Aufgrund der derzeitigen Epidemie stellt sich für Unternehmen, Behörden und auch für ArbeitnehmerInnen die Frage, unter welchen Umständen Daten (insbesondere Gesundheitsdaten) verarbeitet und ausgetauscht werden können und dürfen. Die Datenschutzbehörde weist einleitend darauf hin, dass Daten über Infektionen mit dem Coronavirus (Covid-19) sowie über Verdachtsfälle zu jenen sensiblen Daten zählen, für die das Datenschutzrecht einen besonderen Schutz vorsieht.
Das Datenschutzrecht sieht jedoch ebenso vor, dass diese Gesundheitsdaten in jenem Ausmaß verwendet werden können, das notwendig ist, um die Verbreitung des Virus einzudämmen und um die Mitmenschen zu schützen. Dazu zählt insbesondere die Datenerhebung von Personen, bei denen eine Infektion festgestellt wurde oder bei denen ein Verdachtsmoment aufgrund eines Kontakts mit einer infizierten Person oder aufgrund eines Aufenthalts in einer Risikoregion besteht.
Im arbeitsrechtlichen Kontext kommt als konkrete Rechtsgrundlage der Datenverarbeitung Art. 9 Abs. 2 lit. h Datenschutz-Grundverordnung (DSGVO) in Betracht (Verarbeitung zum Zwecke der Gesundheitsvorsorge). Darüber hinaus ist jeder Arbeitgeber gegenüber seinen ArbeitnehmerInnen zur umfassenden Fürsorge verpflichtet, wozu der Ausschluss von Gesundheitsrisiken am Arbeitsplatz zählt. Vor diesem Hintergrund kann diese Datenverarbeitung auch auf Art. 9 Abs. 2 lit. b DSGVO (Verarbeitung zum Zwecke der Erfüllung arbeits- und sozialrechtlicher Pflichten) gestützt werden. Für die Übermittlung der Gesundheitsdaten an die Gesundheitsbehörden normiert Art. 9 Abs. 2 lit. i DSGVO eine entsprechende Rechtsgrundlage (Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit). Weiters kann auf Verlangen der Bezirksverwaltungsbehörden ebenso eine Pflicht des Arbeitgebers zur Auskunftserteilung (über Verdachtsfälle und Infektionen) nach § 5 Abs. 3 Epidemiegesetz 1950 bestehen. Bitte wenden Sie sich bei Fragen, wem festgestellte Infektionen oder Verdachtsfälle zu melden sind, an die Gesundheitsbehörden.
Zur Risikoprävention ist es ferner zulässig, dass Arbeitgeber die private Handynummer der ArbeitnehmerInnen erfragen und temporär speichern, um diese kurzfristig über eine Infektion im Betrieb oder in der Behörde warnen zu können und damit diese nicht am Arbeitsplatz erscheinen müssen. Die ArbeitnehmerInnen können zu dieser Bekanntgabe jedoch nicht gezwungen werden. Die Datenschutzbehörde stellt auf ihrer Webpage ein Musterformular für die Erhebung privater Kontaktdaten von Mitarbeiter zur freien Verwendung zur Verfügung.
Die Datenverarbeitung hat unter Einhaltung des Zweckbindungsgrundsatzes gemäß Art. 5 Abs. 1 lit. a DSGVO zu erfolgen. Eine Verwendung der Gesundheitsdaten für andere Zwecke als der Gesundheitsvorsorge, der Eindämmung des Virus und der Heilbehandlung ist daher unzulässig. Darüber hinaus ist auf den Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO hinzuweisen. Nach Ende der Epidemie sind daher jene Daten, die nicht mehr notwendig sein werden, (wie insbesondere die privaten Kontaktdaten der ArbeitnehmerInnen) zu löschen. Aufgrund des Umstands, dass vermehrt Home-Office zum Einsatz kommt, ist schließlich auf die Sicherheitsvorgaben gemäß Art. 5 Abs. 1 lit. f iVm Art. 32 Abs. 1 DSGVO hinzuweisen. Die Arbeitgeber sollten Ihre Mitarbeiter insbesondere darauf hinweisen, dass Hardware (wie Dienstlaptops und Diensthandys) sicher aufzubewahren und dass eine geschützte WLAN-Verbindung mit einem starken Passwort (optimalerweise auch eine verschlüsselte VPN-Verbindung) zu verwenden ist (so diese vorhanden) sowie, dass erhöhte Aufmerksamkeit gegenüber Phishing-Nachrichten mit angeblich neuen Informationen über das Coronavirus bestehen sollte. Die Datenschutzbehörde stellt auf ihrer Webpage ein weiterführendes Informationsblatt zum Thema Datensicherheit und Home-Office zur Verfügung.
Informationsblatt zu Datensicherheit und Home-Office (PDF, 455 KB)
FAQ zum Thema Datenschutz und Coronavirus (COVID-19) (PDF, 477 KB)
Der Online-Stellenmarkt für ICT Professionals