Doch wie stellen Sie ein zielorientiertes Krisenmanagement sicher? Entscheidend hierfür ist ein fundiertes und effizientes Handeln, das auf folgenden Säulen aufbaut:
- installieren Sie ein Krisenteam
- nehmen Sie eine individuelle und geordnete Risikoanalyse vor
- greifen Sie auf fundierte Erkenntnisse und Expertenwissen zurück
I. Krisenteam:
Um möglichst effizient und schnell handeln zu können, ist es unerlässlich ein Krisenteam zu bilden. In das Krisenteam sollten Sie Verantwortliche aus allen relevanten Abteilungen beordern (nicht nur einladen). Das sind u.a. Personal, Vertrieb, Marketing und Finanzen. Terminieren Sie Sitzungen (Telefonkonferenzen) in regelmäßigen kurzfristigen Abständen, um auf die rasanten Entwicklungen adäquat reagieren zu können.
Weisen Sie Kompetenzen zu! Wer lädt ein? Wer darf die Mitarbeiter, Kunden und/oder Lieferanten informieren? Und vermeiden Sie unbedingt Interessenskonflikte! Ein solcher liegt beispielsweise vor, wenn die Verantwortung und Überprüfung für ein Thema nur einer Person zugewiesen sind.
Dokumentieren Sie die Krisensitzungen! Sie führen damit den Nachweis, dass Sie alles Erdenkliche unter den Umständen getan haben, um die Krise zu managen. Im Nachgang können Sie damit die Erfüllung Ihrer Sorgfaltspflichten nachweisen und Ordnungsgelder oder Regressansprüche abwehren. Zugleich stellen Sie sicher, dass im krankheitsbedingten Ausfall von Mitgliedern des Krisenteams neue Mitglieder nahtlos an die Tätigkeit ihrer Vorgänger anknüpfen können.
II. Risikoanalyse:
Das Krisenteam sollte zu Beginn seiner Tätigkeit eine individuelle Risikoanalyse durchführen. Die Risikoanalyse hilft Ihnen strukturiert die To-Do’s zu erkennen und zu identifizieren, wann welche Maßnahmen zwingend sind und welche Risiken sich jeweils ergeben.
Hier hat sich in der Praxis die Aufstellung einer Risikotabelle bewährt. Unsere Organisationsberater empfehlen idealerweise eine Klassifizierung der Risiken in vier Stufen (gering, mittel, hoch und sehr hoch). Selbstverständlich können Sie hier auch weitere Stufen im Rahmen Ihrer Analyse vorsehen, jedoch macht dies die Risikoanalyse in der Regel ungleich komplexer. Denken Sie hier lieber in einfachen, gut und leicht nachvollziehbaren Strukturen. Nachfolgend finden Sie einen exemplarischem Aufbau einer möglichen Risikotabelle:
| Risikostufe | Wann greift diese Stufe? | Schwere und Wahrscheinlichkeit der Auswirkungen für Ihr Unternehmen | Maßnahmen, die Sie dazu vorgesehen haben | Kommunikation, die Sie dazu durchführen |
|---|---|---|---|---|
| Gering | latente Bedrohung
keine Infektionsfälle im Unternehmen und in der Nachbarschaft |
geringe bis unbedeutende Auswirkungen, aber hohe Wahrscheinlichkeit | Präventive Maßnahmen, z.B.
Hygienepläne Desinfektionsmittel-beschaffung Empfehlung zur Verschiebung von Dienstreisen und größeren Eventbesuchen Vorbereitung der IT-Infrastruktur für dezentrales Arbeiten |
Hygieneschulung für alle Mitarbeiter
Aushang von Anleitungen |
| Mittel | Verdachts- oder Infektionsfälle in unmittelbarer Nähe zum Unternehmen oder Mitarbeitern des Unternehmens. | merkliche Auswirkungen, steigende Wahrscheinlichkeit im Verlauf der Ausbreitung in der Bevölkerung | Verbot von Dienstreisen
Krisenpersonalplan: Räumliche / zeitliche Trennung von Schichten / Teams / Gruppen besondere Prävention für Schlüsselpersonal Krisen IT-Plan Absage von Veranstaltungen |
Aufklärung an die Mitarbeiter über Verbreitung und Gefahren der Infektion
Appell zum Schutz schwächerer Personen Verpflichtung auf Einhaltung aller Präventionsmaßnahmen |
| Hoch | Verdachts- oder Infektionsfälle im Unternehmen. Schließung von Abteilungen bzw. Ausfall einzelner Abteilungen, die jedoch substituiert werden können. | hohe Auswirkungen – geringe Wahrscheinlichkeit (regelmäßig neu zu bewerten) | Anordnung Homeoffice
Umsetzung des Krisenpersonal- und Krisen IT-Plans Information über staatliche Hilfen und sonstige finanzielle Stabilisierungsmaßnamen |
Kommunikation an alle relevanten Stakeholdergruppen |
| Sehr hoch | Ausfall der Produktion oder Teilen davon, die nicht substituiert werden können. | existenzielle Auswirkungen, sehr geringe Wahrscheinlichkeit (regelmäßig neu zu bewerten) | Aktivierung staatlicher Hilfen, Versicherungen
Personalmaßnahmen |
Kommunikation an alle relevanten Stakeholdergruppen
ggf. Kommunikation an die Presse |
Hinweis: Die aufgeführten Maßnahmen sind unternehmensabhängig zu definieren und stellen nur Beispiele dar.
III. Wissen – greifen Sie auf Expertenwissen, Bekanntgaben öffentlicher Stellen etc. zurück
Erfinden Sie in dieser Krisensituation nicht das Rad neu, sondern nutzen Sie als Wissensquellen
- Bekanntgaben öffentlicher Stellen, wie der Bundesregierung, der Länder, Empfehlungen der Bundes- und Landesämter etc.
- das Fachwissen Ihrer Mitarbeiter/externen Berater (z.B. Datenschutzbeauftragte, IT-Sicherheitsbeauftragte zurück) und
- holen Sie bei Bedarf zu Einzelfragen Expertenrat ein.
Die nachfolgenden Hinweise sollen Ihnen einen ersten Überblick über einzelne Wissensquellen und Themen bietet, erheben aber keinerlei Anspruch auf Vollständigkeit. Insbesondere im Hinblick auf die angegebenen Fundstellen und Bekanntgaben öffentlicher Stellen kommen täglich neue hinzu; wir bemühen uns um eine regelmäßige Aktualisierung. Rechtliche Themen können hier nur angerissen werden – hier bitten wir Sie die Empfehlungen Ihrer Rechtsberater einzusehen. Hinweise zu arbeitsrechtlichen Fragestellungen finden Sie hier.
1. Bekanntgaben öffentlicher Quellen – Stand: 15. März 2020:
Bundesrepublik Deutschland
- Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
Handbuch Betriebliche Pandemieplanung - BfDI – Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit
Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie - Datenschutzaufsicht Baden-Württemberg
FAQs zum Thema Corona - Bundesministerium für Arbeit und Soziales
„Coronavirus: Arbeitsrechtliche Auswirkungen“ – FAQs
Europäische Union und weitere europäische Staaten
- Dänemark: Datatilsynet
- Frankreich: CNIL – Commission Nationale de l’Informatique et des Libertés
- Finnland: TT – Tietosuojavaltuutetun toimisto
- Irland: DPC – Data Protection Commission
- Italien: Garante per la protezione dei dati personali
- Island: PV – Persóna Vernd
- Niederlande: AP – Autoriteit Persoonsgegevens
- Luxemburg: CNPD – Commission nationale pour la protection des données
- Polen: UODO – Urząd Ochrony Danych Osobowych
- UK: ICO – Information Commissioner’s Office
- Ungarn: NAIH – A Nemzeti Adatvédelmi és Információszabadság Hatóság
2. Datenschutzrechtliche Hinweise – Stand 15. März 2020:
Datenschutzrechtliche Belange kommen insbesondere im Hinblick auf Ihre Beschäftigten zum Tragen. Beachten Sie hier stets den Grundsatz: auch in Krisensituationen bleibt der Beschäftigte „Herr seiner Daten“. Dies gilt umso mehr, als es in dieser Krise in hohem Maße um Gesundheitsdaten gehen wird.
Der Beschäftigte muss gegenüber seinem Arbeitgeber grundsätzlich keine konkreten Angaben zur eigenen Gesundheit machen. In Verdachtsfällen kann jedoch die Pflicht zur ärztlichen Untersuchung durch eine Gesundheitsbehörde bestehen. Auch kann anlässlich der Rückkehr von Reisen oder Erkrankungen im persönlichen Umfeld eine Auskunftspflicht über Aufenthaltsorte oder Kontaktpersonen bestehen, um Ihnen als Arbeitgeber eine Einschätzung zu Gesundheitsrisiken für den Betroffenen und andere Beschäftigte zu ermöglichen.
Zulässigkeit der Verarbeitung von Gesundheitsdaten der Beschäftigten
Ob die Verarbeitung von Gesundheitsdaten der Beschäftigten zulässig ist oder nicht, richtet sich nach Art 9 DSGVO, Art 88 DSGVO in Verbindung mit § 26 Abs. 3 BDSG. Danach ist die Verarbeitung sensibler Daten wie Gesundheitsdaten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie u.a. zur Erfüllung rechtlicher Pflichten des Arbeitgebers aus dem Arbeitsrecht erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.
Die rechtliche Verpflichtung besteht hier in der Erfüllung der Vorschriften des § 618 Abs. 1 BGB i.V.m. § 3 ArbSchG. Der Arbeitgeber hat nach dem Arbeitsschutzgesetz grundsätzlich die Verpflichtung, die Gefahren für die Sicherheit und Gesundheit für seine Beschäftigten am Arbeitsplatz zu beurteilen (sog. Gefährdungsbeurteilung) und Maßnahmen hieraus abzuleiten.
Es ergibt sich ein Spannungsfeld: Der Arbeitgeber muss einerseits seine Fürsorgepflicht erfüllen, indem er die Beschäftigten vor einer Infizierung schützt, darf andererseits aber die Datenschutz- und Persönlichkeitsrechte der Beschäftigten nicht verletzen.
Ob eine Maßnahme zulässig ist, richtet sich dabei maßgeblich nach dem Kriterium der Erforderlichkeit. Im Rahmen der Prüfung der Erforderlichkeit einer Verarbeitung sind die widerstreitenden Positionen von Arbeitgeber und Beschäftigten abzuwägen. Dabei muss das Interesse des Arbeitgebers an der Verarbeitung mit dem Persönlichkeitsrecht des Beschäftigten in einen schonenden Ausgleich gebracht werden. Diese eher theoretische Definition besagt letztlich, dass die Interessen beider Seiten abgewogen werden müssen, dass das Mittel für den verfolgten Zweck geeignet sein muss und kein milderes gleich wirksames Mittel zur Verfügung steht.
Dabei zu beachten sind auch die Grundsätze des Datenschutzrechts aus Art. 5 DSGVO. Insbesondere die Grundsätze der Fairness („Treu und Glauben“) und der Transparenz gem. Art. 5 Abs. 1 lit. a DSGVO, sowie der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO kommen im Rahmen der Interessenabwägung besonders zum Tragen. Danach müssen Datenverarbeitungen für die Betroffenen vorhersehbar sein, sie müssen über Art und Umfang der Datenverarbeitung informiert werden und die Datenverarbeitung muss auf das notwendige Minimum beschränkt werden, um den verfolgten Zweck zu erreichen. Wenn all dies gut umsetzt wird, beeinflusst dies positiv die Abwägung im Rahmen der Erforderlichkeitsprüfung.
Was dürfen Sie? Was nicht?
Dies ist derzeit schwierig abschließend zu beurteilen – die Ereignisse überschlagen sich und es gibt noch keine einheitliche Linie der europäischen Datenschutzaufsichtsbehörden. Nachfolgend kann daher lediglich eine vorläufige erste Einschätzung gegeben werden.
| Zulässige Maßnahmen | Unzulässige Maßnahmen |
|---|---|
| Erhebung von Informationen, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte, z.B. die Befragung von Urlaubsrückkehrern, ob sie sich in einem Risikogebiet aufgehalten haben | Sie dürfen den Beschäftigten nicht unter Nennung des konkreten Namens mitteilen, dass ein bestimmter Mitarbeiter am Virus erkrankt ist, da die Kenntnis von der Corona-Erkrankung eines Mitarbeiters für diesen zu einer enormen Stigmatisierung führen kann. Maßnahmen sind stattdessen abteilungs-/ bzw. teambezogen ohne konkrete Namensnennung zu ergreifen. Mitarbeiter mit direktem Kontakt zu Infizierten sollten gewarnt und vorübergehend freigestellt werden. |
| Auf Anfrage der Gesundheitsbehörde: Übermittlung von Daten über erkrankte Beschäftigte, über Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten | Pauschale Befragungen aller Mitarbeiter zu Reisezielen, insbesondere ohne konkrete Anhaltspunkte oder Reisen. |
| Erhebung einer freiwilligen Selbstauskunfts- oder Fragebögen zu Aufenthaltsort und Symptomen | Pauschale Befragungen aller Mitarbeiter zu ihrem Gesundheitszustand (z.B. über Grippesymptome). |
| Bei positivem Befund eines Mitarbeiters (durch eine offizielle Stelle) oder sogar bei einem bestätigten Kontakt zu einer positiv getesteten Person dürfen Informationen über den betroffenen Mitarbeiter verarbeitet werden, z.B. Zeitpunkt und enge Kontaktpersonen sowie ergriffene Maßnahmen (vgl. französische Daten-schutzaufsicht) | Eine Meldepflicht für Mitarbeiter, wenn ein Kollege Symptome zeigt (vgl. italienische Datenschutzaufsicht). |
| Mit Einverständnis des Beschäftigten: Erhebung der aktuellen privaten Handynummern oder anderer Kontaktdaten zur Information bei Schließung des Betriebs oder in ähnlichen Fällen (vgl. Handbuch „Betriebliche Pandemieplanung“ Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) | Die verpflichtende Fiebermessung von Mitarbeitern am Eingang des Betriebsgeländes oder ähnliche medizinische Maßnahmen (z.B. Rachenabstriche für Speichelproben). Diese Maßnahme kann in Einzelfällen zulässig sein => dies bedarf indes einer sorgfältigen Abwägung der Interessen aller Beteiligten. |
3. Hinweise zur Daten- und Informationssicherheit – Stand 15. März 2020:
Prüfen Sie kritisch die Risiken der Daten- und Informationssicherheit u.a. bei folgenden Maßnahmen:
| Maßnahme | Anmerkung |
|---|---|
| Home Office | Einrichtung VPN; Einsatz von Dienstgeräten; Home Office-/Telearbeit-Richtlinie |
| Videokonferenzen und Co. | Auswahl des Anbieters; etwaig erforderliche Vereinbarung zur Auftragsverarbeitung |
| Zugangssperren zu sensiblen Bereichen | Zulässig? Erforderlich? Möglich? |
| Einschränkung der Besuchsmöglichkeiten | Zulässig? Erforderlich? Möglich? |
4. Arbeitsrechtliche Hinweise – Stand 15. März 2020:
Hinweise zum Arbeitsrecht der TIGGES Rechtsanwälte finden Sie hier.
Hier finden Sie eine Download-Version dieses Whitepapers. Wir sind bemüht, diese Informationen so aktuell wie möglich zu halten.
Im Übrigen unterstützen wir Sie gern – bitte zögern Sie nicht uns anzusprechen. Ihr Team der TIGGES DCO!
