1. Dürfen NPOs jetzt Gesundheitsdaten von Arbeitnehmern erheben?
Die Pflicht zum Schutz der Gesundheit der Arbeitnehmer erlaubt keine umfangreiche Erhebung und Speicherung von Gesundheitsdaten. Gemeinnützige Organisationen müssen sich ausschließlich auf erforderliche Informationen beschränken. Entsprechende Maßnahmen können die Frage nach Aufenthalten in Risikogebieten oder nach typischen Symptomen des Coronavirus sein. Wichtig ist, dass Angestellte im Vertrauen gefragt werden, ohne eine Stigmatisierung der Person zu provozieren.
2. Wen müssen NPOs bei einer Erkrankung in Kenntnis setzen?
Wurde eine Erkrankung festgestellt, sollten ausschließlich diejenigen Mitarbeiter davon in Kenntnis gesetzt werden, die ein berechtigtes Interesse daran haben. Dazu gehören beispielsweise die Personalabteilung oder Kollegen, die direkten Kontakt mit dem oder der Infizierten hatten. Eine darüber hinausgehende Offenlegung von Gesundheitsdaten ist nicht erforderlich und unzulässig.
3. Dürfen NPOs Gesundheitsdaten von Besuchern erheben?
Gerade bei Altenheimen, Krankenhäusern oder anderen Gesundheitseinrichtungen, die von gemeinnützigen Organisationen betrieben werden, stellt sich die Frage, inwieweit Gesundheitsdaten von Besuchern erhoben werden können.
Besucher, die trotz der bereits bestehenden Einschränkungen entsprechende Einrichtungen besuchen, können dazu aufgefordert werden, eine Selbstauskunft auszufüllen. In diesem Formular können Kontaktdaten sowie der Besuch bestimmter Länder abgefragt werden. Die somit erhobenen Daten dürfen ausschließlich zur Ergreifung weiterer Schutzmaßnahmen verwendet werden. Sobald keine Gesundheitsgefährdung mehr besteht, sind die Daten zu löschen.
4. Sind Fieberkontrollen bei Angestellten und Besuchern zulässig?
Von Fieberkontrollen sollte auch in Zeiten der Krise Abstand genommen werden. Denn auch wenn Fieber ein Symptom des Virus ist, so ist es nicht das einzige und nicht das ausschlaggebende. Eine erhöhte Körpertemperatur lässt daher nicht zwangsweise den Rückschluss auf eine Infektion zu. Das macht Fieberkontrollen nach aktuellem Stand zu einem ungeeigneten Mittel und führt zu einer unnötigen Datenerhebung.
Allerdings ist es möglich, Besuchern und Arbeitnehmern ein Messgerät freiwillig zur Verfügung zu stellen. Welche Rückschlüsse diese dann nach der Messung ziehen und ob sie es der Organisation mitteilen, muss jedoch ihnen selbst überlassen werden.
5. Wie wird die Datensicherheit im Homeoffice gewährleistet?
Entscheidet sich eine gemeinnützige Organisation dazu, die Arbeit ihrer Angestellten ins Homeoffice zu verlegen, so ist sie dazu verpflichtet, die technischen und organisatorischen Maßnahmen zu ergreifen, um ein angemessenes Maß an Datensicherheit zu gewährleisten.
Die IT-Struktur muss demnach so errichtet werden, dass Arbeitnehmer von zu Hause aus mittels einer sicheren Remote-Desktop-Verbindung (VPN) auf den Server der Organisation zugreifen können. Zudem müssen sämtliche IT-Betriebsmittel (Laptop, Telefon, Drucker etc.) mit einem Virenschutzprogramm ausgestattet zur Verfügung gestellt werden. In jedem Fall müssen Datenpannen (z.B. der Verlust von Daten) verhindert werden. Beschäftigt eine gemeinnützige Organisation mehrere Arbeitnehmer im Homeoffice, kann eine einwandfreie und rechtssichere IT-Struktur durch einen Experten geprüft werden.
6. Was müssen NPOs bei Beratungen per Videokonferenz beachten?
Da persönliche Beratungen in der Corona-Krise nicht möglich bzw. dringend zu vermeiden sind, können NPOs auf Videokonferenzanbieter zurückgreifen, um auch weiterhin Beratungen bspw. für Klienten durchführen zu können. Zu beachten ist dabei, dass man nicht wahllos irgendeine Software einsetzt, sondern ausschließlich auf datenschutzkonforme Anbieter zurückgreift. Es besteht entweder die Möglichkeit, die Software auf eigenen Servern zu hosten oder aber sich eines SaaS-Dienstleisters zu bedienen. Setzt man Letzteren ein, muss auch ein Auftragsbearbeitungsvertrag nach Art. 28 DSGVO geschlossen werden. Dabei gelten dieselben Grundsätze wie beim Einsatz jedes anderen Dienstleisters, der personenbezogene Daten im Auftrag für die NPO verarbeitet.
Melden Sie sich gerne, wenn wir Ihrer NPO bei Datenschutzfragen behilflich sein können. Sie erreichen uns am einfachsten per E-Mail oder Telefon (069 / 76 75 77 80).
Rechtsanwalt Stefan Winheller ist seit rund 20 Jahren auf steuerrechtliche Fragen spezialisiert, v.a. in den Bereichen Krypto, Stiftungen/NPO und Internationales.
Nächster Karriereschritt geplant? Unsere mittelständische Kanzlei bietet ein vielfältiges Aufgaben- und Beratungsspektrum an vier deutschen Standorten. Wir freuen uns auf engagierte neue Kollegen!
Abonnieren Sie unsere kostenlosen Newsletter und erhalten Sie regelmäßig die wichtigsten Beiträge aus dem Wirtschafts- und/oder Gemeinnützigkeitsrecht bequem per E-Mail. Wählen Sie einfach Ihren Wunschnewsletter aus. (Pflichtfelder sind mit * markiert).
1. Dürfen NPOs jetzt Gesundheitsdaten von Arbeitnehmern erheben?
