Corona: In nur wenigen Tagen wurde unsere Gesellschaft und unser Leben auf eine Art und Weise durcheinandergewirbelt, wie wir uns es noch vor vier Wochen nicht hätten erträumen können.
Essentielle Grundrechte, wie die Versammlungs- und Demonstrationsfreiheit, Religionsfreiheit und Gewerbefreiheit wurden eingeschränkt. In einigen Regionen Deutschlands wurde sogar das Recht auf Freizügigkeit aufgehoben.
Auf diese Herausforderungen müssen Arbeitgeber reagieren, der Betrieb soll überleben und Mitarbeiter müssen geschützt werden. Das heißt: es müssen im Betrieb Regelungen gefunden werden, wie die Arbeit für alle sicher weitergehen kann.
In Zeiten von Corona muss ständig zwischen pragmatischen Lösungen und Datenschutz, sowie der Privatsphäre der Mitarbeiter abgewogen werden. Aber wo hört Pragmatismus auf und wo fangen die berechtigten Interessen von Arbeitnehmern an?
Wenn die Belegschaft noch in den Betrieb kommt
Längst nicht jedes Unternehmen hat die Möglichkeit die Belegschaft von zu Hause aus arbeiten zu lassen. Wenn die Mitarbeiter trotz der Gesundheitsgefahren weiterhin in den Betrieb kommen müssen, ist der Arbeitgeber im Sinne seiner Fürsorgepflicht dazu verpflichtet, dass das Risiko seiner Arbeitnehmer, sich anzustecken, so gering wie möglich zu halten. Das bedeutet, dass hier ein Gegensatz zwischen der Fürsorgepflicht des Arbeitsgebers und den datenschutzrechtlichen Interessen des Arbeitnehmers besteht.
Grundsätzlich gilt das Prinzip der Datensparsamkeit
Trotz der Bedrohung durch das Corona-Virus gelten die Grundsätze des Datenschutz‘, die sich aus der DSGVO ergeben. Jede Verarbeitung von personenbezogenen Daten, muss auch weiterhin anhand einer Rechtsgrundlage erfolgen, transparent sein und einem eindeutigen, legitimen Zweck dienen. Außerdem dürfen nur so viele Daten erhoben werden, wie nötig ist.
Durch Corona und die damit verbundenen Folgen ist es gegenwärtig sinnvoll, wenn Arbeitgeber mehr Daten von ihren Mitarbeitern erheben, als üblich. Dazu gehören neben Kontaktdaten wie Handy- oder privaten Telefonnummern, vor allem Gesundheitsdaten.
Arbeitgeber können mehr Kontaktdaten als üblich erfragen
In der Regel benötigen Arbeitgeber von ihren Arbeitnehmern nicht mehr als eine postalische Adresse. Weitere Daten wie der privaten Telefonnummer müssen Arbeitnehmer nur freiwillig ihrem Arbeitgeber mitteilen.
Um eine Notfallkommunikation, wie dem kurzfristigen Angebot von Home Office oder Kurzarbeit, zu ermöglichen, haben Arbeitgeber gegenwärtig ein legitimes Interesse, auch diese Daten von ihren Arbeitnehmern zu erfragen.
Weiterhin gilt der Grundsatz der Zweckbindung der Datenverarbeitung. Das heißt, wenn beispielsweise eine private Telefonnummer für die Notfallkommunikation abgefragt worden ist, sollte diese auch einzig zu diesem Zweck verwendet werden.
Umgang mit Gesundheitsdaten während Corona
Besonders im Fall von Gesundheitsdaten handelt es sich um personenbezogene Daten, die besonders schutzbedürftig sind. Hier müssen sich Arbeitgeber bewusst sein, wie sensibel diese Daten sind und entsprechend vertraulich mit diesen umgehen.
Im Normalfall wird ein Arbeitgeber nicht darüber informiert, an was für einer Krankheit sein Arbeitnehmer erkrankt ist. Die Arbeitsunfähigkeitsbescheinigung (AU) reicht, damit der Arbeitnehmer zu Hause bleiben kann und sein Gehalt weitergezahlt wird.
Beim Covid-19-Virus handelt es sich allerdings um eine hochansteckende, lebensgefährliche Krankheit. Daher hat ein Arbeitgeber in diesem Fall ein berechtigtes Interesse über eine Erkrankung eines Mitarbeiters an diesem Virus informiert zu werden. So kann er seiner Fürsorgepflicht gerecht werden und entsprechende Schutzmaßnahmen für andere Mitarbeiter ergreifen.
Daher ist es für einen Arbeitgeber legitim zu erfragen, ob ein Mitarbeiter
- an Corona erkrankt ist
- die Symptome einer Corona-Infektion zeigt
- Kontakt mit einer nachweißlich infizierten Person hatte
- oder sich in einem Risikogebiet aufgehalten hat.
Bei all diesen Punkten handelt es sich um Informationen, die darauf hinweisen, dass ein Mensch ein erhöhtes Risiko hat, sich mit Corona infiziert zu haben und seine Kollegen anstecken könnten.
Bei diesen Informationen handelt es sich, um sehr sensible Daten. Daher müssen Arbeitgeber, alle Maßnahmen ergreifen, damit diese Daten vertraulich behandelt werden. Im Idealfall werden diese Informationen von einem Betriebsarzt erhoben, der anschließend eine entsprechende AU ausstellt und weitergehende Maßnahmen vorschlägt, um die restliche Belegschaft zu schützen.
Alternativ können Mitarbeiter auch gebeten werden, selbst eine Risikoabschätzung für sich vorzunehmen. So können Mitarbeiter ihren Arbeitgeber selbst darüber informieren, falls eine vorsorgliche Isolierung angebracht wäre.
Was dürfen Arbeitgeber bei Corona nicht?
Diesen legitimen Interessen steht das Recht der Betroffenen auf Privatsphäre gegenüber. Daher müssen die personenbezogenen Daten sparsam erhoben und vertraulich behandelt werden.
Arbeitgeber dürfen nicht allgemein nach Reisen fragen, sondern nur ob ein Arbeitnehmer in einem Risikogebiet war oder nicht. Ebenso wenig dürfen allgemeine Fragen zur Gesundheit gestellt werden. Einen entsprechenden allgemeinen Fragebogen müssen Arbeitnehmer also nicht ausfüllen. Ein Arbeitnehmer muss sich auch keiner Körpertemperaturmessung unterziehen.
Fiebermessen kann eine sinnvolle, präventive Maßnahme sein, damit infektiöse Mitarbeiter möglichst früh erkannt werden können. Allerdings darf dies keine Zwangsmaßnahme sein. Im Interesse der Datensparsamkeit, sollten die Daten über die Körpertemperatur auch nicht gespeichert werden. Wenn sich ein Mitarbeiter freiwillig dieser Maßnahme unterzieht und bei ihm eine erhöhte Temperatur festgestellt worden ist, reicht es diesen Mitarbeiter dazu aufzufordern, sich ärztlich untersuchen zu lassen. Die Speicherung der Daten ist nicht nötig und wäre ein unverhältnismäßiger Eingriff in die Privatsphäre der Betroffenen.
Wenn die Fieberkontrolle nicht durch den Betriebsarzt erfolgt, dürfen die Mitarbeiter, die für diesen Dienst eingeteilt worden sind, den Mitarbeiter weder krankschreiben, noch die erhobenen Informationen weitergeben. Hierzu ist ggf. der Mitarbeiter selbst verpflichtet.
Ein Arbeitgeber darf, auch wenn die Verlockung groß ist, keine Meldepflicht von Krankheitssymptomen in seinem Betrieb einführen.
Wie sollten Arbeitgeber mit den erhobenen Gesundheitsdaten umgehen?
Aus der Fürsorgepflicht des Arbeitgebers ergibt sich, dass Arbeitgeber ihre Mitarbeiter darüber informieren müssen, wenn sie durch einen Kontakt mit einem infizierten Kollegen einem erhöhten Risiko ausgesetzt waren, sich mit dem Covid-19-Erreger infiziert zu haben.
Es ist allerdings nicht nötig, die Arbeitnehmer darüber zu informieren, welcher Kollege (wahrscheinlich) infiziert ist. Es reicht aus, den Mitarbeiter entweder krankzuschreiben, freizustellen oder von zu Hause arbeiten zu lassen.
Wenn der Arbeitgeber mit Hilfe des Betroffenen nicht in der Lage ist, mögliche Infektionswege nachzuvollziehen, sollte er sich an das zuständige Gesundheitsamt wenden. Eine Namensnennung von Erkrankten ist nur dann angebracht, wenn potentielle Infektionswege nicht nachvollzogen werden können. Bei der Entscheidung, ob eine Namensnennung nötig ist, hilft ggf. das Gesundheitsamt.
Schnell ins Home Office wegen Corona
Viele andere Unternehmen haben die Möglichkeit, ihren Mitarbeitern Home Office anzubieten, um weiterhin arbeiten zu können, ohne die Gesundheit der Mitarbeiter zu gefährden. Schließlich ist der beste Weg sich und andere vor einer Infektion mit dem Covid-19-Erreger zu schützen, die physische Distanzierung von seinen Mitmenschen.
Dabei gilt jedoch so einiges zu beachten. Aber auch hier gilt es eine Balance zwischen Pragmatismus und Datenschutz zu finden. Denn viele Unternehmen sind nicht so aufgestellt, in kurzer Zeit der gesamten Belegschaft Home Office zu ermöglichen. Es gilt stattdessen, jetzt kurzfristig das Möglichste zu unternehmen und mittelfristig die optimale Regelung zu erarbeiten.
Darf ein Arbeitgeber pauschal Home Office anordnen?
Auch in Corona-Zeiten darf ein Arbeitgeber nicht einseitig Home Office anordnen, wenn es keine entsprechende Regelung im Arbeitsvertrag, Tarifvertrag oder einer Betriebsvereinbarung gibt. Allein in einer akuten Notlage, darf ein Arbeitgeber Home Office anordnen. Es ist umstritten, ob es sich bei der gegenwärtigen Corona-Krise um eine solche akute Notlage handelt. Daher sollten Arbeitgeber und –nehmer sich über Home Office und dessen Gestaltung einigen.
Einseitig darf ein Arbeitgeber allein schon deswegen nicht die Arbeit von Zuhause aus anordnen, weil er in diesem Fall über den privaten Wohnraum, und ggf. die privaten Arbeitsgeräte des Arbeitnehmers verfügen würde. Außerdem darf der Arbeitnehmer nicht dazu verpflichtet werden, seine privaten Arbeitsgeräte, wie Computer, für die Arbeit zu verwenden. Der Arbeitgeber ist weiterhin dazu verpflichtet, das Arbeitsgerät zu stellen.
Wenn ein Arbeitnehmer Krankheitssymptome zeigt oder der Arbeitgeber aus anderen Gründen davon ausgeht, dass ein Mitarbeiter sich angesteckt haben könnte, darf er diesen nach Hause schicken. Sofern der Arbeitnehmer arbeitsfähig und arbeitswillig ist, hat dieser immer noch einen Anspruch auf die Fortzahlung seines Lohns.
Homeoffice liegt im allgemeinen Interesse
Es liegt aber im Interesse aller Beteiligten, jetzt kurzfristig Übereinkünfte zu finden, wie Home Office ermöglicht werden kann. So wird nicht nur die Gesundheit der Belegschaft geschützt, sondern auch die Arbeitsfähigkeit des Betriebes gewährleistet.
Wie kann kurzfristig der Datenschutz im Home Office gewährleistet werden?
Kurzfristig der Belegschaft Home Office zu ermöglichen, ist für jeden Betrieb eine Herausforderung. Denn selbst die Unternehmen, die diese Option bereits länger anbieten, sind selten darauf vorbereitet, der gesamten Belegschaft die Arbeit Zuhause zu ermöglichen.
Am einfachsten können Mitarbeiter ins Home Office geschickt werden, wenn sie einfach ihre Arbeitsgeräte aus dem Büro mitnehmen können. Ein Unternehmen, das also auf Laptops anstelle von Desktop-PCs gesetzt hat, ist hier klar im Vorteil. Dann muss nicht mehr viel beachtet werden, außer dass Arbeitnehmer eine sichere Verbindung zu den Unternehmensservern einrichten können. Das kann beispielsweise über VPN-Verbindungen oder Cloudlösungen relativ einfach gelingen.
In den meisten Fällen können Mitarbeiter ihre Arbeitsgeräte nicht einfach mit nach Hause nehmen. Dann sollten Arbeitgeber und die Belegschaft eine Einigung finden, wie die Mitarbeiter ihre privaten Geräte nutzen können. Da sie nicht dazu verpflichtet werden können, ihre privaten Endgeräte für die Arbeit zu nutzen, könnte ihnen eine Entschädigung angeboten werden.
Wenn Mitarbeiter ihre eigenen Geräte nutzen müssen
Gegenwärtig ist es kaum möglich, kurzfristig Mitarbeiter mit mobilen Dienstgeräten auszustatten – es gibt schließlich derzeit nur ein sehr begrenztes Angebot an Laptops. Es müssen also Wege gefunden werden, wie sensible personenbezogene Daten und Geschäftsgeheimnisse im Home Office und privaten Endgeärten möglichst gut gesichert werden können.
Die meisten Mitarbeiter werden sich angesichts der Herausforderungen der Corona-Krise dazu bereit erklären, ihre privaten Geräte zu nutzen. Damit auf diesen die Daten gut gesichert und auch wieder gelöscht werden können, ist es sinnvoll sich auf dem eigenen Computer ein neues Benutzerkonto für die Arbeit anzulegen.
Für den Datenaustausch können auch auf diesen Geräten VPN-Clients installiert, oder auf Cloudlösungen zurückgegriffen werden. Das Angebot von Clouddiensten ist wahrscheinlich sinnvoller, weil dies weniger technischen Sachverstand benötigt, als die Installation eines VPN-Clients.
Geschäftliche Emails und Telefonanrufe sollten auch weiterhin nicht auf die privaten Emailprogramme bzw. Telefonanschlüsse der Mitarbeiter umgeleitet werden. Während in den meisten Fällen die Einrichtung eines entsprechenden Postfachs auf einem zweiten Emailprogramm unproblematisch ist, bleibt bei Telefonen wahrscheinliche keine andere Möglichkeit entweder auf einen Voice-over-IP zurückzugreifen, oder das private Telefon zu nutzen.
Wo immer möglich muss eine Trennung zwischen privatem und dienstlichem angestrebt werden.
Was sind die wichtigsten Punkte einer kurzfristigen Datenschutzvereinbarung?
Auch wenn gegenwärtig vieles wichtiger ist, als eine Datenschutzvereinbarung für die Mitarbeiter im Home Office aufzusetzen, sollten doch einige Punkte geregelt werden. Besonders wenn die Mitarbeiter ihre eigenen Geräte nutzen, hilft dies, Datenschutzverstöße und Sicherheitslücken im Interesse aller zu vermeiden.
Arbeitnehmer sollten daher dazu verpflichtet werden:
- Auf dem Endgerät immer die neuesten, sicherheitsrelevanten Updates von Betriebssystem und Antivirenprogramm zu installieren.
- Dokumente dürfen nicht auf dem Gerät selbst, sondern in der Cloud bzw. über den VPN-Client auf dem Unternehmensserver gespeichert werden.
- Mitarbeiter müssen ihre Geräte mit einem Passwort schützen. Das gilt auch für USB-Sticks oder mobile Festplatten, auf denen betriebliche Daten gespeichert sind.
- Betriebliche Unterlagen müssen nach der Arbeit vor unbefugtem Zugriff geschützt werden
Damit auch technisch wenig versierte Mitarbeiter all diese Maßnahmen umsetzen können, sollten Arbeitgeber Anleitungen bereitstellen.
Wenn ein Arbeitnehmer Smart Speaker wie beispielsweise Amazon Echo verwendet, muss er diese ausschalten, wenn er dienstliche Telefonate führt. Denn die Geräte können jedes gesprochene Wort im Raum an die Server ihres Herstellers übertragen. Hierdurch ist die Datensicherheit nicht mehr gewährleistet.
Auch die Kommunikation sollte über sichere Kanäle abgewickelt werden. Einige Anbieter behalten sich das Recht in ihren AGBs vor, alle Gespräche aufzuzeichnen und Ansprüche an dem gesprochenen anzumelden. Daher sollten die AGBs der Anbieter von Konferenzsoftware geprüft werden. Open Source Programme sind hier eine gute Wahl.
Arbeitszeit im Home Office
Obwohl Arbeitgeber die Sorge haben, dass ihre Mitarbeiter im Home Office unproduktiver sind als im Büro und sich leichter ablenken lassen, gelten nichts desto trotz die strengen Vorschriften zur Überwachung am Arbeitsplatz. Deshalb dürfen Arbeitgeber auch keine Systeme wie Keylogger auf den Geräten ihrer Mitarbeiter einsetzen, die genau überprüfen, wann ein Mitarbeiter die Tastatur benutzt, oder gar was er mit dieser eingibt.
Stattdessen sind Unternehmen damit gut beraten, sich regelmäßig bei ihren Mitarbeitern über ihre Tätigkeit während der Arbeitszeit zu informieren. Das kann über einen Tätigkeitsbericht erfolgen – oder einfach über die abgegebenen Arbeitsergebnisse.
Auch im Home Office gilt die Fürsorgepflicht des Arbeitgebers und die vereinbarten Arbeitszeiten. Außerdem haben sich Mitarbeiter an die vorgeschriebenen Ruhepausen zu halten.