17.03.2020 - Datenschutzrechtlicher Rahmen bei der Eindämmung des Coronavirus

17.03.2020 - Die Behörden setzen in Zusammenarbeit mit den Gesundheitsinstitutionen alles daran, die rasante Ausbreitung des Coronavirus einzudämmen. Soweit Privatpersonen (insbesondere Arbeitgeber) zur Bekämpfung der Pandemie Personendaten bearbeiten, sind die Grundsätze nach Art. 4 des Bundesgesetzes über den Datenschutz zu respektieren.

Nach Ausrufung der ausserordentlichen Lage nach Art. 7 des Epidemiengesetzes (Art. 7 EpG) durch den Bundesrat arbeiten die Behörden von Bund, Kantonen und Gemeinden im Verbund mit den Einrichtungen des Gesundheitswesens weiter daran, die gegenwärtige Pandemie durch das Coronavirus zu bekämpfen.

Das Bundesamt für Gesundheit (BAG), die zuständigen kantonalen Behörden und die mit Aufgaben nach dem EpG betrauten öffentlichen und privaten Institutionen bearbeiten personenbezogene Gesundheitsdaten nach Massgabe des 2. Abschnittes des EpG, soweit dies zur Identifizierung von kranken, krankheitsverdächtigen, angesteckten oder ansteckungsverdächtigen Personen im Hinblick auf Massnahmen zum Schutz der öffentlichen Gesundheit erforderlich ist. Sie beachten dabei zudem die allgemeinen Grundsätze der Datenschutzgesetzgebungen von Bund und Kantonen. Spitäler und andere öffentliche oder private Institutionen des Gesundheitswesens sowie Laboratorien und Medizinalpersonen unterliegen zudem besonderen Meldepflichten nach dem EpG.

Soweit die Zivilgesellschaft, insbesondere Arbeitgeber, zur Bekämpfung der Pandemie personenbezogene Daten bearbeiten, muss die Bearbeitung unter Einhaltung der Grundsätze nach Art. 4 des Bundesgesetzes über den Datenschutz erfolgen:

• Gesundheitsdaten sind besonders schützenswert und dürfen von Privaten grundsätzlich nicht gegen den Willen der Betroffenen beschafft werden.
• Bearbeitungen von Gesundheitsdaten durch Private müssen zudem zweckgebunden und verhältnismässig erfolgen. D.h., dass sie mit Blick auf die Verhütung von weiteren Ansteckungen nötig und geeignet sein müssen und nicht über das hinausgehen dürfen, was zur Erreichung dieses Ziels nötig ist.
• Wenn immer möglich, sollen zweckdienliche Daten über Grippesymptome wie z.B. Fieber durch die Betroffenen selber erhoben und weitergegeben werden.
• Die Erhebung und Weiterbearbeitung von Gesundheitsdaten durch private Dritte ist gegenüber den Betroffenen offen zu legen, sodass Letztere den Sinn und Zweck sowie den inhaltlichen und zeitlichen Umfang der Bearbeitung verstehen.

Soweit Private zum Zwecke der Verhinderung von Ansteckungen vor Betreten von Gebäuden oder Arbeitsplätzen medizinische Daten wie z.B. die Körpertemperatur erheben, ist die Bearbeitung dieser Daten mit Blick auf deren inhaltlichen und zeitlichen Umfang auf das zur Erreichung des Zwecks notwendige Minimum zu beschränken. Bei der Datenbeschaffung muss die Information und Selbstbestimmung der Betroffenen gewahrt bleiben. Das Beantworten umfangreicher Fragen zum Gesundheitszustand gegenüber nicht Medizinalpersonen erweist sich in diesem Kontext als ungeeignet und unverhältnismässig.

Das gleiche gilt für personenbezogene Daten, die Private im Zusammenhang mit betrieblichen und organisatorischen Massnahmen zur Verhinderung von Ansteckungen bearbeitet. Spätestens nach Wegfall der pandemischen Bedrohung sind diese integral zu löschen.

Soweit der Einsatz digitaler Methoden zur Erhebung und Analyse von Mobilitäts- und Proximity-Daten erwogen wird, müssen sich diese mit Blick auf den Zweck der Verhinderung von Ansteckungen als verhältnismässig erweisen. Dies sind sie nur, wenn sie epidemiologisch begründet und geeignet sind, im jeweils aktuellen Stadium der Pandemie eine den Eingriff in die Persönlichkeit der Betroffenen rechtfertigende Wirkung zur Eindämmung der Pandemie zu entfalten.