Corona-Schnelltests datenschutzkonform anbieten

Autor: Maren Wienands
44 likes

Arbeitgeber sind ab dem 19. April dazu verpflichtet, ihren Angestellten mindestens einmal wöchentlich Corona-Tests anzubieten, sofern sie nicht im Home Office arbeiten.

Arbeitgeber sind ab dem 19. April dazu verpflichtet, ihren Angestellten mindestens einmal wöchentlich Corona-Tests anzubieten

Datenschutz-Regeln für Corona-Testergebnisse

Die neue Verpflichtung zum Testangebot durch Arbeitgeber hat ihren Grund: Im Großraumbüro mit 50 % Auslastung ist das Risiko für eine Ansteckung mehr als dreimal so groß wie in einem Restaurant (ebenfalls bei 50 % Auslastung). Wer seine Mitarbeiter verantwortungsbewusst schützen möchte, sollte Tests in so kurzen Intervallen wie möglich anbieten. Dabei darf der Datenschutz natürlich nicht zu kurz kommen. Bei Corona-Testergebnissen handelt es sich um Gesundheitsdaten. Diese gehören nach Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten und sind somit besonders schützenswert. Normalerweise dürfen sie nur verarbeitet werden, wenn strenge Voraussetzungen erfüllt werden – falls beispielsweise eine ausdrückliche Einwilligung zur Datenverarbeitung durch die Betroffenen vorliegt.

Beim Thema Corona gelten jedoch etwas andere Regeln. Das Infektionsschutzgesetz sieht zum Beispiel vor, dass Kontaktpersonen über eine Infektion informiert werden müssen. Hier steht der Infektionsschutz über dem Datenschutz – und die Information über ein positives Testergebnis muss auch ohne Einwilligung des Betroffenen geteilt werden dürfen. Das bedeutet allerdings noch lange nicht, dass der Datenschutz bei Corona-Testergebnissen keine Rolle spielt. Eine Offenlegung der Testergebnisse muss immer verhältnismäßig sein. Darüber hinaus gelten insbesondere die Prinzipien der Zweckbindung und Datenminimierung.

So können Arbeitgeber Corona-Tests datenschutzkonform anbieten

Leider kam es bereits in einigen Testzentren zu Datenpannen, bei denen die Testergebnisse in Kombination mit anderen personenbezogenen Daten (Name, Adresse, Geburtsdatum etc.) an die Öffentlichkeit gelangten. Um deine Mitarbeiter zu schützen und das Vertrauen in Tests am Arbeitsplatz nicht aufs Spiel zu setzen, solltest du als Arbeitgeber unbedingt einige Regeln beachten:

  • Ermögliche anonyme Tests. Mitarbeiter*innen sollten die Möglichkeit haben, ihren Test in einem abgetrennten Bereich (im Idealfall einem eigenen Raum, ansonsten z. B. hinter einer Trennwand) durchführen zu können. Kollegen sollten also nicht so einfach mitbekommen können, wie das Testergebnis ausgefallen ist.
  • Erkläre deinen Mitarbeiter*innen, wie sie sich bei einem positiven Testergebnis verhalten sollten. Damit ein positiv getesteter Beschäftigter sein Ergebnis nicht vor anderen preisgeben muss, sollte vorab geklärt sein, wie man sich verhalten sollte. In der Regel empfiehlt es sich, nach einem positiven Test umgehend nach Hause zu gehen, um weitere Kontakte zu vermeiden.
  • Bewahre die Testergebnisse nur für kurze Zeit und gut verschlossen auf. Die Tests können (zusammen mit dem Namen des Getesteten) nach Durchführung in einen Briefumschlag gesteckt werden. Die Briefumschläge können dann gesammelt in einer verschlossenen Box aufbewahrt werden, um unter Umständen auf Testergebnisse zugreifen zu können. Wir empfehlen, nur ein bis zwei Personen (aus der Personalabteilung) den Zugang zu den Testergebnissen zu gewähren.
  • Vernichte die Testergebnisse nach der Aufbewahrungszeit. Wir empfehlen eine Aufbewahrungszeit von sieben Tagen. Danach sollten die Ergebnisse (ungeöffnet) vernichtet werden. Diese Aufbewahrungszeit halten wir für verhältnismäßig und dem Zweck der Nachverfolgung angemessen.
  • Verzichte auf eine digitale Erfassung der Testergebnisse, falls möglich. Um dem Grundsatz der Datenminimierung zu entsprechen, solltest du Testergebnisse am besten nur analog vorhalten. Es sei denn, eine digitale Erfassung (zum Beispiel in einer Tabelle) ist zwingend erforderlich. Wenn Gesundheitsdaten nämlich digitalisiert werden, wird ihr Schutz automatisch komplexer.

Was ist bei einem positiven Ergebnis zu tun?

Es kommt darauf an, wie oft du testest und ob deine Tests kontaktlos ablaufen. Wird täglich getestet und der Kontakt zu Kolleg*innen solange vermieden, bis das negative Testergebnis vorliegt, gibt es bei einem positiven Ergebnis keine Kontaktpersonen im Unternehmen. Besteht außerdem keine Anwesenheitspflicht, muss nicht einmal Maren Wienands ein Vorgesetzter oder die Personalabteilung informiert werden.

Generell gilt: Nur die Personen, die direkt betroffen sind (zum Beispiel Kontaktpersonen oder Vorgesetzte bei Anwesenheitspflicht), sollten über ein positives Testergebnis informiert werden.

Hinweis: Ein positives Ergebnis nach einem Selbsttest sollte durch einen PCR-Test bestätigt werden. Fällt dieser ebenfalls positiv aus, ist das Ergebnis meldepflichtig.

Beispiel für einen datenschutzkonformen Testablauf (Idealfall)

Nicht jeder Arbeitgeber bzw. Arbeitgeberin kann alle der folgenden Aspekte beachten und umsetzen. Im Idealfall sähe ein Testablauf aber zum Beispiel folgendermaßen aus:

  • Stelle Testutensilien, Papier, Briefumschläge und Stifte (einen Becher mit desinfizierten, einen mit benutzten Stiften) auf einen Tisch in einem Raum zur Verfügung, der im besten Fall über einen separaten Eingang verfügt.
  • In diesem Raum sollten voneinander abgetrennte Testbereiche zur Verfügung stehen, die sich Mitarbeiter*innen vorab für eine bestimmte Zeit buchen können.
  • Angestellte statten sich mit Testutensilien, Papier, frischem Stift und Briefumschlag aus und gehen direkt in ihren Testbereich. Dort führen sie den Selbsttest durch und warten auf das Testergebnis.
  • Bei einem positiven Testergebnis gehen sie sofort nach Hause und informieren bei Bedarf von dort die Personalabteilung und/oder ihren Vorgesetzten.
  • Bei einem negativen Testergebnis stecken sie das Testergebnis und einen Zettel mit ihrem Namen, Datum des Testtages und einer Unterschrift, der die Richtigkeit des Ergebnisses bestätigt, in einen Briefumschlag. Den Briefumschlag werfen sie in eine verschlossene Box.
  • Verwahre die Box mit den Briefumschlägen sieben Tage lang. Danach sollten die Testergebnisse vernichtet werden.

Externe Testanbieter

Manche Unternehmen lassen die Tests nicht durch ihre Mitarbeiter selbst durchführen, sondern entscheiden sich für einen externen Testanbieter (z. B. Mitarbeiter einer Apotheke). In diesem Fall ist derzeit noch ungeklärt, ob ein solcher Anbieter als Auftragsverarbeiter (AV) einzuordnen ist und somit ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden muss. Nimmt der Testanbieter keine Testergebnisse mit und verarbeitet die Testdaten ausschließlich vor Ort, reicht wahrscheinlich eine Verschwiegenheitsvereinbarung. Werden die Daten jedoch weiterverarbeitet – zum Beispiel bei einer Abrechnung über die vom Land oder vom Bund bezahlten Bürgertests –, könnte ein AVV erforderlich werden. Offizielle Richtlinien gibt es für diesen Fall aufgrund der Aktualität noch nicht. Vielmehr wird versucht, sich an analogen Verfahrensregeln und Best Practices aus ähnlichen Situationen zu orientieren.

Fazit

Auch wenn das Infektionsschutzgesetz bei gewissen Aspekten des Datenschutzes Vorrang hat, ist bei kostenlosen Selbsttests für Arbeitnehmer darauf zu achten, die Testergebnisse so wenig Personen wie möglich zugänglich zu machen. Mit einem durchdachten Vorgehen zeige deinen Mitarbeiter*innen, dass du nicht nur ihre Gesundheit, sondern auch ihre Privatsphäre schätzt. Mit den oben beschriebenen Schritten erfüllst du die Anforderungen der DSGVO an Verhältnismäßigkeit, Zweckbindung und Datenminimierung.

Die Autorin Maren Wienands ist Team Lead Privacy (Corporate) bei DataGuard

Diese Artikel könnten Sie auch interessieren:

no subtitle | News & Investments

bNear: Virtuelles-Büro-Start-up sichert sich Millionen-Finanzierung

no subtitle | Versicherungen

Die "Corona-Schonzeit" endet bald – das sollten Kleinstunternehmer*innen wissen

no subtitle | News & Investments

Vorsicht: Rückforderungen von Coronahilfen

no subtitle | Personal

Der Arbeitsmarkt nach Corona – eine Chance für Start-ups?