Bei den Testergebnissen handelt es sich zweifellos um personenbezogene Daten. Da es bei diesen zudem um Gesundheitsdaten geht, greift hier die besondere Kategorie nach Art. 9 Abs. 1 DS-GVO, weshalb noch strengere Voraussetzungen an die Verarbeitung gestellt werden. Denn an sich dürfen diese nur dann verarbeitet werden, wenn etwa eine ausdrückliche Einwilligung i.S.d. Art. 7 DS-GVO zur Datenverarbeitung durch die Betroffenen selbst vorliegt.
Im Beschäftigtenverhältnis (§ 26 BDSG) dürfen wir uns vorliegend wohl unter anderem auf die Fürsorgepflicht des Arbeitgebers den anderen Mitarbeitern gegenüber berufen. Ebenso auf das Anliegen, Infektionen mit dem Coronavirus zu erkennen und nachverfolgen zu können, um auch die Gesundheit der weiteren Beschäftigten zu sichern. Denn das Infektionsschutzgesetz sieht vor, dass Kontaktpersonen über eine Infektion informiert werden müssen.
Eine Dokumentationspflicht existiert bis dato übrigens nach der SARS-CoV-2-Arbeitsschutzverordnung nicht, weshalb gerade im Hinblick auf das Übermitteln und Speichern der Ergebnisse auf die Grundsätze der DS-GVO – wie Datenminimierung, Löschung und Vertraulichkeit – zu achten ist.
Vorgehensweise für datenschutzkonforme Tests
- Ermöglichen Sie anonyme Tests in abgetrennten Räumlichkeiten, damit Kollegen keine Kenntnis von den Ergebnissen anderer erhalten.
- Implementieren Sie eine Routine, wie mit Testergebnissen umzugehen ist, insbesondere bei positiven Ergebnissen, sowohl seitens des getesteten Mitarbeiters als auch der durchführenden Personen. Nach einem positiven Ergebnis sollte der Beschäftigte sich umgehend nach Hause begeben und dabei möglichst wenig Kontakt zu anderen haben.
- Nur die Personen, die direkt betroffen sind (Kontaktpersonen), sollten über ein positives Testergebnis in Kenntnis gesetzt werden.
- Bewahren Sie die Ergebnisse nur so lange auf, wie es unbedingt erforderlich ist. Dass dies gut gesichert (verschlossener Schrank o.ä.) zu erfolgen hat, ist selbsterklärend. Danach sollten die Tests sicher vernichtet werden. Der Zugang muss (nachweislich) auf möglichst wenige Personen der Personalabteilung beschränkt werden.
- Trotz des digitalen Zeitalters sollte, soweit möglich, auf eine elektronische Erfassung verzichtet werden, da dies eine sichere Löschung und den Nachweis darüber erschwert.
Weitere Pflichten
Denken Sie aber auch stets an die generellen Informationspflichten nach Art. 13 DS-GVO. Achten Sie auf die beschränkten Zugriffsrechte. Halten Sie Ihr Verzeichnis für Verarbeitungstätigkeiten auf dem Laufenden. Denken Sie an die Löschfristen für die Daten, welche hier in der Regel vier Wochen nicht überschreiten sollten.
Damit sollten die Anforderungen an den Datenschutz gewahrt sein.
— Kay Gröger —
_________________________
ZUM AUTOR
Rechtsanwalt Kay Gröger
Leiter Geschäftsstelle Bremen, Zertifizierter Datenschutzbeauftragter (TÜV), AGA Norddeutscher Unternehmensverband Großhandel, Außenhandel, Dienstleistung e.V.
Im AGA sind mehr als 3.500 überwiegend mittelständische Groß- und Außenhändler sowie unternehmensnahe Dienstleister aus Norddeutschland organisiert. Der AGA unterstützt in Unternehmens- und Personalführung sowie in allen arbeits- und sozialversicherungsrechtlichen Fragen. Ferner vertritt der AGA die branchen- und firmenspezifischen Belange seiner Mitglieder gegenüber Politik, Verwaltung und Öffentlichkeit. www.aga.de
Bildquellen
- Kay Gröger: AGA Unternehmensverband
- Corona-Test_AdobeStock_373934902: © jarun011 / stock.adobe.com