Datenschutz bei Coronatests im Unternehmen

Die dritte Verordnung zur Änderung der SARS-CoV-2-Arbeitsschutzverordnung ist in Kraft getreten. Diese verpflichtet Arbeitgeber dazu, ihren Beschäftigten vor Ort mindestens zweimal pro Woche einen Coronatest anzubieten. Doch aufgepasst: Bei der Durchführung der Tests gilt es einige wichtige Dinge zu beachten - vor allem auch in Sachen Datenschutz.

Nicht nur für Mitarbeiterinnen und Mitarbeiter bestimmter Beschäftigungsgruppen mit besonders hohem Infektionsrisiko, etwa bei häufigem Kundentakt oder körpernahen Dienstleistungen, ist zweimal wöchentlich ein Testangebot vorgesehen. Die Bundesregierung hat durch Kabinettsbeschluss vom 21. April 2021 beschlossen, dass das Testangebot grundsätzlich für alle Arbeitnehmer auf zwei Tests pro Woche erweitert werden soll. Dies wurde in § 5 der  dritten Verordnung zur Änderung der SARS-CoV-2-Arbeitsschutzverordnung umgesetzt. Was müssen Arbeitgeber bei der Durchführung von Coronatests im Betrieb beachten?

1. Anbieten von Coronatests ist Pflicht

Zwar trifft Arbeitgeber nach dem neuen § 5 der SARS-CoV-2-Arbeitsschutzverordnung die Pflicht, jedem in Präsenz – und nicht ausschließlich im Homeoffice – beschäftigten Mitarbeitenden zwei Coronatests in der Woche anzubieten, jedoch sind die Beschäftigten nicht verpflichtet, das Angebot auch anzunehmen. Ob sich Arbeitnehmer testen lassen, bleibt daher ihnen überlassen. Auch bei eindeutigen Symptomen einer Coronainfektion (zum Beispiel Husten oder Fieber) dürfen Unternehmen keine Tests anordnen.

2. Testpflicht für Arbeitnehmer landesrechtlich möglich

Anderes gilt nur dann, wenn eine Testpflicht landesrechtlich angeordnet ist. Das ist in den meisten Bundesländern (unter anderem in Berlin, Hamburg, Bayern und Nordrhein-Westfalen) der Fall für Beschäftigte im Gesundheitswesen wie Pflegepersonal in Heimen oder Mitarbeitende ambulanter Pflegedienste. Für Beschäftigte mit direktem Kundenkontakt gilt jedenfalls in Sachsen (§ 3a Abs. 1 SächsCoronaSchVO) und Berlin (§ 6a Abs. 2 2. InfSchMV) eine Testpflicht.

3. PCR-Test, Antigen-Schnelltest oder Selbsttest?

Was für Tests angeboten werden müssen, ist ebenso wenig definiert wie die konkrete Durchführung der Coronatests. Möglich sind daher sowohl PCR-Tests als auch Antigen-Schnelltests oder Selbsttests. Ausreichend ist es daher, den Beschäftigten zugelassene Selbsttests zur Verfügung zu stellen, die sie Zuhause selbst durchführen können.

Arbeitgeber sind insbesondere nicht verpflichtet, eine etwaige "Test-Infrastruktur" durch medizinisches Personal, geeignete Räumlichkeiten oder Handlungsanweisungen zu schaffen. Die Kosten der Coronatests tragen Arbeitgeber. Die 2. SARS-CoV-2-Arbeitsschutzverordnung sieht keine Möglichkeit der Kostenerstattung durch Bund oder Länder vor.

Was es bei PCR-, Antigen- und Schnelltest zu beachten gilt, lesen Sie hier.

4. Achtung: Dokumentationspflichten beachten

Eine Dokumentationspflicht besteht nach § 5 Abs. 3 der 2. SARS-CoV-2-Arbeitsschutzverordnung nur hinsichtlich der Beschaffung der Tests oder etwaigen Vereinbarungen mit externen Dienstleistern, die Tests durchzuführen. Nachweise hierüber müssen Arbeitgeber vier Wochen aufbewahren. Bei den Unterlagen wird es sich in der Regel um keine personenbezogenen Daten handeln, sodass datenschutzrechtliche Vorschriften nicht zu berücksichtigen sind.

Eine Pflicht zur Dokumentation von getesteten Personen sowie ihren Testergebnissen enthält die 2. SARS-CoV-2-Arbeitsschutzverordnung nicht. Unternehmen sind auch nicht verpflichtet, bei Vorliegen eines positiven Testergebnisses das Gesundheitsamt zu informieren.

5. Testlogbuch nach Landesrecht

Anders sieht es auf Länderebene aus: Dort sehen die einzelnen Verordnungen der Länder zum Teil weitergehende Regelungen vor, die neben der 2. SARS-CoV-2-Arbeitsschutzverordnung zu beachten und datenschutzrechtlich relevant sind. So muss nach § 10e der Hamburgischen SARS-CoV-2-EindämmungsVO unter Umständen ein "Testlogbuch" geführt werden, in welchem die durchgeführten Tests und ihre Ergebnisse dokumentiert werden. In Berlin muss zumindest die Durchführung der Tests – wohl ohne Angabe des Testergebnisses – in einer "Anwesenheitsdokumentation" vermerkt werden, sofern der Betrieb zu einer solchen Dokumentation nach § 5 Abs. 1 der 2. InfSchMV verpflichtet ist.

6. Anspruch auf Testbescheinigung?

Die neue Arbeitsschutzverordnung sieht keine Pflicht für Arbeitgeber vor, den Beschäftigten über ihr Testergebnis eine entsprechende Bescheinigung zu erstellen. Eine solche Verpflichtung besteht derzeit nur in Berlin. Sofern Unternehmen ihren Mitarbeitenden einen Nachweis über einen Coronatest erstellen möchten, so ist dies bereits in einigen Bundesländern (unter anderem in Nordrhein-Westfalen, Hamburg oder Sachsen) möglich. Gegebenfalls müssen weitere länderspezifische Vorgaben berücksichtigt werden. So sind zum Beispiel in Hamburg nur solche Unternehmen dazu befugt, eine Testbescheinigung auszustellen, die auch einen Sicherheitsbeauftragten i.S.v. § 22 SGB VII bestellen müssen. Auch treffen die Länderverordnungen unterschiedliche Regelungen zur Aufbewahrung der Testbescheinigungen. Die Berliner Verordnung sieht nicht vor, dass Arbeitgeber Kopien der Testbescheinigungen der Arbeitnehmer aufzubewahren haben, wohingegen die Hamburger Verordnung den Testbeauftragten zur Aufbewahrung der Testbescheinigung verpflichtet (§ 10i Abs. 1 Nr. 5 der Hamburgischen SARS-CoV-2-EindämmungsVO).

7. Datenverarbeitung zur Durchführung des Beschäftigtenverhältnisses

Unabhängig davon, wie die Verordnungen in den Ländern im Einzelfall ausgestaltet sind, sind länderübergreifend datenschutzrechtliche Grundsätze zu beachten. Im Arbeitsverhältnis führt § 26 Abs. 7 BDSG dazu, dass sämtliche Verarbeitungen personenbezogener Daten datenschutzrechtliche Anforderungen erfüllen müssen. Das gilt unabhängig davon, ob die Verarbeitung (zumindest teilweise) automatisiert erfolgt oder nicht. Damit bedarf es bereits für handschriftlich geführte Listen, Tabellen oder andere Aufzeichnungen über getestete Mitarbeitende, ihre Testergebnisse sowie das Ausstellen entsprechender Testbescheinigungen tauglicher Rechtsgrundlagen.

Die Verarbeitung dieser Daten kann "zum Zwecke des Beschäftigungsverhältnisses" erfolgen, "wenn dies […] für dessen Durchführung […] erforderlich ist" (§ 26 Abs. 1 BDSG) beziehungsweise nach Art. 6 Abs. 1 S. 1 lit. f DSGVO, wenn "die Verarbeitung [...] zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist]." Erforderlich ist die Verarbeitung der Daten, wenn das Interesse des Arbeitgebers an der Datenverarbeitung schutzwürdige Interessen (insbesondere das Persönlichkeitsrecht) der Beschäftigten überwiegt. Die Fürsorgepflicht von Arbeitgebern und das Anliegen, Infektionen mit dem Coronavirus zu detektieren und nachverfolgen zu können, um auch dem Gesundheitsschutz anderer Beschäftigter Rechnung zu tragen, stellt ein nicht zu vernachlässigendes Interesse dar, dass schutzwürdigen Interessen der Beschäftigten überwiegen dürfte.

8. Erhöhte Anforderungen bei der Verarbeitung von Gesundheitsdaten

Bei der Verarbeitung von Gesundheitsdaten gelten erhöhte Anforderungen. Werden etwa Testbescheinigungen ausgestellt, die das (positive oder negative) Testergebnis enthalten, gelten § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b DSGVO. Danach ist eine konkrete gesetzliche Regelung erforderlich, nach der eine Verarbeitung von Gesundheitsdaten ausdrücklich zulässig ist. Solche Regelungen können sich aus den Rechtsverordnungen der Länder ergeben.

Fehlt es an einer entsprechenden Regelung, kommt nur eine Einwilligung des Arbeitnehmers in Betracht. Dabei ist zu beachten, dass die Einwilligung die im Arbeitsverhältnis geltenden Anforderungen erfüllt. Insbesondere muss die Einwilligung nach § 26 Abs. 2 S. 3 BDSG stets in Schriftform oder elektronischer Form erfolgen.

9. Weitere datenschutzrechtliche Pflichten

Arbeitgeber und zugleich "Verantwortliche" im Sinne der Datenschutz-Grundverordnung (DSGVO), müssen zudem bei der Verarbeitung personenbezogener Daten

  • ihren Informationspflichten nach Art. 13 DSGVO nachkommen,
  • restriktive Zugriffsregelungen auf die erhobenen Daten festlegen,
  • ein Verarbeitungsverzeichnis führen und aktualisieren sowie
  • Aufbewahrungs- und Löschfristen festlegen. Meist sehen die Verordnungen der Länder hierfür eine Aufbewahrungsfrist von vier Wochen vor.

Bei der Verarbeitung von Gesundheitsdaten ist vorab insbesondere zu prüfen, ob eine Datenschutzfolgenabschätzung durchzuführen ist. Daneben sind geeignete Maßnahmen zum Schutz der Gesundheitsdaten zu treffen. Dabei kann auch auf die in § 22 Abs. 2 BDSG genannten Maßnahmen (Pseudonymisierung oder Verschlüsselung der Daten, Benennung eines oder einer Datenschutzschutzbeauftragen etc.) zurückgegriffen werden.

10. Immer gilt: Datenminimierung

Zwingend sollten auch die im Datenschutzrecht geltenden Grundsätze der "Datenminimierung" und der "Speicherbegrenzung" beachtet werden: Arbeitgeber sollten in jedem Fall nicht mehr Daten als notwendig verarbeiten und diese nicht länger als erforderlich aufbewahren.


Das könnte Sie auch interessieren:

Coronatests im Betrieb – was gilt für Unternehmen?

Darf der Arbeitgeber Coronatests anordnen?

Können sich Arbeitnehmer für eine Coronaimpfung freistellen lassen?

Schlagworte zum Thema:  Datenschutz, Arbeitssicherheit, Coronavirus