Kurz und knapp: Nein, können sie nicht. Allerdings legen die Vorschriften der DSGVO und des BDSG der Bekämpfung der Corona Pandemie auch keine allzu großen Steine in den Weg.
Datenschutzrecht steht Bekämpfung der Corona Pandemie nicht entgegen
I. Rechtlicher Rahmen
Unproblematisch sind hierbei die „normalen“ personenbezogenen Daten. Deren Verarbeitung kann sowohl für öffentliche als auch nichtöffentliche Stellen auf die einschlägigen Vorschriften der Art. 6 Abs. 1 Satz 1 lit. e DSGVO bzw. § 26 Abs. 1 BDSG i.V.m. Art. 6 Abs. 1 Satz 1 lit. f DSGVO gestützt werden.
Probleme bereiten vielmehr die besonderen Kategorien personenbezogener Daten, allen voran die Gesundheitsdaten, nach Art. 9 Abs. 1 DSGVO. Diese genießen bekanntlich besonderen Schutz. Die Datenverarbeitung ist hierbei grundsätzlich nur auf Grundlage einer Einwilligung des Betroffenen zulässig. Dies gilt jedoch nicht ausnahmslos. In Zeiten der Corona-Krise dürfte insbesondere die Ausnahmevorschrift des Art. 9 Abs. 2 lit. i DSGVO sowie § 22 Abs. 1 Satz 1 Nr. 1 lit. b BDSG eine herausragende Rolle spielen, wonach Gesundheitsdaten aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit ausnahmsweise verarbeitet werden dürfen, wenn dies zum Schutze vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren notwendig ist. Nach der Vorschrift des BDSG gilt dies sowohl für öffentliche als auch nicht öffentliche Stellen. Dies dürfte vor allem für die nicht öffentlich-rechtlichen Arbeitgeber interessant sein.
Die Vorschriften der DSGVO und des BDSG haben demnach Vorkehrungen getroffen, um auch in Krisenzeiten Datenschutz zu gewährleisten, ohne hierbei die Krisenbekämpfung zu behindern. Bei sämtlichen datenschutzrechtlich relevanten Vorgängen ist gleichwohl der Verhältnismäßigkeitsgrundsatz (vor allem bei Art. 6 Abs. 1 Satz 1 lit. f DSGVO) als auch die strenge Zweckgebundenheit zu beachten. Insoweit hat der datenschutzrechtlich Verantwortliche selbst in Krisenzeiten keinen „Freifahrtschein“.
II. Auswirkungen auf die Praxis
Vor diesem Hintergrund sind die Möglichkeiten für die Praxis jedoch vielfältig, um die Eindämmung der Corona-Pandemie voranzutreiben. Hierbei sind insbesondere folgende datenschutzrechtlich relevanten Handlungen derzeit zulässig:
- Offenlegung von Daten nachweislich infizierter Personen
Zum Schutze anderer Mitarbeiter ist es zulässig offenzulegen, wer sich nachweislich mit dem neuartigen Corona-Virus infiziert hat. Dies ist unerlässlich, um abgrenzen zu können, mit wem der Betroffene Kontakt hatte und ggf. weitere betriebsinterne Maßnahmen zu fassen.
- Aufenthalt in einem Risikogebiet
Ebenso ist es zulässig Daten zu erheben, wer sich vor Kurzem in einem nach dem Robert-Koch-Institut (RKI) eingestuften Risikogebiet aufgehalten hat. Zur Bekämpfung der Seuche wird diesbezüglich empfohlen, sich nach Rückkehr für 14 Tage in häusliche Quarantäne zu begeben, um eine mögliche Ansteckung anderer Mitmenschen zu verhindern.
- Datenerhebung von Besuchern, Gästen oder Mandanten
Letztlich dürfen auch personenbezogene Daten von Besuchern oder Mandanten erhoben werden, um festzustellen, ob sich diese möglicherweise mit dem neuartigen Corona-Virus infiziert haben. In Betracht kommt hier beispielsweise das Messen von Fieber oder sonstigen Maßnahmen. Allerdings auch Information darüber, inwiefern Personen möglicherweise jüngst Kontakt zu infizierten Menschen hatten.