Données de santé des employés : quelle gestion en temps de COVID-19 ?

Gesundheitsdaten von Mitarbeitern: Wie verwaltet man sie während COVID-19?

Gesundheitsdaten von Mitarbeitern: Wie verwaltet man sie während COVID-19? Unter den Herausforderungen, denen sich unsere Gesellschaften im Zusammenhang mit der Gesundheitskrise gegenübersehen, ist die Herausforderung für die Arbeitgeber nicht die geringste.

Neben den anzupassenden Arbeitsbedingungen stellt sich die Frage, welche Daten im Rahmen des Arbeitsverhältnisses erhoben und verarbeitet werden können oder sogar müssen.

Der Arbeitgeber unterliegt einerseits die gesetzliche Verpflichtung zur Erhaltung der Gesundheit seiner Mitarbeiter, während Gesundheitsdaten gesetzlich als sensible Daten, deren Verarbeitungsbedingungen streng geregelt sind.

Die jüngste Erinnerung der CNIL an die einzuhaltenden Rahmenbedingungen und die konkreten Maßnahmen, die am Arbeitsplatz umgesetzt werden können, ist daher zu begrüßen.

Folgende Elemente bleiben erhalten:

Obwohl die Verarbeitung von Gesundheitsdaten grundsätzlich verboten ist, bleibt sie unter bestimmten Voraussetzungen, abhängig von den verfolgten Zwecken, möglich.

Im Zusammenhang mit der Pandemie kann der Arbeitgeber daher gültigerweise:

  • Informieren Sie Ihre Mitarbeiter über die Barrieremaßnahmen, stellen Sie ihnen die gesamte erforderliche Schutzausrüstung zur Verfügung und erinnern Sie sie an die Verpflichtung, sie oder die zuständigen Gesundheitsbehörden im Falle einer Kontamination oder eines Kontaminationsverdachts zu informieren, ausschließlich zu dem Zweck, ihnen die Anpassung der Arbeitsbedingungen (z. B. Telearbeit) zu ermöglichen.
  • Erleichtern Sie die Informationsübermittlung, indem Sie bei Bedarf dedizierte und sichere Kanäle einrichten
  • Fördern Sie Telearbeitsmethoden und unterstützen Sie den Einsatz arbeitsmedizinischer Maßnahmen.
  • Erstellen Sie im Rahmen der Implementierung eines Business-Continuity-Plans zum Schutz der Sicherheit der Mitarbeiter und zur Identifizierung wesentlicher Aktivitäten, die aufrechterhalten werden müssen, eine Nominativdatei für die Entwicklung und Aufrechterhaltung des Plans, die auf die zur Erreichung dieses Ziels erforderlichen Daten beschränkt ist.

Der Arbeitgeber kann nur auf bestimmte, eingeschränkte Informationen zugreifen, um die erforderlichen organisatorischen Maßnahmen zu ergreifen, während Daten, die einen unmittelbareren Gesundheitsbezug haben, von einem medizinischen Fachpersonal verarbeitet werden müssen.

(Zum Beispiel zur Verlängerung einer Quarantäne und Begründung von Telearbeit) und im Rahmen des arbeitsmedizinischen Dienstes:

Der Arbeitgeber ist nicht befugt, für jeden seiner Mitarbeiter eine Diagnose des Gesundheitszustands durchzuführen oder selbst ein System zur Beurteilung der Anfälligkeit (beispielsweise über einen Farbcode) zu verwalten.

Nach geltendem Recht ist die elektronische Temperaturmessung oder die Erfassung mittels Wärmebildkamera mit Datenspeicherung, serologische Tests und Gesundheitsfragebögen durch den Arbeitgeber nicht möglich. Anders verhält es sich bei der manuellen Temperaturmessung ohne Datenspeicherung: Eine solche Praxis fällt zwar nicht in den Anwendungsbereich der DSGVO, kann aber weitere Fragen hinsichtlich der Wirksamkeit aufwerfen.

Schließlich muss aufgrund der Sensibilität der verarbeiteten Daten den Sicherheitsmaßnahmen, die die Vertraulichkeit der verarbeiteten Daten gewährleisten, größte Aufmerksamkeit gewidmet werden.

Zusammenfassend lässt sich sagen, dass die wichtigsten Maßnahmen, die der Arbeitgeber ergreifen darf, die Arbeitsorganisation betreffen und sich auf Daten beschränken, die sich auf die Risiken der Exposition der Mitarbeiter beschränken. Die Verwaltung von Daten, die sich direkt auf die Krankheit beziehen, liegt in der direkten Verantwortung des medizinischen Fachpersonals. Alle weiteren Aufforderungen an Arbeitgeber, Informationen an die Gesundheitsbehörden zu melden oder spezifische Maßnahmen zu ergreifen, können auf der Website des Arbeitsministeriums eingesehen werden.

• Und auch

Frankreich:

  • Am 1. Oktober veröffentlichte die CNIL die endgültige Version ihrer Richtlinien zur Verwendung von Cookies und anderen Trackern.

Insbesondere wird darin festgelegt, dass das weitere Durchsuchen einer Website nicht als gültige Zustimmung zur Verwendung von Tracern angesehen werden kann.

Darüber hinaus wird empfohlen, dass die für die Datenverarbeitung Verantwortlichen in die Schnittstelle zur Einholung von Einwilligungen nicht nur eine Schaltfläche „Alle akzeptieren“, sondern auch eine Schaltfläche „Alle ablehnen“ einbauen.

  • Der Oktober ist der Monat der Cybersicherheit.

In diesem Zusammenhang veröffentlichen die CNIL und die ANNSSI eine Reihe von Empfehlungen.

 

Besonders betroffen von den Cyberangriffen der letzten Monate waren der Gesundheitssektor, die Industrie und die Kommunen.

Besonders Einzelpersonen sind Ziel von Webcam-Erpressung. Die CNIL gibt auf ihrer Website Ratschläge, wie Sie sich davor schützen können.

Europa:

  • Der Europarat hat einen Bericht über die Widerstandsfähigkeit der Datenschutzgrundsätze in den 57 Ländern veröffentlicht, die das Übereinkommen 108 ratifiziert haben, angesichts der Maßnahmen zur Eindämmung der Pandemie.
  • Die Hamburger Aufsichtsbehörde verhängte am 1. Oktober gegen H&M eine Geldbuße in Höhe von 35 Millionen Euro wegen Verletzung der Privatsphäre seiner Mitarbeiter.

Das Unternehmen sammelte Informationen über den Urlaub, den Gesundheitszustand und die Religion seiner Mitarbeiter.

Um die gesetzeskonforme Verarbeitung sicherzustellen, werden seitens des Unternehmens derzeit zahlreiche Maßnahmen umgesetzt.

  • Auf der Website des Europäischen Datenschutzausschusses (EDSA) stehen zwei Leitlinienentwürfe zur öffentlichen Konsultation zur Verfügung.

Diese Dokumente betreffen einerseits die Konzepte des für die Verarbeitung Verantwortlichen und des Unterauftragnehmers und andererseits die gezielte Ansprache von Nutzern sozialer Netzwerke.

  • Nach dem Schrems-II-Urteil des Europäischen Gerichtshofs, das den transatlantischen Datentransfer bremst (siehe dazu den September-Leitartikel), hat die Europäische Kommission für Ende des Jahres neue Standardvertragsklauseln angekündigt.

Internationales:

  • Die Entwicklung der Gesichtserkennung löst in verschiedenen Teilen der Welt Debatten aus.

In Singapur wird der Einsatz der Gesichtserkennung für den Zugang zu öffentlichen Diensten von der Organisation „Privacy International“ als beispielloser Eingriff in die Privatsphäre der Bürger angesehen, während in Russland der Einsatz im öffentlichen Raum und in den Eingangshallen privater Gebäude Anlass zur Sorge gibt.

  • Ethik und künstliche Intelligenz sind Thema eines Artikels im neuesten Newsletter der Global Privacy Assembly, die CNILs auf internationaler Ebene zusammenbringt.

Es befasst sich insbesondere mit Fragen im Zusammenhang mit digitalen Tools im Gesundheitssektor, einschließlich COVID-19-Tracking-Apps.

Anne Christine Lacoste

Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.

Entdecken Sie Viqtor®
de_ATDE_AT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL de_ATDE_AT