Darf der Arbeitgeber aus datenschutzrechtlicher Sicht in Zeiten einer Pandemie gezielt Informationen über den Gesundheitszustand seiner ArbeitnehmerInnen bzw ArbeiterInnen erheben?
Christian Bergauer: Jede Verarbeitung personenbezogener Daten, zu der insbesondere auch deren Erhebung gehört, darf im Anwendungsbereich der europäischen Datenschutz-Grundverordnung (DSGVO) sowie dem (nationalen) Grundrecht auf Datenschutz (§ 1 DSG) nur vorgenommen werden, wenn dies die Zulässigkeits- bzw Eingriffsvoraussetzungen erlauben. § 1 Abs 1 DSG umfasst dabei bereits die bloße mündliche Erhebung der Daten, das heißt, ohne dass die Datenverarbeitung computertechnisch erfolgt.
Da es sich bei Daten, die den Gesundheitszustand einer Person betreffen, um sog "sensible" Daten im Sinne des Datenschutzrechts handelt, gelten erhöhte Anforderungen an die Zulässigkeit deren Verarbeitung. Solche besonderen Datenkategorien, wie eben unter anderem Gesundheitsdaten, dürfen grundsätzlich gemäß Art 9 Abs 1 DSGVO nicht verarbeitet werden, es sei denn, es liegt ein konkreter Erlaubnistatbestand des Ausnahmenkatalogs des Art 9 Abs 2 vor, der dieses generelle Verarbeitungsverbot durchbricht. Liegt ein solcher Tatbestand vor, müssen zusätzlich zu diesen speziellen Anforderungen aber weiters noch die Bedingungen für eine rechtmäßige Verarbeitung gemäß Art 6 Abs 1 sowie die allgemeinen Grundsätze des Art 5 eingehalten werden, damit eine solche Datenverarbeitung durchgeführt werden darf. Selbstverständlich sind über die Frage der Zulässigkeit der Verarbeitung hinaus auch alle anderen datenschutzrechtlichen Verpflichtungen zu berücksichtigen wie zB die Erfüllung der Informationspflichten, das Treffen geeigneter Datensicherheitsmaßnahmen, das Führen eines Verarbeitungsverzeichnisses, die Vornahme einer Datenschutz-Folgenabschätzung usw.
Gibt es einen solchen Erlaubnistatbestand in Art 9 Abs 2 und wenn ja, welcher würde sich dafür eignen?
Christian Bergauer: Prinzipiell könnte hier an mehrere der in Art 9 Abs 2 angeführten Tatbestände gedacht werden. Zum einen könnte die ausdrückliche Einwilligung für diesen Datenerhebungszweck jedes einzelnen Arbeitnehmers bzw jeder einzelnen Arbeitnehmerin eingeholt werden (Art 9 Abs 2 lit a). Diese Variante ist allerdings in praxi äußerst umständlich und insbesondere auch nicht besonders nachhaltig, da die betroffene Person jederzeit begründungslos ihre Einwilligung widerrufen kann. Darüber hinaus könnte daran gezweifelt werden, ob eine solche Einwilligung gegenüber dem Arbeitgeber tatsächlich freiwillig erfolgt.
Eher käme für solche Sachverhalte Art 9 Abs 2 lit b in Betracht, wo konkret auf die arbeits- oder sozialrechtliche Erforderlichkeit einer derartigen Datenverarbeitung abgestellt wird, damit der Verantwortliche oder die betroffene Person die ihm bzw ihr erwachsenden Rechte ausüben und seinen/ihren diesbezüglichen Pflichten nachkommen kann. Hier wird gerne übersehen, dass dieser Erlaubnistatbestand allein, als Rechtsgrundlage für die Verarbeitung noch nicht ausreicht. Diese spezielle Anforderung ist nämlich nur tragfähig, wenn das Unionsrecht oder das nationale Recht einschließlich von Kollektivvereinbarungen genau eine solche Datenverarbeitung für derartige Zwecke vorsieht und darüber hinaus geeignete Garantien für die Grundrechte und die Interessen der betroffenen Personen vorsieht.
Gibt es solche nationalen Gesetze, die die Erhebung von Gesundheitsdaten in Zeiten der Corona-Pandemie im Sinne von Art 9 Abs 2 lit b DSGVO vorsehen?
Christian Bergauer: Es wird in diesem Zusammenhang mit privaten Arbeitgebern gerne auf die allgemeine Fürsorgepflicht des Arbeitgebers (vgl § 1157 ABGB, § 3 ASchG, § 18 AngG) sowie die Treuepflicht der ArbeitnehmerInnen und auch auf deren Pflicht gemäß § 15 Abs 5 ASchG insbesondere zur Meldung jeder von ihnen festgestellten ernsten und unmittelbaren Gefahr für Sicherheit und Gesundheit, hingewiesen, die sich aus zivil- und arbeitsrechtlichen Vorschriften ergeben.
Ob diese Bestimmungen aber tatsächlich geeignet sind, als Rechtsgrundlage einer solchen Datenerhebung zu fungieren, ist meines Erachtens nicht unumstritten.
Rechtsgrundlagen, auf die sich die DSGVO bezieht, müssen nämlich klar und präzise und ihre Anwendung für den Rechtsunterworfenen vorhersehbar sein (siehe etwa Erwägungsgrund 41 bzw Art 6 Abs 3 DSGVO). Für die hier angesprochenen innerstaatlichen Regelungen über die Fürsorge- bzw Treuepflicht im Arbeitsrecht bedeutet das, dass einige davon sehr abstrakt formuliert und bezüglich Datenverarbeitungen sehr unbestimmt in Bezug auf die Anforderungen, die die DSGVO hierfür vorsieht, erscheinen. Anzumerken ist hier auch noch, dass jede nationale Norm, die Datenerhebungseingriffe legitimieren soll, freilich auch den allgemeinen Eingriffsvoraussetzungen in das Grundrecht auf Datenschutz (§ 1 Abs 1, Abs 2 DSG) gerecht werden muss. Es ist daher jedenfalls fraglich, ob diese die datenschutzrechtlichen Anforderungen für Grundrechtseingriffe sowie der DSGVO für derartige Verarbeitungszwecke erfüllen.
Im Zusammenhang mit Datenverarbeitungen im Beschäftigungskontext ist generell anzumerken, dass Österreich die Öffnungsklausel des Art 88 DSGVO genutzt hat und der Europäischen Kommission sowohl das gesamte 2. Hauptstück des Materien-Datenschutz-Anpassungsgesetzes 2018 hinsichtlich des öffentlichen Dienstes als auch viele für die Verarbeitung von Beschäftigtendaten relevante Bestimmungen bereits im Jahr 2018 als Bestimmungen iSd Art 88 DSGVO gemeldet hat. Das bedeutet, dass alle diese notifizierten Materiengesetze bzw einzelnen Regelungen bezüglich ihrer datenschutzrechtlichen Relevanz, an den Maßstäben der DSGVO gemessen werden müssen und - sofern sie Datenverarbeitungen im Beschäftigungskontext betreffen, wozu auch die Gesundheit und Sicherheit am Arbeitsplatz gehören - darüber hinaus noch den Anforderungen des Art 88 Abs 2 sowie Art 6 Abs 2, 3 DSGVO zu entsprechen haben. Hier im Normendickicht der datenschutz- und arbeitsrechtlichen Bestimmungen und den spezifischen Anforderungen an die Legistik als Gesetzgeber noch den Durchblick zu behalten, ist eine enorme Herausforderung. Doch noch schwieriger ist es wohl für die Arbeitgeber als datenschutzrechtliche Verantwortliche.
Aktuell empfiehlt offensichtlich aber die Datenschutzbehörde in ihren Informationen zum Corona-Virus auf ihrer Website, dass man sich als Verantwortlicher zurzeit in Zusammenhang mit Art 9 Abs 2 lit b DSGVO auf die Fürsorgepflicht berufen könne (https://www.dsb.gv.at/informationen-zum-coronavirus-covid-19- ; Stand 27. 3. 2020).
Dass es in Zeiten einer Pandemie eine gesellschaftliche Notwendigkeit ist, derartige Daten - auch seitens des Arbeitgebers - zu erheben, liegt wohl auf der Hand, doch wäre hier aus meiner Sicht der Gesetzgeber aufgerufen, eine ausdrückliche Regelung für derartige Zwecke für Arbeitgeber zu schaffen, die den genannten spezifischen Anforderungen der DSGVO entspricht.
Wie sieht es mit solchen Datenerhebungen seitens der Gesundheitsbehörden aus?
Christian Bergauer: Im Grunde genommen gelten hier dieselben generellen Zulässigkeitsvoraussetzungen (Einhaltung der Grundsätze des Art 5 DSGVO und der Rechtmäßigkeitsbedingungen des Art 6 Abs 1 sowie das Vorliegen eines Erlaubnistatbestands des Art 9 Abs 2 zur Durchbrechung des Verarbeitungsverbots für besondere Datenkategorien). Ein wesentlicher Unterschied liegt hier darin, dass es sich beim Verantwortlichen um eine Behörde und nicht einen Privaten handelt. Das bedeutet im Wesentlichen, dass es stets eine gesetzliche Grundlage für die jeweilige Verarbeitung geben muss, welche neben den Anforderungen der DSGVO auch den verfassungsdogmatischen Erfordernissen des § 1 Abs 2 DSG iVm Art 8 Abs 2 EMRK gerecht werden muss. Eingriffsgesetze, die die Verarbeitung von Gesundheitsdaten betreffen, müssen hinreichend konkret, zur Erreichung eines wichtigen öffentlichen Interesses einer demokratischen Gesellschaft notwendig und verhältnismäßig sein, auf einer zulänglichen Interessenabwägung beruhen und angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht auf Datenschutz auch nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
Was die Erlaubnistatbestände des Art 9 Abs 2 DSGVO betrifft, kommen lit g, sofern eine Verarbeitung solcher Gesundheitsdaten aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist, und lit i, sofern die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie zB dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung erforderlich ist, in Betracht. Letzterer Tatbestand verlangt insbesondere auch, dass diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal einer besonderen Verschwiegenheitsverpflichtung unterliegt (wie zB dem Ärztegeheimnis). Erwägungsgrund 52 der DSGVO weist hier sogar ausdrücklich auf die Verarbeitung von personenbezogenen Daten zwecks Sicherstellung und Überwachung der Gesundheit und Gesundheitswarnungen, Prävention oder Kontrolle ansteckender Krankheiten und anderer schwerwiegender Gesundheitsgefahren hin.
Diese genannten Erlaubnistatbestände verlangen aber ebenso wie Art 9 Abs 2 lit b zusätzlich eine gesetzliche Grundlage im Unionsrecht oder nationalen Recht. Hier könnte zwar zunächst für eine Übermittlung solcher Daten an die Gesundheitsbehörden bzw Bezirksverwaltungsbehörden an § 5 Abs 3 Epidemiegesetz bzw § 10 Abs 2 DSG gedacht werden. Nach § 5 Abs 2 Epidemiegesetz können quasi alle Personen (auch zB Arbeitgeber, Ärzte, Familienangehörige) von der Bezirksverwaltungsbehörde aufgefordert werden, Auskünfte über Krankheitsverdachtsfälle udgl zu erteilen. § 10 Abs 2 DSG ist hier anders konzipiert, denn sein Tatbestand erlaubt jedermann, sofern er rechtmäßig über personenbezogene Daten verfügt, die Übermittlung von personenbezogenen Daten zur Bewältigung einer Katastrophe an Verantwortliche des öffentlichen Bereichs und Hilfsorganisationen, sofern diese Einrichtungen die Daten zur Hilfeleistung für unmittelbar von der Katastrophe Betroffene, zur Auffindung und Identifizierung von Abgängigen und Verstorbenen und zur Information von Angehörigen benötigen.
Sowohl § 5 Abs 2 Epidemiegesetz als auch § 10 Abs 2 DSG stellen aber im Wesentlichen nur auf die Übermittlung bereits vorhandener personenbezogener Daten ab. Eine Ermächtigung oder gar eine Verpflichtung zur Datenerhebung sieht keine dieser Bestimmungen vor. Das bedeutet, dass zB ein Arbeitgeber nur solche Informationen über den Gesundheitszustand seiner ArbeitnehmerInnen übermitteln darf, welche ihm bereits aus datenschutzkonformer Verarbeitung bekannt sind. Erheben dürfte er diese Daten auf Grundlage dieser Bestimmungen nicht. Auch in diesem Fall wäre daher meines Erachtens der Gesetzgeber gefordert, eine ausdrückliche Regelung für eine derartige Datenerhebung zu schaffen.
Lediglich für bereits an Covid-19-Erkrankte, Krankheitsverdächtige und Ansteckungsverdächtige selbst ist die Meldepflicht eindeutig in § 5 Abs 1 Epidemiegesetz iVm BGBl II 15/2020 geregelt. Diese müssen schlicht selbst ihre Daten an die zuständigen Behörden übermitteln.
Professor Viktor Mayer-Schönberger meinte im Ö1-Interview vom 30.3.2020 in Bezug auf den Einsatz von Big Data zur Eindämmung des Virus: "Gesundheit geht vor, Leben retten ist wichtiger als Datenschutz hochhalten". Wie lässt sich diese Aussage mit dem Datenschutzrecht in Einklang bringen?
Christian Bergauer: Dass das Leben des Einzelnen das höchste Gut darstellt, ist wohl in einer demokratischen Gesellschaft nach europäischen Werten unbestritten. Die besondere Aufmerksamkeit gilt hier nicht der Abwägung der Rechtsgüter Leben bzw Gesundheit auf der einen Seite und Persönlichkeitsschutz bzw Datenschutz auf der anderen, sondern der Zweck-Mittel-Relation, also der Verhältnismäßigkeit der diskutieren Maßnahme. Es darf nicht übersehen werden, dass ein Katastrophenfall wie die Corona-Pandemie ein gesellschaftlicher und persönlicher Ausnahmezustand ist, aber kein solcher des Rechtsstaats. Der Kern des rechtsstaatlichen Prinzips ist die Bindung der Politik an das Recht, weshalb nicht einfach jedes Mittel unter Bezugnahme auf die Krise gerechtfertigt werden kann, so quasi nach dem Zitat, das Machiavelli zugeschrieben wird, "der Zweck heiligt die Mittel!".
Wenn eine Krise dazu führt, dass demokratische Grundprinzipien infrage gestellt und insbesondere rechtsstaatliche Grundpfeiler ausgehebelt, umgangen oder verdrängt werden, dann ist es um unsere demokratische Gesellschaft schlecht bestellt. Auch in Ausnahmesituationen muss der Rechtsstaat funktionieren und ein effektives Handeln auf der Grundlage verfassungskonformer Rechtsgrundlagen ermöglichen. Dies betrifft Abwägungsentscheidungen in Bezug auf alle Grundrechte. Also fundamentale Rechtspositionen des Einzelnen, weshalb dies auch für das Grundrecht auf Datenschutz gilt.
Wenn es um die Verarbeitung personenbezogener Daten durch den Staat geht, müssen die entsprechenden Ermächtigungsnormen dafür, wie bereits ausgeführt, zwingend gewisse Anforderungen erfüllen. Diese Eingriffsgesetze müssen in Bezug auf derartige Datenverarbeitungen sowohl den Bedingungen der DSGVO als auch jenen für Eingriffe in das nationale Grundrecht auf Datenschutz des § 1 DSG bzw Art 8 EMRK entsprechen. Die unmittelbar anwendbare DSGVO darf daher nicht schlicht übergangen oder unberücksichtigt gelassen werden. Sie sieht aber in Art 23 für die Mitgliedstaaten Möglichkeiten vor, fundamentale datenschutzrechtliche Institute wie die Grundsätze, die Betroffenenrechte sowie die Informationspflichten unter anderem zur Sicherstellung der öffentlichen Sicherheit, wozu etwa auch der Schutz von Menschenleben im Katastrophenfall zählt, zu beschränken. Dies bedeutet aber auch, dass die Mitgliedstaaten diese Möglichkeiten innerstaatlich aufgreifen müssen, wie Österreich dies etwa durch § 10 DSG gemacht hat.
Die Mitgliedstaaten müssen dabei aus unionsrechtlicher Sicht jedenfalls auf den Wesensgehalt der Grundrechte und Grundfreiheiten achten und dürfen dadurch nur Maßnahmen vorsehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind. Dies deckt sich im Wesentlichen auch mit unseren - bereits erwähnten - verfassungsdogmatischen Eingriffsvoraussetzungen in das Grundrecht auf Datenschutz gemäß § 1 Abs 2 DSG, das bei Eingriffen des Staates zwingend einen materiellen Gesetzesvorbehalt vorsieht.
Es ist also die alleinige Aufgabe des Gesetzgebers, die ihm diesbezüglich zur Verfügung stehenden legistischen Möglichkeiten unter Berücksichtigung dieser Abwägungen aufzugreifen. Freilich ist es in einer derartigen Situation schwer, eine flächendeckende Datenverarbeitung in Bezug auf quasi alle sich in Österreich aufhaltenden Personen zur Eindämmung einer Pandemie verlässlich, insbesondere auf Kriterien wie die Geeignetheit und Notwendigkeit der Maßnahme zur Erreichung des Zwecks, die Angemessenheit des eingesetzten Mittels in Bezug auf die damit verbundene Grundrechtsbeeinträchtigung sowie damit auch die Frage, ob diese Maßnahme das gelindeste Mittel darstellt, im Vorhinein festzustellen. Für diese Abwägungsentscheidungen wird dem Gesetzgeber daher auch ein gewisser Einschätzungs- und Beurteilungsspielraum zuzugestehen sein. Wichtig ist dazu noch anzumerken, dass in derart geschaffenen Eingriffsnormen jedenfalls angemessene Garantien für den Schutz der betroffenen Personen festgelegt werden, wie etwa gegen Missbrauch und unberechtigte Zugriffe, hinsichtlich Speicherform und -dauer und dergleichen. Fakt ist aber auch, dass solche Gesetze letztlich immer erst im Nachhinein vom Verfassungsgerichtshof überprüft werden können.