Was Arbeitnehmer*innen zur Stopp-Corona-App wissen sollten

Pixabay

Guidelines für das Arbeitsleben mit und ohne der Stopp-Corona-App

Die von Rotem Kreuz und Accenture programmierte Stopp-Corona-App soll zur Eindämmung der Corona-Epidemie beitragen, indem sämtliche physische Begegnungen, die näher als einen Meter stattfinden, gespeichert werden und bei Kontakt mit einer infizierten Person bzw. deren Handy eine Warnung ausgeschickt wird. Es wird immer betont, dass die App nur ein freiwilliges Hilfsmittel zur Eindämmung der Corona-Pandemie ist.

“Mit wem warst du zuletzt vernetzt?” das soll die App wissen und so vor einer möglichen Infektion warnen.

Wie Funktioniert die App?

Die App basiert auf den Technologien Bluetooth und Wifi Direct, mittels derer ein „Handshake“ erfolgt, sobald sich zwei Geräte länger als 15 Minuten innerhalb von zwei Metern Distanz aufhalten. Dieser „Handshake“ kann auch manuell durch die Nutzer*innen erfolgen. Diese „digitalen Handschläge“ werden lokal auf den Smartphones der Nutzer*innen gespeichert, um bei Infektion eines/einer Beteiligten, alle Kontakte über eine Covid-19-Infektion zu informieren.

Pixabay

Dieser Vorgang benötigt für die Kommunikation zwischen Android-Geräten keine Internetverbindung und überträgt dabei keine Daten an Dritte, da die notwendige Kommunikation direkt mittels Bluetooth stattfindet (Nearby Connections API). Falls ein iOS-Gerät am digitalen Handshake beteiligt ist, wird im Zuge des Handshakes eine zufällig generierte Kennzahl (“Token”) generiert, welche mithilfe der Google-Cloud-Plattform durch die Handshake-Partner abgeglichen wird (Nearby Messages API).

aus den FAQs des Roten Kreuzes zur Stopp-Corona-App

Auf den Datenschutz wurde beim Programmieren der App viel Wert gelegt. Daten werden vorrangig lokal auf dem jeweiligen Smartphone gespeichert. Die Server für die zum Funktionieren der App benötigten Daten stehen in Europa. Metadaten werden nach 14 Tagen gelöscht, der „digitale Handschlag“ wird nach 7 Tagen gelöscht (bei einer Infektionsmeldung nach 30 Tagen) und lokal auf dem Handy gespeicherte Daten werden mit Löschen der App entfernt. Mit Ende der Epidemie (wann auch immer das sein wird) werden sämtliche Daten gelöscht.

In einer Datenschutzfolgenabschätzung, die erfreulicher Weise öffentlich zugänglich ist, wurde die App einer ausführlichen Prüfung unterzogen.

Corona-Warnung, was dann?

Ungeklärt ist, was nach einer Warnung durch die App passieren soll. Sollten Arbeitgeber*innen also die Installation der App auf den beruflich verwendeten Geräten verlangen, ist unbedingt in einer Betriebsvereinbarung auf Basis des Arbeitsverfassungsgesetzes (oder einer Einzelvereinbarung in Betrieben ohne Betriebsrat) zu klären, welche Folgen eine Installation der App und ganz besonders welche Folgen eine Warnung durch die App hat.

Darf der/die Arbeitgeber*in die Beschäftigten anweisen, die Stopp-Corona-App auf dem Privathandy zu installieren?

Nein, das darf er / sie nicht. Zum Privatleben der Beschäftigten darf ein*e Arbeitgeber*in keine Vorgaben erteilen. Da niemand ein Smartphone besitzen muss, mitführen muss oder aufgedreht haben muss, wird ein solches Verlangen ohnehin leicht ins Leere laufen.

Darf der/die Arbeitgeber*in vorschreiben, die Stopp-Corona-App auf dem Arbeitshandy zu installieren?

Ja, das kann er / sie. Solange es sich um die Hardware des Arbeitgebers/ der Arbeitgeberin handelt, darf der/die Arbeitgeber*in bestimmen, welche Programme darauf laufen müssen. Nachdem es sich dabei allerdings um eine Ordnungsanweisung handelt, ist in Betrieben mit Betriebsrat dazu eine Betriebsvereinbarung abzuschließen.

Darf der/die Arbeitgeber*in vorschreiben, das Arbeitshandy in der Freizeit ständig dabei zu haben?

Nein, ein zwingendes Mitführen des Diensthandys in der Freizeit kann keinesfalls verlangt werden.

Muss es für die Verwendung der Stopp-Corona-App eine Betriebsvereinbarung geben?

Da die Daten der App pseudonymisiert sind und keine Bewegungsprofile erstellt werden, wird die Anordnung des Arbeitgebers/ der Arbeitgeberin zur Installation der App in der Regel wohl eine Ordnungsvorschrift sein (§ 97 Abs 1 Z 1). In Betrieben mit Betriebsrat ist dazu eine Betriebsvereinbarung erzwingbar.

In der Betriebsvereinbarung ist zu regeln, was bei einer Warnung durch die App konkret zu passieren hat.

Als gänzlich freiwillig angebotenes Instrument, wäre die App auch einer freiwilligen Betriebsvereinbarung zugänglich, da es sich um Maßnahmen zum Schutz der Gesundheit der Arbeitnehmer*innen handelt (§ 97 Abs 1 Z 8 ArbVG).

Darf ein*e Arbeitgeber*in Daten über Infektionsfälle an Gesundheitsbehörden melden?

Liegt tatsächlich eine nachgewiesene Infektion vor, muss der/die Arbeitgeber*in über Infektionsfälle Auskunft erteilen (§ 5 Abs. 3 Epidemiegesetz 1950).

Dafür besteht eine entsprechende Rechtsgrundlage im Datenschutzgesetz (Art. 9 Abs. 2 lit. i DSGVO iVm § 10 Abs. 1 DSG).

Dieses Vorgehen ist aber unabhängig von der App.

Darf ein*e Arbeitgeber*in die privaten Kontaktdaten von Arbeitnehmer*innen erheben, um diese schnell über einen Verdacht oder eine Infektion am Arbeitsplatz zu informieren?

Zur Risikoprävention ist es zulässig, dass Arbeitgeber*innen die privaten Kontaktdaten (Handynummer, Emailadresse) der Arbeitnehmer*innen erfragen und temporär speichern, um diese kurzfristig über eine Infektion am Arbeitsplatz warnen zu können und sie allenfalls zu informieren, dass sie nicht am Arbeitsplatz erscheinen müssen. Die erhobenen privaten Kontaktdaten sind nach Ende der Epidemie zu löschen und dürfen nicht anderweitig verwendet werden.

Die Arbeitnehmer*innen können zu dieser Bekanntgabe nicht gezwungen werden. Es darf keine Konsequenzen haben, falls Beschäftigte ihre privaten Kontakte (Email, Handynummer,…) nicht bereitstellen wollen.

Die Datenschutzbehörde stellt auf ihrer Webpage ein Musterformular für die Erhebung privater Kontaktdaten zur Verfügung. Das Musterformular deckt alle datenschutzrechtlichen Vorgaben ab (Widerspruchsrecht, Informationspflichten gemäß Art. 13 DSGVO).

Welche Angaben darf die Gesundheitsbehörde über Infizierte haben?

Gesundheitsbehörden dürfen nach § 4 Abs. 4 Epidemiegesetz 1950 jedenfalls folgende Datenkategorien von mit Covid19 infizierten Personen verarbeiten:

  • Daten zur Identifikation von Erkrankten (Name, Geschlecht, Geburtsdatum, Sozialversicherungsnummer und bereichsspezifisches Personenkennzeichen (bPK) gemäß § 9 E-GovG),
  • die für die anzeigepflichtige Krankheit relevanten klinischen Daten (Vorgeschichte und Krankheitsverlauf) und Labordaten,
  • Daten zum Umfeld des Erkrankten, soweit sie in Bezug zur anzeigepflichtigen Erkrankung stehen, und
  • Daten zu den getroffenen Vorkehrungsmaßnahmen.

Insgesamt bewertet: gut, aber…

Generell ist der Mehrwert für das Berufsleben fraglich. Mit Erkrankten in Kontakt gewesen zu sein, wird im Arbeitszusammenhang ohnehin festgestellt werden (z.B. bei mobiler Pflegetätigkeit). Ein Kontakt mit Erkrankten im Privatleben wird den Arbeitgeber*innen ohnehin gemeldet werden, um weitere Ansteckungen zu vermeiden. Das Epidemiegesetz sieht ohnehin die Übermittlung von Informationen im Falle einer Infektion an die Gesundheitsbehörde vor.

Für Menschen die viel unterwegs sind, viel Kontakte mit unbekannten Menschen haben und ihr Smartphone immer dabei haben, kann es durchaus nützlich sein, sich die App den Privatgebrauch zu installieren. Für Arbeitgeber*innen kann es nur auf eine freiwillige, mit Betriebsvereinbarung abgesicherte Nutzung hinauslaufen. Denn auch in Zeiten der Corona-Pandemie müssen die Persönlichkeitsrechte und Arbeitnehmer*innenrechte gewahrt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

8 + 1 =