News

Kategorie: Datenschutz

Covid-19-Erkrankung - ein Fall für die BG?

Wenn ein versicherungspflichtiger Unfall am Arbeitsplatz geschieht, zahlt die Berufsgenossenschaft (BG) den Versicherungsanspruch. Damit es aber in diesem Zuge zu keinem Missbrauch kommt, sind vermehrt Anfragen von Berufsgenossenschaften zu Covid-19 Fällen bei Arbeitgebern eingegangen.

Wie Sie mit solchen Fällen aus datenschutzrechtlicher Sicht umgehen müssen, wollen wir Ihnen nachfolgend erläutern.

Berufsgenossenschaften als Versicherungsgeber und -prüfer

Da die Berufsgenossenschaften nur für Arbeitsunfälle in Leistung treten, ist es diesen ein Anliegen festzustellen, ob eine Covid-19-Infizierung im Rahmen der Arbeitnehmertätigkeit stattgefunden hat. Hierfür versenden Berufsgenossenschaften aktuell Fragebögen, die sich nicht nur auf die Daten der Versicherten selbst beziehen, sondern auch auf die Daten Dritter. 
Die Berufsgenossenschaften haben das Interesse, den Beratungsbedarf bei schweren Verläufen zu ermitteln. In einigen Fällen wurden so zum Beispiel die Versicherten (Krankenhausmitarbeiter) nicht nur nach eigenen Daten gefragt, sondern auch nach Daten der nachweisbar erkrankten Patienten, mit denen im Rahmen ihrer beruflichen Tätigkeit Kontakt bestand.

Die Verarbeitung von Daten

Zwar wurden von den Patienten nur die Initialen erfragt, zusätzlich aber auch die Aufenthaltsdauer im Krankenhaus und der Wohnort des Patienten, mit dem Kontakt am Arbeitsplatzt bestand. Auf Nachfrage sollten aber auch die vollen Namen der infizierten Patienten, mit denen Kontakt bestand, mitgeteilt werden.
Daher muss in diesen Fällen aus Sicht der beantwortenden (und somit verantwortlichen) Stelle, die Rechtsgrundlage geprüft und ermittelt werden. Bevor eine Rechtsgrundlage notwendig ist, sollte geprüft werden, ob es sich um anonyme oder pseudonyme Datensätze handelt. Da speziell für anonyme Datensätze die DSGVO nicht anwendbar und damit keine Rechtsgrundlage notwendig wäre. Hierfür muss nachvollzogen werden, ob der Empfänger in der Lage ist den Personenbezug herzustellen. Anders als auf anonymisierte Daten, findet die DSGVO auf die pseudonymisierten Daten Anwendung - mit der Konsequenz, dass eine Rechtsgrundlage für die Verarbeitung der pseudonymisierten Daten erforderlich ist.  

Die anonymisierten Daten sind hingegen keine personenbezogenen Daten mehr und unterfallen nicht dem Datenschutz. 

Fraglich ist, ob die Berufsgenossenschaften, die Identität der Patienten mithilfe der übermittelten Daten feststellen kann. Insbesondere ist hier zu berücksichtigen, über welche Informationen die Berufsgenossenschaften bereits verfügt und ob unter Hinzuziehung dieser Informationen doch noch die Feststellung des Personenbezugs unter Umständen möglich ist. Da oft davon ausgegangen werden muss, dass die Re-Identifizierung möglich ist, fällt unserer Meinung nach, die Anonymität der Daten weg, speziell, da die Berufsgenossenschaft nach den konkreten Namen im Nachgang fragte. 

Die Rechtsgrundlage, auf die sich die Verarbeitung stützt

Die Rechtsgrundlage der Datenverarbeitung durch Berufsgenossenschaften ergibt sich aus den gesetzlichen Vorschriften des Sozialgesetzbuches VII (gesetzliche Unfallversicherung) in Verbindung mit der DSGVO. 
Als Rechtsgrundlage kommt Art. 6 Abs. 1 lit. c) DSGVO (Verarbeitung auf Basis einer rechtlichen Verpflichtung) in Verbindung mit § 199 Abs.1 Nr. 2 SGB VII & §§ 67 ff SGB X und §§ 20, 21 SGB X in Betracht.

In § 199 Abs. 1 Nr. 2 SGB VII heißt es:
„Die Unfallversicherungsträger dürfen Sozialdaten verarbeiten, soweit dies zur Erfüllung ihrer gesetzlich vorgeschriebenen oder zugelassenen Aufgaben erforderlich ist… Die Aufgaben sind:
Nr. 2 die Erbringung der Leistungen nach dem Dritten Kapitel einschließlich Überprüfung der Leistungsvoraussetzungen und Abrechnung der Leistungen.“

Demnach ist die Berufsgenossenschaft berechtigt, Informationen – auch zu Covid-19-Erkrankungen – für die Bewertung des Versicherungsfalles zu erheben. 
Nach § 21 Abs. 1 Nr. 2 SGB X sind die Unfallversicherungsträger berechtigt, auch Zeugen zu befragen.
Wer keine Zeugen dafür angibt, die bestätigen können, dass die Infektion am Arbeitsplatz erfolgt ist, riskiert, dass der Anspruch auf Leistungen als nicht bewiesen abgelehnt werden muss.

Was sollten Sie also tun, wenn Sie solch einen Fragebogen erhalten?

Fragt die Berufsgenossenschaft nur die Daten der Versicherten an, dürfen Sie dies ohne Bedenken beantworten. Sollten zusätzlich auch Daten dritter Personen abgefragt werden, ist Vorsicht geboten. Teilen Sie im ersten Schritt keine vollständigen Namen der dritten Personen mit. Planen Sie trotzdem die Daten mit Drittbezug an die Berufsgenossenschaft zu übermitteln, sollten Sie hierzu eine konkrete und begründete Aufforderung bekommen.
 

Nutzen Sie unsere Tipps als Aushang für Ihre Mitarbeiter

Gerne Teilen wir unser Wissen mit Ihnen und bieten Ihnen unsere Informationen als Download