Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

20. August 2022

Datenschutz bei Notfall­kontaktdaten im Betrieb

Gut, wenn in solchen Situationen klar ist, welche Kontaktpersonen zu benachrichtigen sind
Bild: iStock.com / huettenhoelscher
4,60 (5)
Rechtmäßigkeit der Verarbeitung
Auch bei größter Vorsicht können Notfälle auf dem Arbeitsweg oder im Betrieb passieren. Da ist es wichtig, die Daten von Notfallkontakten zur Hand zu haben. Wie lässt sich das datenschutzkonform organisieren?

Dass es zu Unfällen und Gefahrensituationen kommt oder dass Beschäftigte chronische oder akute gesundheitliche Probleme haben, ist keine Seltenheit. Neben einer angemessenen medizinischen Reaktion, etwa durch Absetzen eines Notrufs oder Tätigwerden von Ersthelfern, ist es oft wichtig, einen Notfallkontakt zu benachrichtigen.

Die Benachrichtigung dient nicht rein dazu, eine Kontaktperson über die Notlage zu informieren. Sie kann mit ihrem Wissen etwa über Vorerkrankungen, unbekannte Allergien oder regelmäßig einzunehmende Medikamente möglicherweise sogar akute Notsituationen verhindern oder zumindest abmildern.

Anwendbarkeit der DSGVO

Das Problem vieler Betriebe beginnt allerdings früher: Sie müssen die Kontaktdaten der Notfallkontaktperson erfassen und speichern. Damit liegt eine Verarbeitung personenbezogener Daten vor. Sie unterliegt nach Art. 2 Abs. 1 in Verbindung mit Art. 4 Nr. 1, 2 Datenschutz-Grundverordnung (DSGVO) datenschutzrechtlichen Bestimmungen. Insbesondere kommt hier nicht die sogenannte Haushaltsausnahme aus Art. 2. Abs. 2 Buchst. c DSGVO zum Tragen. Denn die Daten sind zwar privater Natur. Doch das Unternehmen oder die Behörde verarbeitet die Daten im beruflichen Kontext.

Rechtsgrundlagen der ­Datenverarbeitung

Für die Verarbeitung dieser personenbezogenen Daten muss damit eine Rechtsgrundlage eröffnet sein.

Einwilligung

Grundsätzlich kommt zunächst die Einwilligung der betroffenen Notfallkontaktperson nach Art. 6 Abs. 1 Buchst. a DSGVO in Betracht, also ihre vorherige, freiwillige und informierte Zustimmung. Allerdings ist es mit einigem Aufwand verbunden, diese Einwilligung einzuholen:

  • Um die Einwilligungserklärung an die Notfallkontaktperson zu versenden, ist zusätzlich ihre Anschrift oder ihre E-Mail-Adresse notwendig. Das führt zu einem Mehr an Verarbeitung von personenbezogenen Daten.
  • Der Betrieb muss die betroffene Person dokumentiert gemäß den Informationspflichten nach Art. 13 DSGVO belehren.
  • Die Einwilligungserklärung muss nachweislich (Art. 7 Abs. 1 DSGVO) erfolgen, also im besten Fall von der Notfallkontaktperson unterschrieben beim Betrieb eingehen.
    Die übrigen für eine wirksame Einwilligung geltenden Voraussetzungen (Art. 7 Abs. 2 DSGVO) müssen erfüllt sein.

Neben dem Aufwand ist das „Risiko“ zu bedenken, dass die Kontaktperson ihre Einwilligung jederzeit widerrufen kann. Allerdings dürfte ein solcher Widerruf kaum ohne Grund erfolgen. Notfallkontaktpersonen werden den Beschäftigten in der Regel nahestehen und ein Interesse an deren Gesundheit haben. Sollte sich dies etwa aufgrund einer Trennung bei Ehegatten oder Lebenspartnern ändern, läge es im allgemeinen Interesse, die Daten nicht mehr zu verarbeiten.

Geeignet, aber aufwendig

Die Einwilligung stellt folglich eine valide Rechtsgrundlage dar. Doch angesichts des Aufwands, der damit verbunden ist, ist es praxisnäher, die Daten ohne formelles Einholen einer Einwilligung zu erfassen. Dafür müsste sich die Verarbeitung der personenbezogenen Daten von Notfallkontaktpersonen auf eine andere Rechtsgrundlage stützen lassen.

Interessenabwägung

Art. 6 Abs. 1 Buchst. f DSGVO könnte ebenfalls als Rechtsgrundlage für die Verarbeitung der Notfallkontaktdaten infrage kommen. Danach ist eine Abwägung der Interessen des Verantwortlichen (Betrieb) oder Dritter (Beschäftigte) mit den Interessen der betroffenen (Notfallkontakt-)Person erforderlich.

  • Die Interessen der betroffenen Person beschränken sich hier auf das „abstrakte“ Interesse, dass keine personenbezogenen Daten verarbeitet werden. Jedoch sind die verarbeiteten Daten – im Regelfall Name und (Mobil-)Telefonnummer – nicht von besonderer Intimität geprägt.
  • Dem gegenüber steht das Interesse der Beschäftigten als „Dritte“, dass der Betrieb z.B. Angehörige über Zwischenfälle informiert und sie ihnen in akuten Notsituationen helfen können.
  • Aus der Fürsorgepflicht des Betriebs ist auch dessen Interesse betroffen.

Angesichts der nur minimal betroffenen Interessen der Notfallkontaktperson kommt diese Rechtsgrundlage damit in Betracht. Es sei jedoch darauf hingewiesen, dass auch hier das Risiko eines Widerspruchs (Art. 21 Abs. 1 Satz 1 DSGVO) besteht.

Schutz lebenswichtiger Interessen

Zuletzt sei Art. 6 Abs. 1 Buchst. d DSGVO betrachtet. Die Rechtsgrundlage verlangt für die Rechtmäßigkeit der Datenverarbeitung den Schutz lebenswichtiger Interessen der betroffenen Person oder Dritter. Diese Rechtsgrundlage soll nach Erwägungsgrund 46 der DSGVO nur angewandt werden, „wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann“.

Da die Einwilligung und die Interessenabwägung als offensichtlich alternative Rechtsgrundlagen in Betracht kommen, scheidet der Schutz lebenswichtiger Interessen als Rechtsgrundlage aus.

Informationspflichten erfüllen

Erhebt ein Betrieb die Notfallkontaktdaten im Rahmen der Einwilligung bei der Notfallkontaktperson, hat er die Informationspflichten nach Art. 13 DSGVO zu erfüllen.

Sofern er die Notfallkontaktdaten nicht bei der Person, sondern im Rahmen der Interessenabwägung direkt von den Beschäftigten erhebt, muss der Betrieb die Informationspflichten nach Art. 14 DSGVO einhalten. In der Praxis gibt es für Letzteres zwei Möglichkeiten:

  • Zum einen lassen sich die Informationen aus Art. 14 DSGVO per E-Mail oder Brief übermitteln. Nachteil ist – wie bei der Einwilligung – die zusätzliche Verarbeitung der Daten „Anschrift“ oder „E-Mail-Adresse“ der Notfallkontaktperson.
  • Daher ist es empfehlenswert, dass die Beschäftigten die Informationen nach Art. 14 DSGVO ihrer jeweiligen Notfallkontaktperson überbringen. Das stellt zum einen sicher, dass die betreffende Person von ihrer Funktion erfährt. Zum anderen ist es nicht erforderlich, personenbezogene Daten für den Versand zu verarbeiten.
  • Zu Dokumentationszwecken ist es bei der zweiten Variante sinnvoll, sich von den Beschäftigten bestätigen zu lassen, dass sie das Informationsschreiben an ihre Notfallkontaktperson übergeben.

Aufbewahrung und Löschung der Notfallkontaktdaten

Abschließend stellt sich die Frage, wo und wie Unternehmen und Behörden die Notfallkontaktdaten aufbewahren und löschen. Zum einen besteht die Möglichkeit, dass die Personalabteilung die Daten in einer zentralen Datei speichert. Zum anderen könnte die jeweilige direkte Führungskraft die Notfallkontaktdaten dezentral aufbewahren. In beiden Fällen ist der Zugriff auf die Daten streng zu limitieren (Need-to-know-Prinzip), und die Daten sind durch technische und organisatorische Maßnahmen zu schützen.

Mit Blick auf Backups, die oft jahrelang vorhanden sind, empfiehlt sich die zweite Variante: die Aufbewahrung in Papierform bei der direkten Führungskraft. Sie wird zudem eine akute Notsituation ihrer Beschäftigten am schnellsten mitbekommen und kann den Notfallkontakt umgehend informieren.

Ändert sich der Notfallkontakt oder scheidet ein Beschäftigter aus, müssen Verantwortliche die Daten der (vormaligen) Notfallkontaktperson datenschutzkonform vernichten und die Daten der neuen datenschutzkonform aufbewahren.

Praxis-Tipp
Die Verarbeitung personenbezogener Daten von Notfallkontaktpersonen der Beschäftigten unterfällt der DSGVO. Hinsichtlich der Rechtsgrundlage kommen die Einwilligung oder die Interessenabwägung in Betracht.

  • Bei der Einwilligung stellt der Betrieb der Notfallkontaktperson die Informationen nach Art. 13 DSGVO direkt zur Verfügung.
  • Bei der Interessenabwägung überbringen die Beschäftigten der Notfallkontaktperson die Informationen nach Art. 14 DSGVO als „Boten“.

Die Notfallkontaktdaten sind im Betrieb datenschutzkonform aufzubewahren und nach Zweckerfüllung, also z.B. wenn ein Beschäftigter aus dem Betrieb ausscheidet, datenschutzkonform zu vernichten.

Dennis Wienemann

Dennis Wienemann
Verfasst von
Dennis Wienemann
Dennis Wienemann
Dennis Wienemann (LL.M.) ist stellvertretender Leiter des Stabsbereichs Compliance bei der Wirtschaftsbetriebe Duisburg – AöR und berät dort als Rechtsassessor vornehmlich zum Datenschutzrecht.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.