einzuhalten:

  1. Behördliche Mitglieder müssen eine datenschutzrechtliche Rechtsgrundlage vorweisen können.
  2. Die datenschutzrechtlichen Transparenzgebote müssen eingehalten werden.
  3. Soweit behördliche Mitglieder mit dem Plattformbetreiber zusammen gemeinsam für Datenverarbeitungen sind, muss dazu eine vertragliche Vereinbarung getroffen werden.
    verantwortlich
  4. Behördliche Mitglieder müssen alternative Informations- und Kommunikationswege anbieten, damit Bürgerinnen und Bürger nicht in „Soziale Netzwerke“ hineingezwungen werden.
  5. Die technischen und organisatorischen Sicherungsmaßnahmen müssen dem Stand der Technik genügen und der Selbstschutz der Bürgerinnen und Bürger muss respektiert werden.

Auch wenn das „Gesetz zur Anpassung des allgemeinen Datenschutzrechts und sonstiger Vorschriften an die Verordnung (EU) 2016/679“ keine Geldbußen gegen öffentliche Stellen in Baden-Württemberg vorsieht – außer die öffentliche Stelle nimmt am Wettbewerb teil – drohen einer Behörde, die sich nicht an die Vorgaben des LfDI hält, empfindliche Sanktionen. So kann der LfDI beispielsweise den Betrieb des sozialen Netzwerks untersagen.

Hinweis für Unternehmen

Auch wenn sich die Broschüre nur an öffentliche Stellen richtet, sollte sie auch von Unternehmen, die soziale Netzwerke betreiben, zur Kenntnis genommen und beachtet werden. Insbesondere da bereits eine entsprechende Rechtsprechung vorliegt und Unternehmen bei Verstößen gemäß Art. 83 DSGVO empfindliche Geldbußen drohen.

Fundstelle:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/02/Wesentliche-Anforderungen-an-die-beh%C3%B6rdliche-Nutzung-Sozialer-Netzwerke.pdf

Beteiligung des Betriebsrats im Rahmen einer internen Untersuchung der E-Mail-Korrespondenz

Will ein Arbeitgeber aus Anlass von Vorwürfen gegen die Geschäftsführung im Rahmen einer internen Untersuchung die E-Mail-Korrespondenz von nicht leitenden Arbeitnehmern überprüfen, hat er gemäß § 87 Abs. 1 Nr. 6 BetrVG die vorherige Zustimmung des Betriebsrats einzuholen.

Eine Arbeitgeberin schloss mit ihrem Betriebsrat eine Rahmenbetriebsvereinbarung zur Einführung und Anwendung von Informations- und Kommunikationstechnischen Systemen, in der festgelegt wurde, dass Leistungs- und Verhaltenskontrollen i. S. d. § 87 Abs. 1 Nr. 6 BetrVG unzulässig sind. Bei drohenden Sicherheitsgefährdungen, die ein sofortiges Handeln notwendig machen, sollte nachträglich und unverzüglich die Information des Betriebsrates erfolgen.

Gemäß der Rahmenbetriebsvereinbarung toleriert die Arbeitgeberin die private Nutzung des dienstlichen E-Mail-Accounts insoweit, als dienstliche Belange nicht beeinträchtigt werden, die technischen Ressourcen nur in einem geringen und vernachlässigbarem Umfang belastet werden und der Arbeitgeberin dadurch keine zusätzlichen Kosten entstehen.

Die Arbeitgeberin überprüfte im Herbst 2017 Vorwürfe gegen den zwischenzeitlich ausgeschiedenen ehemaligen Geschäftsführer. Ausweislich der lokalen Presseberichterstattung soll der Flughafen einem Frachtunternehmen für eine angemietete Fläche zu viel gezahlt und Rechnungen dieses Unternehmens ohne Gegenleistung beglichen haben. Arbeitnehmer sollen über einen langen Zeitraum freigestellt worden sein. Zudem soll der ehemalige Geschäftsführer für ein privat gemietetes Flugzeug zu wenig gezahlt haben. Der Aufsichtsrat der Arbeitgeberin fasste in einer außerordentlichen Sitzung den Beschluss, den Geschäftsführer zu beurlauben und interne Ermittlungen durchzuführen, die durch eine Rechtsanwaltskanzlei und ein Wirtschaftsprüfungsunternehmen begleitet wurden. Im Zuge der Ermittlungen wurde seitens der Arbeitgeberin der elektronische Schriftverkehr der Geschäftsleitung, der leitenden Angestellten sowie weiterer Arbeitnehmer überprüft und an die Rechtsanwaltskanzlei und das Wirtschaftsprüfungsunternehmen übermittelt.

Als der Betriebsrat Kenntnis von dem Vorgang erhielt, machte er beim Arbeitsgericht Köln einen Informationsanspruch bezüglich der erhobenen und weitergeleiteten Daten geltend, verlangte die Löschung und Vernichtung dieser Daten und begehrte die Unterlassung des Zugriffs auf den elektronischen Schriftverkehr der Arbeitnehmer. Zur Begründung der Anträge vertrat der Betriebsrat die Ansicht, ihm stehe bei der Auswertung des E-Mail-Verkehrs der nichtleitenden Arbeitnehmer ein Mitbestimmungsrecht gemäß § 87 Abs. 1 Nr. 6 BetrVG zu, das er durch die Rahmenbetriebsvereinbarung nicht abschließend ausgeübt habe.

Der Betriebsrat beantragte,

  1. der Arbeitgeberin aufzugeben, ihm die Namen und den personenbezogenen Anlass der Arbeitnehmerinnen und Arbeitnehmer, mit Ausnahme der leitenden Angestellten, mitzuteilen, deren elektronischer Schriftverkehr – E-Mails – im Zusammenhang mit der internen Untersuchung der Vorgänge um den ehemaligen Geschäftsführer von ihr überprüft, gesichert und ausgewertet oder zur Auswertung an die Rechtsanwaltskanzlei und die Wirtschaftsprüfungs-GmbH weitergeleitet wurden.
  2. der Arbeitgeberin aufzugeben, es zu veranlassen, dass die an die Rechtsanwaltskanzlei und die Wirtschaftsprüfungs-GmbH weitergeleiteten Daten im Sinne des Antrags zu 1. inklusive deren Auswertungen bei der Rechtsanwaltskanzlei und der Wirtschaftsprüfungs-GmbH physisch gelöscht und vernichtet werden.
  3. der Arbeitgeberin aufzugeben, es künftig zu unterlassen, den elektronischen Schriftverkehr (E-Mails) von Arbeitnehmerinnen und Arbeitnehmern, mit Ausnahme der leitenden Angestellten, im Rahmen von ihr angestoßener interner Untersuchungen zu überwachen, die Daten zu sichern und auszuwerten sowie an Dritte zum Zwecke der Auswertung weiter zu leiten, ohne zuvor seine Zustimmung zu beantragen und im Falle der Zustimmungsverweigerung eine Entscheidung der Einigungsstelle herbeizuführen, es sei denn, es drohen Sicherheitsgefährdungen, die ein sofortiges Handeln notwendig machen.

Das Arbeitsgericht hat den Anträgen stattgegeben und dies im Wesentlichen wie folgt begründet: Der Betriebsrat habe gegen die Arbeitgeberin zur Durchführung seiner Aufgaben nach dem Betriebsverfassungsgesetz einen Anspruch auf Erteilung der begehrten Auskunft gemäß § 80 Abs. 2 Satz 1 BetrVG. Die Überwachungsaufgabe des Betriebsrats nach § 80 Abs. 1 Nr. 1 BetrVG erstrecke sich auf die Einhaltung der Datenschutzvorschriften durch die Arbeitgeberin insbesondere im Zusammenhang mit der Auswertung der dienstlichen und erlaubten privaten E-Mails. Zu den Aufgaben des Betriebsrats gehörten zudem die Ausübung des Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 6 BetrVG und die Durchsetzung von Beseitigungsansprüchen nach einer Verletzung dieses Mitbestimmungsrechts. Demgemäß habe der Betriebsrat wegen des Verstoßes gegen sein Mitbestimmungsrecht einen Anspruch auf Beseitigung des eingetretenen mitbestimmungswidrigen Zustands. Dieser Anspruch umfasse bei einem Verstoß gegen § 87 Abs. 1 Nr. 6 BetrVG die Löschung rechtswidrig erhobener und an Dritte weitergeleiteter Daten. Schließlich könne der Betriebsrat die strafbewehrte zukünftige Unterlassung der Überwachung, Sicherung, Auswertung und Weiterleitung des elektronischen Schriftverkehrs von Arbeitnehmern im Rahmen von internen Untersuchungen verlangen, solange das Mitbestimmungsverfahren nicht durchgeführt und abgeschlossen sei.

Die Arbeitgeberin legte gegen diesen Beschluss Beschwerde beim Landesarbeitsgericht ein, die zum Großteil aber erfolglos blieb.

Das Landesarbeitsgericht Köln stellte in seinem Beschluss vom 19.07.2019 folgende Leitsätze auf:

  1. Will ein Arbeitgeber aus Anlass von Vorwürfen gegen die Geschäftsführung im Rahmen einer internen Untersuchung die E-Mail-Korrespondenz von nicht leitenden Arbeitnehmern überprüfen, hat er gemäß § 87 Abs. 1 Nr. 6 BetrVG die vorherige Zustimmung des Betriebsrats einzuholen.
  2. Verstößt der Arbeitgeber gegen das Mitbestimmungsrecht, kann der Betriebsrat von ihm Auskunft über die Namen der betroffenen Arbeitnehmer, die Mitteilung des personenbezogenen Anlasses für deren Überprüfung sowie künftige Unterlassung beanspruchen.
  3. Zur Beseitigung der Folgen des mitbestimmungswidrigen Verhaltens kann der Betriebsrat zudem verlangen, dass der Arbeitgeber auf mit der Untersuchung beauftragte Dritte dahingehend einwirkt, dass sie die an sie weitergeleiteten Daten löschen und Ausdrucke vernichten.
  4. Der Beseitigungsanspruch des Betriebsrats besteht nicht, soweit der Arbeitgeber ein schützenswertes Interesse an der Verwertung der Daten in einer rechtlichen Auseinandersetzung hat. Anderenfalls liefe der Beseitigungsanspruch auf ein Beweisverwertungsverbot hinaus, das weder Gegenstand einer wirksamen betrieblichen Regelung sein kann noch mit dem betriebsverfassungsrechtlichen Beseitigungsanspruch durchsetzbar ist.

Fundstelle:

Beschluss des Landesarbeitsgerichts Köln vom 19.07.2019, Aktenzeichen: 9 TaBV 125/18, abrufbar im Internet unter http://www.justiz.nrw.de/nrwe/arbgs/koeln/lag_koeln/j2019/9_TaBV_125_18_Beschluss_20190719.html

Hinweis:

Der Fall ist nunmehr beim Bundesarbeitsgericht anhängig (BAG – 1 ABR 31/19).

Datenschutzhinweise zur Corona-Pandemie

Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat auf ihren Homepages Informationen für Arbeitgeber und Dienstherren zum Umgang mit dem Datenschutz im Zusammenhang mit der Corona-Pandemie veröffentlicht. Dabei stellen die Datenschützer klar, dass der Schutz personenbezogener Daten und Maßnahmen zur Bekämpfung der Infektion sich nicht entgegenstehen.

Der Betroffene bleibt auch und insbesondere bei Gesundheitsdaten grundsätzlich „Herr seiner Daten“. Allerdings dürfen für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeitern datenschutzkonform Daten erhoben und verwendet werden. Dabei muss der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage stets beachtet werden.

So können die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie als datenschutzrechtlich legitimiert betrachtet werden:

Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:

  • in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
  • in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.

Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese

  • selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
  • sich im relevanten Zeitraum in einem als Risikogebiet eingestuften Gebiet aufgehalten haben.

Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Die erwähnten Maßnahmen lassen sich rechtlich auf Grundlage der DSGVO und des BDSG (ggf. in Verbindung mit Landesdatenschutz- und weiteren Fachgesetzen) legitimieren. Je nach Maßnahme können die einschlägigen Rechtsgrundlagen dabei leicht variieren.

Die Berechtigung zur Verarbeitung personenbezogener Mitarbeiterdaten ergibt sich in diesen Fällen für öffentlich-rechtliche Arbeitgeber grundsätzlich aus Art. 6 Abs. 1 Satz 1 lit. e) DSGVO und für Arbeitgeber im nicht-öffentlichen Bereich aus § 26 Abs 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO jeweils i. V. m. den einschlägigen beamtenrechtlichen sowie tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts. Soweit Gesundheitsdaten verarbeitet werden, sind zudem auch § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO einschlägig.

Die Fürsorgepflicht der Arbeitgeber bzw. der Dienstherren verpflichtet diese den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Hierzu zählt nach Ansicht der unabhängigen Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die epidemische bzw. inzwischen pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und im Fall der Fälle der Nachverfolgbarkeit (also im Grunde nachgelagerte Vorsorge gegenüber den Kontaktpersonen) dient. Diese Maßnahmen müssen dabei natürlich immer auch verhältnismäßig sein.

Die Daten müssen vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks (regelmäßig also spätestens dem Ende der Pandemie) müssen die erhobenen Daten unverzüglich gelöscht werden.

Eine Einwilligung der von Maßnahmen Betroffenen allein sollte hingegen vorliegend nur als datenschutzrechtliche Verarbeitungsgrundlage in Betracht gezogen werden, wenn die Betroffenen über die Datenverarbeitung informiert sind und freiwillig in die Maßnahme einwilligen können.

Die Erfüllung der Informationspflichten nach der DSGVO muss natürlich bei allen Maßnahmen sichergestellt werden.

Fundstelle:

„Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie“ der Datenschutzkonferenz – abrufbar im Internet beispielsweise unter https://www.datenschutz-bayern.de/corona/arbeitgeber.html