Die Rechtlichen Auswirkungen Von Coronavirus (Covid-19)
Aus Einer Datenschutzperspektive
Mertcan İpek
Die durch das SARS-CoV-2-Virus (nachfolgend: “Coronavirus”) verursachte Covid-19-Krankheit hat die öffentlichen Behörden weltweit veranlasst, Maßnahmen zu ergreifen. Für einen gemeinsamen Kampf gegen die Ausbreitung des Coronavirus sollen diese Maßnahmen auch von Individuen und Privatunternehmen unterstützt werden; die Maßnahmen am Arbeitsplatz sind dabei von größter Bedeutung. Außerdem sind die Arbeitgeber in der Türkei gemäß dem Gesetz über Schutz der Gesundheit und Sicherheit am Arbeitsplatz Nr. 6331 verpflichtet, die Gesundheit und Sicherheit ihrer Arbeitnehmer zu gewährleisten. Dabei müssen Arbeitgeber berücksichtigen, dass sie bei der Verarbeitung gesundheitsbezogener Daten ihrer Arbeitnehmer an die Datenschutzbestimmungen gebunden sind.
Artikel 6 des Datenschutzgesetzes Nr. 6698 (nachfolgend: “Gesetz”) regelt “sensible persönliche Daten”, die spezifischen Verarbeitungsbedingungen unterliegen; gesundheitsbezogene Daten fallen in diese spezielle Kategorie. Die Information, ob ein Mitarbeiter mit dem Coronavirus infiziert ist oder seine Symptome zeigt, wird als “gesundheitsbezogene Daten” angesehen.
Gemäß Artikel 6 Absatz 2 des Gesetzes ist es verboten, sensible personenbezogene Daten ohne ausdrückliche Zustimmung der betroffenen Person, d. h. des Arbeitnehmers, zu verarbeiten. Absatz 3 desselben Artikels enthält jedoch eine Ausnahme von dieser Regel in Bezug auf personenbezogene Daten über die Gesundheit und das Sexualleben des Arbeitnehmers zum Zwecke des Schutzes der öffentlichen Gesundheit, des Betriebs der Präventivmedizin, der medizinischen Diagnose, der Behandlung und Pflegedienste, Planung und Verwaltung von Gesundheitsdiensten und Finanzierung durch Personen, die zur Geheimhaltung verpflichtet sind, oder autorisierte Institutionen und Organisationen. Dementsprechend können personenbezogene Daten über die Gesundheit des Arbeitnehmers ohne seine ausdrückliche Zustimmung von Personen, die zur Geheimhaltung verpflichtet sind, oder von autorisierten Institutionen und Organisationen weitergegeben werden. Ärzte und Gesundheitspersonal fallen in die Kategorie der Personen, die zur Geheimhaltung verpflichtet sind, oder autorisierte Institutionen und Organisationen. Die Arbeitgeber fallen grundsätzlich nicht in diese Definition.
Unabhängig davon, ob die Daten mit ausdrücklicher Zustimmung des Arbeitnehmers oder ohne solche Zustimmung unter Erfüllung der Anforderungen des Artikels 6 Absatz 3 verarbeitet werden, ist ein Arbeitgeber verpflichtet, den Arbeitnehmer über die Datenverarbeitung gemäß Artikel 10 des Gesetzes zu informieren; z. B. würde die Verwendung von Wärmebildkameras zur Messung der Körpertemperatur der Arbeitnehmer, ohne sie gemäß Artikel 10 über eine solche Aktion ordnungsgemäß zu informieren, eine Verletzung des Gesetzes darstellen.
Artikel 28 des Gesetzes regelt die Ausnahmefälle, in denen die Bestimmungen des Gesetzes nicht gelten. In diesem Zusammenhang sieht Artikel 28 Absatz 1 Buchstabe ç vor, dass “die Verarbeitung personenbezogener Daten im Rahmen präventiver, schützender und nachrichtendienstlicher Tätigkeiten durch öffentliche Einrichtungen und Organisationen, die für die Bereitstellung von nationaler Verteidigung, nationaler Sicherheit, öffentlicher Sicherheit, öffentlicher Ordnung oder wirtschaftlicher Sicherheit zugewiesen und autorisiert sind”, eine dieser Ausnahmen darstellt. Angesichts der außergewöhnlichen Umstände, die durch die Coronavirus-Pandemie verursacht wurden, kann man sagen, dass die Maßnahmen gegen das Coronavirus im Rahmen der “öffentlichen Sicherheit” in Betracht gezogen werden sollten. Aus einer solchen Analyse würde sich ergeben, dass “öffentliche Einrichtungen und Organisationen” gesundheitsbezogene Daten verarbeiten dürfen, ohne an das Gesetz gebunden zu sein, um die “öffentliche Sicherheit” im Kampf gegen das Coronavirus aufrechtzuerhalten. Die Behörden, die in diese Kategorie fallen (z. B. das Gesundheitsministerium), könnten daher die gesundheitsbezogenen Daten der Arbeitnehmer an einem bestimmten Arbeitsplatz verarbeiten oder die Übermittlung der bereits verarbeiteten Daten verlangen, und zwar auch in Abwesenheit der Anforderungen der anderen Bestimmungen des Gesetzes. Die Arbeitgeber wären jedoch weiterhin an die oben erläuterten gesetzlichen Bestimmungen gebunden, wenn sie solche Daten verarbeiten und dann übermitteln.
Am 27. März 2020 hat die türkische Datenschutzbehörde auf ihrer Website eine Ankündigung veröffentlicht, um bestimmte Fragen des Datenschutzes in Arbeitsverhältnissen im Zusammenhang mit dem Coronavirus zu klären. Es wird betont, dass die Arbeitgeber verpflichtet sind, ihre Arbeitnehmer zu informieren, wenn Coronavirus-Fälle am Arbeitsplatz auftreten, damit die erforderlichen Maßnahmen ergriffen werden können. Diese Verpflichtung sollte jedoch erfüllt werden, ohne die Identität der infizierten Arbeitnehmer offenzulegen. In besonderen Fällen, die eine solche Offenlegung erfordern, sollte der betreffende infizierte Arbeitnehmer im Voraus informiert werden. In der Ankündigung wird auch klargestellt, dass die Arbeitgeber bestimmte Informationen von ihren Arbeitnehmern anfordern können, um die Gesundheitsbedingungen am Arbeitsplatz aufrechtzuerhalten, wenn dies erforderlich, verhältnismäßig und auf einer starken Begründung aus Sicht des Risikomanagements basiert sind. Diese Informationen umfassen die letzten Reisen der Arbeitnehmer und ob sie die Symptome des Coronavirus aufweisen. In diesem Zusammenhang würde die Übermittlung der gesundheitsbezogenen Daten der infizierten Arbeitnehmer an die öffentlichen Behörden mit den einschlägigen Bestimmungen des Gesetzes im Einklang stehen.