Die Meldepflicht unter dem EpidemieG: Datenschutzrechtliche Aspekte

12 March 2020 | newsletters

Die datenschutzrechtliche Perspektive

Ein Schwerpunkt der Bekämpfung des Coronavirus besteht darin, die Ausbreitung des Virus zu verhindern. Die Erfassung von Krankheitsfällen, von Krankheitsverdächtigen und von Ansteckungsverdächtigen bildet hierzu das zentrale Mittel. Auch wenn an der Legitimität dieser Datenerfassung kein Zweifel besteht, sind dabei doch datenschutzrechtliche Vorgaben zu beachten.

Warum ist der Datenschutz relevant?

Das EpidemieG sieht eine umfassende Meldepflicht vor. Eine solche Meldung umschließt die Bekanntgabe gesundheitsrelevanter Umstände von Personen. Aus der Sicht der DSGVO bedeutet dies die Erfassung personenbezogener Gesundheitsdaten. Dies begründet die Anwendung der DSGVO.

Erlaubt die DSGVO die Erfassung von Krankheitsfällen?

Wie jede andere Datenverarbeitung auch, bedarf die datenbasierte Erfassung von Krankheits- und Verdachtsfällen einer datenschutzrechtlichen Grundlage. Art 9 Abs 2 lit i DSGVO anerkennt die Verarbeitung von Gesundheitsdaten ua zum Schutz vor schweren grenzüberschreitenden Gesundheitsgefahren. Gemeint ist die Prävention oder Kontrolle ansteckender Krankheiten (ErwGr 52), sohin die Pandemieabwehr (vgl ErwGr 46). Mit anderen Worten steht die DSGVO der Meldung von Verdachts- oder Krankheitsfällen nicht entgegen. Allerdings verlangt die DSGVO nach angemessenen gesetzlichen Grundlagen für die Erfassung solcher Daten. Diese Grundlagen finden sich in Österreich vornehmlich im EpidemieG.

Das bedeutet, eine Meldung unter dem EpidemieG ist stets datenschutzkonform?

Das EpidemieG sieht ausdrücklich die Pflicht zur Meldung von Krankheits- oder Verdachtsfällen vor, es sanktioniert sogar Verstöße gegen die Meldepflicht. Die Verarbeitung der Daten des Kranken oder Krankheitsverdächtigen zu Meldezwecken ist daher grundsätzlich datenschutzkonform, sie dient der Erfüllung des gesetzlichen Auftrags. Dies gilt aber nur für die unter dem EpidemieG meldepflichtigen Personen, wie zB Ärzte oder Pflegepersonen.

Darf ein Arbeitgeber einen Verdachtsfall oder Krankheitsfall melden?

Arbeitgeber sind unter dem EpidemieG nicht meldepflichtig, allerdings kann eine Pflicht zur Meldung aus der Fürsorgepflicht entstehen, dh sie kann zum Schutz der sonstigen Belegschaft geboten sein. Damit scheint Art 9 Abs 2 lit b DSGVO einschlägig, welcher die Verarbeitung von Gesundheitsdaten zur Erfüllung arbeitsrechtlicher Pflichten anerkennt. In extensiver Sicht rückt zudem Art 9 Abs 2 lit c DSGVO in den Fokus. Dieser erlaubt die Datenverarbeitung im lebenswichtigen Interesse Dritter, wenn der Betroffene weder körperlich noch rechtlich zur Einwilligung in der Lage ist - man denke in diesem Zusammenhang an die verdünnte Willensfreiheit eines kranken oder krankheitsverdächtigen Mitarbeiters.   

Welche Rechte hat der Betroffene?

In Entsprechung des Auftrags zum Schutz der Öffentlichkeit vor ansteckenden Krankheiten stellt das EpidemieG Einzelinteressen hintan. Demgemäß schließt es das Widerspruchsrecht (Art 21) aus, und gemäß den Erläuterungen zum EpidemieG sieht der Gesetzgeber auch das datenschutzrechtliche Informations- und Löschrecht für nicht anwendbar an. Jedoch besteht das Recht auf Datenauskunft (Art 15) und auf Datenberichtigung (Art 16).

Wo werden die Daten gespeichert, an wen muss man sich wenden?

Die Meldedaten fließen ebenso wie die sonst von den Bezirksverwaltungsbehörden erhobenen Daten in ein beim Gesundheitsministerium geführtes Register ein. Unter den Vorgaben des EpidemieG stehen sie dort den Behörden (nur!) zu Zwecken der Epidemiebekämpfung zur Verfügung. Das Gesetz weist dem Bundesminister die Rolle des Verantwortlichen zu, bei ihm ist um Auskunft über Daten im Register und gegebenenfalls um die Berichtigung dieser Daten anzusuchen. Zu löschen sind die Daten, sobald sie zur Epidemiebekämpfung nicht mehr erforderlich sind. Im Detail sieht das EpidemieG diverse Zugriffs- und Beschränkungsregeln sowie ein gesondert zu führendes, nicht personenbezogenes Statistik-Register vor.

 Primat der Krankheitsbekämpfung: Ist alles erlaubt?

Wie sind Krankheits- und Verdachtsfälle datenschutzkonform zu identifizieren? Neben dem Appell zur Selbstverantwortung, etwa durch Selbstmeldung bei Symptomen, sind vornehmlich Verhältnismäßigkeitserwägungen zu beachten. Verbreitet ist etwa, dass Firmen deren Besucher vor Zutrittsgewährung Fragen zu ihren vorangegangen Reisen oder zu indizierten Corona-Verdachtsszenarien beantworten lassen. Sofern dies nur (!) zur Einlasskontrolle und zur allfälligen Identifikation von Meldefällen geschieht, erscheint dies vertretbar. Abgrenzungsfragen ergeben sich aber zur Notwendigkeit einer Einwilligung. Mitunter könnte deren Freiwilligkeit fraglich sein, und auch der Einwilligungswiderruf wäre wohl nicht immer umsetzbar. Schlüssiger erscheint daher die Rechtfertigung einer solchen Datenerhebung durch Art 9 Abs 2 lit b DSGVO, dh wiederum in Entsprechung der arbeitsrechtlichen Fürsorgepflicht, gekoppelt mit einer Datenschutzinformation an den Besucher. Das Abstehen von der Einzeleinwilligung wird nicht zuletzt durch die starke Akzentuierung des öffentlichen Interesses durch das EpidemieG gestützt. So ist dessen Erläuterungen zu entnehmen, dass auch das ministerielle Melderegister im öffentlichen Interesse, und damit losgelöst von Individualeinwilligungen geführt werden soll. Der Gedanke der zustimmungsfreien Datenerfassung ist aber wohl nur für situationsbedingte und fallbegrenzte Datenerfassungen vertretbar, wie etwa im Fall von Zutrittskontrollen. Betriebsweite Gesundheitsabfragen hingegen oder obligatorische Präventivtests innerhalb der Belegschaft abseits indizierter Einzelfälle erscheinen demgegenüber exzessiv und damit datenschutzrechtlich kritisch.

Drohen Strafen unter der DSGVO?

Wie bei jeder rechtswidrigen Datenverarbeitung drohen auch bei Datenverarbeitungen rund um das Coronavirus Strafen unter der DSGVO, wenn es hierbei zu Datenschutzverletzungen kommt. In vielen Fällen besteht aktuell jedoch Rechtsunsicherheit, und es fehlt Spruchpraxis von Behörden und Gerichten. Angesichts dessen sollte erwartet werden, dass Behörde und Gericht im Anlassfall bei Datenverwendungen zur Prävention des Coronavirus und zur Meldung von Krankheitsfällen Augenmaß walten lassen. Denn keinesfalls soll die Furcht vor Strafen von der Meldung eines Krankheits- oder Verdachtsfall abhalten!

 

Wir ersuchen Sie, zu beachten, dass es sich bei dieser Information um keine abschließende Darstellung handelt und diese ein Studium der einschlägigen Vorschriften und Anordnungen nicht ersetzen kann. Manche der dargestellten Aspekte können kurzfristigen Änderungen unterworfen sein. Wir laden Sie daher ein, unseren Informationsbereich auf www.schoenherr.eu wiederkehrend zu besuchen.

This article is part of our coronavirus-focused legal updates – visit our coronavirus info corner to get more info!

Günther Leissler

Partner

T: +43 1 534 37 50276
g.leissler@schoenherr.eu

legal service:

regulatory

topics