Die Österreichische Datenschutzbehörde hat Fragen und Antworten (FAQ) zur Verarbeitung von personenbezogenen Daten in Zusammenhang mit COVID-19 auf der Website veröffentlicht. Eine kurze Anmerkung dazu.
1.
Darf ein Arbeitgeber seine ArbeitnehmerInnen befragen, ob sich diese in einer Risikoregion
aufgehalten haben, oder ob diese Kontakt mit Infizierten hatten?
JA
Art 9 Abs 2 lit b DSGVO (gesetzliche Verpflichtung aus dem Arbeitsrecht, nämlich Fürsorgeverpflichtung) gestattet dies.
BEACHTE:
- Informationspflicht
- Zweckdefinition: Verhinderung der Ausbreitung von COVID-19
- Ergänzung des Verzeichnisses gem. Art 30 DSGVO
-
Löschfrist definieren
2. Wenn ein Arbeitgeber seine ArbeitnehmerInnen mündlich über den Gesundheitszustand befragt, findet das Datenschutzrecht keine
Anwendung.
Diese Aussage ist nicht richtig.
Die DSGVO findet keine Anwendung. Das (österreichische) Datenschutzgesetz (§ 1 Abs 1 DSG) schon, da alle personenbezogenen Daten vom
Grundrecht auf Geheimhaltung umfasst sind.
3. Darf ein Arbeitgeber anordnen, dass alle ArbeitnehmerInnen vor Betreten des Betriebs eine Temperaturmessung („Fiebermessen“) durchführen
müssen?
Grundsätzlich nicht, da auch andere Symptome auf COVID-19 hinweisen können und auch gelindere Mittel anzuwenden sind. Ausnahmen bei Folge- bzw Eignungsuntersuchungen von Mitarbeiter*Innen
sind möglich.
4. Darf ein Unternehmen Besucherlisten führen?
JA
BEACHTE:
- Informationspflicht
- Zweckdefinition: Verständigung von etwaigen Verdachtsfällen
- Ergänzung des Verzeichnisses gem. Art 30 DSGVO
-
Löschfrist definieren
5. Darf ein Arbeitgeber Daten über Infektionsfälle an Gesundheitsbehörden übermitteln?
JA; Art. 9 Abs. 2 lit. i DSGVO iVm § 10 Abs. 2 DSG bietet dazu die gesetzliche
Grundlage und uU auch das EpidemieG
6. Darf ein Arbeitgeber die privaten Kontaktdaten von ArbeitnehmerInnen erheben, um diese kurzfristig über ein Verdachtsmoment oder eine Infektion
am Arbeitsplatz informieren zu können?
JA (Muster von der DSB und von dataprotect
verfügbar)
BEACHTE:
- Informationspflicht
- Zweckdefinition: Risikomanagement
- Ergänzung des Verzeichnisses gem. Art 30 DSGVO
-
Löschfrist definieren
7. Darf ein Arbeitgeber gegenüber der Belegschaft den konkreten Namen einzelner Personen nennen, die sich mit dem Coronavirus (Covid-19) infiziert
haben?
uU ja, nach sorgfältiger Abwägung der Risiken, zB beschränkt auf die unmittelbaren Kontaktpersonen.
8. Ich stehe im Verdacht, infiziert zu sein oder bin infiziert. Welche Daten können die Gesundheitsbehörden über mich verarbeiten?
§ 4 Abs. 4 Epidemiegesetz 1950
9. Müssen Unternehmer, die Massenveranstaltungen organisiert haben (Messe, Theater, Sportevent o.ä.), Daten von Besuchern an die
Gesundheitsbehörden übermitteln?
Die BH (Magistrat) – als Gesundheitsbehörde kann dies – im notwendigen Ausmaß - verlangen (§ 5 Abs. 3 EpidemiG). Meines Erachtens ist dies derzeit obsolet, da keine Veranstaltungen stattfinden dürfen!
10.Was ist
aus datenschutzrechtlicher Sicht beim Einsatz von Home-Office zu beachten?
Die DSB hat ein Informationsblatt erstellt. Auch auf www.s-m-p.at finden Sie Informationen sowie ein
Muster zu Home-Office-Vereinbarungen und
Zeitaufzeichnung.
11. Dürfen Kommunikationsanbieter die Bewegungsprofile von Handynutzern der Regierung zur Verfügung stellen,
um die Ausbreitung von Infektionen einzudämmen?
JA, bei anonymen Daten, die keine Rückschlüsse auf die Person zulassen.
Autor, 29.03.2020
Michael Schweiger, zert DSBA
Kommentar schreiben