you are being redirected

You will be redirected to the website of our parent company, Schönherr Rechtsanwälte GmbH : www.schoenherr.eu

07 April 2020
newsletter
austria

3. COVID-19-Gesetz: Datenschutzkonforme Verarbeitung von Gesundheitsdaten der Dienstnehmer

Neues zur Verarbeitung von Gesundheitsdaten der Arbeitnehmer

Am Freitag, den 03. April 2020, wurde im Nationalrat das 3., 4. und 5. COVID-19-Gesetz beschlossen. Es handelt sich dabei um Sammelgesetze, mit denen in Summe knapp 100 gesetzliche Änderungen vorgenommen wurden. Datenschutzrechtliche Aspekte standen hierbei nicht im Vordergrund. Diese wurden eher in der politischen Begleitdiskussion zur Handy-Bewegungsdatenüberwachung geführt. Vielleicht war es diesem Umstand geschuldet, dass mit dem 3. COVID-19-Gesetz eine gesetzliche Änderung herbeigeführt wurde, die datenschutzrechtlich höchst relevant ist, ohne dass dies der Gesetzgeber erkannt haben dürfte.

Die Regelung

Das 3. COVID-19-Gesetz bewirkte unter anderem eine Änderung des ASVG. Konkret wurde mit § 735 ASVG eine neue Bestimmung eingeführt, welche eine vom Gesundheitsminister im Vorfeld mehrfach angekündigte Maßnahme umsetzt. Mit ihr soll verhindert werden, dass Angehörige gesundheitlicher COVID-19-Risikogruppen zur Arbeit erscheinen müssen. Umgesetzt wurde dies durch ein mehrstufiges Konzept.

  1. Zunächst soll eine ministerielle Expertengruppe die medizinisch indizierten COVID-19-Risikogruppen definieren.
  2. Aufbauend auf den solcherart definierten Risikogruppen informiert der zuständige Sozialversicherungsträger einen Dienstnehmer, wenn dieser den Risikogruppen angehört.
  3. Im nächsten Schritt erfolgt die individuelle Beurteilung der Risikosituation des Dienstnehmers durch seinen behandelnden Vertrauensarzt. Durch ein "COVID-19-Risiko-Attest" attestiert der Vertrauensarzt die individuelle Zugehörigkeit des Dienstnehmers zur Risikogruppe.
  4. Durch Vorlage des COVID-19-Risiko-Attests an den Arbeitgeber erwirbt der Dienstnehmer schließlich den Anspruch auf Freistellung von der Arbeitsleistung und auf Entgeltfortzahlung, sofern nicht näher beschriebene Ausnahmen greifen (so zB wenn die Arbeitsleistung des Dienstnehmers auch per Homeoffice erbracht werden kann, oder wenn der Arbeitgeber geeignete Maßnahmen im Büro ergreift, die eine Ansteckungsmöglichkeit mit größter Wahrscheinlichkeit ausschließt, oder wenn der Dienstnehmer im Bereich der kritischen Infrastruktur tätig ist). Dieser Anspruch ist bis zum 30.04.2020 befristet und mit einem besonderen Kündigungsschutz versehen.

Die angesprochene Regelung war in der Regierungsvorlage nicht enthalten, sie wurde per Abänderungsantrag der Regierung eingefügt. Gemäß den begleitenden Erläuterungen hierzu soll der Sozialversicherungsträger die ihm verfügbaren Daten verwenden, um Betroffene im Sinn des Schrittes (ii) zu identifizieren, zu kontaktieren und zu informieren. Der betroffene Dienstnehmer soll sich im Sinn des Schrittes (iii) selbst an seinen Vertrauensarzt wenden. Dieser soll im Sinn des Schrittes (iii) die individuelle Zugehörigkeit des Dienstnehmers zu einer Risikogruppe attestieren, ohne jedoch eine konkrete Diagnose zu stellen.

Warum ist der Datenschutz relevant?

Die DSGVO definiert Gesundheitsdaten als Daten über die körperliche oder geistige Gesundheit einer Person (Art 4 Z 15 DSGVO). Die Verarbeitung solcher Daten ist den strengen Vorgaben des Art 9 DSGVO unterworfen. Für den vorliegenden Zusammenhang relevant: Art 9 Abs 2 lit b DSGVO erlaubt die Verarbeitung von Gesundheitsdaten ua um dem Betroffenen die Ausübung arbeits- oder sozialgesetzlicher Rechte zu ermöglichen, sofern dies auf Basis eines nationalen Gesetzes mit entsprechenden grundrechtlichen Garantien beruht.

Im gesagten Sinn bildet der neu geschaffene § 735 ASVG das einschlägige nationale Gesetz. Die Bestimmung dient dem Schutz gesundheitlich gefährdeter Dienstnehmer und der Absicherung ihres Entgelts. Ihre Anwendung bedingt, dass der zuständige Sozialversicherungsträger, der Dienstnehmer, sein Vertrauensarzt und sein Arbeitgeber Informationen über die Risikogruppenzugehörigkeit des Dienstnehmers austauschen. Da sich die COVID-Risikogruppen anhand medizinischer Gesundheitsparameter definieren (vgl dazu Schritt (i)), handelt es sich bei der (attestierten) Risikogruppenzugehörigkeit des Dienstnehmers zweifellos um ein personenbezogenes Gesundheitsdatum. Dies ungeachtet des Umstands, dass in den begleitenden Materialen zum Abänderungsantrag ausgedrückt wurde, dass das COVID-19-Risiko-Attest keine konkrete Diagnose beinhalten möge.

Allerdings fehlen § 735 ASVG jegliche datenschutzrechtliche Begleitvorschriften. Weder sind die Umstände geregelt, unter denen der Sozialversicherungsträger die Gesundheitsdaten des Dienstnehmers verwenden darf (Schritt (ii)), noch sind die Umstände vorgeschrieben, unter denen der Arbeitgeber dessen Gesundheitsdaten verarbeiten darf (Schritt iv). Ungeachtet seines fragmentarischen Regelungsgehalts ist § 735 ASVG dennoch als die zur Datenverarbeitung berechtigende Rechtsgrundlage anzusehen. Denn die logische Alternative würde in der Einwilligung des Dienstnehmers in die Verarbeitung seiner Gesundheitsdaten bestehen (Art 9 Abs 2 lit a DSGVO). Dies ist aber nicht mehr als eine hypothetische Überlegung. Denn eine Einwilligung, deren Verweigerung im Entfall der Entgeltfortzahlung und in einer erhöhten gesundheitlichen Gefährdung des Dienstnehmers münden würde, kann die unter der DSGVO geforderte Freiwilligkeit nicht erfüllen.

Wie soll sich der Arbeitgeber verhalten?

§ 735 ASVG erzeugt ein Spannungsverhältnis. Durch ihn erhalten Arbeitgeber Daten, die sie eigentlich nicht erhalten dürfen. Denn grundsätzlich ist es einem Arbeitgeber verwehrt, Kenntnis über die näheren Umstände um den Gesundheitszustand seiner Dienstnehmer zu erlangen. Genau dies wird aber verwirklicht, wenn der Arbeitgeber erfährt, ob und welchen COVID-Risikogruppen sein Dienstnehmer zugehört. Verschärft wird dieses Spannungsverhältnis durch den (situationsgeschuldet) rudimentären Rahmen des § 735 ASVG. Dem kann der Arbeitgeber allerdings durch risikominimierende Schutzmaßnahmen begegnen, wie etwa:

  • Strikte Zugriffsbegrenzung auf das COVID-19-Risiko-Attest und die im Konnex stehenden Daten zur Entgeltfortzahlung.
  • Da es dem Arbeitgeber erlaubt ist, sich die Entgeltfortzahlung im Bedarfsfall vom Krankenversicherungsträger erstatten zu lassen (vgl § 735 Abs 6 ASVG; zu beachten ist die sechswöchige Frist zur Geltendmachung!), scheidet zu Nachweiszecken eine alsbaldige Löschung des COVID-19-Risiko-Attests aus. Ungeachtet dessen sollte im Einklang mit dem Aufbewahrungskonzept des Unternehmens eine klare Aufbewahrungs- und Löschregel für diese Daten definiert werden.
  • Als technisch-organisatorische Sicherheitsmaßnahme könnte eine verschlüsselte Aufbewahrung des Attests erwogen werden. Jedenfalls sollte verhindert werden, dass sich diese Daten mit dem Personalakt "vermengen". Auch darf das Attest nicht innerhalb der Unternehmensgruppe verbreitet werden.
  • Auch sollte der Dienstnehmer über die Aufbewahrung seines COVID-19-Risiko-Attests und über den Umstand aufgeklärt werden, dass das Attest vor erfolgter Rückerstattung durch den Krankenversicherungsträger nicht gelöscht werden kann.
  • Das COVID-19-Risiko-Attest und die daraus erschließbaren Gesundheitsdaten dürfen zu keinen anderen Zwecken als jenen der Dienstfreistellung, der Entgeltfortzahlung und der Rückerstattung verwendet werden.
  • Da in § 735 ASVG die umfangreiche Verarbeitung von Gesundheitsdaten von Arbeitnehmern im Sinn der "Blacklist"-Verordnung der Datenschutzbehörde (Verordnung 278/2018) erblickt werden könnte, empfiehlt sich neben der Aufnahme dieser Datenverarbeitung im Verarbeitungsverzeichnis des Unternehmens auch eine Risiko-Folgenabschätzung, sofern nicht eine Betriebsvereinbarung hierzu getroffen wird. 

Unstrittig ist § 735 ASVG im Interesse des Dienstnehmers geschaffen worden. Dennoch fehlen der Vorschrift die erforderlichen datenschutzrechtlichen Begleitregelungen zum Datenschutz des Dienstnehmers. Zwar ist es nicht am Arbeitgeber gelegen, Defizite des Gesetzgebers auszugleichen. Um aber keine datenschutzrechtlichen Angriffsflächen zu bieten, und auch um Fairness gegenüber dem Dienstnehmer walten zu lassen, scheinen datenschutzrechtliche "Accountability"-Maßnahmen im Sinne der zuvor ausgeführten Überlegungen angebracht.

 

Wir ersuchen Sie zu beachten, dass die Zusammenfassungen auf dieser Internetseite ausschließlich zu Informationszwecken zur Verfügung gestellt werden und keine einzelfallbezogenen Beurteilungen sind. Die zur Verfügung gestellten Informationen sind nicht darauf ausgelegt, einzelfallbezogene Rechtsberatung in Bezug auf Ihre konkreten Fragestellungen zu ersetzen. Sie können keine Rechte oder Ansprüche aus den zur Verfügung gestellten Informationen uns gegenüber ableiten. Manche der erläuterten Aspekte können kurzfristigen Änderungen unterworfen sein.

This article is part of our coronavirus-focused legal updates – visit our coronavirus info corner to get more info!

Günther
Leissler

Partner

austria vienna