23.03.2020Fachbeitrag

Whitepaper Krisenmanagement „COVID-19“

COVID-19 stört weltweit Lieferketten, erschüttert die Börsen und kann durch Quarantänemaßnahmen zu angeordneten Betriebsschließungen führen. Auch wenn die Situation sich sehr dynamisch entwickelt und seriöse Prognosen schwierig zu treffen sind, ist es für alle Unternehmen wichtig, sich durch ein gezieltes Krisenmanagement auf mögliche Szenarien vorzubereiten und so das Vertrauen ihrer Mitarbeiter, Geschäftspartner und Kunden zu sichern. Doch wie stellen Sie ein zielorientiertes Krisenmanagement sicher? Entscheidend hierfür ist ein fundiertes und effizientes Handeln, das auf folgenden Säulen aufbaut:

  • installieren Sie ein Krisenteam
  • nehmen Sie eine individuelle und geordnete Risikoanalyse vor
  • greifen Sie auf fundierte Erkenntnisse und Expertenwissen zurück

I Krisenteam

Um möglichst effizient und schnell handeln zu können, ist es unerlässlich ein Krisenteam zu bilden. In das Krisenteam sollten Sie Verantwortliche aus allen relevanten Abteilungen beordern (nicht nur einladen). Das sind u.a. Personal, Vertrieb, Marketing und Finanzen. Terminieren Sie Sitzungen (Telefonkonferenzen) in regelmäßigen kurzfristigen Abständen, um auf die rasanten Entwicklungen adäquat reagieren zu können.

Weisen Sie Kompetenzen zu! Wer lädt ein? Wer darf die Mitarbeiter, Kunden und/oder Lieferanten informieren? Und vermeiden Sie unbedingt Interessenskonflikte! Ein solcher liegt beispielsweise vor, wenn die Verantwortung und Überprüfung für ein Thema nur einer Person zugewiesen sind.

Dokumentieren Sie die Krisensitzungen! Sie führen damit den Nachweis, dass Sie alles Erdenkliche unter den Umständen getan haben, um die Krise zu managen. Im Nachgang können Sie damit die Erfüllung Ihrer Sorgfaltspflichten nachweisen und Ordnungsgelder oder Regressansprüche abwehren. Zugleich stellen Sie sicher, dass im krankheitsbedingten Ausfall von Mitgliedern des Krisenteams neue Mitglieder nahtlos an die Tätigkeit ihrer Vorgänger anknüpfen können.

II Risikoanalyse

Das Krisenteam sollte zu Beginn seiner Tätigkeit eine individuelle Risikoanalyse durchführen. Die Risikoanalyse hilft Ihnen strukturiert die To-Do’s zu erkennen und zu identifizieren, wann welche Maßnahmen zwingend sind und welche Risiken sich jeweils ergeben.

Hier hat sich in der Praxis die Aufstellung einer Risikotabelle bewährt. Unsere Organisationsberater empfehlen idealerweise eine Klassifizierung der Risiken in vier Stufen (gering, mittel, hoch und sehr hoch). Selbstverständlich können Sie hier auch weitere Stufen im Rahmen Ihrer Analyse vorsehen, jedoch macht dies die Risikoanalyse in der Regel ungleich komplexer. Denken Sie hier lieber in einfachen, gut und leicht nachvollziehbaren Strukturen. Nachfolgend finden Sie einen exemplarischen Aufbau einer möglichen Risikotabelle:

III Wissen – greifen Sie auf Expertenwissen, Bekanntgaben öffentlicher Stellen etc. zurück

Erfinden Sie in dieser Krisensituation nicht das Rad neu, sondern nutzen Sie als Wissensquellen

  1. Bekanntgaben öffentlicher Stellen, wie der Bundesregierung, der Länder, Empfehlungen der Bundes- und Landesämter etc.
  2. das Fachwissen Ihrer Mitarbeiter/externen Berater (z.B. Datenschutzbeauftragte, IT-Sicherheitsbeauftragte zurück) und
  3. holen Sie bei Bedarf zu Einzelfragen Expertenrat ein.

Die nachfolgenden Hinweise sollen Ihnen einen ersten Überblick über einzelne Wissensquellen und Themen bieten, erheben aber keinerlei Anspruch auf Vollständigkeit. Insbesondere im Hinblick auf die angegebenen Fundstellen und Bekanntgaben öffentlicher Stellen kommen täglich neue hinzu; wir bemühen uns um eine regelmäßige Aktualisierung. Rechtliche Themen können hier nur angerissen werden – hier bitten wir Sie die Empfehlungen Ihrer Rechtsberater einzusehen. Hinweise zu arbeitsrechtlichen Fragestellungen finden Sie kurzfristig über www.tigges.legal.

1 Bekanntgaben öffentlicher Quellen – Stand: 15. März 2020:

Bundesrepublik Deutschland

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe

Handbuch Betriebliche Pandemieplanung

BfDI – Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit

Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie

Datenschutzaufsicht Baden-Württemberg

FAQs zum Thema Corona

Bundesministerium für Arbeit und Soziales

„Coronavirus: Arbeitsrechtliche Auswirkungen“ - FAQs

Europäische Union und weitere europäische Staaten

Dänemark
Datatilsynet

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/mar/hvordan-er-det-med-gdpr-og-coronavirus/

Frankreich
CNIL - Commission Nationale de l’Informatique et des Libertés

https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles

Finnland
TT – Tietosuojavaltuutetun toimisto

https://tietosuoja.fi/artikkeli/-/asset_publisher/tietosuoja-ja-koronaviruksen-leviamisen-hillitseminen

Irland
DPC – Data Protection Commission

https://dataprotection.ie/en/news-media/blogs/data-protection-and-covid-19

Italien
Garante per la protezione dei dati personali

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117

Island
PV – Persóna Vernd

https://www.personuvernd.is/personuvernd/frettir/covid-19-og-personuvernd

Niederlande
AP – Autoriteit Persoonsgegev                                             

https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/werk-en-uitkering/mijn-zieke-werknemer

Luxemburg
CNPD – Commission nationale pour la protection des données

https://cnpd.public.lu/fr/actualites/national/2020/03/coronavirus.html

Polen
UODO – Urząd Ochrony Danych Osobowych

https://uodo.gov.pl/pl/138/1456

UK
ICO – Information Commissioner’s Office

https://ico.org.uk/for-organisations/data-protection-and-coronavirus/

Ungarn
NAIH - A Nemzeti Adatvédelmi és Információszabadság Hatóság

https://naih.hu/files/NAIH_2020_2586.pdf

 

2. Datenschutzrechtliche Hinweise – Stand: 15. März 2020

Datenschutzrechtliche Belange kommen insbesondere im Hinblick auf Ihre Beschäftigten zum Tragen. Beachten Sie hier stets den Grundsatz: auch in Krisensituationen bleibt der Beschäftigte „Herr seiner Daten“. Dies gilt umso mehr, als es in dieser Krise in hohem Maße um Gesundheitsdaten gehen wird.

Der Beschäftigte muss gegenüber seinem Arbeitgeber grundsätzlich keine konkreten Angaben zur eigenen Gesundheit machen. In Verdachtsfällen kann jedoch die Pflicht zur ärztlichen Untersuchung durch eine Gesundheitsbehörde bestehen. Auch kann anlässlich der Rückkehr von Reisen oder Erkrankungen im persönlichen Umfeld eine Auskunftspflicht über Aufenthaltsorte oder Kontaktpersonen bestehen, um Ihnen als Arbeitgeber eine Einschätzung zu Gesundheitsrisiken für den Betroffenen und andere Beschäftigte zu ermöglichen.

Zulässigkeit der Verarbeitung von Gesundheitsdaten der Beschäftigten

Ob die Verarbeitung von Gesundheitsdaten der Beschäftigten zulässig ist oder nicht, richtet sich nach Art 9 DSGVO, Art 88 DSGV in Verbindung mit § 26 Abs. 3 BDSG. Danach ist die Verarbeitung sensibler Daten wie Gesundheitsdaten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie u.a. zur Erfüllung rechtlicher Pflichten des Arbeitgebers aus dem Arbeitsrecht erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Die rechtliche Verpflichtung besteht hier in der Erfüllung der Vorschriften des § 618 Abs. 1 BGB i.V.m. § 3 ArbSchG. Der Arbeitgeber hat nach dem Arbeitsschutzgesetz grundsätzlich die Verpflichtung, die Gefahren für die Sicherheit und Gesundheit für seine Beschäftigten am Arbeitsplatz zu beurteilen (sog. Gefährdungsbeurteilung) und Maßnahmen hieraus abzuleiten.

Es ergibt sich ein Spannungsfeld: Der Arbeitgeber muss einerseits seine Fürsorgepflicht erfüllen, indem er die Beschäftigten vor einer Infizierung schützt, darf andererseits aber die Datenschutz- und Persönlichkeitsrechte der Beschäftigten nicht verletzen.

Ob eine Maßnahme zulässig ist, richtet sich dabei maßgeblich nach dem Kriterium der Erforderlichkeit. Im Rahmen der Prüfung der Erforderlichkeit einer Verarbeitung sind die widerstreitenden Positionen von Arbeitgeber und Beschäftigten abzuwägen. Dabei muss das Interesse des Arbeitgebers an der Verarbeitung mit dem Persönlichkeitsrecht des Beschäftigten in einen schonenden Ausgleich gebracht werden. Diese eher theoretische Definition besagt letztlich, dass die Interessen beider Seiten abgewogen werden müssen, dass das Mittel für den verfolgten Zweck geeignet sein muss und kein milderes gleich wirksames Mittel zur Verfügung steht.

Dabei zu beachten sind auch die Grundsätze des Datenschutzrechts aus Art. 5 DSGVO. Insbesondere die Grundsätze der Fairness („Treu und Glauben“) und der Transparenz gem. Art. 5 Abs. 1 lit. a DSGVO, sowie der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO kommen im Rahmen der Interessenabwägung besonders zum Tragen. Danach müssen Datenverarbeitungen für die Betroffenen vorhersehbar sein, sie müssen über Art und Umfang der Datenverarbeitung informiert werden und die Datenverarbeitung muss auf das notwendige Minimum beschränkt werden, um den verfolgten Zweck zu erreichen. Wenn all dies gut umsetzt wird, beeinflusst dies positiv die Abwägung im Rahmen der Erforderlichkeitsprüfung.

Was dürfen Sie? Was nicht?

Dies ist derzeit schwierig abschließend zu beurteilen – die Ereignisse überschlagen sich und es gibt noch keine einheitliche Linie der europäischen Datenschutzaufsichtsbehörden. Nachfolgend kann daher lediglich eine vorläufige erste Einschätzung gegeben werden.

Zulässige Maßnahmen

Unzulässige Maßnahmen

Erhebung von Informationen, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte, z.B. die Befragung von Urlaubsrückkehrern, ob sie sich in einem Risikogebiet aufgehalten haben.

Sie dürfen den Beschäftigten nicht unter Nennung des konkreten Namens mitteilen, dass ein bestimmter Mitarbeiter am Virus erkrankt ist, da die Kenntnis von der Corona-Erkrankung eines Mitarbeiters für diesen zu einer enormen Stigmatisierung führen kann. Maßnahmen sind stattdessen abteilungs-/ bzw. teambezogen ohne konkrete Namensnennung zu ergreifen. Mitarbeiter mit direktem Kontakt zu Infizierten sollten gewarnt und vorübergehend freigestellt werden.

Auf Anfrage der Gesundheitsbehörde: Übermittlung von Daten über erkrankte Beschäftigte, über Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten.

Pauschale Befragungen aller Mitarbeiter zu Reisezielen, insbesondere ohne konkrete Anhaltspunkte oder Reisen.

Erhebung einer freiwilligen Selbstauskunfts- oder Fragebögen zu Aufenthaltsort und Symptomen.

Pauschale Befragungen aller Mitarbeiter zu ihrem Gesundheitszustand (z.B. über Grippesymptome).

Bei positivem Befund eines Mitarbeiters (durch eine offizielle Stelle) oder sogar bei einem bestätigten Kontakt zu einer positiv getesteten Person dürfen Informationen über den betroffenen Mitarbeiter verarbeitet werden, z.B. Zeitpunkt und enge Kontaktpersonen sowie ergriffene Maßnahmen (vgl. französische Datenschutzaufsicht)

Eine Meldepflicht für Mitarbeiter, wenn ein Kollege Symptome zeigt (vgl. italienische Datenschutzaufsicht).

Mit Einverständnis des Beschäftigten: Erhebung der aktuellen privaten Handynummern oder anderer Kontaktdaten zur Information bei Schließung des Betriebs oder in ähnlichen Fällen (vgl. Handbuch „Betriebliche Pandemieplanung“ Bundesamt für Bevölkerungsschutz und Katastrophenhilfe)

Die verpflichtende Fiebermessung von Mitarbeitern am Eingang des Betriebsgeländes oder ähnliche medizinische Maßnahmen (z.B. Rachenabstriche für Speichelproben). Diese Maßnahme kann in Einzelfällen zulässig sein => dies bedarf indes einer sorgfältigen Abwägung der Interessen aller Beteiligten.

3. Hinweise zur Daten- und Informationssicherheit – Stand: 15. März 2020

Prüfen Sie kritisch die Risiken der Daten- und Informationssicherheit u.a. bei folgenden Maßnahmen:

Maßnahme

Anmerkung

Home Office

Einrichtung VPN; Einsatz von Dienstgeräten; Home Office-/Telearbeit-Richtlinie

Videokonferenzen und Co.

Pauschale Befragungen aller Mitarbeiter zu Reisezielen, insbesondere ohne konkrete Anhaltspunkte oder Reisen.

Zugangssperren zu sensiblen Bereichen

Zulässig? Erforderlich? Möglich?

Einschränkung der Besuchsmöglichkeiten

Zulässig? Erforderlich? Möglich?

4. Arbeitsrechtliche Hinweise – Stand: 15. März 2020

Hinweise zum Arbeitsrecht der TIGGES Rechtsanwälte finden Sie kurzfristig unter www.tigges.legal.

PDF laden

Mehr zu diesen Themen