Was ist im Anlassfall zu bedenken?
Autor: Dr. Werner Pilgermair
Der COVID-19 Virus wird Österreich noch länger beschäftigen. Im COVID-19 Anlassfall ergeben sich für Organisationen zum Thema Behinderung, ihre Nutzer*innen und Mitarbeiter*innen wichtige Fragestellungen zum Thema Datenschutz.
Anzeigepflicht
Nach dem Epidemiegesetz sind unter anderem „Humanitätsanstalten“ und berufsmäßige Pflegepersonen, die mit der „Wartung des Kranken“ befasst sind, zur Anzeige von COVID-19 Anlassfällen an die Gesundheitsbehörde verpflichtet. Die damit einhergehende Offenlegung personenbezogener Daten (Name, Alter, Wohnort und Bezeichnung der Erkrankung) ist zulässig.
Zum „COVID-19 Anlassfall“ wird eine Person erst dann, wenn der Verdacht auf Vorliegen relevanter Symptome von einem Arzt bestätigt wird. Die subjektive Empfindung der betroffenen Person reicht dafür nicht aus.
„Gesundheitsbehörde“ ist die Bezirksverwaltungsbehörde (Stadtmagistrat oder Bezirkshauptmannschaft) in deren Gebiet sich der COVID-19 Anlassfall aufhält.
Contact Tracing
Sollte in der Organisation ein COVID-19 Anlassfall eintreten, wird diese häufig von der Gesundheitsbehörde zur Auskunft und Mitwirkung herangezogen. Konkret wird der Organisation eine Excel-Liste übermittelt, in der bestimmte Daten wie Namen, Geburtsdatum und Telefonnummer von potenziellen Kontaktpersonen einzutragen sind. Auch die „Kontaktkategorie“ ist anzugeben (Kategorie 1 bei engem Kontakt und Kategorie 2 bei Kontakten, die nicht eng waren). Schließlich ist bei Mitarbeiter*innen auch anzuführen, ob diese „Schlüsselkräfte“ sind, was z.B. bei Pflege- oder Assistenzfachkräften der Fall ist, nicht aber bei einer Verwaltungsmitarbeiterin in der Buchhaltung.
Die Ermittlung von Kontaktpersonen kann insbesondere anhand von Dienstplänen und Terminverwaltungen erfolgen. Die Kontaktkategorie wird in der Praxis nur durch Befragung der involvierten Personen bestimmbar sein.
Die Offenlegung der Daten gegenüber der Gesundheitsbehörde (Retournierung der ausgefüllten Excel-Liste) ist zulässig.
Screenings
Seit Mai 2020 können Gesundheitsbehörden auf Grundlage des Epidemiegesetzes COVID-19-Tests oder Antikörpertests bei Mitarbeiter*innen und Klient*innen veranlassen. Mit der Durchführung solcher Screenings kann eine Organisation (z.B. Rotes Kreuz) beauftragt werden. Die Teilnahme an Screenings ist immer freiwillig (ausdrückliche Einwilligung der betroffenen Personen gemäß Art. 9 Abs. 2 lit. a DSGVO).
Datenschutzrechtlich Verantwortlicher für die Screenings sind die Gesundheitsbehörden. In der Praxis wird der Organisation eine Excel-Liste übermittelt, in der Stamm- und Kontaktdaten jener Mitarbeiter*innen und/oder Klient*innen einzutragen sind, die freiwillig am Screening teilnehmen möchten. Die Offenlegung der Daten gegenüber der Gesundheitsbehörde (Retournierung der ausgefüllten Excel-Liste) ist zulässig.
Sind von einem Screening viele Personen betroffen, übermitteln Gesundheitsbehörden die gesammelten Testergebnisse zum Teil direkt an die Organisation, mit dem Ersuchen, die Ergebnisse gegenüber den einzelnen Mitarbeiter*innen und Klient*innen weiter zu kommunizieren. Auch die Übernahme einer solchen „Briefträgerfunktion“ ist datenschutzrechtlich zulässig.
Fragebögen und -listen
Werden für Besucher*innen und externe Personen (z.B. Bewerber*innen, gesetzliche Vertreter*innen, Angehörige, Dienstleister*innen, Lieferant*innen, Handwerker*innen) im Eingangsbereich Kontaktlisten aufgelegt, bei denen mit der Unterschrift auch zu bestätigen ist, dass man frei von COVID-19 Symptomen ist, so ist dies zum Schutz von Mitarbeiter*innen und Klient*innen zulässig (Fürsorgepflichten des Dienstgebers bzw. der betreuenden Organisation). Solche Listen sollten 4 Wochen lang (COVID-19 Inkubationszeit von 2 Wochen Tagen zuzüglich zwei weitere Wochen zur Absicherung) aufbewahrt und anschließend vernichtet werden.
Kontaktlisten für Besucher*innen werden auch für Veranstaltungen mit mehr als 100 Personen (z.B. Tag der offenen Tür) empfohlen, für die ein COVID-19-Präventionskonzept erforderlich ist.
Interne Verwaltung privater Handynummern
Im Interesse eines raschen Reagierens auf COVID-19 Anlassfälle (insb. Contact Tracing) können von Mitarbeiter*innen private Handynummern abgefragt und für die Dauer der COVID-19 Krise verwaltet werden. Die Datenschutzbehörde weist allerdings darauf hin, dass die Bekanntgabe der privaten Telefonnummer freiwillig bleiben muss und vom Dienstgeber nicht verpflichtend angeordnet werden darf.
Haben Mitarbeiter*innen bereits früher ihre private Handynummer freiwillig bekannt gegeben (z.B. zum Zweck der gegenseitigen Informierung über kurzfristige Dienstplanänderungen), bleiben diese Verwendungszwecke von der COVID-19 Krise unberührt.
Interne Kommunikation von COVID-19 Anlassfällen
Positive Testergebnisse, Erkrankungen oder vom Arzt bestätigte Verdachtsfälle dürfen gegenüber potenziell berührten Personen (insbesondere im Rahmen des Contact Tracings) offengelegt werden. In der Praxis gilt dies nicht nur in Bezug auf Kolleg*innen und Mitarbeiter*innen des COVID-19 Anlassfalles (z.B. Teammitglieder), sondern auch für involvierte Klient*innen, Angehörige und gesetzliche Vertreter*innen. Auch Vorgesetzte und die Geschäftsleitung können informiert werden, wenn dies im Zuge des COVID-19 Krisenmanagements notwendig ist.
Bei der Offenlegung von sensiblen COVID-19 Informationen ist immer das Verhältnismäßigkeitsgebot zu beachten.
Information und Aufklärung
Unabhängig davon, dass die oben beschriebenen Datenverarbeitungen (Anzeigen, Contact Tracing, Screening, Fragebögen, Telefonnummern und Offenlegungen) datenschutzrechtlich zulässig sind, darf in der Praxis nicht übersehen werden, dass betroffene Personen ganz normal – so wie auch bei jeder anderen Datenverarbeitung – aufgeklärt werden müssen (Informationspflicht nach Art. 13 und 14 DSGVO).
Insbesondere betrifft dies die Verarbeitungszwecke, die Rechtsgrundlagen, die Speicher- bzw. Aufbewahrungsdauer und allfällige Übermittlungsempfänger.
Homeoffice
Jede Homeoffice Tätigkeit (ob befristet oder unbefristet) sollte ausnahmslos schriftlich vereinbart werden.
Neben allgemeinen Regelungen zur Dauer und Beendigung der Homeoffice Tätigkeit, zur Festlegung, welchen Dienstnehmergruppen Homeoffice angeboten wird, und zu den erlaubten Varianten (Nutzung eines Firmengerätes oder eines privaten Gerätes), müssen dabei auch immer Fragen der Datensicherheit und des Datenschutzes geregelt werden.
Aspekte des Datenschutzes werden in der Praxis gerne vernachlässigt. So z.B. die Verpflichtung, dass Unterlagen, die zur Vorbereitung auf Videotelefonkonferenzen benötigt werden oder handschriftliche Notizen dazu, nicht am Arbeitstisch (z.B. Wohnzimmer) liegen bleiben dürfen, sondern geschützt vor dem Zugriff durch Haushaltsangehörige oder zufällig anwesende Dritte aufzubewahren sind.
Zum Autor: Dr. Werner Pilgermair ist Datenschutzexperte mit Spezialisierung im Gesundheits- und Sozialbereich und externer Datenschutzbeauftragter vieler öffentlicher und privater Institutionen. Fragen gerne an datenschutz@pilgermair.at