Themenreihe Datenschutz und Corona – Teil 2: Datenverarbeitung im Zusammenhang mit dem Coronavirus

18. März 2020

Im Zuge des Coronavirus befindet sich der Arbeitgeber in einem Spannungsfeld zwischen einerseits dem Schutz der eigenen Mitarbeiter, der Sicherung des Betriebsablaufs und der Eindämmung der Pandemie sowie andererseits den Vorgaben, die bei der Datenverarbeitung, insbesondere bei der Verarbeitung von Gesundheitsdaten, an ihn gestellt werden.

Die Einhaltung der datenschutzrechtlichen Vorgaben mag dem ein oder anderen in der derzeitigen Situation nicht als überragend wichtig erscheinen.

Nichtsdestotrotz sollten bei der jeweiligen Datenverarbeitung, vor allem bei der Verarbeitung sensibler Daten, die datenschutzrechtlichen Voraussetzungen der DSGVO und des BDSG eingehalten werden.

Am vergangenen Freitag, 13.03.2020, veröffentliche der Bundesdatenschutzbeauftragte, Dr. Ulrich Kelber eine Stellungnahme zum Thema Datenschutz und Corona und der baden-württembergische Landesdatenschutzbeauftragte, Dr. Stefan Brink FAQs– wir berichteten darüber in Teil 1 der Reihe.

Datenschutzrechtlich notwendige Maßnahmen

Die notwendigen Maßnahmen, die auch im Falle einer Datenverarbeitung mit Bezug zum Coronavirus, einzuhalten und vorzunehmen sind, unterscheiden sich grundsätzlich nicht von denen, die auch bei jeder anderen Datenverarbeitung zu ergreifen sind. Auch die Stellungnahmen des BfDI und des LfDI BW lassen keine Lockerung hinsichtlich der datenschutzrechtlichen Vorgaben erkennen.
Dazu gehören unter anderem:

  • die umfassende Information des Betroffenen nach Art. 13 (in diesem Zusammenhang wird bereits auf den morgigen Beitrag hingewiesen, der sich detailliert mit dieser Thematik beschäftigt),
  • die sichere Aufbewahrung der personenbezogenen Daten – dazu folgen weitere Information im Verlauf des Beitrags,
  • die Führung eines Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO.

Sichere Aufbewahrung der personenbezogenen Daten

Zur sicheren Aufbewahrung der personenbezogenen Daten:
Sofern die Datenverarbeitung auf eine Rechtsgrundlage aus Art. 9 Abs. 2 DSGVO in Verbindung mit § 22 Abs. 1 BDSG gestützt wird, ist für die Sicherheit der Datenverarbeitung § 22 Abs. 2 BDSG zu berücksichtigen.

Wie bereits der Wortlaut von § 22 Abs. 2 S. 1 BDSG offenbart, sind „angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen“. Genauere Informationen enthält § 22 Abs. 2 S. 2 BDSG, der die verschiedenen Maßnahmen, die „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen“ ergriffen werden können. Sodann werden die verschiedenen Möglichkeiten aufgelistet.

Ohne Anspruch auf Vollständigkeit wird an dieser Stelle auf folgende Maßnahmen, unter Nennung von Beispielen, eingegangen:

  • Sensibilisierung der an Verarbeitungsvorgängen Beteiligten, § 22 Abs. 2 S. 2 Nr. 3 BDSG;
    • datenschutzrechtliche Schulung der Mitarbeiter, die an der Datenverarbeitung beteiligt sind,
    • Sensibilisierung für die besondere Bedeutung von sensiblen Daten, wie z.B. Gesundheitsdaten,
    • Hinweis auf die Einhaltung datenschutzrechtlicher Standards, auch in Zeiten der Corona-Krise.
  • Benennung einer oder eines Datenschutzbeauftragten, § 22 Abs. 2 S. 2 Nr. 4 BDSG;
    • sollten Sie sich unsicher sein, ob und wie Sie die personenbezogenen Daten verarbeiten, benennen Sie einen Datenschutzbeauftragten,
    • sollten Sie bereits einen Datenschutzbeauftragten benannt haben, kontaktieren Sie diesen und bitten um Unterstützung.
  • Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern, § 22 Abs. 2 S. 2 Nr. 5 BDSG, zum Beispiel durch:
    • Einführung eines Zugriffskonzepts und Einhaltung des ‚Need-to-know Prinzips‘ – achten Sie darauf, dass der Kreis, der Zugriffsberechtigten so klein wie möglich ist,
    • Verschlossene Aufbewahrung von papiergebundenen Dokumenten, z.B. in einem Tresor oder zumindest einem abschließbaren Schrank (die Schlüsselgewalt sollte natürlich ebenfalls begrenzt sein),
    • Passwort geschützte digitale Dokumente (restriktive Weitergabe des Passworts unter Berücksichtigung des ‚Need-to-know Prinzips‘).

Die Themenreihe Datenschutz und Corona wird morgen mit einem Beitrag zum Thema „Tipps für Datenschutzhinweise“ fortgesetzt.

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.