Themenreihe Datenschutz und Corona – Teil 7: Kooperation der Deutschen Telekom mit dem Robert-Koch-Institut

Im Kampf gegen die Ausbreitung des Coronavirus stellt die Deutsche Telekom dem Robert-Koch-Institut (RKI) kostenlos anonymisierte Handydaten ihrer Kunden zur Verfügung. Die Datensätze dienen der Erforschung der Ansteckungsrate des Coronavirus sowie der Beurteilung der verhängten Maßnahmen.

Die Deutsche Telekom AG bestätigte gegenüber „Tagesspiegel Background Digitalisierung & KI“ ihre Zusammenarbeit mit der Bundesoberbehörde. Das Telekommunikationsunternehmen hat bereits am 17.03.2020 einen ersten Handydatensatz im Umfang von fünf Gigabyte aus dem letzten Quartal 2019 dem RKI übermittelt. Rund 46 Millionen Handykunden sind hiervon betroffen. Eine zweite Lieferung von Datensätzen, die aktuelle Bewegungsdaten bis zum 19. März 2020 enthält, erhielt das RKI in dieser Woche.

Betroffene Telekom-Kunden könnten sich nun die Frage stellen, welche Erkenntnisse das RKI aus ihren Handydaten im Kampf gegen das Coronavirus schöpfen? Dazu erklärt RKI-Präsident Lothar Wieler auf einer Pressekonferenz am 18.03.2020: „Diese aggregierten und anonymisierten Daten werden uns zeigen, wie sehr die Mobilität tatsächlich nachgelassen hat.” Die Sprecherin der Deutschen Telekom führt dazu weiter aus: „Damit lassen sich Bewegungsströme modellieren – bundesweit, auf Bundesland-Ebene sowie auf die Kreis-Gemeinde-Ebene heruntergebrochen.“

Die Deutsche Telekom versichert auf Twitter, keine individuellen Handydaten freizugeben. Mit den übermittelten Handydaten sei eine digitale Beobachtung einzelner Bürger oder infizierter Menschen ausgeschlossen. Vielmehr handle es sich hierbei um sogenannte „Schwarmdaten“.

Der BfDI Ulrich Kelber erklärte dazu auf Twitter: “Die Weitergabe von Standortdaten durch die Deutsche Telekom an das Robert-Koch-Institut ist in der gewählten Form datenschutzrechtlich vertretbar. Vor allem unter den aktuellen Umständen spricht nichts gegen die Weitergabe dieser Daten zum Zweck des Gesundheitsschutzes. (…) Es handelt sich vorliegend um Daten, die keine Rückschlüsse auf einzelne Personen ermöglichen.”

Auch andere Länder erhoffen sich mit dem Erfassen von Bewegungsdaten neue Erkenntnisse über das Verbreitungsverhalten des Coronavirus zu erhalten. In Österreich übermittelt der Mobilfunkanbieter A1 nach eigenen Angaben der Regierung die Bewegungsdaten aller österreichischen Bürger. In China, Südkorea und Taiwan greift die Regierung zu härteren Überwachungstechniken, wie z.B. Phone-tracking-Technologie und Handy-Apps.

Die Themenreihe zu Datenschutz und Corona wird morgen mit einem Beitrag zum Thema „Datenschutz und Homeschooling“ fortgesetzt.

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.

Themenreihe Datenschutz und Corona – Teil 6: Global Privacy Assembly billigt die Nutzung von Daten zur Bekämpfung der Coronavirus-Pandemie

Am 17. März 2020 gab der Exekutivausschuss der Global Privacy Assembly (“GPA”) eine Erklärung ab, in der sie ihre Ansicht darlegte, dass die Verarbeitung personenbezogener Daten durch Organisationen und Regierungen zur Bekämpfung der Ausbreitung der COVID-19-Pandemie grundsätzlich legal sei. 

Ausweislich der Erklärung des GPA erkennt die GPA die beispiellosen Herausforderungen an, denen sich die Organisationen bei der Bekämpfung der Verbreitung von COVID-19 gegenübersehen. Zur Bewältigung dieser Herausforderungen seien koordinierte Antworten auf nationaler und globaler Ebene erforderlich. Dies beinhalte den erforderlichen Austausch personenbezogener Daten durch Organisationen und Regierungen sowie über Grenzen hinweg.

Was ist die GPA denn überhaupt? 

Das GPA trat erstmals 1979 als Internationalen Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre zusammen. Sie ist seit mehr als vier Jahrzehnten das wichtigste globale Forum für Datenschutzbehörden. An ihr nehmen Datenschutzbehörden aus über 80 Ländern teil. Sie besteht aus derzeit mehr als 130 Teilnehmern. Insbesondere nehmen Mitglieder aus Behörden aller EU-Mitgliedstaaten teil.

Was sagt das Europäische Datenschutzausschuss (EDSA)? 

Für die konkrete Bewertung einer datenschutzrechtlichen Zulässigkeit sind die europäischen Aufsichtsbehörden zuständig. Deren Standpunkt hängt oft von dem gemeinsamen Gremium, dem Europäischen Datenschutzausschuss (EDSA) ab. 

Dieser konstatiert, dass die in Europa geltende Datenschutzgrundverordnung (DSGVO) auch für Fälle gilt, in denen die Verarbeitung personenbezogener Daten in einem Kontext wie dem des COVID-19 geschieht. In diesem Kontext ermögliche das Gesetz jedoch die Verarbeitung personenbezogener Daten, ohne vorab die Zustimmung der betroffenen Person einholen zu müssen. Dies gelte zum Beispiel, wenn die Verarbeitung personenbezogener Daten für die Arbeitgeber aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder zum Schutz lebenswichtiger Interessen (Art. 6 und 9 GDPR) oder zur Erfüllung einer anderen gesetzlichen Verpflichtung notwendig sei.

Einschätzung entspricht der des BfDI 

Die Einschätzung der GPA und des EDSA korreliert mit der des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI). Auf dessen Homepage werden ferner die grundsätzlich mögliche Verarbeitung besonderer Kategorien personenbezogener Daten (iSv Art. 9 DSGVO) erläutert. 

So sei eine Verarbeitung von Gesundheitsdaten zwar grundsätzlich nur restriktiv möglich. Für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern könnten jedoch datenschutzkonform Daten erhoben und verwendet werden. Insoweit sei jedoch der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage zu beachten.

Die Themenreihe zu Datenschutz und Corona wird morgen mit einem Beitrag zur Nutzung von Daten der Telekomnutzer durch das RKI fortgesetzt. 

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.

Themenreihe Datenschutz und Corona – Teil 5: Datenschutz im Home-Office

Im Zusammenhang mit der Corona-Pandemie entscheiden sich viele Arbeitgeber dafür ihre Mitarbeiter ins Home-Office zu versetzen. Dadurch leisten sie sowohl einen Beitrag zum Gesundheitsschutz der Beschäftigten, zur Verzögerung der Ausbreitung des Virus als auch zur Aufrechterhaltung des Betriebes. Das Arbeiten im privaten Umfeld erhöht jedoch gleichzeitig auch die Risiken für Datenschutzverstöße. Zur Verhinderung von Bußgeldern sollte der Arbeitgeber die Einhaltung der datenschutzrechtlichen Vorgaben anhand bestimmter Maßnahmen sicherstellen.

Nachfolgend werden einige technische und organisatorische Maßnahmen aufgelistet, die zur Einhaltung der Datenschutzvorgaben im Home-Office beitragen können:

Technische Maßnahmen

• Herstellung einer sicheren und schnellen Breitband-Internetverbindung mit einem verschlüsselten Zugriff zum Firmennetzwerk (z.B. als ASP-Lösung mit einem VPN)
• Installation eines Viren-Scanners und einer Firewall
• Einstellung eines passwortgeschützten Bildschirmschoners
• Verschlüsselung des Rechners zum Schutze vor unberechtigtem Zugriff von Familienmitgliedern oder anderen Mitbewohnern
• Verschlüsselung der E-Mails, Datenträger und Firmen-Handys
• Sicherstellung der Zugangsberechtigung mithilfe von Authentifizierungssystemen (z.B. durch eine Zwei-Faktor-Identifizierung)
• Durchführung von regelmäßigen System-Updates
• Datensicherung auf einem zentralen Server mithilfe eines zertifizierten Cloud-Anbieters
• Regelung und Kontrolle der Datensicherung

Organisatorische Maßnahmen

Zur Umsetzung der organisatorischen Maßnahmen kann eine Sicherheitsrichtlinie für den ordnungsgemäßen Umgang mit personenbezogenen Daten mit den Beschäftigten vereinbart werden. Darin können auch Regelungen zur Datenvernichtung, zu Sicherheitsanforderungen, zur korrekten IT-Nutzung, zur Datenübermittlung und zu den Kommunikationsarten festgelegt werden. Weiterhin sollte eine Verpflichtung auf das Datengeheimnis und ein Audit-Fragebogen ausgefüllt werden. Weitere Beispiele, ohne Anspruch auf Vollständigkeit, werden nachfolgend aufgeführt:

• Schulungen zur Sensibilisierung der Beschäftigten und zur Einweisung in die Heimarbeit
• Anweisungen zu Passwörtern und zur Datensicherheit
• Bereitstellung von Firmengeräten wie z.B. Laptops oder Handys
• Dokumentation der Ausgabe der Elektrogeräte an die Mitarbeiter
• Vereinbarungen zur Untersagung der Privatnutzung von unternehmensinterner Hardware oder eines Anschließens von privaten Datenträgern
• Einrichtung einer Rufumleitung
• Anweisung zur Meldung von Datenpannen
• Clean-Desk-Policy

Die Durchsetzung der Maßnahmen ermöglicht die Einhaltung des Datenschutzes im Home-Office und verringert somit das Risiko von Datenschutzverstößen.

Die Themenreihe Datenschutz und Corona wird morgen mit einem Beitrag zur Einschätzung der Global Privacy Assembly fortgesetzt.

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.

Themenreihe Datenschutz und Corona – Teil 4: Verarbeitung von Gesundheitsdaten zum Schutz vor Corona-Infektionen

Der Ausbruch, die Verbreitung und die Folgen des Corona-Virus sorgen derzeit weltweit für große Besorgnis. Die Ausbreitung des Virus soweit wie möglich zu unterbrechen, oder zumindest zu verlangsamen, hat dieser Tage die höchste Priorität. Aus diesem Grund senden vieler Orts Arbeitgeber ihre Mitarbeiter ins Homeoffice, um das Risiko einer Infektion zu verringern. Da diese Vorgehensweise gerade bei Versorgungsbetrieben, wie Einkaufsläden oder auch Kraftwerken nicht umfassend möglich ist, besteht ein großes Interesse beim Arbeitgeber, dass weder die anwesenden Arbeitnehmer noch Besucher des Unternehmens mit dem Virus infiziert sind. Bei der Anfrage nach dem Gesundheitszustand wird nach personenbezogenen Daten, sogenannten „Gesundheitsdaten“ gefragt. Nach Art. 9 EU-Datenschutzgrundverordnung (DSGVO) erfahren diese ein besonders hohes Maß an Schutz, so dass beim Verlangen nach Auskunft einiges zu beachten ist.

Was sind Gesundheitsdaten?

Zunächst ist zu klären, was unter den Begriff „Gesundheitsdaten“ fällt. Nach Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen (z.B. Rehaaufenthalte), beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

Der Begriff Gesundheitsdaten umfasst also nicht nur krankheitsspezifische Angaben der betroffenen Person, wie z.B. einen viralen Infekt oder Medikamentenkonsum, sondern bereits die allgemeine Aussage, ob jemand gesund ist oder nicht. Problematisch sind Informationen, die nur indirekt auf den Gesundheitszustand hinweisen. Hier wird allgemein vertreten, dass der Sachzusammenhang berücksichtigt werden muss, in welchen die Information verwendet werden soll. (vgl. Simitis/Hornung/Spiecker, Art. 4 Nr. 15 Rn. 4).

Wann darf der Arbeitgeber Gesundheitsdaten von Arbeitnehmern gerade in Hinblick auf das Corona-Virus verarbeiten nach der DSGVO?

Es bleibt zu klären, wann Gesundheitsdaten verarbeitet werden dürfen. Bei Gesundheitsdaten gilt ein generelles Verarbeitungsverbot. Gemäß Art. 9 Abs. 2 DSGVO kann in bestimmten Fällen eine Verarbeitung von Gesundheitsdaten allerdings auch ohne Einwilligung des Betroffenen zulässig sein. Allgemein empfiehlt es sich unter gegeben Umständen eine Einwilligung einzuholen.

Im Rahmen des Beschäftigtenverhältnisses im nicht öffentlichen Bereich dürfen Gesundheitsdaten verarbeitet werden, soweit sie für die für die Erfüllung von Rechten und Pflichten im Rahmen des Arbeitsverhältnisses erforderlich ist (Art. 9 Abs. 2 lit. g) DSGVO). Den Arbeitgeber trifft gerade in Hinblick auf das Corona-Virus eine Fürsorgepflicht, die nicht nur gegenüber dem einzelnen Arbeitnehmer, sondern auch gegenüber allen Arbeitnehmern als Gesamtheit besteht. Demnach hat der Arbeitgeber die Verpflichtung verhältnismäßige Maßnahmen zu ergreifen, um die Gesundheit seiner Arbeitnehmer während der Arbeitszeit zu schützen (vgl. LfDI BW). Dies umfasst insbesondere auch Maßnahmen gegen meldepflichtige Krankheiten wie das Corona-Virus (meldepflichtig gem. § 7 Abs. 1 Nr. 31 a Infektionsschutzgesetz (IfSG)). Wichtig ist hierbei, dass nach dem Grundsatz der Datenminimierung nur die wirklich erforderlichen Daten verarbeitet werden und diese auch zum Schutze des einzelnen Arbeitnehmers, sowie aber auch um den Betriebsfrieden zu wahren, streng vertraulich behandelt werden. Sollte der Arbeitgeber personenbezogene Daten verarbeiten, die keine Gesundheitsdaten sind, so kann er sich -nach sorgfältiger Prüfung- auch auf Art. 6 Abs. 1 lit. f) DSGVO oder § 26 Bundesdatenschutzgesetz (BDSG) stützen (vgl. BfDI).

Muss der Arbeitnehmer seine Infizierung mitteilen?

Auch der Arbeitnehmer ist aufgrund seiner Treuepflicht gegenüber dem Arbeitgeber verpflichtet, ihn über eine Corona-Infektion zu unterrichten. Diese Treueplicht befugt den Arbeitnehmer dahingehend, dass er personenbezogene Daten von Personen im betrieblichen Umfeld offenlegt, mit denen er Kontakt gehabt hat. Diese Offenlegung kann sowohl auf ein berechtigtes Interesse des Arbeitgebers nach Art. 6 Abs. 1 lit. f) DSGVO als auch Art. 6 Abs. 1 lit c) DSGVO gestützt werden.

Wann kann ein Arbeitnehmer auch die Gesundheitsdaten von Besuchern oder Gästen des Unternehmens verarbeiten?

Da in Unternehmen regelmäßig Besucher und Gäste verkehren, besteht auch ein großes Interesse seitens des Arbeitgebers, vorsorgliche Maßnahmen zur Eindämmung des Virus zu ergreifen. Sollten hierfür Gesundheitsdaten verarbeitet werden müssen, so kann dies nach sorgfältiger Prüfung auf Grundlage von Art. 9 Abs. 2 lit. i) DSGVO iVm § 22 Abs. 1 Nr. 1 lit. c) BDSG geschehen. Bei anderen Maßnahmen bei denen personenbezogene Daten verarbeitet werden, die keine Gesundheitsdaten sind, kann sich der Arbeitgeber auf sein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO stützen (vgl. BfDI).

Welche Maßnahmen sind in Hinblick auf die Eindämmung des Corona-Virus erlaubt?

Beispiele für zulässige Maßnahmen gegenüber Arbeitnehmern:

• Maßnahmen ohne datenschutzrechtlichen Bezug, wie zum Beispiel:
  • Hygienevorschriften,
  • allgemeine Dienstanweisung bei Symptomen zuhause zu bleiben,
  • Absage/Verschieben von Dienstreisen,
  • Anordnung im Home Office zu arbeiten,
  • regelmäßiges informieren über relevante Neuigkeiten rund um das Virus.
• Auskunftsverlangen über Infektion bei begründetem Verdacht,
• Auskunftsverlangen gegenüber infizierten Arbeitnehmern hinsichtlich Kontaktpersonen im betrieblichen Umfeld,
• Auskunftsverlagen über Aufenthalt in einem Risikogebiet nach Urlaub oder Dienstreise,
• Verarbeitung von Daten, die von dem Arbeitnehmer proaktiv mitgeteilt werden, z.B., dass Kontakt mit einer/einem (potentiell) Infizierten bestand,
• Einholung der Einwilligung zur Speicherung von Notfallkontakten und privaten Kontaktdaten zur Verständigung bei Notfällen und betrieblichen Änderungen aufgrund des Virus.

Beispiele für unzulässige Maßnahmen gegenüber Arbeitnehmern:

• Verpflichtende umfassende Fragebögen an die gesamte Arbeitnehmerschaft (anlasslose Reihenbefragungen),
• Befragung anderer Arbeitnehmer, ob jemand Symptome zeigt.

Beispiele für zulässige Maßnahmen gegenüber Besuchern oder Gästen des Unternehmens:

• Maßnahmen ohne datenschutzrechtlichen Bezug, wie Hygienevorschriften, Einschränkung von Besuchsmöglichkeiten,
• Auskunftsverlangen über Infektion bei begründetem Verdacht,
• Auskunftsverlangen gegenüber infizierten Besuchern oder Gästen hinsichtlich Kontaktpersonen im Unternehmen.

Beispiele für unzulässige Maßnahmen gegenüber Besuchern oder Gästen des Unternehmens:

• Pauschale Gesundheitsauskunft ohne begründeten Verdacht.

Die Themenreihe Datenschutz und Corona wird mit einem Beitrag zum Thema „Datenschutzkonformes Arbeiten im Home Office“ fortgesetzt.

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.

Themenreihe Datenschutz und Corona – Teil 3: Tipps für Datenschutzhinweise

Wie im letzten Teil unserer Themenreihe Datenschutz und Corona angekündigt, möchten wir Ihnen heute Tipps für Datenschutzhinweise nach Art. 13, 14 DSGVO näher bringen. Diese sollen Personen, die von einer “coronabedingten” Datenverarbeitung betroffen sind, die erforderlichen Informationen zur Verfügung stellen. Dabei möchten wir uns insbesondere auf Beschäftigte sowie Besucher von Unternehmen konzentrieren.

Informationspflichten bleiben bestehen

Sowohl der Bundesdatenschutzbeauftragte Dr. Ulrich Kelber (BfDI) als auch der Landesdatenschutzbeauftragte für Baden-Württemberg Dr. Stefan Brink (LfDI BW) haben in ihren Stellungnahmen zu Datenverarbeitungen im Zusammenhang mit der Corona-Pandamie deutlich gemacht, dass sich durch die aktuelle Krisensituation zwar Besonderheiten hinsichtlich der Zulässigkeit bestimmter Datenverarbeitungen ergeben können, dies die für die Verarbeitung Verantwortlichen jedoch nicht davon entbindet, die datenschutzrechtlichen Grundsätze der DSGVO und des BDSG einzuhalten (für genauere Informationen hinsichtlich der Stellungnahmen verweisen wir auf den ersten Beitrag dieser Themenreihe). Einer der wesentlichsten Grundsätze ist dabei die Transparenz (Art. 5 Abs. 1 S. 1 lit. a) DSGVO), welche sich insbesondere in den Informationspflichten nach Art. 13 und Art. 14 DSGVO niederschlägt. Trotz der in gewisser Weise erleichterten Möglichkeit der Verarbeitung zum Zwecke der Pandemiebekämpfung müssen die Betroffenen also hinreichend über die Datenverarbeitung informiert werden.

Wegen der Bedeutung des Themas und der besonderen Situation auch für die von der Verarbeitung Betroffenen empfehlen wir grundsätzlich, das Merkblatt kurz und übersichtlich zu halten. Neben den unbedingt erforderlichen Angaben zum Verantwortlichen und Datenschutzbeauftragten sollten daher nur Informationen aufgenommen werden, die unmittelbar die Verarbeitung selbst betreffen. Es erscheint hingegen wenig sinnvoll, ausführliche Eräuterungen zu den Betroffenenrechten aus der DSGVO und dem BDSG aufzunehmen. Hier dürfte auch ein Verweis auf eine “allgemeine” Datenschutzerklärung des Verantwortlichen ausreichen, welche der Betroffene online oder über einen separaten Aushang, einsehen kann.

Hinsichtlich des Informationsgehalts in Bezug auf die konkrete Verarbeitung soll hier zwischen der Information der Beschäftigten (von denen z.B. private Kontaktdaten oder Informationen zu Aufenthalten in Risikogebieten erhoben werden sollen) sowie von Besuchern des Unternehmens unterschieden werden. Die wesentlich mitzuteilenden Informationen erstrecken sich auf den Zweck und die Rechtsgrundlage der Verarbeitung, nähere Angaben zu einer etwaigen Interessenabwägung sowie zur Weitergabe der Daten und schließlich die Dauer der Speicherung.

Informationen für Beschäftigte

Die Daten der Beschäftigten werden insbesondere zu dem Zweck verarbeitet, den Gesundheitsschutz der Beschäftigten sicherzustellen und entsprechende Risiken zu verringern. Um dieser arbeitsrechtlichen Pflicht nachkommen zu können, müssen insbesondere Informationen dazu verarbeitet werden, ob sich ein Beschhäftigter in letzter Zeit in einem Risikogebiet aufgehalten hat. Regelmäßig werden aber auch private Kontaktdaten erhoben, um die Beschäftigten über Betriebsschließungen und sonstige Maßnahmen informieren zu können. Diese Verarbeitungen sind nach Ansicht der Datenschutzbehörden nach § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 S. 1 lit. f) DSGVO gerechtfertigt. Im letzten Fall sind noch Spezialvorschriften aus dem Tarif-, Arbeits- und Sozialbereich hinzuzuziehen. Bei besonders sensiblen Daten, wie es auch Gesundheitsdaten sind, ist zudem § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO anzuführen.

Erfolgt die Verarbeitung der Daten auf der Grundlage eines berechtigten Interesses im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DSGVO, so müssen den Beschäftigten auch die wesentlichen Punkte der Interessenabwägung mitgeteilt werden. Während auf der Seite des Betroffenen ein Interesse an der Nichtverarbeitung der Daten besteht, wiegt das Interesse des Verantwortlichen, die eigenen Mitarbeiter vor einer Erkrankung mit COVID-19 (Coronavirus) zu schützen und seiner arbeitsrechtlichen Verpflichtung zum Schutz der Mitarbeiter nachzukommen, deutlich schwerer. Das Interesse des Verantwortlichen überwiegt demnach das Individualinteresse des Betroffenen. Nicht zuletzt sollte ein solches Vorgehen auch im Eigeninteresse des Mitarbeiters liegen.

Schließlich ist der Beschäftigte darüber zu informieren, dass die erhobenen Daten nicht weitergegeben werden und eine Speicherung der Daten zunächst für eine beschränkte Zeit erfolgt, beispielweise acht Wochen. Dabei ist aber auch darauf hinzuweisen, dass die Speicherung im Falle einer Verlängerung der Pandemie ggf. länger erfolgen kann, nach deren Ende jedoch gelöscht und nicht anderweitig genutzt werden. Die entspricht den Vorgaben der Aufsichtsbehörden.

Informationen für Besucher

Sofern ein Verantwortlicher Informationen über Besucher seines Unternehmens verarbeitet – etwa deren Kontaktdaten für den Fall, eine Infektionskette nachvollziehen zu müssen – erfolgt dies ebenfalls zu dem Zweck, die Gesundheit der Beschäftigten sicherstellen zu können und die Ausbreitung der Pandemie zu verhindern bzw. wenigstens zu verlangsamen. Zwar kann hier nicht auf § 26 Abs. 1 BDSG zurückgegriffen werden, doch auch hier besteht ein berechtigtes Interesse des Verantwortlichen im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Insoweit hier Gesundheitsdaten verarbeitet werden, ist zudem Art. 9 Abs. 2 lit. i) DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG heranzuziehen.

Im Rahmen der Interessenabwägung ist zu berücksichtigen, dass dem Interesse des Betroffenen am Zugang zum Betriebsgelände das Interesse des Verantwortlichen, die eigenen Mitarbeiter vor einer Erkrankung mit COVID-19 (Coronavirus) zu schützen – und damit die Gesundheit der Mitarbeiter und die Sicherung der Betriebsabläufe sowie ein erhebliches öffentliches Interesse – entgegensteht. Das Interesse des Verantwortlichen überwiegt auch hier das Individualinteresse des Betroffenen.

Hinsichtlich der Weitergabe der Daten ergeben sich hier keine Abweichungen, jedoch kann die Speicherdauer ggf. kürzer bemessen werden, beispielsweise mit vier Wochen. Hier sollte aber auch auf die Umstände und Bedürfnisse des Einzelfalls abgestellt werden. Wichtig ist lediglich, dass keine zeitlich unbeschränkte Speicherung stattfindet und die Daten später nicht zweckfremd verwendet werden.

Die Themenreihe Datenschutz und Corona wird morgen mit einem Beitrag zum Thema “Verarbeitung von Gesundheitsdaten zum Schutz vor Corona-Infektionen” fortgesetzt.

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.

Themenreihe Datenschutz und Corona – Teil 2: Datenverarbeitung im Zusammenhang mit dem Coronavirus

Im Zuge des Coronavirus befindet sich der Arbeitgeber in einem Spannungsfeld zwischen einerseits dem Schutz der eigenen Mitarbeiter, der Sicherung des Betriebsablaufs und der Eindämmung der Pandemie sowie andererseits den Vorgaben, die bei der Datenverarbeitung, insbesondere bei der Verarbeitung von Gesundheitsdaten, an ihn gestellt werden.

Die Einhaltung der datenschutzrechtlichen Vorgaben mag dem ein oder anderen in der derzeitigen Situation nicht als überragend wichtig erscheinen.

Nichtsdestotrotz sollten bei der jeweiligen Datenverarbeitung, vor allem bei der Verarbeitung sensibler Daten, die datenschutzrechtlichen Voraussetzungen der DSGVO und des BDSG eingehalten werden.

Am vergangenen Freitag, 13.03.2020, veröffentliche der Bundesdatenschutzbeauftragte, Dr. Ulrich Kelber eine Stellungnahme zum Thema Datenschutz und Corona und der baden-württembergische Landesdatenschutzbeauftragte, Dr. Stefan Brink FAQs– wir berichteten darüber in Teil 1 der Reihe.

Datenschutzrechtlich notwendige Maßnahmen

Die notwendigen Maßnahmen, die auch im Falle einer Datenverarbeitung mit Bezug zum Coronavirus, einzuhalten und vorzunehmen sind, unterscheiden sich grundsätzlich nicht von denen, die auch bei jeder anderen Datenverarbeitung zu ergreifen sind. Auch die Stellungnahmen des BfDI und des LfDI BW lassen keine Lockerung hinsichtlich der datenschutzrechtlichen Vorgaben erkennen.
Dazu gehören unter anderem:

• die umfassende Information des Betroffenen nach Art. 13 (in diesem Zusammenhang wird bereits auf den morgigen Beitrag hingewiesen, der sich detailliert mit dieser Thematik beschäftigt),
• die sichere Aufbewahrung der personenbezogenen Daten – dazu folgen weitere Information im Verlauf des Beitrags,
• die Führung eines Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO.

Sichere Aufbewahrung der personenbezogenen Daten

Zur sicheren Aufbewahrung der personenbezogenen Daten:
Sofern die Datenverarbeitung auf eine Rechtsgrundlage aus Art. 9 Abs. 2 DSGVO in Verbindung mit § 22 Abs. 1 BDSG gestützt wird, ist für die Sicherheit der Datenverarbeitung § 22 Abs. 2 BDSG zu berücksichtigen.

Wie bereits der Wortlaut von § 22 Abs. 2 S. 1 BDSG offenbart, sind „angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen“. Genauere Informationen enthält § 22 Abs. 2 S. 2 BDSG, der die verschiedenen Maßnahmen, die „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen“ ergriffen werden können. Sodann werden die verschiedenen Möglichkeiten aufgelistet.

Ohne Anspruch auf Vollständigkeit wird an dieser Stelle auf folgende Maßnahmen, unter Nennung von Beispielen, eingegangen:

• Sensibilisierung der an Verarbeitungsvorgängen Beteiligten, § 22 Abs. 2 S. 2 Nr. 3 BDSG;
  • datenschutzrechtliche Schulung der Mitarbeiter, die an der Datenverarbeitung beteiligt sind,
  • Sensibilisierung für die besondere Bedeutung von sensiblen Daten, wie z.B. Gesundheitsdaten,
  • Hinweis auf die Einhaltung datenschutzrechtlicher Standards, auch in Zeiten der Corona-Krise.
• Benennung einer oder eines Datenschutzbeauftragten, § 22 Abs. 2 S. 2 Nr. 4 BDSG;
  • sollten Sie sich unsicher sein, ob und wie Sie die personenbezogenen Daten verarbeiten, benennen Sie einen Datenschutzbeauftragten,
  • sollten Sie bereits einen Datenschutzbeauftragten benannt haben, kontaktieren Sie diesen und bitten um Unterstützung.
• Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern, § 22 Abs. 2 S. 2 Nr. 5 BDSG, zum Beispiel durch:
  • Einführung eines Zugriffskonzepts und Einhaltung des ‚Need-to-know Prinzips‘ – achten Sie darauf, dass der Kreis, der Zugriffsberechtigten so klein wie möglich ist,
  • Verschlossene Aufbewahrung von papiergebundenen Dokumenten, z.B. in einem Tresor oder zumindest einem abschließbaren Schrank (die Schlüsselgewalt sollte natürlich ebenfalls begrenzt sein),
  • Passwort geschützte digitale Dokumente (restriktive Weitergabe des Passworts unter Berücksichtigung des ‚Need-to-know Prinzips‘).

Die Themenreihe Datenschutz und Corona wird morgen mit einem Beitrag zum Thema “Tipps für Datenschutzhinweise” fortgesetzt.

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.

Themenreihe Datenschutz und Corona – Teil 1: Stellungnahmen der Aufsichtsbehörden

Das Thema Corona ist im Moment allgegenwärtig und betrifft jeden Einzelnen von uns.
Auch wenn es im ersten Moment nicht auf der Hand liegt. Datenschutz und das Coronavirus haben durchaus Berührungspunkte und zwar wenn personenbezogene Daten in Bezug auf das Virus verarbeitet werden.
Dies kann sowohl im Beschäftigungskontext als auch in Bezug auf Besucher und Lieferanten eines Unternehmens der Fall sein. Zum Beispiel zum Schutz der eigenen Mitarbeiter durch Einlasskontrollen oder wenn Mitarbeiter nach Krankheitssymptomen befragt werden.

Diese Themen und noch weitere, die einen Bezug zu “Datenschutz und Corona” haben, möchten wir Ihnen in den nächsten Tagen erläutern.

Heute möchten wir Ihnen zunächst die bisherigen Stellungnahmen des Bundesdatenschutzbeauftragten Dr. Ulrich Kelber (BfDI) und des Landesdatenschutzbeauftragten für Baden-Württemberg Dr. Stefan Brink (LfDI BW), zusammenfassen.

Restriktive Datenverarbeitung

Beide Behörden stellen zunächst klar, dass die Erhebung und Verarbeitung personenbezogener Daten als Maßnahme gegen die weitere Verbreitung und Eindämmung der Corona-Pandemie in vielen Fällen erforderlich, jedoch restriktiv zu behandeln ist. Der Betroffene sei auch in diesen Fällen „Herr seiner Daten“. Zur Datenerhebung und Verarbeitung sei daher immer eine gesetzliche Grundlage erforderlich. Die jeweilige Maßnahme müsse zudem verhältnismäßig sein.

Das BfDI listet hier nach Situationen auf, in denen eine Verarbeitung personenbezogener Daten erforderlich ist. Dies insbesondere dann, wenn die betroffene Person nachweislich infiziert ist, Kontakt zu infizierten Personen hatte oder sich in einem vom Robert Koch-Institut ausgewiesenen Risikogebiet aufgehalten hat.

In diesen Situtationen dürfe der Arbeitgeber oder Dienstherr, um eine Ausbreitung des Virus bestmöglich zu verhindern oder einzudämmen, die personenbezogenen (Gesundheits-)Daten von Beschäftigten erheben und verarbeiten. Davon ist auch die Datenverarbeitung gegenüber Gästen und Besuchern umfasst.

Arbeitgeber sind beispielweise dazu verpflichtet den gesundheitlichen Schutz der Belegschaft sicherzustellen und mögliche Risiken auszuschließen. Diese Fürsorgepflicht verpflichtet, nach Ansicht der Datenschutzbehörden, die Arbeitgeber unter Umständen zu Befragungen der Mitarbeiter zum Aufenthalt in Risikogebieten. Jede hierauf bezogene Maßnahme muss verhältnismäßig sein, vertraulich behandelt werden und zweckgebunden erfolgen. Dies bedeutet jedoch auch, dass erhobene Daten spätestens nach Ende der Pandemie wieder gelöscht werden müssen.

Jede Maßnahme ist also einzelnd zu bewerten. Eine Offenlegung personenbezogener Daten z.B. durch Nennung eines bestimmten Mitarbeiters ist beispielsweise nur zulässig, soweit die Kenntnis der Identität für Vorsorgemaßnahmen der Kontaktpersonen erforderlich ist. Grundsätzlich können Maßnahmen jedoch Abteilungs- oder Teambezogen erfolgen, ohne einzelne Namen zu nennen.

Rechtsgrundlagen der Verarbeitung

Die Rechtsgrundlagen für die jeweilige Datenerhebung bzw. Verarbeitung finden sich in der EU-Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) in Verbindung mit den jeweiligen Landesdatenschutz- und Fachgesetzen wieder.

Die Einwilligung soll als Rechtsgrundlage nur herangezogen werden, wenn die Betroffenen über die Datenverarbeitung umfassend informiert wurden und diese freiwillig in die Maßnahme eingewilligt haben.

Für die Verarbeitung personenbezogener Mitarbeiterdaten durch öffentlich-rechtliche Arbeitgeber ergibt sich die Rechtsgrundlage aus Art. 6 Abs. 1 Satz 1 lit. e) DSGVO. Das BfDI erkennt hier ein Handeln im öffentlichen Interesse. Nicht-öffentliche Arbeitgeber handeln im Rahmen ihrer Pflichten aus dem Beschäftigungsverhältnis, § 26 Abs 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO. Im letzten Fall sind noch Spezialvorschriften aus dem Tarif-, Arbeits- und Sozialbereich hinzuzuziehen. Bei besonders sensiblen Daten, wie es auch Gesundheitsdaten sind, ist zudem § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO BDSG zu beachten.

Gegenüber Dritten, z.B. Gästen oder Besuchern, sind Maßnamen von öffentlichen Stellen grundsätzlich auf Art. 6 Abs. 1 Satz 1 lit. c) und e) DSGVO ggf. in Verbindung mit den jeweiligen Landesdatenschutzgesetzen zu stützen. Im nicht-öffentlichen Bereich kann Art. 6 Abs. 1 Satz 1 lit. f) DSGVO als Rechtsgrundlage herangezogen werden. Bei Gesundheitsdaten ist zudem Art. 9 Abs. 2 lit. i) i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG anzuwenden.

Übermittlung von Daten an Behörden

Behördliche Maßnamen können je nach Reglung des jeweiligen Bundeslandes durch Ordnungsbehörden oder das Gesundheitsamt erlassen werden. Die jeweilige Rechtsgrundlage hängt von der jeweiligen Maßnahme ab. Der BDfI nennt hier insbesondere Vorschriften im Infektionsschutzgesetz (IfsG), welche Quarantänevorschriften und Tätigkeitsverbote durch das Gesundheitsministerium regeln. Hier ist regelmäßig von einer Übermittlungsbefugnis der Arbeitgeber oder Unternehmer auszugehen.

Ohne eine gesetzlich gestützte Anordnung, ist eine Übermittlung regelmäßig nur mit der Einwilligung der betroffenen Personen rechtmäßig. Folglich dürfen im Zusammenhang mit dem Corona-Virus die Daten von Besuchern ohne Einwilligung nur übermittelt werden, wenn zuvor eine Anordnung der zuständigen Behörde nach § 16 Abs. 1 IfsG ergangen ist.

Die Themenreihe Datenschutz und Corona wird morgen mit einem Beitrag zum Thema “Datenverarbeitung im Zusammenhang mit dem Coronavirus” fortgesetzt.

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.