CHECKLISTE GESUNDHEITSDATEN
Verarbeitung von Gesundheitsdaten im Unternehmen
Unternehmen stehen im Spannungsfeld zwischen Schutz der Gesundheit und Schutz der Persönlichkeitsrechte ihrer Mitarbeiter. Eine Checkliste von MANZ-Autor Hans-Jürgen Pollirer zeigt, welche Gesundheitsdaten Unternehmen verarbeiten dürfen/müssen und was dabei zu beachten ist.
Krankenstandstage, Temperaturmessung, PCR-Testung – die Corona-Krise stellt Unternehmen vor Herausforderungen beim rechtmäßigen Umgang mit personenbezogenen Gesundheitsdaten ihrer Mitarbeiter. Insbesondere geht es um die Frage, welche Daten über Infektionen, Verdachtsfälle und Testungen verarbeitet werden dürfen bzw. müssen. Gemäß Art 9 Abs 1 DSGVO ist die Verarbeitung von Gesundheitsdaten grundsätzlich verboten, außer es liegt ein in Abs 2 normierter Ausnahmetatbestand vor.
Checkliste: Arbeitsunfälle bis COVID-19-Gesundheitsdaten
1. Werden im Unternehmen Aufzeichnungen und Berichte über Arbeitsunfälle geführt?
Arbeitsunfälle, die zu einem Arbeitsausfall von mehr als drei Kalendertagen führen, sind zu dokumentieren. Darüber hinaus auch alle Ereignisse, die beinahe zu einem tödlichen Unfall geführt hätten.
2. Ist sichergestellt, dass Berufskrankheiten an die AUVA gemeldet werden?
Gem § 363 ASVG ist eine Berufskrankheit bzw. der Verdacht einer solchen an die AUVA zu melden.
3. Werden Eignungs- und Folgeuntersuchungen ordnungsgemäß dokumentiert?
Entsprechende Aufzeichnungen müssen enthalten: Vor- und Zuname, Geburtsdatum, Anschrift, Art der Tätigkeit, Datum der Aufnahme und Beendigung dieser Tätigkeit, Name und Anschrift des untersuchenden Arztes, Datum jeder Untersuchung.
4. Werden Aufzeichnungen über die Krankenstandstage der Arbeitnehmer geführt?
Der Arbeitgeber ist verpflichtet, Aufzeichnungen über die Krankenstandstage der Arbeitnehmer zu führen, um die arbeitsrechtlichen Entgeltfortzahlungsansprüche berechnen und nachweisen zu können.
5. Ist geplant, zur Eindämmung von COVID-19 für alle Arbeitnehmer eine verpflichtende Temperaturmessung anzuordnen?
Gem § 96 Abs 1 Z 3 ArbVG ist für die Einführung von Kontrollmaßnahmen, sofern diese die Menschenwürde berühren, die Zustimmung des Betriebsrats (BR) und damit der Abschluss einer BV erforderlich. Sofern kein BR eingerichtet ist, ist die Zustimmung des einzelnen Arbeitnehmers erforderlich.
6. Ist geplant, zur Eindämmung von COVID-19 für alle Arbeitnehmer eine verpflichtende PCR-Testung durchzuführen?
Die DSB merkt an, dass bei dieser Maßnahme als Rechtsgrundlage Art 9 Abs 2 lit b DSGVO in Verbindung mit den jeweiligen arbeitsrechtlichen Bestimmungen zur Fürsorgepflicht des Arbeitgebers heranzuziehen ist.
7. Ist geplant, die Arbeitnehmer mündlich oder mittels Fragebogen im Zusammenhang mit COVID-19 über ihren Gesundheitszustand zu befragen?
Auf Basis von Art 9 Abs 2 lit b DSGVO kann die Frage nach einer allfälligen Infektion mit COVID-19 gestellt werden. Hierfür ist der Abschluss einer BV notwendig bzw. – bei Nichtvorhandensein eines BR – die Einwilligung der Arbeitnehmer einzuholen. Weiters sind gem ErwGr 52 DSGVO angemessene Garantien zum Schutz der personenbezogenen Daten und anderer Grundrechte vorzusehen.
8. Werden im Zusammenhang mit COVID-19 Gesundheitsdaten von Besuchern und Kunden verarbeitet?
Grundsätzlich liegt es im Interesse des Unternehmens, von Besuchern und Kunden Auskunft über eine COVID-19-Infektion bei begründetem Verdacht oder von infizierten Besuchern und Kunden hinsichtlich Kontaktpersonen im Unternehmen zu verlangen.
9. Werden Daten über Infektionsfälle an die Gesundheitsbehörden übermittelt?
COVID-19 ist als Katastrophenfall im Sinne des § 10 Abs 1 DSG anzusehen. Daher darf der Arbeitgeber – soweit er nicht ohnehin zum Kreis der nach § 3 EpiG Meldepflichtigen zählt – Infektionsfälle an die Gesundheitsbehörden melden, wenn dies zum Schutz der Mitarbeiter vor Ansteckung notwendig ist.
10. Ist sichergestellt, dass Namen von COVID-19-infizierten Mitarbeitern der übrigen Belegschaft nur in Ausnahmefällen bekannt gegeben werden?
Informationen über infizierte Mitarbeiter sollten in der Regel vorerst anonymisiert erfolgen. Offen gelegt werden sollten sie erst dann, wenn weitere Informationen wie Angabe der Abteilung, der Arbeitsgruppe etc. zum Schutz der anderen Mitarbeiter notwendig sind.
11. Wurde das gem Art 30 DSGVO verpflichtend zu führende Verarbeitungsverzeichnis für die Personalverwaltung um COVID-19-bedingte Datenverarbeitungen ergänzt?
Die Verarbeitung von personenbezogenen Daten zur Prävention von Infektionen oder die Eindämmung einer Virusverbreitung stellt für den Verantwortlichen eine neue Verarbeitungstätigkeit dar. Diese ist gem Art 30 DSGVO im Verarbeitungsverzeichnis zu dokumentieren.
12. Wird bei der Verarbeitung von Gesundheitsdaten dem erhöhten Schutzbedarf durch ausreichende Datensicherheitsmaßnahmen Rechnung getragen?
Maßnahmen zur Datensicherheit, die bei der Verarbeitung von Gesundheitsdaten umgesetzt werden sollten: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungsgebot.
Gekürzter Auszug aus dem Beitrag „Checkliste Verarbeitung von Gesundheitsdaten im Unternehmen“ von MANZ-Autor Hans-Jürgen Pollirer. Den gesamten Text finden Sie in Ausgabe 3/2021 der Zeitschrift „Dako – Datenschutz konkret“ sowie online auf rdb.at.
Querverweise zur Norm in der RDB wurden automatisch mit dem MANZ Linkbutler erstellt.
