Mitarbeiterdaten: Welche Regeln gelten im Zusammenhang mit COVID-19?

Mitarbeiterdaten Covid 19

©Thieme & Frohberg GmbH

Eine wichtige Maßnahme, um die Ausbreitung von COVID-19 innerhalb von Kliniken zu vermeiden, ist das regelmäßige Testen des Klinikpersonals. Dabei wird in der Regel nach jeweiliger Infektionsgefährdung vorgegangen. Aber welche Mitarbeiterdaten dürfen in diesem Zusammenhang überhaupt erhoben und gespeichert werden? Rechtsanwalt Felix Bonstein erläutert im KWM-Interview, was Kliniken und Betriebsärzte datenschutzrechtlich beachten müssen.

Welche Mitarbeiterdaten dürfen in der Klinik erhoben und gespeichert werden, um die Infektionsgefahr einzudämmen?

Die Klinik als Arbeitgeber darf Mitarbeiterdaten erheben und verarbeiten, wenn dies geeignet und erforderlich ist, um Kollegen und Patienten vor einer COVID-19-Infektion zu schützen.

Zulässig ist dabei die Verarbeitung von Informationen darüber, ob ein Mitarbeiter

  • selbst mit COVID-19 infiziert ist oder dahingehende Krankheitssymptome aufweist.
  • Kontakt zu einer nachweislich infizierten Person hatte, also eine sogenannte „Kontaktperson“ entsprechend der Klassifikation und den Kriterien des Robert Koch-Instituts ist. Dabei kann die Unterscheidung nach Kontaktpersonen der Kategorien I, II und III jeweils Auswirkungen auf die arbeits- und datenschutzrechtlich zulässigen Infektions-Bekämpfungsmaßnahmen haben.
  • sich in den letzten zehn Tagen in einem Risikogebiet aufgehalten hat (gemäß der entsprechenden vom Robert Koch-Institut veröffentlichten Liste). Maßgeblicher Zeitpunkt für die Einstufung als Risikogebiet ist der Zeitpunkt der Wiedereinreise nach Deutschland.

Haben Arbeitnehmer eine Informationspflicht gegenüber der Klinik?

Grundsätzlich sind Arbeitnehmer nicht verpflichtet, Daten zu ihrer eigenen Gesundheit gegenüber dem Arbeitgeber offenzulegen. Dazu gibt es aber vor allem im Klinikumfeld Ausnahmen. Denn ist ein Klinikmitarbeiter beispielsweise selbst mit COVID-19 infiziert, kann dies zu einer unmittelbaren und erheblichen Gesundheitsgefährdung für Kollegen und Patienten führen. In einem solchen Fall kann der Mitarbeiter verpflichtet sein, seinen Arbeitgeber über die eigene COVID-19-Infektion zu informieren (nach §§ 15 Abs. (1), 16 Abs. (1) Arbeitsschutzgesetz).

Welche Datenschutzvorgaben müssen Betriebsärzte beachten?

Betriebsärzte unterliegen der ärztlichen Schweigepflicht. Dies gilt auch gegenüber dem möglicherweise gemeinsamen Arbeitgeber. Aus diesem Grund kann der Betriebsarzt in datenschutzrechtlicher Hinsicht als selbständiger Verantwortlicher eingestuft werden. Das bedeutet, dass er eigene gesetzliche Datenschutz-Verpflichtungen zu erfüllen hat, insbesondere gegenüber den betroffenen Mitarbeitern. Hierzu gehört die Information darüber, welche ihrer Daten er wie und auf welcher Rechtsgrundlage verarbeitet. Zudem muss er offenlegen, inwieweit er Mitarbeiterdaten an Dritte übermittelt, beispielsweise an den Arbeitgeber oder das Gesundheitsamt.

Hat der betroffene Klinikmitarbeiter nicht eingewilligt, darf der Betriebsarzt grundsätzlich keine Gesundheitsdaten an den Arbeitgeber weitergeben. In diesem Fall ist es in der Regel nur zulässig, die Klinik darüber zu informieren, ob der Mitarbeiter aus medizinischer Sicht in seinem jeweiligen Aufgabenbereich arbeiten kann. Hierbei wird der Betriebsarzt auch die Frage berücksichtigen, ob der Mitarbeiter selbst zu einer Risikogruppe gehört und aus diesem Grund gegebenenfalls nicht für die Versorgung von COVID-19-Patienten eingesetzt werden kann.

Darf der Betriebsarzt den Arbeitgeber über einen infizierten Mitarbeiter informieren, um so den regulären Informationsweg über das Gesundheitsamt verkürzen?

Eine solche Offenlegung von Mitarbeiterdaten kann trotz des Bestehens der ärztlichen Schweigepflicht zulässig sein. Dies kann zum Beispiel bei einem Notstand gemäß § 34 StGB gerechtfertigt sein, etwa wenn nur durch eine solche Mitteilung gegenüber dem Arbeitgeber Gesundheitsgefahren für Kollegen und Patienten abgewendet werden können.

Allerdings ist hierfür erforderlich, dass eine „gegenwärtige“ Gefahr für Leib oder Leben anderer Menschen vorliegt. Das kann der Fall sein, wenn der infizierte Mitarbeiter zeitnah in der Versorgung von Patienten eingesetzt werden soll, bevor der Arbeitgeber von Seiten des Gesundheitsamtes über die Infektion informiert werden kann. Weiter muss die Gefahr „nicht anders abwendbar sein“ und eine Interessenabwägung überwiegende Schutzinteressen der Kollegen und Patienten ergeben. In diesem Rahmen wird insbesondere zu berücksichtigen sein, ob der infizierte Mitarbeiter nicht schon von sich aus den Arbeitgeber über seine Infektion informieren wird.

In der Regel wird der Betriebsarzt die Notstandssituation dadurch abwenden können, dass er den Arbeitgeber pauschal darüber informiert, dass der infizierte Mitarbeiter aktuell nicht zum Einsatz in der Klinik geeignet ist. Eine direkte Information des Arbeitgebers über eine bestätigte COVID-19-Infektion eines Mitarbeiters wird also allenfalls in Ausnahmefällen wegen eines Notstandes gerechtfertigt und damit zulässig sein.

Im Übrigen wäre eine derartige Datenweitergabe an die Klinik durch den Betriebsarzt zulässig, wenn der Betroffene dem zugestimmt hat. Dafür ist eine diesbezügliche rechtswirksame Einwilligung des Mitarbeiters in Verbindung mit einer entsprechenden Schweigepflicht-Entbindung erforderlich.

Welche Kriterien muss eine Einwilligungserklärung zur Weitergabe des Testergebnisses erfüllen?

Bei der Formulierung einer rechtswirksamen Einwilligung sind folgende Punkte wesentlich:

  • Die Einwilligung muss vor allem informiert Sie muss also alle relevanten Informationen darüber enthalten, welche Daten für welchen Zweck an wen weitergegeben werden.
  • Auch muss die Einwilligung freiwillig Insbesondere muss ausgeschlossen sein, dass der Mitarbeiter den Eindruck oder das Gefühl erhält, dass er in irgendeiner Art zur Erteilung der Einwilligung verpflichtet ist oder irgendwelche Nachteile erfahren könnte, wenn er die Einwilligung nicht erteilt.
  • Schließlich muss der betroffene Mitarbeiter ausdrücklich darauf hingewiesen werden, dass und wie er die Einwilligung jederzeit mit Wirkung für die Zukunft frei widerrufen

Der Betriebsarzt sollte sich im Vorhinein mit seinem Datenschutzbeauftragten oder Rechtsanwalt darüber abstimmen, wie die Einwilligungserklärung rechtswirksam zu formulieren und bei Mitarbeitern einzuholen ist.

Wie lange dürfen die im Zusammenhang mit Corona erhobenen Daten in der Klinik gespeichert werden?

Mitarbeiterdaten, die zum Zweck der COVID-19-Bekämpfung und insbesondere der Kontaktnachverfolgung verarbeitet werden, sind zu löschen, sobald sie für diesen Zweck nicht mehr benötigt werden.

Angesichts der Inkubationszeit von COVID-19 und in Anlehnung an die in den meisten Corona-Schutz-Verordnungen der Länder vorgeschriebene Aufbewahrungszeit kann davon ausgegangen werden, dass die Zweckerreichung nach Ablauf von vier Wochen erreicht ist. Mitarbeiterdaten, die in diesem Zusammenhang verarbeitet und gespeichert wurden, sollten daher grundsätzlich nach Ablauf von vier Wochen gelöscht werden.

ep/kwm

Weitere Informationen über Datenschutzvorgaben für Kliniken (beispielsweise darüber, in welchen Fällen COVID-19-Testungen überhaupt datenschutzrechtlich zulässig sind) finden Sie hier.

Rechtsanwalt Felix Bonstein klärt über den korrekten Umgang mit Mitarbeiterdaten in Kliniken auf.Felix Bonstein ist Rechtsanwalt bei Schürmann Rosenthal Dreyer Rechtsanwälte und unter anderem spezialisiert auf das Datenschutzrecht. Ein besonderer Fokus seiner Tätigkeit liegt in der Verarbeitung von Gesundheits- und Patientendaten im eHealth-Bereich. Zudem ist Felix Bonstein als externer Datenschutzbeauftragter bei verschiedenen Unternehmen bestellt.

Hinterlassen Sie einen Kommentar