von Tim Wybitul, Dr. Dirk Schnelle, Dr. Wolf-Tassilo Böhm

Der vorliegende Überblick zeigt wesentliche Rahmenbedingungen für Betriebsvereinbarungen zu Gesundheits-Kontrollen, insbesondere in Bezug auf mögliche Infektionen durch den Corona-Virus und damit verbundene Ansteckungsgefahren. Er erleichtert Unternehmen den Wiedereinstieg in einen geregelten Produktions- und Arbeitsprozess. Bei Umsetzung der hier gezeigten Vorschläge können Arbeitgeber datenschutzrechtliche Risiken bei umfassenden Gesundheitskontrollen ihrer Mitarbeiter verringern. Dabei sollten sie auch den 16. April 2020 veröffentlichten SARS-CoV-2-Arbeitsschutzstandard („Arbeitsschutzstandard“) berücksichtigen (s. Link).

Wiederaufnahme des Regelbetriebs

Die derzeitige Wirtschaftslage wird durch den Corona-Virus sehr erschwert. Viele Unternehmen haben den Produktionsbetrieb eingestellt und Arbeitsplätze, soweit möglich, ins Home-Office verlagert. Dabei ist es aus wirtschaftlichen Gründen unumgänglich, möglichst bald wieder produktiv tätig zu werden.

Die frühzeitige Wiederaufnahme eines geregelten Arbeitsbetriebs setzt voraus, dass sich Mitarbeiter nach Möglichkeit nicht gegenseitig mit dem Corona-Virus infizieren. Für entsprechende Maßnahmen sollten Unternehmen den Arbeitsschutzstandard berücksichtigen. Die Vermeidung oder jedenfalls weitgehende Minimierung solcher Infektionsgefahren setzt darüber hinaus auch effektive und gezielte Gesundheitskontrollen voraus.

Deutsche Datenschutzbehörden und Arbeitsgerichte stellen jedoch teilweise ausgesprochen hohe Anforderungen an das zulässige Verarbeiten personenbezogener Gesundheitsdaten von Mitarbeitern. Entsprechend gestaltete Betriebsvereinbarungen können die rechtliche Zulässigkeit von Gesundheitskontrollen zur Vermeidung von Infektionsrisiken effektiv absichern. Zudem kann man so bestehende Mitbestimmungsrechte des Betriebsrats erfüllen und die Akzeptanz der Belegschaft für nötige Kontrollmaßnahmen steigern.

Betriebsvereinbarungen als Erlaubnis für Datenverarbeitungen

Bekanntlich können Betriebsvereinbarungen die Verarbeitung personenbezogener Daten rechtfertigen. Auch die Verarbeitung von Gesundheitsdaten von Beschäftigten auf der Grundlage von Betriebsvereinbarungen kann zulässig sein. Dafür müssen die jeweiligen Betriebsvereinbarungen die Vorgaben von Art. 88 Abs. 2 DSGVO umsetzen[1]

Entsprechende Betriebsvereinbarungen müssen daher geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Arbeitnehmer umfassen. Besonderes Augenmerk ist dabei auf die Transparenz der Verarbeitung, die konzerninterne Übermittlung personenbezogener Daten und auf die Überwachungssysteme am Arbeitsplatz zu legen. Gerade bei der Verarbeitung von Gesundheitsdaten und sonstigen besonderen Kategorien personenbezogener Daten schauen die Datenschutzbehörden sehr genau hin. Daher müssen auch Betriebsvereinbarungen zur Vermeidung von Infektionsgefahren durch den Corona-Virus so gestaltet sein, dass der Arbeitgeber Bußgelder und andere drohende Risiken möglichst vermeidet.

Abstimmung mit Datenschutz- und Gesundheitsbehörden

Erfahrungsgemäß lassen sich datenschutzrechtliche Risiken durch die Abstimmung mit den zuständigen Datenschutzbehörden grundsätzlich belastbar ausschließen. Eine solche Abstimmung bringt aber nicht nur Vorteile und sollte gründlich vorbereitet sein.

  • Vorteile einer Abstimmung mit der Datenschutzbehörde

Eine Behörde kann wegen einer mit ihr zuvor abgestimmten Datenverarbeitung später keine Bußgelder verhängen. Sanktionen wären in solchen Fällen unzulässig. Denn ein Bußgeld wäre dann unverhältnismäßig. Unternehmen dürfen hier grundsätzlich auf die Auskünfte von Behörden vertrauen.

  • Mögliche Nachteile einer Abstimmung mit der Datenschutzbehörde

Allerdings zeigt die Erfahrung auch, dass die Abstimmung mit den Datenschutzbehörden häufig nicht immer zu dem vom Unternehmen gewünschten Ergebnis führt. Gerade bei den Anforderungen an die Verarbeitung von Gesundheitsdaten vertreten die Datenschutzbehörden oftmals sehr restriktive Auffassungen.[2] Auch unter den derzeitigen Umständen messen die Datenschutzbehörden dem Persönlichkeitsschutz bei Gesundheitskontrollen einen hohen Stellenwert bei. Dies zeigt sich beispielsweise an der öffentlich geführten Debatte über den Datenschutz beim Betrieb einer sogenannten Corona-App.[3]

In unseren bisherigen Gesprächen mit den Datenschutzbehörden über die Einführung von Gesundheitskontrollen am Arbeitsplatz zur Vermeidung von Infektionsgefahren haben die Behörden beispielsweise stets sehr genau darauf geachtet, ob und in welchem Umfang die geplante jeweilige Kontrollmaßnahme nachweislich dafür geeignet ist, Ansteckungsgefahren zu identifizieren und einzudämmen. Gerade in diesem Zusammenhang kann es ausgesprochen hilfreich sein, derartige Fragen zur Geeignetheit einzelner Maßnahmen mit dem zuständigen Gesundheitsamt oder gegebenenfalls auch anderen zuständigen Fachbehörden abzustimmen.[4]

  • Abstimmung mit Gesundheitsbehörden

Im Rahmen der Wiederaufnahme eines geregelten Arbeitsbetriebs kann die Abstimmung mit Gesundheitsbehörden gleich in mehrfacher Hinsicht ausgesprochen hilfreich sein. Denn zum einen kann so das Risiko ausgeschlossen werden, dass man zunächst den Betrieb wieder öffnet und sich dann mit Einwänden oder gar Verboten der Gesundheitsbehörden befassen muss. Schon insofern kann eine vorherige Abstimmung mit den Gesundheitsbehörden zweckmäßig sein.

Aber auch in anderer Hinsicht kann ein solches Vorgehen erhebliche Vorteile haben. Denn verbindliche Aussagen der für den Gesundheitsschutz zuständigen Fachbehörden können auch in Bezug auf den Datenschutz sehr wertvoll sein. Gerade in Bezug auf die Geeignetheit einer in Aussicht genommenen Maßnahme kann man auch gegenüber den Datenschutzbehörden sehr gut mit entsprechenden Aussagen der Gesundheitsbehörden argumentieren.

Sofern die Gesundheitsbehörden einzelne Maßnahmen im Hinblick auf den Schutz der Belegschaft vor Infektion für geboten halten, kann deren datenschutzrechtliche Zulässigkeit in Bezug auf nicht-sensitive Daten neben § 26 Abs. 1 S. 1 BDSG gegebenenfalls auch auf die Erfüllung einer rechtlichen Verpflichtung im Sinne von Art. 6 Abs. 1 lit. c DSGVO oder sogar auf die Wahrnehmung von Aufgaben, die im öffentlichen Interesse liegen im Sinne von Art. 6 Abs. 1 lit. e DSGVO gestützt werden. in derartigen Fällen kann die Verarbeitung sensibler personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO dann auch mit guten Argumenten auf § 26 Abs. 3 S. 1 BDSG zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht gestützt werden. Entsprechende rechtliche Vorgaben zum Schutz von Arbeitnehmern sind richtigerweise diesen arbeitsrechtlichen Pflichten zuzurechnen. Daneben kommen in derartigen Fallkonstellationen auch sozialrechtliche Belange im Sinne von § 26 Abs. 3 S. 1 BDSG in Betracht. Selbst wenn man hier einen Bezug zum Beschäftigungsverhältnis und damit eine Anwendbarkeit von § 26 BDSG ablehnen würde, könnte die Datenverarbeitung im Rahmen einschlägiger Kontrollmaßnahmen zur Vermeidung von Infektionen von Arbeitnehmern gegebenenfalls auf Art. 9 Abs. 2 lit. b, lit. h,[5] lit. i DSGVO in Verbindung mit einer Kollektivvereinbarung[6] gestützt werden.

Entsprechende Aussagen der zuständigen Gesundheitsbehörden erleichtern die Abstimmung mit den Datenschutzbehörden erfahrungsgemäß auch in anderer Hinsicht. Denn entsprechende Aussagen der für den Gesundheitsschutz zuständigen Fachbehörden ermöglichen es der Datenschutzbehörde, auf die Wertung der Gesundheitsbehörde zurückzugreifen, ohne hier eigene Wertungen anstellen zu müssen. Insbesondere in Bezug auf die Geeignetheit erleichtern einschlägige Aussagen der Gesundheitsbehörde der zuständigen Datenschutzbehörde ihre Arbeit ganz erheblich. Auch bei Fallkonstellationen, in denen eine Abstimmung mit anderen (deutschen oder europäischen) Datenschutzbehörden geboten ist, erleichtert man es der Behörde so, pragmatischen und effektiven Lösungen zum Infektionsschutz von Beschäftigten zuzustimmen.

In solchen Fällen sollten die Betriebsparteien entsprechende Aussagen der zuständigen Gesundheitsbehörden gleich in der abzuschließenden Betriebsvereinbarung in Bezug nehmen. Erfahrungsgemäß verbessert ein solches Vorgehen nicht nur die Verhandlungsposition gegenüber den Datenschutzbehörden. Normalerweise erhöht es auch die Akzeptanz einzelner Kontrollmaßnahmen bei der Belegschaft und erleichtert es dem Betriebsrat, erzielte Verhandlungsergebnisse gegenüber den davon betroffenen Mitarbeitern darzustellen.

  • Zwischenergebnis

Erfahrungen aus bisherigen Verhandlungen zeigen, dass eine zeitnahe Kontaktaufnahme mit den zuständigen Betriebsräten, Gesundheitsbehörden und Datenschutzbehörden zweckmäßig ist. Hierbei ist auch die Zeitschiene zu berücksichtigen. Selbst wenn die geplante Betriebsöffnung gegebenenfalls noch einige Wochen in der Zukunft liegen sollte, ist zeitnahes Handeln zweckmäßig. Sowohl die Abstimmung mit den involvierten Behörden als auch die Verhandlung mit den Betriebsräten nimmt erfahrungsgemäß einige Zeit in Anspruch.

Auch die Erstellung geeigneter Regelungen im Rahmen einer den Anforderungen von Art. 88 Abs. 2 DSGVO und § 26 Abs. 4 S. 2 BDSG entsprechenden Betriebsvereinbarung erfordert einige Arbeit. Gerade wenn man im Hinblick auf den erforderlichen Zeitaufwand oder sonstigen Gründen auf die Abstimmung mit den Gesundheitsbehörden oder den Datenschutzbehörden verzichten muss, wird es umso wichtiger, die Datenverarbeitung auf eine entsprechend gestaltete Betriebsvereinbarung stützen zu können. Dies erleichtert es auf Seiten des Unternehmens beteiligten Datenschutzrechtsexperten, dass Vorgehen gegenüber Behörden oder Gerichten erfolgreich zu verteidigen.

Typische Regelungen in entsprechenden Betriebsvereinbarungen

Entsprechenden Betriebsvereinbarungen zum Schutz der Belegschaft vor Corona-Infektionen müssen vor allem einzelnen Kontrollmaßnahmen sowie die dabei einzuhaltenden Prozesse genau regeln. Je präziser und transparenter die Betriebsparteien die einzelnen Kontrollen regeln, desto leichter lassen sie sich später in rechtlicher Hinsicht verteidigen. Insbesondere sollten die Betriebsparteien die in den Arbeitsschutzstandards in allgemeiner Form genannten Maßnahmen konkretisieren.

Dabei ist es wichtig, nicht nur die jeweiligen Kontrollen genau zu beschreiben, sondern auch die Folgen der Feststellung von Auffälligkeiten oder möglichen Infektionen genau zu definieren. Auch hier spielt das von den Gerichten zugrunde gelegte Kriterium der Erforderlichkeit im engeren Sinne eine große Rolle. Hier prüfen die befassten Richter, ob es auch andere Kontrollmaßnahmen gab, die die verfolgten Zwecke ebenso effektiv verwirklicht hätten, aber dabei weniger tief in die Persönlichkeitsrechte der betroffenen Beschäftigten eingreifen. Die Betriebsparteien sollten daher drohende Nachteile für Mitarbeiter möglichst vermeiden, insbesondere in Form von bloß Stellungen, Stigmatisierung oder finanziellen Nachteilen.

Dies ist umso wichtiger, als das die Datenschutzaufsichtsbehörden beispielsweise das Erstellen von Aufnahmen mit Wärmebildkameras erfahrungsgemäß als besonders weitgehenden Eingriff bewerten. Insofern sollten einschlägige Betriebsvereinbarungen klare Regelungen dazu enthalten, auf welche Weise Arbeitgeber und Betriebsrat bei einzelnen Kontrollmaßnahmen die gebotene Verhältnismäßigkeit herstellen.

Darüber hinaus sollten entsprechenden Betriebsvereinbarungen auch die einschlägigen sonstigen Vorgaben der DSGVO auf eine Art und Weise abbilden, die es den Datenschutzbehörden oder befassten Gerichten erleichtert, die geregelten Datenverarbeitungen als zulässig zu bewerten.

Beispielsweise ist es ratsam, die vom Unternehmen bei der Durchführung verfolgten Zwecke klar zu definieren. Hierbei geht es nicht nur um den gesetzlich gebotenen Gesundheitsschutz, sondern etwa auch um die Erfüllung der Fürsorgepflicht des Arbeitgebers gegenüber seinen Arbeitnehmern[7].

Zudem werden derartige Kontrollmaßnahmen in aller Regel eine vorherige Datenschutz-Folgenabschätzung[8] voraussetzen. Diese sollte dann als Anlage zur Betriebsvereinbarung genommen werden. Zudem sollten die Betriebsparteien regeln, wie das Unternehmen seinen einschlägigen Dokumentationspflichten[9] im Rahmen der Durchführung der in der Betriebsvereinbarung geregelten Maßnahmen nachkommt.

Daneben bieten sich noch eine Vielzahl weiterer einschlägiger Regelungen an, etwa in Bezug auf den Zugang zu den erhobenen Gesundheitsdaten, die möglichst frühzeitige Verschlüsselung, Pseudonymisierung oder sogar Anonymisierung personenbezogener Daten, Regelungen zur zeitnahen Löschung nicht mehr notwendiger Daten, Transparenz der Datenverarbeitung gegenüber den betroffenen Mitarbeitern, Regelungen zur Geltendmachung von Betroffenenrechten und sonstigen Schutzregelungen zu Gunsten der Arbeitnehmer, gegebenenfalls Befristung der Betriebsvereinbarung auf den relevanten Zeitraum, Kontrollrechte des Betriebsrats in Bezug auf die ordnungsgemäße Durchführung der Betriebsvereinbarung, Regelungen zur kontinuierlichen Überprüfung der Erforderlichkeit einzelner Maßnahmen sowie Klarstellung, dass die Betriebsvereinbarung als datenschutzrechtliche Erlaubnisnorm wirken soll.

Weitere Schritte für die Wiederaufnahme des Regelbetriebs

Neben Gesundheits-Kontrollen werden Arbeitgeber jedoch regelmäßig auch eine Vielzahl weiterer Maßnahmen treffen müssen, insbesondere um den bereits genannten Arbeitsschutzstandard umzusetzen. Um die Voraussetzungen für eine möglichst eine reibungslose Wiederaufnahme zu schaffen, sollte sich der Arbeitgeber möglichst frühzeitig die Auswirkungen der Corona-Pandemie auf die betrieblichen Abläufe prüfen.   Bei der Planung der vorzunehmenden Schritte sind die bestehenden betrieblichen Regelungen und die Rechte des Betriebsrats zu berücksichtigen. In einigen Fällen wird eine (befristete) Anpassung bestehender Betriebsvereinbarungen oder der Abschluss neuer Vereinbarungen mit dem Betriebsrat erforderlich sein. Zu denken ist – neben Gesundheitskontrollen – beispielsweise an eine (vorübergehende) Änderung der Arbeitszeiten, der Kantinennutzung oder auch der Betriebsordnung. Auch die (etwaig) erforderliche Beendigung der Kurzarbeit ist vorzubereiten, da gerade bei einer schrittweisen Reduktion darauf zu achten ist, dass die arbeits- und sozialrechtlichen Anforderungen nicht eingehalten werden.[10]

Zusammenfassung und Handlungsempfehlungen

Arbeitgeber und Belegschaft haben ein hohes Interesse daran, möglichst bald wieder zu einem möglichst reibungslosen und produktiven Arbeitsbetrieb zurückzukehren. Eine möglichst reibungslose Rückkehr wird jedoch nur mit einer guten Vorbereitung möglich sein, da häufig die Arbeitsabläufe an die Gefährdung durch eine Corona-Infektion anzupassen sind. Bei diesen Veränderungen sind etwaig bestehende Rechte des Betriebsrats zu beachten. Zudem fördert ein abgestimmtes Vorgehen der Betriebsparteien in der Regel auch die Akzeptanz der Veränderungen in der Belegschaft.

In vielen Fällen wird dies auch die Notwendigkeit umfassen, Arbeitnehmer durch Gesundheitskontrollen vor Ansteckung mit dem Corona-Virus zu schützen. Arbeitgeber sollten die erforderlichen Maßnahmen vorab genau auf Ihre datenschutzrechtliche und arbeitsrechtliche Zulässigkeit prüfen. Neben der Umsetzung der Arbeitsschutzstandards sowie der datenschutzrechtlichen Anforderungen an die Verarbeitung von Gesundheitsdaten und sonstigen personenbezogenen Daten müssen Unternehmen dabei auch auf bestehende Beteiligungsrechte von Betriebsräten achten.

Oftmals empfiehlt sich eine Abstimmung mit den zuständigen Gesundheits- und Datenschutzbehörden sowie der Abschluss einer entsprechend gestalteten Betriebsvereinbarung. Sofern man die vorstehend beschriebenen Anforderungen ordnungsgemäß umsetzt, lassen sich so sowohl wirtschaftliche Nachteile als auch gesundheitliche Risiken ebenso belastbar ausschließen wie drohende Datenschutzbußgelder, Schadensersatzforderungen oder sonstige rechtliche Nachteile.

 

[1]              § 26 Abs. 4 S. 2 BDSG.

[2]              Vgl. etwa die entsprechenden Standpunkte des Bundesbeauftragten für den Datenschutz und Informationsfreiheit, abrufbar unter https://www.bfdi.bund.de/DE/Datenschutz/Datenschutz-Corona/Datenschutz-Corona-node.html.

[3]              Vgl. etwa https://www.e-recht24.de/news/datenschutz/12006-corona-app-rki.html.

[4]              Siehe hierzu nachstehend Abschnitt „Abstimmung mit Gesundheitsbehörden“.

[5]              Beispielsweise bei Betriebsärzten.

[6]              Neben Art. 88 Abs. 1 DSGVO sowie § 26 Abs. 4 BDSG nennt auch Art. 9 Abs. 2 lit. b Kollektivvereinbarungen ausdrücklich als möglichen Rechtsgrund für Datenverarbeitungen.

[7]              §§ 611, 242, 241 Abs. 2 BGB.

[8]              Art. 35 DSGVO.

[9]              Vgl. Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO.

[10] Siehe hierzu auch unseren Client Alert „Wege aus der Pandemie