COVID-19 stört weltweit Lieferketten, erschüttert die Börsen und kann durch Quarantänemaßnahmen zu angeordneten Betriebsschließungen führen. Auch wenn die Situation sich sehr dynamisch entwickelt und seriöse Prognosen schwierig zu treffen sind, ist es für alle Unternehmen wichtig, sich durch ein gezieltes Krisenmanagement auf mögliche Szenarien vorzubereiten und so das Vertrauen ihrer Mitarbeiter, Geschäftspartner und Kunden zu sichern.

Doch wie stellen Sie ein zielorientiertes Krisenmanagement sicher? Entscheidend hierfür ist ein fundiertes und effizientes Handeln, das auf folgenden Säulen aufbaut:

  • installieren Sie ein Krisenteam
  • nehmen Sie eine individuelle und geordnete Risikoanalyse vor
  • greifen Sie auf fundierte Erkenntnisse und Expertenwissen zurück

I. Krisenteam:

Um möglichst effizient und schnell handeln zu können, ist es unerlässlich ein Krisenteam zu bilden. In das Krisenteam sollten Sie Verantwortliche aus allen relevanten Abteilungen beordern (nicht nur einladen). Das sind u.a. Personal, Vertrieb, Marketing und Finanzen. Terminieren Sie Sitzungen (Telefonkonferenzen) in regelmäßigen kurzfristigen Abständen, um auf die rasanten Entwicklungen adäquat reagieren zu können.

Weisen Sie Kompetenzen zu! Wer lädt ein? Wer darf die Mitarbeiter, Kunden und/oder Lieferanten informieren? Und vermeiden Sie unbedingt Interessenskonflikte! Ein solcher liegt beispielsweise vor, wenn die Verantwortung und Überprüfung für ein Thema nur einer Person zugewiesen sind.

Dokumentieren Sie die Krisensitzungen! Sie führen damit den Nachweis, dass Sie alles Erdenkliche unter den Umständen getan haben, um die Krise zu managen. Im Nachgang können Sie damit die Erfüllung Ihrer Sorgfaltspflichten nachweisen und Ordnungsgelder oder Regressansprüche abwehren. Zugleich stellen Sie sicher, dass im krankheitsbedingten Ausfall von Mitgliedern des Krisenteams neue Mitglieder nahtlos an die Tätigkeit ihrer Vorgänger anknüpfen können.

II. Risikoanalyse:

Das Krisenteam sollte zu Beginn seiner Tätigkeit eine individuelle Risikoanalyse durchführen. Die Risikoanalyse hilft Ihnen strukturiert die To-Do’s zu erkennen und zu identifizieren, wann welche Maßnahmen zwingend sind und welche Risiken sich jeweils ergeben.

Hier hat sich in der Praxis die Aufstellung einer Risikotabelle bewährt. Unsere Organisationsberater empfehlen idealerweise eine Klassifizierung der Risiken in vier Stufen (gering, mittel, hoch und sehr hoch). Selbstverständlich können Sie hier auch weitere Stufen im Rahmen Ihrer Analyse vorsehen, jedoch macht dies die Risikoanalyse in der Regel ungleich komplexer. Denken Sie hier lieber in einfachen, gut und leicht nachvollziehbaren Strukturen. Nachfolgend finden Sie einen exemplarischem Aufbau einer möglichen Risikotabelle:

Risikostufe Wann greift diese Stufe? Schwere und Wahrscheinlichkeit der Auswirkungen für Ihr Unternehmen Maßnahmen, die Sie dazu vorgesehen haben Kommunikation, die Sie dazu durchführen
Gering latente Bedrohung

keine Infektionsfälle im Unternehmen und in der Nachbarschaft

geringe bis unbedeutende Auswirkungen, aber hohe Wahrscheinlichkeit Präventive Maßnahmen, z.B.

Hygienepläne

Desinfektionsmittel-beschaffung

Empfehlung zur Verschiebung von Dienstreisen und größeren Eventbesuchen

Vorbereitung der IT-Infrastruktur für dezentrales Arbeiten

Hygieneschulung für alle Mitarbeiter

Aushang von Anleitungen

Mittel Verdachts- oder Infektionsfälle in unmittelbarer Nähe zum Unternehmen oder Mitarbeitern des Unternehmens. merkliche Auswirkungen, steigende Wahrscheinlichkeit im Verlauf der Ausbreitung in der Bevölkerung Verbot von Dienstreisen

Krisenpersonalplan: Räumliche / zeitliche Trennung von Schichten / Teams / Gruppen

besondere Prävention für Schlüsselpersonal

Krisen IT-Plan

Absage von Veranstaltungen

Aufklärung an die Mitarbeiter über Verbreitung und Gefahren der Infektion

Appell zum Schutz schwächerer Personen

Verpflichtung auf Einhaltung aller Präventionsmaßnahmen

Hoch Verdachts- oder Infektionsfälle im Unternehmen. Schließung von Abteilungen bzw. Ausfall einzelner Abteilungen, die jedoch substituiert werden können. hohe Auswirkungen – geringe Wahrscheinlichkeit (regelmäßig neu zu bewerten) Anordnung Homeoffice

Umsetzung des Krisenpersonal- und Krisen IT-Plans

Information über staatliche Hilfen und sonstige finanzielle Stabilisierungsmaßnamen

Kommunikation an alle relevanten Stakeholdergruppen
Sehr hoch Ausfall der Produktion oder Teilen davon, die nicht substituiert werden können. existenzielle Auswirkungen, sehr geringe Wahrscheinlichkeit (regelmäßig neu zu bewerten) Aktivierung staatlicher Hilfen, Versicherungen

Personalmaßnahmen

Kommunikation an alle relevanten Stakeholdergruppen

ggf. Kommunikation an die Presse

Hinweis: Die aufgeführten Maßnahmen sind unternehmensabhängig zu definieren und stellen nur Beispiele dar.

III. Wissen – greifen Sie auf Expertenwissen, Bekanntgaben öffentlicher Stellen etc. zurück

Erfinden Sie in dieser Krisensituation nicht das Rad neu, sondern nutzen Sie als Wissensquellen

  • Bekanntgaben öffentlicher Stellen, wie der Bundesregierung, der Länder, Empfehlungen der Bundes- und Landesämter etc.
  • das Fachwissen Ihrer Mitarbeiter/externen Berater (z.B. Datenschutzbeauftragte, IT-Sicherheitsbeauftragte zurück) und
  • holen Sie bei Bedarf zu Einzelfragen Expertenrat ein.

Die nachfolgenden Hinweise sollen Ihnen einen ersten Überblick über einzelne Wissensquellen und Themen bietet, erheben aber keinerlei Anspruch auf Vollständigkeit. Insbesondere im Hinblick auf die angegebenen Fundstellen und Bekanntgaben öffentlicher Stellen kommen täglich neue hinzu; wir bemühen uns um eine regelmäßige Aktualisierung. Rechtliche Themen können hier nur angerissen werden – hier bitten wir Sie die Empfehlungen Ihrer Rechtsberater einzusehen. Hinweise zu arbeitsrechtlichen Fragestellungen finden Sie hier.

1. Bekanntgaben öffentlicher Quellen – Stand: 15. März 2020:

Bundesrepublik Deutschland

Europäische Union und weitere europäische Staaten

2. Datenschutzrechtliche Hinweise – Stand 15. März 2020:

Datenschutzrechtliche Belange kommen insbesondere im Hinblick auf Ihre Beschäftigten zum Tragen. Beachten Sie hier stets den Grundsatz: auch in Krisensituationen bleibt der Beschäftigte „Herr seiner Daten“. Dies gilt umso mehr, als es in dieser Krise in hohem Maße um Gesundheitsdaten gehen wird.

Der Beschäftigte muss gegenüber seinem Arbeitgeber grundsätzlich keine konkreten Angaben zur eigenen Gesundheit machen. In Verdachtsfällen kann jedoch die Pflicht zur ärztlichen Untersuchung durch eine Gesundheitsbehörde bestehen. Auch kann anlässlich der Rückkehr von Reisen oder Erkrankungen im persönlichen Umfeld eine Auskunftspflicht über Aufenthaltsorte oder Kontaktpersonen bestehen, um Ihnen als Arbeitgeber eine Einschätzung zu Gesundheitsrisiken für den Betroffenen und andere Beschäftigte zu ermöglichen.

Zulässigkeit der Verarbeitung von Gesundheitsdaten der Beschäftigten

Ob die Verarbeitung von Gesundheitsdaten der Beschäftigten zulässig ist oder nicht, richtet sich nach Art 9 DSGVO, Art 88 DSGVO in Verbindung mit § 26 Abs. 3 BDSG. Danach ist die Verarbeitung sensibler Daten wie Gesundheitsdaten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie u.a. zur Erfüllung rechtlicher Pflichten des Arbeitgebers aus dem Arbeitsrecht erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Die rechtliche Verpflichtung besteht hier in der Erfüllung der Vorschriften des § 618 Abs. 1 BGB i.V.m. § 3 ArbSchG. Der Arbeitgeber hat nach dem Arbeitsschutzgesetz grundsätzlich die Verpflichtung, die Gefahren für die Sicherheit und Gesundheit für seine Beschäftigten am Arbeitsplatz zu beurteilen (sog. Gefährdungsbeurteilung) und Maßnahmen hieraus abzuleiten.

Es ergibt sich ein Spannungsfeld: Der Arbeitgeber muss einerseits seine Fürsorgepflicht erfüllen, indem er die Beschäftigten vor einer Infizierung schützt, darf andererseits aber die Datenschutz- und Persönlichkeitsrechte der Beschäftigten nicht verletzen.

Ob eine Maßnahme zulässig ist, richtet sich dabei maßgeblich nach dem Kriterium der Erforderlichkeit. Im Rahmen der Prüfung der Erforderlichkeit einer Verarbeitung sind die widerstreitenden Positionen von Arbeitgeber und Beschäftigten abzuwägen. Dabei muss das Interesse des Arbeitgebers an der Verarbeitung mit dem Persönlichkeitsrecht des Beschäftigten in einen schonenden Ausgleich gebracht werden. Diese eher theoretische Definition besagt letztlich, dass die Interessen beider Seiten abgewogen werden müssen, dass das Mittel für den verfolgten Zweck geeignet sein muss und kein milderes gleich wirksames Mittel zur Verfügung steht.

Dabei zu beachten sind auch die Grundsätze des Datenschutzrechts aus Art. 5 DSGVO. Insbesondere die Grundsätze der Fairness („Treu und Glauben“) und der Transparenz gem. Art. 5 Abs. 1 lit. a DSGVO, sowie der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO kommen im Rahmen der Interessenabwägung besonders zum Tragen. Danach müssen Datenverarbeitungen für die Betroffenen vorhersehbar sein, sie müssen über Art und Umfang der Datenverarbeitung informiert werden und die Datenverarbeitung muss auf das notwendige Minimum beschränkt werden, um den verfolgten Zweck zu erreichen. Wenn all dies gut umsetzt wird, beeinflusst dies positiv die Abwägung im Rahmen der Erforderlichkeitsprüfung.

Was dürfen Sie? Was nicht?

Dies ist derzeit schwierig abschließend zu beurteilen – die Ereignisse überschlagen sich und es gibt noch keine einheitliche Linie der europäischen Datenschutzaufsichtsbehörden. Nachfolgend kann daher lediglich eine vorläufige erste Einschätzung gegeben werden.

Zulässige Maßnahmen Unzulässige Maßnahmen
Erhebung von Informationen, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte, z.B. die Befragung von Urlaubsrückkehrern, ob sie sich in einem Risikogebiet aufgehalten haben Sie dürfen den Beschäftigten nicht unter Nennung des konkreten Namens mitteilen, dass ein bestimmter Mitarbeiter am Virus erkrankt ist, da die Kenntnis von der Corona-Erkrankung eines Mitarbeiters für diesen zu einer enormen Stigmatisierung führen kann. Maßnahmen sind stattdessen abteilungs-/ bzw. teambezogen ohne konkrete Namensnennung zu ergreifen. Mitarbeiter mit direktem Kontakt zu Infizierten sollten gewarnt und vorübergehend freigestellt werden.
Auf Anfrage der Gesundheitsbehörde: Übermittlung von Daten über erkrankte Beschäftigte, über Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten Pauschale Befragungen aller Mitarbeiter zu Reisezielen, insbesondere ohne konkrete Anhaltspunkte oder Reisen.
Erhebung einer freiwilligen Selbstauskunfts- oder Fragebögen zu Aufenthaltsort und Symptomen Pauschale Befragungen aller Mitarbeiter zu ihrem Gesundheitszustand (z.B. über Grippesymptome).
Bei positivem Befund eines Mitarbeiters (durch eine offizielle Stelle) oder sogar bei einem bestätigten Kontakt zu einer positiv getesteten Person dürfen Informationen über den betroffenen Mitarbeiter verarbeitet werden, z.B. Zeitpunkt und enge Kontaktpersonen sowie ergriffene Maßnahmen (vgl. französische Daten-schutzaufsicht) Eine Meldepflicht für Mitarbeiter, wenn ein Kollege Symptome zeigt (vgl. italienische Datenschutzaufsicht).
Mit Einverständnis des Beschäftigten: Erhebung der aktuellen privaten Handynummern oder anderer Kontaktdaten zur Information bei Schließung des Betriebs oder in ähnlichen Fällen (vgl. Handbuch „Betriebliche Pandemieplanung“ Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) Die verpflichtende Fiebermessung von Mitarbeitern am Eingang des Betriebsgeländes oder ähnliche medizinische Maßnahmen (z.B. Rachenabstriche für Speichelproben). Diese Maßnahme kann in Einzelfällen zulässig sein => dies bedarf indes einer sorgfältigen Abwägung der Interessen aller Beteiligten.

3. Hinweise zur Daten- und Informationssicherheit – Stand 15. März 2020:

Prüfen Sie kritisch die Risiken der Daten- und Informationssicherheit u.a. bei folgenden Maßnahmen:

Maßnahme Anmerkung
Home Office Einrichtung VPN; Einsatz von Dienstgeräten; Home Office-/Telearbeit-Richtlinie
Videokonferenzen und Co. Auswahl des Anbieters; etwaig erforderliche Vereinbarung zur Auftragsverarbeitung
Zugangssperren zu sensiblen Bereichen Zulässig? Erforderlich? Möglich?
Einschränkung der Besuchsmöglichkeiten Zulässig? Erforderlich? Möglich?

4. Arbeitsrechtliche Hinweise – Stand 15. März 2020:

Hinweise zum Arbeitsrecht der TIGGES Rechtsanwälte finden Sie hier.

Hier finden Sie eine Download-Version dieses Whitepapers. Wir sind bemüht, diese Informationen so aktuell wie möglich zu halten.

Im Übrigen unterstützen wir Sie gern – bitte zögern Sie nicht uns anzusprechen. Ihr Team der TIGGES DCO!