2021/5 | Fachbeitrag | Analytics

Sensible Daten: Corona-Tests als Arbeitgeber datenschutzkonform anbieten

Arbeitgeber sind seit kurzem dazu verpflichtet, ihren Angestellten regelmäßig Corona-Tests anzubieten, wenn sie nicht im Home-Office arbeiten. Rund 70? Prozent der Arbeitgeber waren bereits vor dem Beschluss des Bundeskabinetts am 13. April dazu bereit oder testeten schon freiwillig. Bei Corona-Testergebnissen handelt es sich allerdings um Gesundheitsdaten. Diese gehören nach Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten und sind somit besonders schützenswert. Normalerweise dürfen sie nur verarbeitet werden, wenn strenge Voraussetzungen erfüllt werden - falls beispielsweise eine ausdrückliche Einwilligung zur Datenverarbeitung durch die Betroffenen vorliegt. Wie ist das bei Corona-Tests?

Bildquelle: (C) skylarvision / Pixabay

Beim Thema Corona gelten etwas andere Regeln. Das Infektionsschutzgesetz sieht zum Beispiel vor, dass Kontaktpersonen über eine Infektion informiert werden müssen. Hier steht der Infektionsschutz über dem Datenschutz - und die Information über ein positives Testergebnis muss auch ohne Einwilligung des Betroffenen geteilt werden dürfen.

Das bedeutet allerdings noch lange nicht, dass der Datenschutz bei Corona-Testergebnissen keine Rolle spielt. Eine Offenlegung der Testergebnisse muss immer verhältnismäßig sein. Darüber hinaus gelten insbesondere die Prinzipien der Zweckbindung und Datenminimierung.

So können Arbeitgeber Corona-Tests datenschutzkonform anbieten

Leider kam es bereits in einigen Testzentren zu Datenpannen, bei denen die Testergebnisse in Kombination mit anderen personenbezogenen Daten (Name, Adresse, Geburtsdatum etc.) an die Öffentlichkeit gelangten. Um Ihre Mitarbeiter zu schützen und das Vertrauen in Tests am Arbeitsplatz nicht aufs Spiel zu setzen, sollten Sie als Arbeitgeber unbedingt einige Regeln beachten:

  1. Ermöglichen Sie anonyme Tests.?Angestellte sollten die Möglichkeit haben, ihren Test in einem abgetrennten Bereich (im Idealfall einem eigenen Raum, ansonsten z.?B. hinter einer Trennwand) durchführen zu können. Kollegen sollten also nicht so einfach mitbekommen können, wie das Testergebnis ausgefallen ist.

  2. Erklären Sie Ihren Mitarbeitern, wie sie sich bei einem positiven Testergebnis verhalten sollten. Damit ein positiv getesteter Beschäftigter sein Ergebnis nicht vor anderen preisgeben muss, sollte vorab geklärt sein, wie er sich verhalten sollte. In der Regel empfiehlt es sich, nach einem positiven Test umgehend nach Hause zu gehen, um weitere Kontakte zu vermeiden. Von dort aus kann bei Bedarf die Personalabteilung informiert werden.

  3. Bewahren Sie Testergebnisse nur für kurze Zeit und gut verschlossen auf. Die Tests können (zusammen mit dem Namen des Getesteten) nach Durchführung in einen Briefumschlag gesteckt werden. Die Briefumschläge können dann gesammelt in einer verschlossenen Box aufbewahrt werden, um unter?Umständen auf Testergebnisse zugreifen zu können. Wir empfehlen, nur ein bis zwei Personen (aus der Personalabteilung) den Zugang zu den Testergebnissen zu gewähren.

  4. Vernichten Sie die Testergebnisse nach der Aufbewahrungszeit. Wir empfehlen eine Aufbewahrungszeit von sieben Tagen. Danach sollten die Ergebnisse (ungeöffnet) vernichtet werden. Diese Aufbewahrungszeit halten wir für verhältnismäßig und dem Zweck der Nachverfolgung angemessen.

  5. Verzichten Sie auf eine digitale Erfassung der Testergebnisse, falls möglich. Um dem Grundsatz der Datenminimierung zu entsprechen, sollten Sie Testergebnisse am besten nur analog vorhalten. Es sei denn, eine digitale Erfassung (zum Beispiel in einer Tabelle) ist zwingend erforderlich. Wenn Gesundheitsdaten nämlich digitalisiert werden, wird ihr Schutz automatisch komplexer.

Wer bei einem positiven Ergebnis in Kenntnis gesetzt werden muss

Es kommt darauf an, wie oft Sie testen und ob Ihre Tests kontaktlos ablaufen. Wird täglich getestet und der Kontakt zu Kollegen solange vermieden, bis das negative Testergebnis vorliegt, gibt es bei einem positiven Ergebnis keine Kontaktpersonen im Unternehmen. Besteht außerdem keine Anwesenheitspflicht, muss nicht einmal ein Vorgesetzter oder die Personalabteilung informiert werden.

Generell gilt: Nur die Personen, die direkt betroffen sind (zum Beispiel Kontaktpersonen oder Vorgesetzte bei Anwesenheitspflicht), sollten über ein positives Testergebnis informiert werden.

Hinweis: Ein positives Ergebnis nach einem Selbsttest sollte durch einen PCR-Test bestätigt werden. Fällt dieser ebenfalls positiv aus, ist das Ergebnis meldepflichtig.

Beispiel für einen datenschutzkonformen Testablauf

Nicht jeder Arbeitgeber kann alle der folgenden Aspekte beachten und umsetzen. Im Idealfall sähe ein Testablauf aber zum Beispiel folgendermaßen aus:

  1. Stellen Sie Testutensilien, Papier, Briefumschläge und Stifte (einen Becher mit desinfizierten, einen mit benutzten Stiften) auf einen Tisch in einem Raum zur Verfügung, der im besten Fall über einen separaten Eingang verfügt.

  2. In diesem Raum sollten voneinander abgetrennte Testbereiche zur Verfügung stehen, die sich Mitarbeiter vorab für eine bestimmte Zeit buchen können.

  3. Angestellte statten sich mit Testutensilien, Papier, frischem Stift und Briefumschlag aus und gehen direkt in ihren Testbereich. Dort führen sie den Selbsttest durch und warten auf das Testergebnis.

  4. Bei einem positiven Testergebnis gehen sie sofort nach Hause und informieren bei Bedarf von dort die Personalabteilung und/oder ihren Vorgesetzten.

  5. Bei einem negativen Testergebnis stecken sie das Testergebnis und einen Zettel mit ihrem Namen, Datum des Testtages und einer Unterschrift, der die Richtigkeit des Ergebnisses bestätigt, in einen Briefumschlag. Den Briefumschlag werfen sie in eine verschlossene Box.

  6. Verwahren Sie die Box mit den Briefumschlägen sieben Tage lang. Danach sollten die Testergebnisse vernichtet werden.

Externe Testanbieter

Manche Unternehmen lassen die Tests nicht durch ihre Mitarbeiter selbst durchführen, sondern entscheiden sich für einen externen Testanbieter (z.?B. Mitarbeiter einer Apotheke). In diesem Fall ist derzeit noch ungeklärt, ob ein solcher Anbieter als Auftragsverarbeiter (AV) einzuordnen ist und somit ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden muss.

Nimmt der Testanbieter keine Testergebnisse mit und verarbeitet die Testdaten ausschließlich vor Ort, reicht wahrscheinlich eine Verschwiegenheitsvereinbarung. Werden die Daten jedoch weiterverarbeitet -?zum Beispiel bei einer Abrechnung über die vom Land oder vom Bund bezahlten Bürgertests -, könnte ein AVV erforderlich werden. Offizielle Richtlinien gibt es für diesen Fall aufgrund der Aktualität noch nicht. Vielmehr wird versucht, sich an analogen Verfahrensregeln und Best Practices aus ähnlichen Situationen zu orientieren.

Zusammenfassung

Auch wenn das Infektionsschutzgesetz bei gewissen Aspekten des Datenschutzes Vorrang hat, ist bei kostenlosen Selbsttests für Arbeitnehmer darauf zu achten, die Testergebnisse so wenig Personen wie möglich zugänglich zu machen. Mit einem durchdachten Vorgehen zeigen Sie Ihren Mitarbeitern, dass sie nicht nur ihre Gesundheit, sondern auch ihre Privatsphäre schätzen.

Mit den oben beschriebenen Schritten erfüllen Sie die Anforderungen der DSGVO an Verhältnismäßigkeit, Zweckbindung und Datenminimierung.


Die Autorin:

Als zertifizierte Datenschutzbeauftragte und Information Security Officer gem. ISO 27001 (TÜV) ist Maren Wienands Team Lead Privacy (Corporate) bei DataGuard und betreut rund 280 Kunden in puncto internationalem (Konzern-)Datenschutz. Sie kam mit dem Thema in einer Unternehmensberatung in Berührung, wo sie sich mit datenschutzrechtlichen Maßnahmen für die Verarbeitung von Big Data befasste. In ihrem Jurastudium in Deutschland und der Schweiz hat sie über die EU-Grenzen hinaus einen umfassenden Einblick in die datenschutzrechtlichen Herausforderungen der Übermittlung von personenbezogenen Daten in ein Drittland erlangen können. Dabei standen insbesondere die informierte Einwilligung und ihre Grenzen sowie die Besonderheiten der gemeinsamen Verantwortlichkeit im grenzüberschreitenden Kontext im Fokus. Heute ist ihr der Datenschutz im Gesundheitswesen ein besonderes Anliegen. Gerade im Bereich der Gesundheitsvorsorge und der angestrebten Digitalisierung liegen noch viele Herausforderungen, die in Angriff genommen und gelöst werden müssen.

Diese Artikel könnten Sie auch interessieren

Wissensmanagement im Dienst der Cyber-Resilienz

WISSENplus
Angesichts extrem zunehmender Bedrohungen der Cyber-Security - nicht nur durch aggressive feindliche Hacker, sondern auch durch familienfreundliche Homeoffice-Modelle - engagieren sich weltweit Regulierungsinstitutionen, Beratungshäuser und Wissenschaftler verstärkt für eine nachhaltige Widerstandsfähigkeit gegenüber derartigen Risiken. Der Erfolg dieser Bemühungen um eine Cyber-Resilienz hängt...

Weiterlesen

Betriebliche Weiterbildung: So lernt die Gen Z

WISSENplus
Unterschiedliche Generationen zeichnen sich durch unterschiedliche Vorstellungen, Wünsche und Interessen aus. Für Personalverantwortliche gehört diese Tatsache längst zum Berufsalltag. Während die Generation X als ehrgeizig, materialistisch und zurückhaltend gilt, zeichnet sich für die Gen Y schon ein ganz anderes Bild: Sie ist technologieaffin, ichbezogen, aber auch teamfähiger und idealistis...

Weiterlesen

Cloud Computing, Big Data, KI: Wo bleibt der Mensch?

WISSENplus
Aufgrund der Digitalisierung, des wachsenden Konkurrenzdrucks, steigender Regulatorik-, Kunden- und Qualitätsanforderungen sowie erhöhter Transparenz sind Unternehmen zukünftig einem immer stärker werdenden permanenten Wandel ausgesetzt. Diesen Wandel zu erkennen, den Wandlungsbedarf zu generieren und entsprechende Impulse zu setzen, liegt in der Verantwortung des Top-Managements. Die Bereitschaft...

Weiterlesen

Hochschule 4.0: Universität Witten / Herdecke bringt Struktur in administrative Prozesse

Zur Zeit ihrer Gründung im Jahr 1982 war die Universität Witten/Herdecke die erste und einzige deutsche Hochschule in privater Trägerschaft. Mit mittlerweile über 600 Mitarbeitern und mehr als 2.600 Studierenden teilt sich die Universität in zwei Fakultäten: Gesundheit sowie Wirtschaft und Gesellschaft. Sie betrachtet Vielfalt als große Entwicklungschance und pflegt eine Kultur der Beteiligung ...

Weiterlesen

Künstliche Intelligenz im Handel: Wie KI den Retail-Bereich revolutionieren kann

WISSENplus
Künstliche Intelligenz basiert auf programmierten Abläufen und wird zugleich durch maschinelles Lernen erzeugt. Je größer die Anzahl an Datenmengen, desto besser lernt der Computer damit, selbst bei komplexen Aufgaben zunehmend eigenverantwortlich und anpassungsfähig zu agieren. Auch für Retailer bietet künstliche Intelligenz zahlreiche Optionen, die Branche zu revolutionieren. Rund um Themen w...

Weiterlesen

Roadmap: Mit diesen 5 Schritten gelingt Ihnen die digitale Transformation

Die digitale Transformation ist ein fortlaufender Prozess mit vielen möglichen Wegen zum Erfolg. Unternehmen, die es richtig anpacken, können laut IBM ihre Betriebskosten um bis zu 70 Prozent senken, die Lagerkosten halbieren und den Umsatz um 20 Prozent steigern. Damit der Digitalisierungsprozess in Ihrem Unternehmen gelingt, sollten Sie jeodch erst einige grundlegende Fragen klären: Welche Ressourcen b...

Weiterlesen

Digitaler Wandel - ein Zwischenfazit:
Wo wir stehen & wohin die Reise noch gehen kann

WISSENplus
Next Level Process Automation ist der Unternehmens- und Strategieberatung McKinsey zufolge der Tech-Trend Nummer 1, der branchenübergreifend Unternehmensstrategien, Organisationen und Prozesse umwälzen wird. Dieser großen Bedeutung sind sich viele Digitalisierungsverantwortliche bewusst und treiben die Cloud-Transformation stärker als bisher voran, wie die Marktexperten von Lünendonk in ihrer Stud...

Weiterlesen

Handel im Wandel ... durch technische Innovationen und neue Kundenanforderungen

In der heutigen Zeit werden Unternehmen mehr denn je mit volatilen Märkten und geopolitischen Ereignissen wie dem Brexit oder der Corona-Pandemie konfrontiert. Hinzu kommen die rasch fortschreitende digitale Transformation und sich stetig wandelnde Kundenbedürfnisse, die eine Einschätzung der Markt- und Zukunftsentwicklung erschweren. Im Handel hat die Corona-Pandemie gerade gezeigt, wie schnell si...

Weiterlesen