Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Editorial 4/2020: Corona-Warn-App: Bußgeld bei Zwangsanordnung

Datenschutzrechtliche Unternehmerpflichten in Zeiten von Corona

Die Corona-Warn-App ist auf vielen Smartphones angekommen. Der Gesetzgeber setzt auf freiwillige Installation. Aber dürfen Gastronomen oder Arbeitgeber Gästen oder Beschäftigten den Zutritt zu verweigern, wenn die App nicht eingerichtet ist? Mehr noch: Dürfte der Arbeitgeber Beschäftige anweisen, die App auf Privatgeräten zu installieren oder sie auf dem Diensthandy selbst installieren?

Dadurch würde die freiwillige App faktisch in der konkreten Anwendung zur Zwangs-App. Das Bayerische Landesamt für Datenschutzaufsicht warnt davor: „Da wir keine Gewähr dafür sehen, dass grundlegende datenschutzrechtliche Anforderungen eingehalten werden können, werden wir solche Zweckentfremdungen der Warn-App wenn nötig auch mit Geldbußen unterbinden“, heißt es in einer Presserklärung.

Die Begründung liefert der Datenschutz.  Wer die Nutzung der App anordnen oder kontrollieren wolle, der müsse für diese Anwendung auch die datenschutzrechtliche Verantwortung übernehmen. Dafür fehle es an einer Rechtsgrundlage. Rechtlichen Konstruktionen, die dem Zwang etwas Freiwilliges abgewinnen wollen, erteilen die Datenschützer aus Bayern eine gesonderte Absage. „Gesonderte Einwilligungen der Beschäftigten bzw. Kunden und Gäste können mangels hinreichender Freiwilligkeit keine belastbare datenschutzrechtliche Rechtfertigung vermitteln“, heißt es in der Presserklärung. Zudem könnten zentrale Pflichten des Datenschutzrechts, etwa zur Information oder Dokumentation nicht wahrgenommen werden.

Die klare Ansage aus Bayern bindet Aufsichtsbehörden in anderen Bundesländern nicht und sie kann gerichtlich überprüft werden. Die Argumentation hat aber datenschutzrechtlich und politisch einiges für sich. Wenn der Staat auf Freiwilligkeit setzt, dann darf der Zwang zur Einführung der App nicht über Umwege kommen. Der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht Michael Will bringt es auf den Punkt: „Das Projekt der WarnApp überzeugt durch guten Datenschutz und sein Konzept der Freiwilligkeit, Druck und falsche Anreize beschädigen es.“ 

Aber es gibt weitere aktuelle Themen für Unternehmen. Der Corona-Ausbruch in der Fleischfabrik Tönnies im Juni 2020 hat neben dem Hygiene-GAU eine wichtige datenschutzrechtliche Dimension für Unternehmen. Nicht nur in Schlachtereibetrieben halten sich neben eigenen Mitarbeitern, deren Kontaktdaten und Anschriften zur schnellen Rückverfolgbarkeit bekannt sind, auch Beschäftigte von sog. Subunternehmen auf. Vom Zulieferer mit Aufenthalt im Unternehmen, über Handwerker und Reinigungspersonal bis zum Wachdienst ist ein Betrieb ein Ort der Zusammenkünfte von potentiell Infizierten.

Wenn die Pandemie ausbricht, ist es für Gesundheitsbehörden entscheidend, schnell alle Personen, die relevanten Kontakt zueinander hatten identifizieren und aufsuchen zu können. Dazu gehören auch Beschäftigte von firmenfremden Unternehmen. Tönnies konnte den Behörden deren Adressen nicht vollständig vorlegen und verwies auf den Datenschutz. Man habe die Subunternehmen zur Preisgabe der Daten aufgefordert, weil man die Mitarbeiterdaten der Subunternehmer selbst aus Gründen des Datenschutzes nicht einmal haben dürfe.

Dieses richtige und wichtige Argument des Werkvertrags- und Beschäftigtendatenschutzrechts wird durch das Pandemierecht verdrängt. Die Datenschutz-Grundverordnung lässt Datenerhebungen zur Erfüllung rechtlicher Verpflichtungen zu (Art. 6 Abs. 1 S. 1 c DSGVO), die auch durch Rechtsverordnungen der Verwaltung angeordnet werden können (EG 41 DSGVO).  In der der Coronaschutzverordnung[1] des Landes NRW ist das geschehen. Danach dürfen berufliche Zusammenkünfte in Unternehmen zwar stattfinden. Allerdings muss dann die Rückverfolgbarkeit gesichert sein.

Wenn die dazu erforderlichen Daten – wie es bei eigenen Mitarbeitern der Fall ist – nicht ohnehin im Betrieb vorliegen, ist die „einfache Rückverfolgbarkeit“ sicherzustellen. Dazu ist erforderlich, dass der Unternehmer, der einen Begegnungsraum eröffnet, „alle anwesenden Personen (Gäste, Mieter, Teilnehmer, Besucher, Kunden, Nutzer usw.) mit deren Einverständnis mit Name, Adresse und Telefonnummer sowie – sofern es sich um wechselnde Personenkreise handelt – Zeitraum des Aufenthalts bzw. Zeitpunkt von An- und Abreise schriftlich erfasst und diese Daten für vier Wochen aufbewahrt.“ Zusätzlich ist ein Sitzplan zu erstellen und vier Wochen lang aufzubewahren. Daraus muss sich ergeben, welche Person wo gesessen hat. An die Stelle eines Sitzplanes dürfte in anderen Fällen ein Einsatzplan treten müssen. Die Datenerfassung kann körperlich oder digital erfolgen, aber die Anforderungen des Datenschutzes sind sicherzustellen.[2]

Diese Anforderungen des Pandemierechts in Nordrhein-Westfalen zur effektiven Bekämpfung von Covid19 sind weitreichend. Darauf wirft der Fall Tönnies ein Schlaglicht. Sie gelten generell für Unternehmen. Man braucht Details zu breiten Personenkreisen: „Gäste, Mieter, Teilnehmer, Besucher, Kunden, Nutzer usw.“ sind zu erfassen und in Sitzplänen zu kennzeichnen.

Wo die Grenze liegt ist offen. Personen, die sich länger im Betrieb aufhalten, dürften grundsätzlich zu erfassen sein. Aber muss ein Unternehmen auch die Adresse des Postboten vorhalten? Wie ist es bei fremdem Reinigungspersonal, das sich außerhalb der Dienstzeiten im Betrieb aufhält oder wie ist es beim Wachpersonal? Für diesen Personenkreis wird zumindest kein Begegnungsraum eröffnet, es sei denn man trifft die Reinigungskraft im Büro doch an, weil sich deren Dienst mit dem des üblichen Personals überschneidet. Das von der Reinigungskraft auf die Tastatur genieste Virus jedenfalls, überlebt aber bis zum Dienstbeginn. Dazu muss man seinem Träger nicht begegnen.

Damit die Erfassungspflicht für Unternehmen nicht uferlos wird, und man als Unternehmer nicht die Adresse des Postboten speichern muss, bei dem nur ein kurzer Kontakt stattfindet, ist eine pragmatische Einschränkung wichtig. Vorschlag: Da pandemierelevante Begegnungen nach epidemiologischen Erkenntnissen einen Abstand von unter 1,5 Metern und eine Dauer von über 15 Minuten erfordern, sollte die Erfassungspflicht erst bei solchen Kontakten einsetzen. Die Formel lautet also auch hier: „Weniger als 1,5 und mehr als 15.“  

Bei der Auslegung und Anwendung des ständig aktualisierten Pandemierechts stehen wir am Anfang und müssen lernen, damit umzugehen. Der Fall Tönnies macht die fatalen Auswirkungen von Fehlern bei der Umsetzung des Pandemierechts deutlich. Er sollte aber auch jedem Unternehmer vor Augen führen, dass auch ihn zusätzliche Pflichten treffen. 

Wer nicht nur Antworten auf die Frage nach der Grenze der Dokumentationspflichten sucht, sondern sich für den Themenkreis Corona und datenschutzrechtliche Unternehmerpflichten vom Fiebermessen bei Beschäftigten und Kunden bis zur Frage der Zwangsanordnung der Corona-Warn-App auf dienstlichen Smartphones interessiert, bekommt Hilfe in der aktuellen Datakontext-Online-Schulung: Corona-Warn-App, Fiebermessen, Dokumentationspflichten.

Ihr Rolf Schwartmann

 

 

schwartmann-1_1463040822000OxMOKBULFI9Kf

 

 

>> Aktuelle Bücher und Seminare von Prof. Rolf Schwartmann

>> Zu den Datenschutz-Videos mit Prof. Rolf Schwartmann auf DataAgenda.de

 

(Beitragsbild: © mipan/Fotolia.com)