Themenreihe Datenschutz und Corona – Teil 1: Stellungnahmen der Aufsichtsbehörden
Das Thema Corona ist im Moment allgegenwärtig und betrifft jeden Einzelnen von uns.
Auch wenn es im ersten Moment nicht auf der Hand liegt. Datenschutz und das Coronavirus haben durchaus Berührungspunkte und zwar wenn personenbezogene Daten in Bezug auf das Virus verarbeitet werden.
Dies kann sowohl im Beschäftigungskontext als auch in Bezug auf Besucher und Lieferanten eines Unternehmens der Fall sein. Zum Beispiel zum Schutz der eigenen Mitarbeiter durch Einlasskontrollen oder wenn Mitarbeiter nach Krankheitssymptomen befragt werden.
Diese Themen und noch weitere, die einen Bezug zu “Datenschutz und Corona” haben, möchten wir Ihnen in den nächsten Tagen erläutern.
Heute möchten wir Ihnen zunächst die bisherigen Stellungnahmen des Bundesdatenschutzbeauftragten Dr. Ulrich Kelber (BfDI) und des Landesdatenschutzbeauftragten für Baden-Württemberg Dr. Stefan Brink (LfDI BW), zusammenfassen.
Restriktive Datenverarbeitung
Beide Behörden stellen zunächst klar, dass die Erhebung und Verarbeitung personenbezogener Daten als Maßnahme gegen die weitere Verbreitung und Eindämmung der Corona-Pandemie in vielen Fällen erforderlich, jedoch restriktiv zu behandeln ist. Der Betroffene sei auch in diesen Fällen „Herr seiner Daten“. Zur Datenerhebung und Verarbeitung sei daher immer eine gesetzliche Grundlage erforderlich. Die jeweilige Maßnahme müsse zudem verhältnismäßig sein.
Das BfDI listet hier nach Situationen auf, in denen eine Verarbeitung personenbezogener Daten erforderlich ist. Dies insbesondere dann, wenn die betroffene Person nachweislich infiziert ist, Kontakt zu infizierten Personen hatte oder sich in einem vom Robert Koch-Institut ausgewiesenen Risikogebiet aufgehalten hat.
In diesen Situtationen dürfe der Arbeitgeber oder Dienstherr, um eine Ausbreitung des Virus bestmöglich zu verhindern oder einzudämmen, die personenbezogenen (Gesundheits-)Daten von Beschäftigten erheben und verarbeiten. Davon ist auch die Datenverarbeitung gegenüber Gästen und Besuchern umfasst.
Arbeitgeber sind beispielweise dazu verpflichtet den gesundheitlichen Schutz der Belegschaft sicherzustellen und mögliche Risiken auszuschließen. Diese Fürsorgepflicht verpflichtet, nach Ansicht der Datenschutzbehörden, die Arbeitgeber unter Umständen zu Befragungen der Mitarbeiter zum Aufenthalt in Risikogebieten. Jede hierauf bezogene Maßnahme muss verhältnismäßig sein, vertraulich behandelt werden und zweckgebunden erfolgen. Dies bedeutet jedoch auch, dass erhobene Daten spätestens nach Ende der Pandemie wieder gelöscht werden müssen.
Jede Maßnahme ist also einzelnd zu bewerten. Eine Offenlegung personenbezogener Daten z.B. durch Nennung eines bestimmten Mitarbeiters ist beispielsweise nur zulässig, soweit die Kenntnis der Identität für Vorsorgemaßnahmen der Kontaktpersonen erforderlich ist. Grundsätzlich können Maßnahmen jedoch Abteilungs- oder Teambezogen erfolgen, ohne einzelne Namen zu nennen.
Rechtsgrundlagen der Verarbeitung
Die Rechtsgrundlagen für die jeweilige Datenerhebung bzw. Verarbeitung finden sich in der EU-Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) in Verbindung mit den jeweiligen Landesdatenschutz- und Fachgesetzen wieder.
Die Einwilligung soll als Rechtsgrundlage nur herangezogen werden, wenn die Betroffenen über die Datenverarbeitung umfassend informiert wurden und diese freiwillig in die Maßnahme eingewilligt haben.
Für die Verarbeitung personenbezogener Mitarbeiterdaten durch öffentlich-rechtliche Arbeitgeber ergibt sich die Rechtsgrundlage aus Art. 6 Abs. 1 Satz 1 lit. e) DSGVO. Das BfDI erkennt hier ein Handeln im öffentlichen Interesse. Nicht-öffentliche Arbeitgeber handeln im Rahmen ihrer Pflichten aus dem Beschäftigungsverhältnis, § 26 Abs 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO. Im letzten Fall sind noch Spezialvorschriften aus dem Tarif-, Arbeits- und Sozialbereich hinzuzuziehen. Bei besonders sensiblen Daten, wie es auch Gesundheitsdaten sind, ist zudem § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO BDSG zu beachten.
Gegenüber Dritten, z.B. Gästen oder Besuchern, sind Maßnamen von öffentlichen Stellen grundsätzlich auf Art. 6 Abs. 1 Satz 1 lit. c) und e) DSGVO ggf. in Verbindung mit den jeweiligen Landesdatenschutzgesetzen zu stützen. Im nicht-öffentlichen Bereich kann Art. 6 Abs. 1 Satz 1 lit. f) DSGVO als Rechtsgrundlage herangezogen werden. Bei Gesundheitsdaten ist zudem Art. 9 Abs. 2 lit. i) i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG anzuwenden.
Übermittlung von Daten an Behörden
Behördliche Maßnamen können je nach Reglung des jeweiligen Bundeslandes durch Ordnungsbehörden oder das Gesundheitsamt erlassen werden. Die jeweilige Rechtsgrundlage hängt von der jeweiligen Maßnahme ab. Der BDfI nennt hier insbesondere Vorschriften im Infektionsschutzgesetz (IfsG), welche Quarantänevorschriften und Tätigkeitsverbote durch das Gesundheitsministerium regeln. Hier ist regelmäßig von einer Übermittlungsbefugnis der Arbeitgeber oder Unternehmer auszugehen.
Ohne eine gesetzlich gestützte Anordnung, ist eine Übermittlung regelmäßig nur mit der Einwilligung der betroffenen Personen rechtmäßig. Folglich dürfen im Zusammenhang mit dem Corona-Virus die Daten von Besuchern ohne Einwilligung nur übermittelt werden, wenn zuvor eine Anordnung der zuständigen Behörde nach § 16 Abs. 1 IfsG ergangen ist.
Die Themenreihe Datenschutz und Corona wird morgen mit einem Beitrag zum Thema “Datenverarbeitung im Zusammenhang mit dem Coronavirus” fortgesetzt.
Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.
Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.
