Guidelines für das Arbeitsleben mit und ohne der Stopp-Corona-App
Dieser Beitrag ist am 4.5.2020 am Blog Arbeit und Technik erschienen.
Die von Rotem Kreuz und Accenture programmierte Stopp-Corona-App soll zur Eindämmung der Corona-Epidemie beitragen, indem sämtliche physische Begegnungen, die näher als einen Meter stattfinden, gespeichert werden und bei Kontakt mit einer infizierten Person bzw. deren Handy eine Warnung ausgeschickt wird. Es wird immer betont, dass die App nur ein freiwilliges Hilfsmittel zur Eindämmung der Corona-Pandemie ist.
„Mit wem warst du zuletzt vernetzt?“ das soll die App wissen und so vor einer möglichen Infektion warnen.
Wie Funktioniert die App?
Die App basiert auf den Technologien Bluetooth und Wifi Direct, mittels derer ein „Handshake“ erfolgt sobald sich zwei Geräte länger als 15 Minuten innerhalb von zwei Metern Distanz aufhalten. Dieser „Handshake“ kann auch manuell durch die NutzerInnen erfolgen. Diese „digitalen Handschläge“ werden lokal auf den Smartphones der NutzerInnen gespeichert, um bei Infektion eines/einer Beteiligten, alle Kontakte über eine Covid-19-Infektion zu informieren.
Dieser Vorgang benötigt für die Kommunikation zwischen Android-Geräten keine Internetverbindung und überträgt dabei keine Daten an Dritte, da die notwendige Kommunikation schließlich direkt mittels Bluetooth stattfindet (Nearby Connections API). Falls ein iOS-Gerät am digitalen Handshake beteiligt ist, wird im Zuge des Handshakes eine zufällig generierte Kennzahl („Token“) generiert, welche mithilfe der Google-Cloud-Plattform durch die Handshake-Partner abgeglichen wird (Nearby Messages API).
aus den FAQs des Roten Kreuzes zur Stopp-Corona-App
Auf den Datenschutz wurde beim Programmieren der App viel Wert gelegt. Daten werden vorrangig lokal auf dem jeweiligen Smartphone gespeichert. Die Server für die zum Funktionieren der App benötigten Daten stehen in Europa. Metadaten werden nach 14 Tagen gelöscht, der „digitale Handschlag“ wird nach 7 Tagen gelöscht (bei einer Infektionsmeldung nach 30 Tagen) und lokal auf dem Handy gespeicherte Daten werden mit Löschen der App entfernt. Mit Ende der Epidemie (wann auch immer das sein wird) werden sämtliche Daten gelöscht.
In einer Datenschutzfolgenabschätzung, die erfreulicher Weise öffentlich zugänglich ist, wurde die App einer ausführlichen Prüfung unterzogen.
Corona-Warnung, was dann?
Ungeklärt ist, was nach einer Warnung durch die App passieren soll. Sollten Arbeitgeber*innen also die Installation der App auf den beruflich verwendeten Geräten verlangen, ist unbedingt in einer Betriebsvereinbarung auf Basis des Arbeitsverfassungsgesetztes (oder einer Einzelvereinbarung in Betrieben ohne Betriebsrat) zu klären, welche Folgen eine Installation der App und ganz besonders welche Folgen eine Warnung durch die App hat.
Darf der/die ArbeitgeberIn die Beschäftigten anweisen, die Stopp-Corona-App auf dem Privathandy zu installieren?
Nein, das darf er / sie nicht. Zum Privatleben der Beschäftigten darf ein/e ArbeitgeberIn keine Vorgaben erteilen. Da niemand ein Smartphone besitzen muss, mitführen muss oder aufgedreht haben muss, wird ein solches Verlangen ohnehin leicht ins Leere laufen.
Darf der/die ArbeitgeberIn vorschreiben, die Stopp-Corona-App auf dem Arbeitshandy zu installieren?
Ja, das kann er / sie. Solange es sich um die Hardware des Arbeitgebers/ der Arbeitgeberin handelt, darf der/die ArbeitgeberIn bestimmen, welche Programme darauf laufen müssen. Nachdem es sich dabei allerdings um eine Ordnungsanweisung handelt, ist in Betrieben mit Betriebsrat dazu eine Betriebsvereinbarung abzuschließen.
Darf der/die ArbeitgeberIn vorschreiben das Arbeitshandy in der Freizeit dabei zu haben um die Stopp-Corona-App zu nutzen?
Nein, ein zwingendes Mitführen des Diensthandys in der Freizeit kann keinesfalls verlangt werden.
Muss es für die Verwendung der Stopp-Corona-App eine Betriebsvereinbarung geben?
Da die Daten der App pseudonymisiert sind und keine Bewegungsprofile erstellt werden, wird die Anordnung des Arbeitgebers/ der Arbeitgeberin zur Installation der App in der Regel wohl eine Ordnungsvorschrift sein (§ 97 Abs 1 Z 1). In Betrieben mit Betriebsrat ist dazu eine Betriebsvereinbarung erzwingbar.
In der Betriebsvereinbarung ist zu regeln, was bei einer Warnung durch die App konkret zu passieren hat.
Als gänzlich freiwillig angebotenes Instrument, wäre die App auch einer freiwilligen Betriebsvereinbarung zugänglich, da es sich um Maßnahmen zum Schutz der Gesundheit der Arbeitnehmer*innen handelt (§ 97 Abs 1 Z 8 ArbVG).
Darf ein/e ArbeitgeberIn Daten über Infektionsfälle an Gesundheitsbehörden melden?
Liegt tatsächlich eine nachgewiesene Infektion vor, muss der/die ArbeitgeberIn über Infektionsfälle Auskunft erteilen (§ 5 Abs. 3 Epidemiegesetz 1950).
Dafür besteht eine entsprechende Rechtsgrundlage im Datenschutzgesetz (Art. 9 Abs. 2 lit. i DSGVO iVm § 10 Abs. 1 DSG).
Darf ein/e ArbeitgeberIn die privaten Kontaktdaten von ArbeitnehmerInnen erheben, um diese schnell über einen Verdacht oder eine Infektion am Arbeitsplatz zu informieren?
Zur Risikoprävention ist es zulässig, dass ArbeitgeberInnen die privaten Kontaktdaten (Handynummer, Emailadresse,…) der ArbeitnehmerInnen erfragen und temporär speichern, um diese kurzfristig über eine Infektion am Arbeitsplatz warnen zu können und sie allenfalls zu informieren, dass sie nicht am Arbeitsplatz erscheinen müssen. Die erhobenen privaten Kontaktdaten sind nach Ende der Epidemie zu löschen und dürfen nicht anderweitig verwendet werden.
Die ArbeitnehmerInnen können zu dieser Bekanntgabe nicht gezwungen werden. Es darf keine Konsequenzen haben, falls Beschäftigte ihre privaten Kontakte (Email, Handynummer,…) nicht bereitstellen wollen.
Die Datenschutzbehörde stellt auf ihrer Webpage ein Musterformular für die Erhebung privater Kontaktdaten zur Verfügung. Das Musterformular deckt alle datenschutzrechtlichen Vorgaben ab (Widerspruchsrecht, Informationspflichten gemäß Art. 13 DSGVO).
Welche Angaben darf die Gesundheitsbehörde über Infizierte haben?
Gesundheitsbehörden dürfen nach § 4 Abs. 4 Epidemiegesetz 1950 jedenfalls folgende Datenkategorien von Infizierten verarbeiten:
- Daten zur Identifikation von Erkrankten (Name, Geschlecht, Geburtsdatum, Sozialversicherungsnummer und bereichsspezifisches Personenkennzeichen (bPK) gemäß § 9 E-GovG),
- die für die anzeigepflichtige Krankheit relevanten klinischen Daten (Vorgeschichte und Krankheitsverlauf) und Labordaten,
- Daten zum Umfeld des Erkrankten, soweit sie in Bezug zur anzeigepflichtigen Erkrankung stehen, und
- Daten zu den getroffenen Vorkehrungsmaßnahmen.
Insgesamt bewertet: gut, aber…
Generell ist der Mehrwert für das Berufsleben fraglich. Mit Erkrankten in Kontakt gewesen zu sein, wird im Arbeitszusammenhang ohnehin festgestellt werden (z.B. bei mobiler Pflegetätigkeit). Ein Kontakt mit Erkrankten im Privatleben wird den ArbeitgeberInnen ohnehin geemldet werden, um weitere Ansteckungen zu vermeiden. Das Epidemiegesetz sieht ohnehin die Übermittlung von Informationen im Falle einer Infektion an die Gesundheitsbehörde vor.
Für Menschen die viel unterwegs sind, viel Kontakte mit unbekannten Menschen haben und ihr Smartphone immer dabei haben, kann es durchaus nützlich sein, sich die Appden Privatgebrauch zu installieren. Für ArbeitgeberInnen kann es nur auf eine freiwillige, mit Betriebsvereibarung abgesicherte Nutzung hinauslaufen. Denn auch in Zeiten der Corona-Pandemie müssen die Persönlichkeitsrechte und Arbeitnehmerinnenrechte gewahrt werden.
