Themenreihe Datenschutz und Corona – Teil 6: Global Privacy Assembly billigt die Nutzung von Daten zur Bekämpfung der Coronavirus-Pandemie

24. März 2020

Am 17. März 2020 gab der Exekutivausschuss der Global Privacy Assembly („GPA“) eine Erklärung ab, in der sie ihre Ansicht darlegte, dass die Verarbeitung personenbezogener Daten durch Organisationen und Regierungen zur Bekämpfung der Ausbreitung der COVID-19-Pandemie grundsätzlich legal sei. 

Ausweislich der Erklärung des GPA erkennt die GPA die beispiellosen Herausforderungen an, denen sich die Organisationen bei der Bekämpfung der Verbreitung von COVID-19 gegenübersehen. Zur Bewältigung dieser Herausforderungen seien koordinierte Antworten auf nationaler und globaler Ebene erforderlich. Dies beinhalte den erforderlichen Austausch personenbezogener Daten durch Organisationen und Regierungen sowie über Grenzen hinweg.

Was ist die GPA denn überhaupt? 

Das GPA trat erstmals 1979 als Internationalen Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre zusammen. Sie ist seit mehr als vier Jahrzehnten das wichtigste globale Forum für Datenschutzbehörden. An ihr nehmen Datenschutzbehörden aus über 80 Ländern teil. Sie besteht aus derzeit mehr als 130 Teilnehmern. Insbesondere nehmen Mitglieder aus Behörden aller EU-Mitgliedstaaten teil.

Was sagt das Europäische Datenschutzausschuss (EDSA)? 

Für die konkrete Bewertung einer datenschutzrechtlichen Zulässigkeit sind die europäischen Aufsichtsbehörden zuständig. Deren Standpunkt hängt oft von dem gemeinsamen Gremium, dem Europäischen Datenschutzausschuss (EDSA) ab. 

Dieser konstatiert, dass die in Europa geltende Datenschutzgrundverordnung (DSGVO) auch für Fälle gilt, in denen die Verarbeitung personenbezogener Daten in einem Kontext wie dem des COVID-19 geschieht. In diesem Kontext ermögliche das Gesetz jedoch die Verarbeitung personenbezogener Daten, ohne vorab die Zustimmung der betroffenen Person einholen zu müssen. Dies gelte zum Beispiel, wenn die Verarbeitung personenbezogener Daten für die Arbeitgeber aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder zum Schutz lebenswichtiger Interessen (Art. 6 und 9 GDPR) oder zur Erfüllung einer anderen gesetzlichen Verpflichtung notwendig sei.

Einschätzung entspricht der des BfDI 

Die Einschätzung der GPA und des EDSA korreliert mit der des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI). Auf dessen Homepage werden ferner die grundsätzlich mögliche Verarbeitung besonderer Kategorien personenbezogener Daten (iSv Art. 9 DSGVO) erläutert. 

So sei eine Verarbeitung von Gesundheitsdaten zwar grundsätzlich nur restriktiv möglich. Für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern könnten jedoch datenschutzkonform Daten erhoben und verwendet werden. Insoweit sei jedoch der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage zu beachten.

Die Themenreihe zu Datenschutz und Corona wird morgen mit einem Beitrag zur Nutzung von Daten der Telekomnutzer durch das RKI fortgesetzt. 

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.