COVID-19: Datenerhebung und -bearbeitung
Am 16. März 2020 beschloss die Schweizer Regierung verschärfte Massnahmen zur Eindämmung der Verbreitung von COVID-19 und zum Schutz der Bevölkerung. Unter anderem wurden öffentlich zugängliche Einrichtungen geschlossen. Nicht öffentlich zugängliche Produktionsstätten dürfen ihren Betrieb aufrechterhalten, müssen aber gleichzeitig Massnahmen zum Schutz der Gesundheit ihrer Mitarbeiter und ganz allgemein zur Eindämmung der weiteren Verbreitung des Virus ergreifen.
Solche Massnahmen beinhalten notwendigerweise auch die Erhebung und Bearbeitung von Personendaten der Personen, welche die Produktionsstätten betreten und/oder dort arbeiten, (z.B. Gesundheits- und Reisedaten, Informationen über die Aktivitäten der Familien der Mitarbeiter) und müssen die schweizerischen Datenschutzbestimmungen einhalten.
Für Schweizer Unternehmen, die einen Produktionsstandort unterhalten, bedeutet dies
- Erheben und verarbeiten sie nur Personendaten über Mitarbeiter und Besucher, die notwendig sind, um den Zweck der Gewährleistung der öffentlichen Gesundheit und der eigenen Betriebsaufrechterhaltung zu erreichen.
- Informieren sie Personen, die möglicherweise von der Datenerhebung und -bearbeitung betroffen sind, angemessen im Voraus.
- Löschen sie die Daten spätestens, wenn die Auswirkungen der COVID-19 Pandemie nicht mehr bestehen.
- Geben Sie medizinische Personendaten nur dann an andere Konzerngesellschaften weiter, wenn der Zweck nicht auch durch die Bekanntgabe anonymisierter Daten erreicht werden kann.
- Beachten sie die üblichen Schutzmassnahmen und Regeln für die konzerninterne Datenübermittlung ins Ausland.
Die schweizerische COVID-19 Verordnung (in der Fassung vom 16. März 2020) sieht keine spezifischen Datenschutzbestimmungen vor. Soweit Unternehmen, die Produktionsstätten betreiben, zum Zweck der Umsetzung von COVID-19 Massnahmen Personendaten erheben und bearbeiten, sind die allgemeinen Grundsätze des Bundesgesetzes über den Datenschutz (DSG) zu beachten.
Welche Personendaten dürfen erhoben und bearbeitet werden?
Unternehmen, die für eine Produktionsstätte verantwortlich sind, dürfen nur solche Daten über Personen, die die Produktionsstätte betreten und/oder dort arbeiten, erheben und bearbeiten, die notwendig sind, um den Zweck des Gesundheitsschutzes der Mitarbeiter und der Verhinderung der weiteren Verbreitung von COVID-19 im Interesse der öffentlichen Gesundheit und der eigenen Betriebsaufrechterhaltung zu erreichen.
Die COVID-19 Verordnung schreibt vor, dass besonders gefährdete Arbeitnehmer sich von ihrem Arbeitsplatz fernhalten müssen und, wenn möglich, von zu Hause arbeiten (siehe Legal Update vom 17. März 2020 für ausführlichere Informationen). Dementsprechend müssen Unternehmen Daten über den tatsächlichen Gesundheitszustand ihrer Mitarbeiter erheben, um zu beurteilen, wer als besonders gefährdet gilt. Andere Massnahmen, die zum Schutz der Mitarbeiter und zur Gewährleistung der öffentlichen Gesundheit und der Betriebsaufrechterhaltung notwendig sind, können ebenfalls eine Datenbearbeitung erfordern. Beispiele hierfür sind die Erhebung und Bearbeitung von:
- Aktuelle und regelmässige Informationen über COVID-19 Symptome oder Kontakte von Mitarbeitern und Besuchern der Betriebe mit COVID-19 Patienten
- Detaillierte Informationen über krankgeschriebene Mitarbeiter um eine bestmögliche Verteilung der verfügbaren Arbeitskräfte zu ermöglichen
- Informationen über die Familie (wer kümmert sich um die Kinder, leben gefährdete Personen mit der Familie zusammen, usw.)
- Zugangs- und weitere Daten im Zusammenhang mit der Nutzung von Geräten durch Mitarbeiter bei der Arbeit von zu Hause.
Die Erhebung und Bearbeitung der Personendaten muss stets zweckgebunden und verhältnismässig erfolgen. Dies bedeutet, dass die Bearbeitung auf das zur Erreichung des Zwecks notwendige Minimum beschränkt werden sollte. Ob die Erhebung und Bearbeitung verhältnismässig ist, hängt von den spezifischen Umständen jedes Unternehmens ab.
Bei medizinischen Daten, die als besonders schützenswerte Personendaten gelten, sind die oben genannten Grundsätze strikt anzuwenden. Die Bearbeitung solcher Daten erfordert jedoch nach Schweizer Recht keine ausdrückliche Einwilligung.
Die Erhebung und Bearbeitung von medizinischen Daten über die Mitarbeiter und Besucher kann als gerechtfertigt angesehen werden, wenn es darum geht, sowohl die öffentliche Gesundheit als auch die eigene Betriebsaufrechterhaltung des jeweiligen Unternehmens zu gewährleisten. Die verhältnismässige Erhebung medizinischer Daten, die zur Beurteilung der besonderen Gefährdung eines Mitarbeiters erforderlich ist, kann grundsätzlich durch die Anforderungen der COVID-19 Verordnung gerechtfertigt werden. In ähnlicher Weise können Unternehmen im Hinblick auf andere Daten verhältnismässige Bearbeitungsaktivitäten unter Bezugnahme auf ihre allgemeinen arbeits- und sicherheitsrechtlichen Verpflichtungen sowie auf das übergeordnete Interesse am Schutz aller Mitarbeiter rechtfertigen. Auch der Zweck der Gewährleistung der Betriebsaufrechterhaltung kann je nach Art der erhobenen Daten und der spezifischen Umstände als überwiegendes privates Interesse geltend gemacht werden. Unternehmen, die in der Versorgung der Bevölkerung mit Pflege und Heilmitteln tätig sind, können sich sogar auf öffentliche Interessen hinsichtlich ihrer Betriebsaufrechterhaltung berufen, da die Sicherstellung der Versorgung mit Pflege und Heilmitteln ein Hauptzweck der COVID-19 Verordnung ist.
In jedem Fall müssen die von der Datenerhebung und -bearbeitung wahrscheinlich betroffenen Personen auch unter solchen aussergewöhnlichen Umständen im Voraus angemessen darüber informiert werden.
Wie lange können solche Daten gespeichert werden und ist eine Meldung an den EDÖB notwendig?
Grundsätzlich können Daten so lange gespeichert werden, wie es für den betreffenden Zweck erforderlich ist. Spätestens wenn die Auswirkungen der COVID-19 Pandemie nicht mehr bestehen, müssen die Daten gelöscht werden.
Unternehmen, die keinen Datenschutzbeauftragten benannt haben, müssen ihre neu angelegten Datensammlungen im Zusammenhang mit den COVID-19 Massnahmen möglicherweise dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) melden. Eine Meldung ist erforderlich, wenn sie regelmässig besonders schützenswerte Personendaten (einschliesslich medizinischer Daten) bearbeiten oder diese an Dritte weitergeben und keine Ausnahme, z.B. eine gesetzliche Grundlage, besteht. Bei medizinischen Daten, die zur Beurteilung der besonderen Gefährdung eines Mitarbeiters benötigt werden, kann die COVID-19 Verordnung als gesetzliche Verpflichtung geltend gemacht werden.
Können solche Daten an andere Konzerngesellschaften in der Schweiz und im Ausland übermittelt werden?
Ohne Rechtfertigung sollten besonders schützenswerte Personendaten nicht an Dritte, auch nicht an andere Konzerngesellschaften in der Schweiz oder im Ausland, weitergegeben werden. Unternehmen möchten möglicherweise bestimmte Daten mit anderen Konzerngesellschaften teilen, um den Einsatz der verfügbaren Arbeitskräfte innerhalb des Konzerns optimal zu koordinieren. Dies ist grundsätzlich erlaubt, sofern die Übermittlung von medizinischen Personendaten an andere Konzerngesellschaften zur Erreichung des Zwecks notwendig ist und der Zweck nicht durch die Bekanntgabe von anonymisierten Daten erreicht werden kann.
Die grenzüberschreitende Datenübermittlung muss den allgemeinen Grundsätzen des DSG entsprechen. Dementsprechend dürfen Daten nur dann übermittelt werden, wenn das Empfängerland über ein angemessenes Datenschutzniveau verfügt oder andere Garantien zur Gewährleistung eines angemessenen Schutzes bestehen. Ausnahmsweise können Personendaten ins Ausland übermittelt werden, wenn die Übermittlung zum Schutz des Lebens oder der körperlichen Integrität der betroffenen Personen, d.h. der Mitarbeiter und Besucher der Produktionsstätten, erforderlich ist. Es bleibt fraglich, ob diese Rechtfertigung im Zusammenhang mit COVID-19 Massnahmen geltend gemacht werden kann, da die Übermittlung von Personendaten ins Ausland in den meisten Fällen nicht direkt zum Schutz der Gesundheit der betroffenen Personen erforderlich sein wird. Dementsprechend sollten bei grenzüberschreitenden Datentransfers im Zusammenhang mit COVID-19 Massnahmen die üblichen Schutzmassnahmen und Regeln zur konzerninternen Datenübermittlung eingehalten werden.
Autoren: Lorenza Ferrari Hofer (Partner), Severin Etzensperger (Associate)
Keine Rechts- oder Steuerberatung
Dieses Legal Update gibt einen allgemeinen Überblick über die Rechtslage in der Schweiz und erhebt keinen Anspruch auf Vollständigkeit. Es stellt keine Rechts- oder Steuerberatung dar. Falls Sie Fragen zu diesem Legal Update haben oder Rechtsberatung hinsichtlich Ihrer Situation benötigen, wenden Sie sich bitte an Ihren Ansprechpartner bei Pestalozzi Rechtsanwälte AG oder an eine der in diesem Legal Update erwähnten Kontaktpersonen.
© 2020 Pestalozzi Attorneys at Law Ltd. Alle Rechte vorbehalten.