Coronavirus: Die Maßnahmen der italienischen Regierung und read-across in Sachen Datenschutz

veröffentlicht am 19. März 2020 | Lesedauer ca. 2 Minuten

In Erwartung eines umfassenderen Dekrets, das in den kommenden Tagen veröffentlicht werden soll, hat die italienische Regierung am vergangenen Samstagmorgen das „gemeinsame Protokoll zur Regelung der Maßnahmen zur Bekämpfung und Eindämmung der Verbreitung des Covid-19-Virus am Arbeitsplatz“ verabschiedet. Das Protokoll ist das Ergebnis der Vermittlung mit den nationalen Gewerkschaftsvertretern und behandelt die Frage der Notwendigkeit, Informationen über den Zugang der Arbeitnehmer zu den Räumlichkeiten des Arbeitgebers zu sammeln, um die Verbreitung des Coronavirus zu verhindern.

Art. 2 des Protokolls sieht vor, dass „der Arbeitnehmer vor dem Zugang zum Arbeitsplatz einer Kontrolle der Körpertemperatur unterzogen werden kann. Stellt sich heraus, dass die Temperatur über 37,5 Grad (Celsius) liegt, wird der Zugang zum Arbeitsplatz untersagt. Personen, die sich in einem solchen Zustand befinden, werden vorübergehend isoliert und mit Masken ausgestattet. Solche Personen dürfen die Notaufnahme und/oder betriebliche Sanitätsräume nicht aufsuchen, sondern müssen sich so schnell wie möglich mit ihrem Hausarzt in Verbindung setzen und dessen Anweisungen befolgen.
 
Der Arbeitgeber hat das Personal und die Besucher über das Zutrittsverbot zum Firmengelände für Personen, die während der letzten 14 Tage – wie von der WHO angewiesen – mit Personen in Kontakt gekommen sind, die positiv auf COVID-19 reagiert haben oder aus Sperrgebieten kommen, zu informieren.
 

Das Protokoll sind viele datenschutzrechtliche Punkte vor:

• Die Ergebnisse der Messung der Körpertemperatur dürfen nicht aufgezeichnet werden;
• Falls erforderlich, erfolgt die Aufzeichnung der überschrittenen Schwelle (37,5 Grad) nur zum Beweis für den untersagten Zugang zum Arbeitsplatz;
• Bereitstellung von Datenschutzhinweisen für die Mitarbeiter (auch als Integration der vorherigen Datenschutzinformation, indem die den betroffenen Personen bereits zur Verfügung gestellten Informationen weggelassen werden). Demnach:

1. besteht der Zweck der Datenverarbeitung in der Verhinderung einer Infektion mit COVID-19;
2. wird die rechtliche Grundlage durch die Erfüllung gesetzlicher Verpflichtungen gegeben, wie z.B. des Art. 9, Abs. 2, Buchstabe b) DSGVO sowie der Umsetzung von Sicherheitsprotokollen gegen Ansteckung gemäß Art. 1, Nr. 7, Buchstabe. d) des italienischen Dekrets des Ministerpräsidenten vom 11. März 2020 und gemäß dem erwähnten Protokoll;
3. ist die mögliche Datenspeicherung legitim und bis zum Ende des Notstandsstatus erlaubt.

Festlegung angemessener Sicherheits- und Organisationsmaßnahmen zum Schutz der Daten. Insbesondere aus organisatorischer Sicht könnte es notwendig sein:

• die für die Datenverarbeitung verantwortlichen Personen zu identifizieren;
• diesen Personen angemessene Anweisungen zu geben (d.h. im Ernennungsschreiben oder durch Verfahren/Richtlinien festzulegen);
• falls es sich um externe Personen handelt, eine Datenverarbeitungsvereinbarung abzuschließen/ die bestehende Datenverarbeitungsvereinbarung zu ergänzen, so dass sie zu Datenverarbeitern ernannt werden;
• die gesammelten Daten nicht an Dritte weiterzugeben oder offenzulegen, außer in den speziell gesetzlich geregelten Fällen (d.h. im Falle einer Anfrage der Gesundheitsbehörde, um die potentiellen Kontakte eines COVID-19-positiven Mitarbeiters zu sammeln und zu beobachten);
• Gewährleistung bewährter Verfahren zum Schutz der Privatsphäre und der Würde des Mitarbeiters im Falle einer vorübergehenden Isolierung aufgrund des Überschreitens der Temperaturschwelle. Eine solche Gewährleistung sollte auch dann gegeben werden, wenn der Mitarbeiter der Personalabteilung meldet, dass er außerhalb des Arbeitsplatzes mit COVID-19-positiven Personen in Kontakt gekommen ist, und im Falle eines Zugangsverbots des Mitarbeiters, der während der Arbeitszeit Fieber und Symptome einer Atemwegsinfektion zeigt. In einem solchen Fall sollte das Zugangsverbot auf seine Kollegen ausgedehnt werden;
• die ROPAs (Records of Data Processing Activities) zu aktualisieren;
• eine DPIA (Datenschutzfolgenabschätzung) durchzuführen.