Das Auftreten des Coronavirus in Österreich hat trotz aller behördlichen Bemühungen Unsicherheit und Informationsbedarf verursacht. Mit der folgenden Übersicht möchten wir Informationen über verschiedene Rechtsthemen um das Coronavirus bieten und damit insbesondere Unternehmen bei deren Maßnahmen unterstützen.
Teil 1: Die Meldepflicht unter dem EpidemieG:
Datenschutzrechtliche Aspekte
Teil 2: Coronavirus - Auswirkungen auf die
Insolvenzantragspflicht?
Teil 1: Die Meldepflicht unter dem EpidemieG: Datenschutzrechtliche Aspekte
Die datenschutzrechtliche Perspektive
Ein Schwerpunkt der Bekämpfung des Coronavirus besteht darin,
die Ausbreitung des Virus zu verhindern. Die Erfassung von
Krankheitsfällen, von Krankheitsverdächtigen und von
Ansteckungsverdächtigen bildet hierzu das zentrale Mittel.
Auch wenn an der Legitimität dieser Datenerfassung kein
Zweifel besteht, sind dabei doch datenschutzrechtliche Vorgaben zu
beachten.
Warum ist der Datenschutz relevant?
Das EpidemieG sieht eine umfassende Meldepflicht vor. Eine solche
Meldung umschließt die Bekanntgabe gesundheitsrelevanter
Umstände von Personen. Aus der Sicht der DSGVO bedeutet dies
die Erfassung personenbezogener Gesundheitsdaten. Dies
begründet die Anwendung der DSGVO.
Erlaubt die DSGVO die Erfassung von
Krankheitsfällen?
Wie jede andere Datenverarbeitung auch, bedarf die datenbasierte
Erfassung von Krankheits- und Verdachtsfällen einer
datenschutzrechtlichen Grundlage. Art 9 Abs 2 lit i DSGVO anerkennt
die Verarbeitung von Gesundheitsdaten ua zum Schutz vor schweren
grenzüberschreitenden Gesundheitsgefahren. Gemeint ist die
Prävention oder Kontrolle ansteckender Krankheiten (ErwGr 52),
sohin die Pandemieabwehr (vgl ErwGr 46). Mit anderen Worten steht
die DSGVO der Meldung von Verdachts- oder Krankheitsfällen
nicht entgegen. Allerdings verlangt die DSGVO nach angemessenen
gesetzlichen Grundlagen für die Erfassung solcher Daten. Diese
Grundlagen finden sich in Österreich vornehmlich im
EpidemieG.
Das bedeutet, eine Meldung unter dem EpidemieG ist stets
datenschutzkonform?
Das EpidemieG sieht ausdrücklich die Pflicht zur Meldung von
Krankheits- oder Verdachtsfällen vor, es sanktioniert sogar
Verstöße gegen die Meldepflicht. Die Verarbeitung der
Daten des Kranken oder Krankheitsverdächtigen zu Meldezwecken
ist daher grundsätzlich datenschutzkonform, sie dient der
Erfüllung des gesetzlichen Auftrags. Dies gilt aber nur
für die unter dem EpidemieG meldepflichtigen Personen, wie zB
Ärzte oder Pflegepersonen.
Darf ein Arbeitgeber einen Verdachtsfall oder
Krankheitsfall melden?
Arbeitgeber sind unter dem EpidemieG nicht meldepflichtig,
allerdings kann eine Pflicht zur Meldung aus der
Fürsorgepflicht entstehen, dh sie kann zum Schutz der
sonstigen Belegschaft geboten sein. Damit scheint Art 9 Abs 2 lit b
DSGVO einschlägig, welcher die Verarbeitung von
Gesundheitsdaten zur Erfüllung arbeitsrechtlicher Pflichten
anerkennt. In extensiver Sicht rückt zudem Art 9 Abs 2 lit c
DSGVO in den Fokus. Dieser erlaubt die Datenverarbeitung im
lebenswichtigen Interesse Dritter, wenn der Betroffene weder
körperlich noch rechtlich zur Einwilligung in der Lage ist -
man denke in diesem Zusammenhang an die verdünnte
Willensfreiheit eines kranken oder krankheitsverdächtigen
Mitarbeiters.
Welche Rechte hat der Betroffene?
In Entsprechung des Auftrags zum Schutz der Öffentlichkeit vor
ansteckenden Krankheiten stellt das EpidemieG Einzelinteressen
hintan. Demgemäß schließt es das Widerspruchsrecht
(Art 21) aus, und gemäß den Erläuterungen zum
EpidemieG sieht der Gesetzgeber auch das datenschutzrechtliche
Informations- und Löschrecht für nicht anwendbar an.
Jedoch besteht das Recht auf Datenauskunft (Art 15) und auf
Datenberichtigung (Art 16).
Wo werden die Daten gespeichert, an wen muss man sich
wenden?
Die Meldedaten fließen ebenso wie die sonst von den
Bezirksverwaltungsbehörden erhobenen Daten in ein beim
Gesundheitsministerium geführtes Register ein. Unter den
Vorgaben des EpidemieG stehen sie dort den Behörden (nur!) zu
Zwecken der Epidemiebekämpfung zur Verfügung. Das Gesetz
weist dem Bundesminister die Rolle des Verantwortlichen zu, bei ihm
ist um Auskunft über Daten im Register und gegebenenfalls um
die Berichtigung dieser Daten anzusuchen. Zu löschen sind die
Daten, sobald sie zur Epidemiebekämpfung nicht mehr
erforderlich sind. Im Detail sieht das EpidemieG diverse Zugriffs-
und Beschränkungsregeln sowie ein gesondert zu führendes,
nicht personenbezogenes Statistik-Register vor.
Primat der Krankheitsbekämpfung: Ist alles
erlaubt?
Wie sind Krankheits- und Verdachtsfälle datenschutzkonform zu
identifizieren? Neben dem Appell zur Selbstverantwortung, etwa
durch Selbstmeldung bei Symptomen, sind vornehmlich
Verhältnismäßigkeitserwägungen zu beachten.
Verbreitet ist etwa, dass Firmen deren Besucher vor
Zutrittsgewährung Fragen zu ihren vorangegangen Reisen oder zu
indizierten Corona-Verdachtsszenarien beantworten lassen. Sofern
dies nur (!) zur Einlasskontrolle und zur allfälligen
Identifikation von Meldefällen geschieht, erscheint dies
vertretbar. Abgrenzungsfragen ergeben sich aber zur Notwendigkeit
einer Einwilligung. Mitunter könnte deren Freiwilligkeit
fraglich sein, und auch der Einwilligungswiderruf wäre wohl
nicht immer umsetzbar. Schlüssiger erscheint daher die
Rechtfertigung einer solchen Datenerhebung durch Art 9 Abs 2 lit b
DSGVO, dh wiederum in Entsprechung der arbeitsrechtlichen
Fürsorgepflicht, gekoppelt mit einer Datenschutzinformation an
den Besucher. Das Abstehen von der Einzeleinwilligung wird nicht
zuletzt durch die starke Akzentuierung des öffentlichen
Interesses durch das EpidemieG gestützt. So ist dessen
Erläuterungen zu entnehmen, dass auch das ministerielle
Melderegister im öffentlichen Interesse, und damit
losgelöst von Individualeinwilligungen geführt werden
soll. Der Gedanke der zustimmungsfreien Datenerfassung ist aber
wohl nur für situationsbedingte und fallbegrenzte
Datenerfassungen vertretbar, wie etwa im Fall von
Zutrittskontrollen. Betriebsweite Gesundheitsabfragen hingegen oder
obligatorische Präventivtests innerhalb der Belegschaft
abseits indizierter Einzelfälle erscheinen demgegenüber
exzessiv und damit datenschutzrechtlich kritisch.
Drohen Strafen unter der DSGVO?
Wie bei jeder rechtswidrigen Datenverarbeitung drohen auch bei
Datenverarbeitungen rund um das Coronavirus Strafen unter der
DSGVO, wenn es hierbei zu Datenschutzverletzungen kommt. In vielen
Fällen besteht aktuell jedoch Rechtsunsicherheit, und es fehlt
Spruchpraxis von Behörden und Gerichten. Angesichts dessen
sollte erwartet werden, dass Behörde und Gericht im Anlassfall
bei Datenverwendungen zur Prävention des Coronavirus und zur
Meldung von Krankheitsfällen Augenmaß walten lassen.
Denn keinesfalls soll die Furcht vor Strafen von der Meldung eines
Krankheits- oder Verdachtsfall abhalten!
Autor: Günther Leissler
Teil 2: Coronavirus - Auswirkungen auf die Insolvenzantragspflicht
Das Coronavirus stellt Unternehmen vor große Herausforderungen unterschiedlicher Art. Der eingeschränkte Betrieb, Stornierungen und das Ausbleiben von Kunden können auch bei sonst gesunden Unternehmen zu Liquiditätsproblemen führen und im Extremfall die Pflicht auslösen, einen Insolvenzantrag zu stellen. Zwar hat der Staat Hilfsmaßnahmen angekündigt, die Frage ist aber, wie rasch diese Maßnahmen kommen, wie schnell sie greifen und ob sie ausreichend sind. Der vorliegende Beitrag befasst sich mit der Frage, ob und inwieweit die Insolvenzantragspflicht in Ausnahmesituationen wie dem Coronavirus verlängert wird.
Liegen die Voraussetzungen für die Eröffnung des Insolvenzverfahrens – Zahlungsunfähigkeit und bei Kapitalgesellschaften auch die insolvenzrechtliche Überschuldung – vor, besteht gemäß § 69 Abs 2 der österreichischen Insolvenzordnung (IO) die Pflicht, ohne schuldhaftes Zögern, jedenfalls aber innerhalb von 60 Tagen, einen Insolvenzantrag zu stellen. Von einem sofortigen Insolvenzantrag darf nur abgesehen werden, wenn ernsthaft Sanierungsbemühungen erfolgen, die Chancen auf Erfolg haben. Eine verspätete Antragstellung führt zu substantiellen persönlichen Haftungsrisiken für die Geschäftsführung bzw den Vorstand des Unternehmens.
Wie wirkt sich nun die durch das Coronavirus ausgelöste Pandemie auf die Insolvenzantragspflicht ist? Die schlechte Nachricht ist, dass sich dem Grunde nach an der Insolvenzantragspflicht nichts ändert. Die gute Nachricht ist, dass das Insolvenzrecht einer durch Ausnahmesituationen ausgelösten Insolvenz insoweit Rechnung trägt, als bei "Naturkatastrophen" – genannt werden im Gesetz "Hochwasser, Lawine, Schneedruck, Erdrutsch, Bergsturz, Orkan, Erdbeben oder ähnliche Katastrophen vergleichbarer Tragweite" – die 60-tägige Frist auf 120 Tage verdoppelt wird (§ 69 Abs 2a IO).
Durch Krankheiten geschaffene Ausnahmesituationen wie die nunmehrige Coronavirus-Pandemie sind in der exemplarischen Aufzählung des § 69 Abs 2a IO nicht genannt. Tatsächlich ermöglicht aber wohl schon der Wortlaut des Auffangtatbestands "ähnliche Katastrophe vergleichbarer Tragweite" eine Anwendung der 120-tägigen Frist auf durch Krankheiten geschaffene Ausnahmesituationen wie dem Coronavirus. Ausweislich der Materialien geht die Bestimmung auf die Formulierung in Art II Finanzausgleichsgesetz 1959 zurück. Angesprochen waren dort nicht Naturkatastrophen (samt beispielhafter Aufzählung) als solche, sondern Katastrophenschäden (samt den gleichen Beispielen wie heute in § 69 Abs 2a IO). Unterstellt man vor diesem Hintergrund einen üblichen Sprachgebrauch, spricht uE viel dafür, durch die nunmehrige Coronavirus-Pandemie geschaffene Ausnahmesituationen unter den Auffangtatbestand zu subsumieren. Zumindest verlangt aber der Zweck der Fristverlängerung – die Vermeidung nicht notwendiger, durch absolute Ausnahmesituationen verursachter Insolvenzen – die (allenfalls analoge) Anwendung der Bestimmung auf derartige durch Krankheiten geschaffene Ausnahmesituationen.
Alleine das Vorliegen einer durch die Coronavirus-Pandemie geschaffenen Ausnahmesituation genügt für die Verlängerung der Maximalfrist allerdings nicht. Stets ist Voraussetzung, dass die Insolvenz (also die Zahlungsunfähigkeit oder insolvenzrechtliche Überschuldung) durch die Ausnahmesituation eingetreten ist. Umgekehrt muss sie allerdings nicht alleinige Ursache der Insolvenz sein; ausreichend soll nach hM vielmehr sein, dass die Ausnahmesituation die Insolvenz mitverursacht hat. Die Testfrage lautet somit: Wäre Insolvenz auch dann eingetreten, wenn die Ausnahmesituation nicht eingetreten wäre? Bejaht man diese, fehlt es an einem Konnex zwischen Ausnahmesituation und Insolvenz. In diesen Fällen bleibt es bei der 60-tägigen Maximalfrist. Wurde die Zahlungsunfähigkeit oder insolvenzrechtliche Überschuldung hingegen durch die Pandemie bzw die zur Eindämmung getroffenen Maßnahmen ausgelöst, verlängert sich aus insolvenzrechtlicher Sicht die Zeit, die schwierige wirtschaftliche Situation in den Griff zu bekommen, auf 120 Tage. Das Haftungsrisiko für Geschäftsführung bzw Vorstand bringt es aber mit sich, in dieser Frist das Unternehmen anders zu gestionieren und etwa nur noch absolut betriebsnotwendige Zahlungen zu leisten. In dieser Phase ist daher besondere Vorsicht geboten.
Autoren: Wolfgang Höller und Clemens Stegner
Wir ersuchen Sie, zu beachten, dass es sich bei dieser Information um keine abschließende Darstellung handelt und manche der dargestellten Aspekte kurzfristigen Änderungen unterworfen sein können. Wir laden Sie ein, vertiefte Informationen unserem gesondert eingerichteten Informationsbereich auf www.schoenherr.eu zu entnehmen.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
