REWI-Professor Christian Bergauer beleuchtet die Erhebung von Gesundheitsdaten durch Arbeitgeber und Gesundheitsbehörden i.Z.m. dem Corona-Virus
(Interview geführt am 2.4.2020)
REWI: Darf der Arbeitgeber aus datenschutzrechtlicher Sicht in Zeiten einer Pandemie gezielt Informationen über den Gesundheitszustand seiner ArbeitnehmerInnen bzw ArbeiterInnen erheben?
Christian Bergauer: Jede Verarbeitung personenbezogener Daten, zu der insbesondere auch deren Erhebung gehört, darf im Anwendungsbereich der europäischen Datenschutz-Grundverordnung (DSGVO) sowie dem (nationalen) Grundrecht auf Datenschutz (§ 1 DSG) nur vorgenommen werden, wenn dies die Zulässigkeits- bzw Eingriffsvoraussetzungen erlauben. § 1 Abs 1 DSG umfasst dabei bereits die bloße mündliche Erhebung der Daten, das heißt, ohne dass die Datenverarbeitung computertechnisch erfolgt.
Da es sich bei Daten, die den Gesundheitszustand einer Person betreffen, um sog „sensible“ Daten im Sinne des Datenschutzrechts handelt, gelten erhöhte Anforderungen an die Zulässigkeit deren Verarbeitung. Solche besonderen Datenkategorien, wie eben unter anderem Gesundheitsdaten, dürfen grundsätzlich gemäß Art 9 Abs 1 DSGVO nicht verarbeitet werden, es sei denn, es liegt ein konkreter Erlaubnistatbestand des Ausnahmenkatalogs des Art 9 Abs 2 vor, der dieses generelle Verarbeitungsverbot durchbricht. Liegt ein solcher Tatbestand vor, müssen zusätzlich zu diesen speziellen Anforderungen aber weiters noch die Bedingungen für eine rechtmäßige Verarbeitung gemäß Art 6 Abs 1 sowie die allgemeinen Grundsätze des Art 5 eingehalten werden, damit eine solche Datenverarbeitung durchgeführt werden darf. Selbstverständlich sind über die Frage der Zulässigkeit der Verarbeitung hinaus auch alle anderen datenschutzrechtlichen Verpflichtungen zu berücksichtigen wie zB die Erfüllung der Informationspflichten, das Treffen geeigneter Datensicherheitsmaßnahmen, das Führen eines Verarbeitungsverzeichnisses, die Vornahme einer Datenschutz-Folgenabschätzung usw.
REWI: Gibt es einen solchen Erlaubnistatbestand in Art 9 Abs 2 und wenn ja, welcher würde sich dafür eignen?
Christian Bergauer: Prinzipiell könnte hier an mehrere der in Art 9 Abs 2 angeführten Tatbestände gedacht werden. Zum einen könnte die ausdrückliche Einwilligung für diesen Datenerhebungszweck jedes einzelnen Arbeitnehmers bzw jeder einzelnen Arbeitnehmerin eingeholt werden (Art 9 Abs 2 lit a). Diese Variante ist allerdings in praxi äußerst umständlich und insbesondere auch nicht besonders nachhaltig, da die betroffene Person jederzeit begründungslos ihre Einwilligung widerrufen kann. Darüber hinaus könnte daran gezweifelt werden, ob eine solche Einwilligung gegenüber dem Arbeitgeber tatsächlich freiwillig erfolgt.
Eher käme für solche Sachverhalte Art 9 Abs 2 lit b in Betracht, wo konkret auf die arbeits- oder sozialrechtliche Erforderlichkeit einer derartigen Datenverarbeitung abgestellt wird, damit der Verantwortliche oder die betroffene Person die ihm bzw ihr erwachsenden Rechte ausüben und seinen/ihren diesbezüglichen Pflichten nachkommen kann. Hier wird gerne übersehen, dass dieser Erlaubnistatbestand allein, als Rechtsgrundlage für die Verarbeitung noch nicht ausreicht. Diese spezielle Anforderung ist nämlich nur tragfähig, wenn das Unionsrecht oder das nationale Recht einschließlich von Kollektivvereinbarungen genau eine solche Datenverarbeitung für derartige Zwecke vorsieht und darüber hinaus geeignete Garantien für die Grundrechte und die Interessen der betroffenen Personen vorsieht.
REWI: Gibt es solche nationalen Gesetze, die die Erhebung von Gesundheitsdaten in Zeiten der Corona-Pandemie im Sinne von Art 9 Abs 2 lit b DSGVO vorsehen?
Christian Bergauer: Es wird in diesem Zusammenhang mit privaten Arbeitgebern gerne auf die allgemeine Fürsorgepflicht des Arbeitgebers (vgl § 1157 ABGB, §§ 3 ASchG, § 18 AngG) sowie die Treuepflicht der ArbeitnehmerInnen und auch auf deren Pflicht gemäß § 15 Abs 5 ASchG insbesondere zur Meldung jeder von ihnen festgestellten ernsten und unmittelbaren Gefahr für Sicherheit und Gesundheit, hingewiesen, die sich aus zivil- und arbeitsrechtlichen Vorschriften ergeben.
Ob diese Bestimmungen aber tatsächlich geeignet sind, als Rechtsgrundlage einer solchen Datenerhebung zu fungieren, ist meines Erachtens nicht unumstritten.
REWI: Was sind Ihre diesbezüglichen Bedenken?
Christian Bergauer: Rechtsgrundlagen, auf die sich die DSGVO bezieht, müssen klar und präzise und ihre Anwendung für den Rechtsunterworfenen vorhersehbar sein (siehe etwa Erwägungsgrund 41 bzw Art 6 Abs 3 DSGVO). Für die hier angesprochenen innerstaatlichen Regelungen über die Fürsorge- bzw Treuepflicht im Arbeitsrecht bedeutet das, dass einige davon sehr abstrakt formuliert und bezüglich Datenverarbeitungen sehr unbestimmt in Bezug auf die Anforderungen, die die DSGVO hierfür vorsieht, erscheinen. Anzumerken ist hier auch noch, dass jede nationale Norm, die Datenerhebungseingriffe legitimieren soll, freilich auch den allgemeinen Eingriffsvoraussetzungen in das Grundrecht auf Datenschutz (§ 1 Abs 1, Abs 2 DSG) gerecht werden muss. Es ist daher jedenfalls fraglich, ob diese die datenschutzrechtlichen Anforderungen für Grundrechtseingriffe sowie der DSGVO für derartige Verarbeitungszwecke erfüllen.
REWI: Gibt es für Datenverarbeitungen im Arbeitsverhältnis besondere Vorgaben?
Christian Bergauer: Im Zusammenhang mit Datenverarbeitungen im Beschäftigungskontext ist generell anzumerken, dass Österreich die Öffnungsklausel des Art 88 DSGVO genutzt hat und der Europäischen Kommission sowohl das gesamte 2. Hauptstück des Materien-Datenschutz-Anpassungsgesetzes 2018 hinsichtlich des öffentlichen Dienstes als auch viele die für die Verarbeitung von Beschäftigtendaten relevante Bestimmungen bereits im Jahr 2018 als Bestimmungen iSd Art 88 DSGVO gemeldet hat. Das bedeutet, dass alle diese notifizierten Materiengesetze bzw einzelnen Regelungen bezüglich ihrer datenschutzrechtlichen Relevanz, an den Maßstäben der DSGVO gemessen werden müssen und – sofern sie Datenverarbeitungen im Beschäftigungskontext betreffen, wozu auch die Gesundheit und Sicherheit am Arbeitsplatz gehören – darüber hinaus noch den Anforderungen des Art 88 Abs 2 sowie Art 6 Abs 2, 3 DSGVO zu entsprechen haben. Hier im Normendickicht der datenschutz- und arbeitsrechtlichen Bestimmungen und den spezifischen Anforderungen an die Legistik als Gesetzgeber noch den Durchblick zu behalten, ist eine enorme Herausforderung. Doch noch schwieriger ist es wohl für die Arbeitgeber als datenschutzrechtliche Verantwortliche.
REWI: Was kann der Arbeitgeber im konkreten Fall tun?
Christian Bergauer: Aktuell empfiehlt offensichtlich die Datenschutzbehörde in ihren Informationen zum Corona-Virus auf ihrer Website, dass man sich als Verantwortlicher zurzeit in Zusammenhang mit Art 9 Abs 2 lit b DSGVO auf die Fürsorgepflicht berufen könne (https://www.dsb.gv.at/informationen-zum-coronavirus-covid-19-; Stand 27.3.2020). Das ist wohl eine sagen wir „ergebnisorientierte“ Haltung.
Dass es in Zeiten einer für viele Personengruppen lebensbedrohlichen Pandemie eine gesellschaftliche Notwendigkeit ist, derartige Daten – auch seitens des Arbeitgebers – zu erheben, liegt wohl auf der Hand, doch wäre hier aus meiner Sicht der Gesetzgeber aufgerufen, eine ausdrückliche und präzise Regelung für derartige Zwecke für Arbeitgeber zu schaffen, die den genannten spezifischen Anforderungen der DSGVO entspricht.
REWI: Wie sieht es mit solchen Datenerhebungen seitens der Gesundheitsbehörden aus?
Christian Bergauer: Im Grunde genommen gelten hier dieselben generellen Zulässigkeitsvoraussetzungen (Einhaltung der Grundsätze des Art 5 DSGVO und der Rechtmäßigkeitsbedingungen des Art 6 Abs 1 sowie das Vorliegen eines Erlaubnistatbestands des Art 9 Abs 2 zur Durchbrechung des Verarbeitungsverbots für besondere Datenkategorien). Ein wesentlicher Unterschied liegt hier darin, dass es sich beim Verantwortlichen um eine Behörde und nicht einen Privaten handelt. Das bedeutet im Wesentlichen, dass es stets eine gesetzliche Grundlage für die jeweilige Verarbeitung geben muss, welche neben den Anforderungen der DSGVO, auch den verfassungsdogmatischen Erfordernissen des § 1 Abs 2 DSG iVm Art 8 Abs 2 EMRK gerecht werden muss. Eingriffsgesetze, die die Verarbeitung von Gesundheitsdaten betreffen, müssen hinreichend konkret, zur Erreichung eines wichtigen öffentlichen Interesses einer demokratischen Gesellschaft notwendig und verhältnismäßig sein, auf einer zulänglichen Interessenabwägung beruhen und angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht auf Datenschutz auch nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
REWI: Welche Erlaubnistatbestände sieht die DSGVO für derartige Datenverarbeitungen konkret vor?
Christian Bergauer: Konkret kommen Art 9 Abs 2 lit g, sofern eine Verarbeitung solcher Gesundheitsdaten aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist, und lit i, sofern die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie zB dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung erforderlich ist, in Betracht. Letzterer Tatbestand verlangt insbesondere auch, dass diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal einer besonderen Verschwiegenheitsverpflichtung unterliegt (wie zB dem Ärztegeheimnis). Erwägungsgrund 52 der DSGVO weist hier sogar ausdrücklich auf die Verarbeitung von personenbezogenen Daten zwecks Sicherstellung und Überwachung der Gesundheit und Gesundheitswarnungen, Prävention oder Kontrolle ansteckender Krankheiten und anderer schwerwiegender Gesundheitsgefahren hin. Diese genannten Erlaubnistatbestände verlangen aber ebenso wie Art 9 Abs 2 lit b zusätzlich eine gesetzliche Grundlage im Unionsrecht oder nationalem Recht.
REWI: Haben wir in Österreich solche Rechtsvorschriften?
Christian Bergauer: Hier könnte zwar zunächst für eine Übermittlung solcher Daten an die Gesundheitsbehörden bzw Bezirksverwaltungsbehörden an § 5 Abs 3 Epidemiegesetz bzw § 10 Abs 2 DSG gedacht werden. Nach § 5 Abs 2 Epidemiegesetz können quasi alle Personen (auch zB Arbeitgeber, Ärzte, Familienangehörige) von der Bezirksverwaltungsbehörde aufgefordert werden, Auskünfte über Krankheitsverdachtsfälle udgl zu erteilen. § 10 Abs 2 DSG ist hier anders konzipiert, denn sein Tatbestand erlaubt jedermann, sofern er rechtmäßig über personenbezogene Daten verfügt, die Übermittlung von personenbezogenen Daten zur Bewältigung einer Katastrophe an Verantwortliche des öffentlichen Bereichs und Hilfsorganisationen, sofern diese Einrichtungen die Daten zur Hilfeleistung für unmittelbar von der Katastrophe Betroffene, zur Auffindung und Identifizierung von Abgängigen und Verstorbenen und zur Information von Angehörigen benötigen. Sowohl § 5 Abs 2 Epidemiegesetz als auch § 10 Abs 2 DSG stellen aber im Wesentlichen nur auf die Übermittlung bereits vorhandener personenbezogener Daten ab. Eine Ermächtigung oder gar eine Verpflichtung zur Datenerhebung sieht keine dieser Bestimmungen vor. Das bedeutet, dass zB ein Arbeitgeber nur solche Informationen über den Gesundheitszustand seiner ArbeitnehmerInnen übermitteln darf, welche ihm bereits aus datenschutzkonformer Verarbeitung bekannt sind. Erheben dürfte er diese Daten auf Grundlage dieser Bestimmungen nicht. Auch in diesem Fall wäre daher meines Erachtens der Gesetzgeber gefordert, eine ausdrückliche Regelung für eine derartige Datenerhebung zu schaffen.
REWI: Wie sieht es mit einer Meldepflicht für an Covid-19-Erkrankte selbst aus?
Christian Bergauer: Dafür gibt es eine eindeutige Regelung in § 5 Abs 1 Epidemiegesetz iVm BGBl II 15/2020. An Covid-19-Erkrankte, Krankheitsverdächtige und Ansteckungsverdächtige sind darnach verpflichtet, ihre Daten selbst an die zuständigen Behörden zu übermitteln.
REWI: Professor Viktor Mayer-Schönberger meinte im Ö1-Interview vom 30.3.20 in Bezug auf den Einsatz von Big Data zur Eindämmung des Virus: „Gesundheit geht vor, Leben retten ist wichtiger als Datenschutz hochhalten“. Wie sehen Sie das? Lässt sich diese Aussage Ihrer Meinung nach mit dem Datenschutzrecht in Einklang bringen?
Christian Bergauer: Dass das Leben des Einzelnen das höchste Gut darstellt, ist wohl in einer demokratischen Gesellschaft nach europäischen Werten unbestritten. Die besondere Aufmerksamkeit gilt hier nicht der Abwägung des Rechtsguts Leben auf der einen Seite und Daten- bzw Privatsphäreschutz auf der anderen, sondern der Zweck-Mittel-Relation, also der Verhältnismäßigkeit der diskutierten Maßnahme. Es darf nicht übersehen werden, dass ein Katastrophenfall wie die Corona-Pandemie ein gesellschaftlicher, wirtschaftlicher und persönlicher Ausnahmezustand ist, aber kein solcher des Rechtsstaats. Der Kern des rechtsstaatlichen Prinzips ist die Bindung der Politik an das Recht, weshalb nicht einfach jedes Mittel unter Bezugnahme auf die Krise gerechtfertigt werden kann, so quasi nach dem Zitat, das Machiavelli zugeschrieben wird, „der Zweck heiligt die Mittel!“.
Wenn eine Krise dazu führt, dass demokratische Grundprinzipien in Frage gestellt und insbesondere rechtsstaatliche Grundpfeiler ausgehebelt, umgangen oder verdrängt werden, dann ist es um unsere demokratische Gesellschaft schlecht bestellt. Auch in Ausnahmesituationen muss der Rechtsstaat funktionieren und ein effektives Handeln auf der Grundlage verfassungskonformer Rechtsgrundlagen ermöglichen. Dies betrifft Abwägungsentscheidungen in Bezug auf alle Grundrechte. Also fundamentale Rechtspositionen des Einzelnen, weshalb dies auch für das Grundrecht auf Datenschutz gilt. Wenn es um die Verarbeitung personenbezogener Daten durch den Staat geht, müssen die entsprechenden Ermächtigungsnormen dafür zwingend gewisse Anforderungen erfüllen. Diese Eingriffsgesetze müssen für in Bezug auf derartige Datenverarbeitungen sowohl den Bedingungen der DSGVO als auch jenen für Eingriffe in das nationale Grundrecht auf Datenschutz des § 1 DSG bzw Art 8 EMRK entsprechen.
REWI: Sieht die DSGVO für solche Krisenfälle Besonderes vor oder tritt hier der Datenschutz und die DSGVO ein wenig zurück, wie es Professor Mayer-Schönberger verortet?
Christian Bergauer: Grundsätzlich darf die unmittelbar und hier sachlich anwendbare DSGVO nicht schlicht übergangen oder unberücksichtigt gelassen werden. Sie sieht aber in Art 23 für die Mitgliedstaaten Möglichkeiten tatsächlich vor, fundamentale datenschutzrechtliche Institute wie die Grundsätze, die Betroffenenrechte sowie die Informationspflichten unter anderem zur Sicherstellung der öffentlichen Sicherheit, wozu etwa auch der Schutz von Menschenleben im Katastrophenfall zählt, zu beschränken. Dies bedeutet aber auch, dass die Mitgliedstaaten diese Möglichkeiten innerstaatlich aufgreifen müssen, wie Österreich dies etwa durch § 10 DSG gemacht hat. Die Mitgliedstaaten müssen dabei aus unionsrechtlicher Sicht jedenfalls auf den Wesensgehalt der Grundrechte und Grundfreiheiten achten und dürfen dadurch nur Maßnahmen vorsehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind. Dies deckt sich im Wesentlichen auch mit unseren – bereits erwähnten – verfassungsdogmatischen Eingriffsvoraussetzungen in das Grundrecht auf Datenschutz gemäß § 1 Abs 2 DSG, das bei Eingriffen des Staates zwingend einen materiellen Gesetzesvorbehalt vorsieht.
REWI: Das bedeutet, dass der Gesetzgeber diese Ermächtigung aus der DSGVO konkret aufgreifen muss, damit die DSGVO zur Bewältigung einer solchen Krise zurücktritt?
Christian Bergauer: Ja, es ist die alleinige Aufgabe des Gesetzgebers, die ihm diesbezüglich zur Verfügung stehenden legistischen Möglichkeiten unter Berücksichtigung der genannten Anforderungen aufzugreifen. Die DSGVO tritt aber formaljuristisch nicht zurück, sondern lässt den Mitgliedstaaten für derartige Katastrophenfälle einen Spielraum. Soweit dieser nicht ausgeschöpft wird, bleibt der allgemeine Rahmen der DSGVO auch in Krisenfällen maßgeblich. Freilich ist es in einer derartigen Situation für den Gesetzgeber schwer, eine flächendeckende Datenverarbeitung in Bezug auf quasi alle sich in Österreich aufhaltenden Personen zur Eindämmung einer Pandemie verlässlich insbesondere auf Kriterien wie die Geeignetheit und Notwendigkeit der Maßnahme zur Erreichung des Zwecks, die Angemessenheit des eingesetzten Mittels in Bezug auf die damit verbundene Grundrechtsbeeinträchtigung sowie damit auch die Frage, ob diese Maßnahme das gelindeste Mittel darstellt im Vorhinein festzustellen. Für diese Abwägungsentscheidungen wird dem Gesetzgeber daher auch ein gewisser Einschätzungs- und Beurteilungsspielraum zuzugestehen sein. Wichtig ist dazu noch anzumerken, dass in derart geschaffenen Eingriffsnormen jedenfalls angemessene Garantien für den Schutz der betroffenen Personen festgelegt werden, wie etwa gegen Missbrauch und unberechtigte Zugriffe, hinsichtlich Speicherform und -dauer udgl. Fakt ist aber auch, dass solche Gesetze letztlich immer erst im Nachhinein vom Verfassungsgerichtshof überprüft werden können.