COVID-19 und Arbeitgeber: Datenschutzrechte und -pflichten

Die phasenweise Dekonfinierung, die wir erleben, bedeutet nicht, dass die COVID-19-Pandemie verschwunden ist. Wir sind uns alle bewusst, dass eine zweite Welle noch nicht ausgeschlossen werden kann und dass sie um jeden Preis vermieden werden muss. In diesem Zusammenhang stellt sich die Frage, welche Maßnahmen Arbeitgeber ergreifen können bzw. sollten und welche nicht, um ihre Mitarbeiter zu schützen, da sich einige von ihnen auf die Rückkehr an den Arbeitsplatz vorbereiten.

Neben der Pflicht eines jeden, die Pandemie einzudämmen und damit zum Schutz der Gesamtbevölkerung beizutragen, unabhängig von einem allfälligen Arbeitsverhältnis, verpflichtet Art. 328 OR die Arbeitgeber, die erforderlichen Massnahmen zum Schutz der Gesundheit ihrer Arbeitnehmerinnen und Arbeitnehmer zu treffen, einschliesslich der Massnahmen, die nach dem Stand der Technik gegebenenfalls anwendbar sind. Wenn die Einhaltung der vom Bundesrat angeordneten Massnahmen eine Selbstverständlichkeit ist, stellt sich die Frage, ob der Arbeitgeber berechtigt ist, darüber hinauszugehen.

Sind jedoch zusätzliche Massnahmen innerhalb von Unternehmen vorgesehen, so müssen diese Massnahmen im Einklang mit den Regeln des Datenschutzgesetzes getroffen werden, das in der Schweiz durch das Bundesgesetz über den Datenschutz (DSG) geregelt ist.

In diesem Zusammenhang hat der Eidgenössische Datenschutzbeauftragte am 17. März 2020 ein Kommuniqué veröffentlicht, das besagt, dass die Verarbeitung von Daten zur Bekämpfung der Pandemie durch Privatpersonen im Einklang mit den in Artikel 4 DSG verankerten Grundsätzen erfolgen muss. In dieser Hinsicht müssen die ergriffenen Maßnahmen verhältnismäßig sein und dürfen nicht über das hinausgehen, was zur Erreichung des angestrebten Ziels, d.h. zum Schutz der Arbeitnehmer und ganz allgemein zur Verhinderung der Ausbreitung der Pandemie, notwendig erscheint.

Sobald es sich bei den erhobenen Daten um sensible Daten handelt, kann eine solche Verarbeitung grundsätzlich nur mit Zustimmung des Mitarbeiters rechtmäßig erfolgen. Glücklicherweise sieht Artikel 13 des Gesetzes jedoch vor, dass ein überwiegendes öffentliches Interesse eine solche Verarbeitung rechtfertigt, ungeachtet der fehlenden Zustimmung des Einzelnen. Es ist nicht schwer zu argumentieren, dass ein solches Interesse zumindest vorläufig besteht, und zwar vermutlich solange, bis die Pandemie nicht dauerhaft unter Kontrolle ist.

In dieser Hinsicht scheinen die folgenden Punkte zulässig und mit dem Grundsatz der Verhältnismäßigkeit vereinbar zu sein:

• Im Prinzip die Kontrolle der Temperatur jeder Person, die die Räumlichkeiten betritt (einschließlich der Besucher), wenn keine Spur von ihnen aufbewahrt wird, da es dann in Wirklichkeit keine Datenverarbeitung gibt. Wir präzisieren „im Prinzip“, da dies bei Personen mit COVID-19 kein systematisches Symptom ist, sondern als Verletzung der persönlichen Freiheit angesehen werden könnte, die Zweifel an ihrer Zulässigkeit aufkommen lässt und gegen die jede Person, wenn sie dies wünscht, wahrscheinlich Einspruch erheben könnte.
• Die Erfassung von Gesundheitsdaten bei der Rückkehr des Arbeitnehmers an seinen Arbeitsplatz, sofern sich diese Daten ausschließlich auf COVID-19 beziehen, um den Arbeitnehmer selbst, seine Kollegen und die Öffentlichkeit zu schützen. In diesem Zusammenhang erscheint aus unserer Sicht in der Schweiz z.B. die Implementierung eines schwebenden Fensters akzeptabel, das aus einem Formular besteht, das den Mitarbeiter auf seine Verpflichtungen aufmerksam macht und ihn einlädt, einige gezielte Fragen zu beantworten.
• Die Aufforderung an den Arbeitnehmer, seinem Arbeitgeber jeden ihn betreffenden Verdacht einer Kontamination unverzüglich mitzuteilen, damit der Arbeitgeber gegebenenfalls die erforderlichen Maßnahmen zum Schutz seiner Arbeitskollegen ergreifen kann.

Dagegen sind die folgenden Massnahmen unserer Meinung nach nicht zulässig:

• Aufzeichnung der Temperaturmessung in einer Datei, wie sie dann, sobald sie mit einer Person verknüpft ist, sensible persönliche Daten darstellt.
• Die Tatsache, einen Mitarbeiter einzuladen, jeden Tag oder bei jeder Anmeldung ein Formular wie oben erwähnt auszufüllen. Wenn die Verwendung eines solchen Formulars bei der Rückkehr des Mitarbeiters an den Standort oder mit einer angemessenen Periodizität (z.B. jeden Monat) akzeptabel erscheint, erscheint es unserer Meinung nach übertrieben, dies jeden Tag zu tun. Fordern Sie den Arbeitnehmer auf, seinem Arbeitgeber unverzüglich jede Änderung seiner Antworten mitzuteilen, da diese dann wahrscheinlich auf eine mögliche Kontamination hindeuten.
• Einladung an einen Mitarbeiter, der Telearbeit leistet, ein solches Formular auszufüllen. Solange der Arbeitnehmer nicht an den Arbeitsplatz zurückkehrt, erscheint die Erhebung solcher Daten nicht notwendig; es genügt, den Arbeitnehmer aufzufordern, ein solches Formular auszufüllen, wenn er an den Standort zurückkehrt.
• Einladung an einen Mitarbeiter, seine Auslandsreise zu einem Zeitpunkt zu melden, zu dem bestimmte Grenzen sich öffnen. Die Aufforderung an den Arbeitnehmer, den Arbeitgeber unverzüglich über Änderungen in den Antworten auf das Formular zu informieren oder sogar ein solches Formular in angemessenen Abständen auszufüllen, erscheint uns als eine ausreichende Maßnahme.
• Anforderung an Mitarbeiter, eine Tracking-Anwendung herunterzuladen. Ungeachtet der Tatsache, dass der Eidgenössische Datenschutzbeauftragte in einem Kommuniqué vom 13. Mai 2020 den in der Schweiz in dieser Phase vorgesehenen Antrag im Hinblick auf die Anforderungen des DSG als akzeptabel erachtete.

In jedem Fall wird sichergestellt, dass die Erhebung dieser Daten von den technischen und organisatorischen Maßnahmen begleitet wird, d.h. von Sicherheitsmaßnahmen, die erforderlich sind, um den Zugang für jedermann zu verhindern.

Es sei darauf hingewiesen, dass der Europäische Datenschutzausschuss für die der DSGVO unterstehenden Einrichtungen am 16. März 2020 eine Erklärung abgegeben hat, in der er daran erinnert, dass die Verarbeitung von Gesundheitsdaten zulässig erscheint, wenn Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit dies erfordern; im Übrigen hat der Ausschuss auf die in den verschiedenen Mitgliedstaaten geltenden Gesetze und die von den verschiedenen Behörden zu diesem Thema veröffentlichten Richtlinien verwiesen (siehe beispielsweise für Frankreich die von der CNIL am 7. Mai 2020 aktualisierte Erinnerung sowie eine nach Ländern geordnete Übersicht über diese Richtlinien).

WILHELM Rechtsanwälte berät Sie in Fragen des Datenschutzes und des Arbeitsrechts.