Themenreihe Datenschutz und Corona – Teil 3: Tipps für Datenschutzhinweise
Wie im letzten Teil unserer Themenreihe Datenschutz und Corona angekündigt, möchten wir Ihnen heute Tipps für Datenschutzhinweise nach Art. 13, 14 DSGVO näher bringen. Diese sollen Personen, die von einer “coronabedingten” Datenverarbeitung betroffen sind, die erforderlichen Informationen zur Verfügung stellen. Dabei möchten wir uns insbesondere auf Beschäftigte sowie Besucher von Unternehmen konzentrieren.
Informationspflichten bleiben bestehen
Sowohl der Bundesdatenschutzbeauftragte Dr. Ulrich Kelber (BfDI) als auch der Landesdatenschutzbeauftragte für Baden-Württemberg Dr. Stefan Brink (LfDI BW) haben in ihren Stellungnahmen zu Datenverarbeitungen im Zusammenhang mit der Corona-Pandamie deutlich gemacht, dass sich durch die aktuelle Krisensituation zwar Besonderheiten hinsichtlich der Zulässigkeit bestimmter Datenverarbeitungen ergeben können, dies die für die Verarbeitung Verantwortlichen jedoch nicht davon entbindet, die datenschutzrechtlichen Grundsätze der DSGVO und des BDSG einzuhalten (für genauere Informationen hinsichtlich der Stellungnahmen verweisen wir auf den ersten Beitrag dieser Themenreihe). Einer der wesentlichsten Grundsätze ist dabei die Transparenz (Art. 5 Abs. 1 S. 1 lit. a) DSGVO), welche sich insbesondere in den Informationspflichten nach Art. 13 und Art. 14 DSGVO niederschlägt. Trotz der in gewisser Weise erleichterten Möglichkeit der Verarbeitung zum Zwecke der Pandemiebekämpfung müssen die Betroffenen also hinreichend über die Datenverarbeitung informiert werden.
Wegen der Bedeutung des Themas und der besonderen Situation auch für die von der Verarbeitung Betroffenen empfehlen wir grundsätzlich, das Merkblatt kurz und übersichtlich zu halten. Neben den unbedingt erforderlichen Angaben zum Verantwortlichen und Datenschutzbeauftragten sollten daher nur Informationen aufgenommen werden, die unmittelbar die Verarbeitung selbst betreffen. Es erscheint hingegen wenig sinnvoll, ausführliche Eräuterungen zu den Betroffenenrechten aus der DSGVO und dem BDSG aufzunehmen. Hier dürfte auch ein Verweis auf eine “allgemeine” Datenschutzerklärung des Verantwortlichen ausreichen, welche der Betroffene online oder über einen separaten Aushang, einsehen kann.
Hinsichtlich des Informationsgehalts in Bezug auf die konkrete Verarbeitung soll hier zwischen der Information der Beschäftigten (von denen z.B. private Kontaktdaten oder Informationen zu Aufenthalten in Risikogebieten erhoben werden sollen) sowie von Besuchern des Unternehmens unterschieden werden. Die wesentlich mitzuteilenden Informationen erstrecken sich auf den Zweck und die Rechtsgrundlage der Verarbeitung, nähere Angaben zu einer etwaigen Interessenabwägung sowie zur Weitergabe der Daten und schließlich die Dauer der Speicherung.
Informationen für Beschäftigte
Die Daten der Beschäftigten werden insbesondere zu dem Zweck verarbeitet, den Gesundheitsschutz der Beschäftigten sicherzustellen und entsprechende Risiken zu verringern. Um dieser arbeitsrechtlichen Pflicht nachkommen zu können, müssen insbesondere Informationen dazu verarbeitet werden, ob sich ein Beschhäftigter in letzter Zeit in einem Risikogebiet aufgehalten hat. Regelmäßig werden aber auch private Kontaktdaten erhoben, um die Beschäftigten über Betriebsschließungen und sonstige Maßnahmen informieren zu können. Diese Verarbeitungen sind nach Ansicht der Datenschutzbehörden nach § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 S. 1 lit. f) DSGVO gerechtfertigt. Im letzten Fall sind noch Spezialvorschriften aus dem Tarif-, Arbeits- und Sozialbereich hinzuzuziehen. Bei besonders sensiblen Daten, wie es auch Gesundheitsdaten sind, ist zudem § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO anzuführen.
Erfolgt die Verarbeitung der Daten auf der Grundlage eines berechtigten Interesses im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DSGVO, so müssen den Beschäftigten auch die wesentlichen Punkte der Interessenabwägung mitgeteilt werden. Während auf der Seite des Betroffenen ein Interesse an der Nichtverarbeitung der Daten besteht, wiegt das Interesse des Verantwortlichen, die eigenen Mitarbeiter vor einer Erkrankung mit COVID-19 (Coronavirus) zu schützen und seiner arbeitsrechtlichen Verpflichtung zum Schutz der Mitarbeiter nachzukommen, deutlich schwerer. Das Interesse des Verantwortlichen überwiegt demnach das Individualinteresse des Betroffenen. Nicht zuletzt sollte ein solches Vorgehen auch im Eigeninteresse des Mitarbeiters liegen.
Schließlich ist der Beschäftigte darüber zu informieren, dass die erhobenen Daten nicht weitergegeben werden und eine Speicherung der Daten zunächst für eine beschränkte Zeit erfolgt, beispielweise acht Wochen. Dabei ist aber auch darauf hinzuweisen, dass die Speicherung im Falle einer Verlängerung der Pandemie ggf. länger erfolgen kann, nach deren Ende jedoch gelöscht und nicht anderweitig genutzt werden. Die entspricht den Vorgaben der Aufsichtsbehörden.
Informationen für Besucher
Sofern ein Verantwortlicher Informationen über Besucher seines Unternehmens verarbeitet – etwa deren Kontaktdaten für den Fall, eine Infektionskette nachvollziehen zu müssen – erfolgt dies ebenfalls zu dem Zweck, die Gesundheit der Beschäftigten sicherstellen zu können und die Ausbreitung der Pandemie zu verhindern bzw. wenigstens zu verlangsamen. Zwar kann hier nicht auf § 26 Abs. 1 BDSG zurückgegriffen werden, doch auch hier besteht ein berechtigtes Interesse des Verantwortlichen im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Insoweit hier Gesundheitsdaten verarbeitet werden, ist zudem Art. 9 Abs. 2 lit. i) DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG heranzuziehen.
Im Rahmen der Interessenabwägung ist zu berücksichtigen, dass dem Interesse des Betroffenen am Zugang zum Betriebsgelände das Interesse des Verantwortlichen, die eigenen Mitarbeiter vor einer Erkrankung mit COVID-19 (Coronavirus) zu schützen – und damit die Gesundheit der Mitarbeiter und die Sicherung der Betriebsabläufe sowie ein erhebliches öffentliches Interesse – entgegensteht. Das Interesse des Verantwortlichen überwiegt auch hier das Individualinteresse des Betroffenen.
Hinsichtlich der Weitergabe der Daten ergeben sich hier keine Abweichungen, jedoch kann die Speicherdauer ggf. kürzer bemessen werden, beispielsweise mit vier Wochen. Hier sollte aber auch auf die Umstände und Bedürfnisse des Einzelfalls abgestellt werden. Wichtig ist lediglich, dass keine zeitlich unbeschränkte Speicherung stattfindet und die Daten später nicht zweckfremd verwendet werden.
Die Themenreihe Datenschutz und Corona wird morgen mit einem Beitrag zum Thema “Verarbeitung von Gesundheitsdaten zum Schutz vor Corona-Infektionen” fortgesetzt.
Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.
Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.
