Die Erfassung von Krankheits- und Verdachtsfällen ist eine wesentliche Maßnahme zur Eindämmung der Verbreitung des Coronavirus. Daten über Infektionen mit dem Coronavirus oder über Verdachtsfälle zählen zu den sensiblen Daten, die einem besonderen datenschutzrechtlichen Schutz unterliegen. Die Verarbeitung derartiger Daten bedarf einer entsprechenden gesetzlichen Grundlage. 

Insgesamt ist festzuhalten, dass eine Verarbeitung dieser Gesundheitsdaten in jenem Ausmaß zulässig ist, das notwendig ist, um die Verbreitung des Coronavirus zu stoppen und andere zu schützen. Als Rechtsgrundlage für die Datenerhebung eines Arbeitgebers von Personen, bei denen eine Infektion festgestellt wurde oder die als Verdachtsfall gelten, kommt einerseits Art 9 Abs 2 lit h Datenschutz-Grundverordnung (DSGVO), andererseits Art 9 Abs 2 lit b DSGVO in Betracht. Art 9 Abs 2 lit h DSGVO aner-kennt die Verarbeitung von Daten zum Zwecke der Gesundheitsvorsorge. Art 9 Abs 2 lit b DSGVO anerkennt die Verarbeitung zum Zwecke der Erfüllung arbeits- und sozialrechtlicher Pflichten. Zu den arbeitsrechtlichen Pflichten zählt auch die Fürsorgepflicht des Arbeitgebers. Auf Basis der Fürsorgepflicht sind Arbeitgeber verpflichtet, Schutzmaßnahmen für Leben und Gesundheit ihrer Arbeitnehmer zu ergreifen und entsprechende Gesundheitsrisiken zu minimieren.

Die Rechtmäßigkeit der Übermittlung der Daten von Personen, bei denen eine Infektion festgestellt wurde oder die als Verdachtsfall gelten, an Gesundheitsbehörden ergibt sich teilweise direkt aus dem Epidemiegesetz. Dieses sieht ausdrücklich die Pflicht zur Meldung von Krankheits- oder Verdachtsfällen vor. Dies gilt jedoch nur für die ausdrücklich im Epidemiegesetz genannten meldepflichtigen Personen (z.B. Ärzte, Pflegepersonal, Inhaber von Gast- und Schankgewerben usw.). Arbeitgeber unterliegen daher regelmäßig nicht der Meldepflicht nach dem Epidemiegesetz. Eine Meldeverpflichtung kann sich jedoch aus der Fürsorgepflicht (Schutz der sonstigen Belegschaft) ergeben. Zusätzlich kommt Art 9 Abs 2 lit i DSGVO, der die Verarbeitung von Gesundheitsdaten unter anderem zur Pandemieabwehr anerkennt (Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit), als Rechtsgrundlage in Betracht. 

In § 3a Epidemiegesetz wurde zudem die Bezirksverwaltungsbehörde ausdrücklich ermächtigt, dem Bürgermeister den Namen und die erforderlichen Kontaktdaten einer von einer Absonderungsmaßnahme nach dem Epidemiegesetz wegen COVID-19 betroffenen Person, die in seinem Gemeindegebiet wohnhaft ist, mitzuteilen, wenn und soweit es zur Versorgung dieser Person mit notwendigen Gesundheitsdienstleitungen oder mit Waren oder Dienstleistungen des täglichen Bedarfs unbedingt notwendig ist. Der Bürgermeister hat diese Daten umgehend zu löschen, wenn diese für den genannten Zweck nicht mehr erforderlich sind. Zudem hat der Bürgermeister geeignete Datensicherungsmaßnahmen zu treffen.

Zum Schutz der Öffentlichkeit vor ansteckenden Krankheiten sind die datenschutzrechtlichen Rechte des Betroffenen im Hinblick auf die Verarbeitung von Gesundheitsdaten stark eingeschränkt. So sind etwa das Widerspruchsrecht und das datenschutzrechtliche Informations- und Löschrecht nicht anwendbar. 

Die Verarbeitung der Gesundheitsdaten darf ausschließlich für den Zweck der Bekämpfung des Coronavirus und der Heilbehandlung erfolgen. Die Daten sind daher zu löschen, sobald sie zur Pandemiebekämpfung bzw. Heilbehandlung nicht mehr erforderlich sind. 

Datenschutzverletzungen können wie in allen Fällen rechtswidriger Datenverarbeitung auch im Zusammenhang mit den Maßnahmen zur Bekämpfung des Coronavirus zu Strafen nach der DSGVO führen. 
Datenschutzrechtliche Regelungen sind zudem auch im Zusammenhang mit der vermehrten Homeoffice-Tätigkeit vieler Arbeitnehmer zu beachten. Ist ein Arbeitnehmer im Homeoffice tätig, so hat er dabei grundsätzlich die gleichen datenschutzrechtlichen Regeln zu beachten wie bei seiner Tätigkeit im Büro.

Dabei gilt, dass insbesondere streng darauf zu achten ist, dass keine Offenlegung von unternehmens- (und vor allem von personenbezogenen) Daten an Dritte erfolgt. Hardware (Laptop, Diensthandy usw.) ist sicher aufzubewahren und vor dem Zugriff Dritter, insbesondere durch Passwörter, zu schützen. Arbeiten sollten ausschließlich verschlüsselt und über eine geschützte WLAN-Verbindung erfolgen. Der Arbeitgeber ist verpflichtet, den Arbeitnehmern eine IT-Ausstattung zur Verfügung zu stellen, die eine datenschutzkonforme Homeoffice-Tätigkeit ermöglicht.

Mit der Reform des Epidemiegesetzes wurde zuletzt ein „Screeningprogramm“ zur Ermittlung von Gebieten oder Einrichtungen, die besonders von Covid-19 betroffen sind, eingeführt. Auch bestimmte Bevölkerungsgruppen und Berufsgruppen können untersucht wer-den. Dazu werden Labortests für den Nachweis des Vorliegens einer Infektion mit SARS-CoV-2 oder Antikörpertests zur Bestätigung einer durchgemachten Infektion oder zum Nachweis einer erworbenen Immunität verwendet. Das Screeningprogramm soll die für die laufende Überprüfung der Maßnahmen zur Verhinderung der Ausbreitung von Covid-19 nötige Datenbasis liefern. Die Teilnahme am Screeningprogramm setzt aber eine Einwilligung voraus und ist daher freiwillig. Die Ergebnisse werden in einer Datenbank („Screeningregister“), gespeichert. 

Im Rahmen des Screeningprogramms dürfen folgende Datenkategorien verarbeitet werden:

• Daten zur Identifikation der an einem Screeningprogramm teilnehmenden Person (Name, Geschlecht, Geburtsjahr);
• Kontaktdaten (Wohnsitz, Telefonnummer, E-Mail-Adresse);
• Daten zur epidemiologischen Auswertung (Region des Aufenthalts, Art der Berufsausübung, Ort der Berufsausübung);
• eine Probematerialkennung (Proben ID), die eine eindeutige Zuordnung er-möglicht; und
• das Testergebnis.

Aufgrund einer Änderung des Bundespflegegesetzes ist das Bundesamt für Soziales und Behindertenwesen künftig ermächtigt, zum Zweck der Aufrechterhaltung der Betreuung von pflegebedürftigen Personen im Zusammenhang mit der 24-Stunden-Betreuung personenbezogene Daten der pflegebedürftigen Personen an die jeweils betroffenen Ämter der Landesregierungen und an den Fonds Soziales Wien zu übermitteln. Dadurch soll eine Un- bzw. Unterversorgung der Betroffenen vermieden werden. Die Daten sind unverzüglich zu löschen, wenn sie für diesen Zweck nicht mehr gebraucht werden, spätestens jedoch Ende 2020.