Kategorie: COVID-19-Virus
16. April 2020
Die Corona-Pandemie legt nicht nur das öffentliche Leben lahm, sondern auch den Großteil jeglicher Bürotätigkeit. Diese wurde ins Homeoffice ausgelagert und die bisher tägliche persönliche Kommunikation mit den Kollegen durch Videokonferenzen ersetzt. Was für informelle Meetings kein Problem ist, stellt jedoch eine Herausforderung für rechtswirksame Absprachen dar. Eine besonders wichtige Rolle kommt zurzeit deutschlandweit den Betriebsräten zu. Sind doch diese immerhin gefordert, ihre Zustimmung zum Einführen von Kurzarbeit zu geben.
Fraglich ist jedoch, ob nach aktueller Gesetzeslage eine Zustimmung des Betriebsrates, die ohne persönlichen Kontakt erfolgt, wirksam ist. Um diesbezüglich Klarheit zu schaffen, hat die Bundesregierung in der Pressemitteilung vom 9. April 2020 Gesetzesänderungen angekündigt.
Problematik
Konkret umfassen die Änderungen das
Betriebsverfassungsgesetz (BetrVG) und das Europäische Betriebsräte-Gesetzes
(EBRG). Diese sollen für die Dauer der Covid-19-Pandemie gelten.
Die Notwendigkeit zur Zustimmung des Betriebsrates ist in § 87 Abs. 1 Nr. 2, 3 BetrVG geregelt. Dieser sieht zwar keinen persönlichen Kontakt vor, obwohl dieser in der Praxis zumeist erfolgt. Allerdings könnte eine unwirksame Betriebsvereinbarung über die Einführung von Kurzarbeit zur Folge haben, dass diese von vorneherein unwirksam ist. Das wiederum hätte zur Folge, dass Arbeitgeber nachträglich das volle Gehalt nachzahlen müssten und Ansprüchen der Agentur für Arbeit ausgesetzt wäre. Um dies zu vermeiden, möchte der Gesetzgeber Klarheit schaffen und ausdrücklich Video- und Telefonkonferenzen des Betriebsrats erlauben.
Änderungen
Darum soll ein neuer § 129 BetrVG eingeführt werden:
§ 129 BetrVG – Sonderregelungen aus Anlass der Covid-19-Pandemie
(1) Die Teilnahme an Sitzungen des Betriebsrats, Gesamtbetriebsrats, Konzernbetriebsrats,
der Jugend- und Auszubildendenvertretung, der Gesamt-Jugend- und
Auszubildendenvertretung und der Konzern-Jugend und Auszubildendenvertretung
sowie die Beschlussfassung können mittels Video- und Telefonkonferenz erfolgen,
wenn sichergestellt ist, dass Dritte vom Inhalt der Sitzung keine Kenntnis
nehmen können. Eine Aufzeichnung ist unzulässig. § 34 Absatz 1 Satz 3 gilt mit
der Maßgabe, dass die Teilnehmer ihre Anwesenheit gegenüber dem Vorsitzenden in
Textform bestätigen.
(2) Für die Einigungsstelle und den Wirtschaftsausschuss gilt Absatz 1
Satz 1 und 2 entsprechend.
(3) Versammlungen nach den §§ 42, 53 und 71 können mittels
audiovisueller Einrichtungen durchgeführt werden, wenn sichergestellt ist, dass
nur teilnahmeberechtigte Personen Kenntnis von dem Inhalt der Versammlung nehmen
können. Eine Aufzeichnung ist unzulässig.
(4) Die Sonderregelungen nach den Absätzen 1 bis 3 treten mit Ablauf des
31. Dezember 2020 außer Kraft.
Auch sollen die Änderungen rückwirkend ab dem 1. März 2020 Geltung haben, um bereits beschlossene Vereinbarungen nicht zu gefährden.
Datenschutz
Zu beachten ist, dass datenschutzrechtliche Maßnahmen
vorhanden sein müssen, die verhindern, dass Unbefugte an Konferenzen teilnehmen
können. Das heißt, dass entsprechende technische und organisatorische Maßnahmen
ergriffen werden müssen. Das ist zum Beispiel eine Verschlüsselung der
Verbindung und die Nutzung eines nichtöffentlichen Raumes während der Dauer der
Sitzung
Wieso eine Nutzung der Plattform Zoom bedenklich ist, können Sie in unserem Blogartikel hier nachlesen.
Die beiden Internetriesen Apple und Google gaben am vergangenen Freitag in einer gemeinsamen Stellungnahme bekannt, dass sie an einer Software zur Bekämpfung von Covid-19 arbeiten. Die jeweiligen Betriebssysteme iOS und Android, betreiben die überwiegende Mehrheit der weltweit verwendeten Smartphones. Vorrangiger Zweck der Zusammenarbeit ist die Entwicklung einer App, um Menschen zu warnen, die kürzlich mit Infizierten in Kontakt gekommen sind.
Zur Erfassung von Abständen werde die App auf die Bluetooth-Funktion der Geräte zurückgreifen. Konkret geplant ist, dass die Betriebssysteme temporär Identifikationsnummern austauschen. Dabei werde mithilfe der Bluetooth-Signale eines Smartphones ermittelt, zu wem der Nutzer kürzlich längeren räumlichen Kontakt hatte, um so ein mögliches Ansteckungsrisiko feststellen zu können.
Aktuell planen Apple und Google bis Mitte Mai einen Software-Baustein zu veröffentlichen. Mithilfe dieser API (Application Programming Interface) könnten auch Apps anderer Hersteller auf derselben Basis ausgeführt werden. Für die Nutzer bedeutet dies, dass sie die App, die sie benutzen möchten, separat herunterladen müssen, diese sodann aber unabhängig vom Hersteller und unter Zuhilfenahme des Software-Bausteins von Apple und Google, miteinander kommunizieren können.
Eine infizierte Person könne dann ihren Status in der jeweiligen App angeben, wodurch wiederum Personen benachrichtigt würden, die in den vorangegangen zwei Wochen mit dieser Person in Kontakt gekommen sind. Dabei würde der tatsächliche Standort des infizierten Benutzers nicht preisgegeben. Die Daten wären dann für Behörden zugänglich, enthielten jedoch keine Informationen, durch die die betroffenen Personen identifiziert werden könnten. Für die Zukunft planen Apple und Google, die Software direkt standardmäßig in die Betriebssysteme einzufügen. Zudem möchten beide Unternehmen die Gesundheitsbehörden bei der Entwicklung der Apps unterstützen.
Allerdings bleiben noch viele Fragen bezüglich der genaueren Umstände der ungewöhnlichen Partnerschaft sowie der Sicherheit der personenbezogenen Daten offen. So stellt sich die Frage, ob Verbraucher den Unternehmen und Behörden weltweit vertrauen können, ein System, das auf sensiblen Gesundheits- und Bewegungsdaten beruht, nicht für anderen Zwecke zu missbrauchen.
“Datenschutz, Transparenz und Einwilligung sind bei diesen Bemühungen von größter Bedeutung. Wir freuen uns darauf, die neuen Funktionen in Absprache mit den Interessengruppen aufzubauen”, verkündeten Apple und Google in der gemeinsamen Erklärung. “Wir werden offen Informationen über unsere Arbeit veröffentlichen, damit andere sie analysieren können.”
Nach ersten Informationen sollen die Kontaktdaten dezentral auf den Geräten der Anwender gespeichert werden und somit nicht auf einem zentralen Server. Die Daten würden erst auf einen Server übertragen, wenn der Betroffene positiv getestet werden würde. Darüber hinaus müsste in diese Übertragung einwilligt werden. Die Apps anderer Nutzer hätten dann wiederum Zugriff auf die Listen der anonymisierten IDs der Erkrankten. Darüber hinaus wolle man die Software-Quellcodes veröffentlichen. So könne jeder nachvollziehen, wie die Daten behandelt werden. Zusätzlich soll so gewährleistet werden, dass keinerlei Daten für Werbezwecke eingesetzt werden.
Der Datenschutzbeauftragte der Europäischen Union äußerte sich positiv auf Twitter: “Wir begrüßen die gemeinsame Initiative zur Beschleunigung des weltweiten Kampfes gegen die Covid19-Pandemie. (…) Die Initiative muss weiter geprüft werden. Auf den ersten Blick scheint sie jedoch die richtigen Kästchen in Bezug auf Benutzerauswahl, Datenschutz durch Design und europaweite Interoperabilität angekreuzt zu haben.” “Die Achtung fundamentaler Rechte sei der Schlüssel und man werde die Entwicklungen in enger Zusammenarbeit auch weiterhin überwachen”, so der Datenschutzbeauftragte Wojciech Wiewiórowski.
15. April 2020
In verschiedenen Bundesländern wurden Covid-19 Patientenlisten von den Gesundheitsämtern an die Polizeibehörden weitergeleitet. Derzeit bekannt ist eine Weitergabe in Niedersachsen, Bremen, Mecklenburg-Vorpommern und Baden-Württemberg. In Bayern erhielt der Landesbeauftragte für Datenschutz mehrere Anfragen, die er ablehnte. Die Covid-19 Patientenlisten enthalten personenbezogene Daten über die Personen, die sich in Quarantäne befinden. Dazu zählen sowohl sensible Gesundheitsdaten, als auch Informationen zu Quarantänebestimmungen und Kontaktpersonen.
Kritik:
Die Datenschutzbeauftragten sprechen sich überwiegend gegen eine Datenweitergabe an die Polizei aus. Der Datenschutzbeauftragte des Landes Baden-Württemberg Stefan Brink kritisierte, dass den Polizeibehörden die Rechtsgrundlage für das Handeln fehle und die Weitergabe rechtswidrig sei. Das Gesetz über den Gesundheitsdienst käme als Rechtsgrundlage nicht in Betracht, da es eine konkrete Gefahr voraussetze. Vor einem polizeilichen Einsatz bestünde für die Beamten lediglich eine potentielle Gefahr, die nicht ausreiche. Zusätzlich warnte er davor, dass auf der Grundlage weitere Behörden die Listen anfordern könnten und so eine klare Grenzziehung erschwert werden könnte. Der Präsident der Ärztekammer Mecklenburg-Vorpommern, Andreas Crusius, stellte die Erforderlichkeit der Listenweitergabe in Frage. Bei Bedarf könnte sich die Polizei alternativ jederzeit an die Amtsärzte wenden, die im Einzelfall eine Auskunft zum Gesundheitszustand der Person erteilen könnten. Außerdem bezweifelte er, dass die Listen zum Zeitpunkt der Ankunft überhaupt noch aktuell sind. Die niedersächsische Datenschutzbehörde äußerte sich ebenfalls kritisch und untersagte die Datenweitergabe. Der Datentransfer verstoße gegen den Datenschutz, die ärztliche Schweigepflicht und die Verhältnismäßigkeit. Die Polizei hatte die Datenverarbeitung auf die Gefahrenabwehr gemäß § 41 NPOG, auf das Infektionsschutzgesetz sowie den rechtfertigenden Notstand nach§ 34 StGB gestützt. Dem widersprach die niedersächsische Datenschutzbeauftrage Barbara Thiel, da der rechtfertigende Notstand gemäß § 34 StGB nicht pauschal für alle Personen gelten könne, die auf der Liste stehen.
Der Datenschutzbeauftragte von Mecklenburg-Vorpommern Heinz Müller stuft die Weitergabe der Covid-19 Liste als vertretbar ein. Die Polizei könnte ihr Vorgehen auf ihr berechtigtes Interesse, dem Infektionsschutz von Polizeibeamten, stützen. Beispielsweise müssten die Beamten vor dem Einsatz in einer häuslichen Umgebung wissen, ob in der Wohnung Covid-19 Infizierte leben. Diesbezüglich könnte jedoch erneut die fehlende Erforderlichkeit der Maßnahme und die Pauschalität kritisiert werden.
Lösungsansatz:
Das Innenministerium von Baden-Württemberg liefert einen möglichen Lösungsvorschlag für die Problematik. Es wurde eine Rechtsverordnung erarbeitet, die der Polizei, nur in Einzelfällen, den Zugriff auf eine passwortgeschützte Datenbank mit den Covid-19 Infizierten erlaubt. Die kursierenden Patientenlisten sollen vernichtet und die Betroffenen darüber informiert werden.
14. April 2020
Die Deutsche Akademie der Naturforscher Leopoldina hat am 13.04.2020 in einer Ad-hoc-Stellungnahme Vorschläge präsentiert, wie aus ihrer Sicht COVID-19 wirksam bekämpft und die aktuelle Krise nachhaltig überwunden werden kann. Nachdem die Empfehlungen auf Seiten der Politik zunächst überwiegend Lob geerntet hatten, wird nun aber auch Kritik geäußert. Gegenstand kritischer Äußerungen sind dabei die Anmerkungen im Rahmen der Stellungnahme, die auf eine Überprüfung datenschutzrechtlicher Standards abzielen.
So heißt es in der Stellungnahme (S. 7): “Angesichts der Erfahrung der derzeitigen Pandemie sollten auf europäischer Ebene die Datenschutzregelungen für Ausnahmesituationen überprüft und ggfs. mittelfristig angepasst werden. Dabei sollte die Nutzung von freiwillig bereit gestellten personalisierten Daten, wie beispielsweise Bewegungsprofile (GPS-Daten) in Kombination mit Contact-Tracing in der gegenwärtigen Krisensituation ermöglicht werden.”
Dieser Vorschlag wird sowohl von Datenschützern als auch von einigen Politikern zurückgewiesen und auf die geplante App zur Nachverfolgung von Corona-Kontakten verwiesen. Während der Bundesdatenschutzbeauftragte Ulrich Kelber die Sinnhaftigkeit der Nutzung von GPS-Daten mit Verweis auf Testergebnisse und Umfragen in der Bevölkerung hinterfragt, hält sein Hamburger Kollege Johannes Caspar die bestehenden Eingriffstatbestände der DSGVO zum Gesudheitsschutz – insbesondere unter Berücksichtigung nationaler Regelungsmöglichkeiten durch entsprechende Öffnungsklauseln – für ausreichend. Zudem verweist auch Caspar darauf, dass die bestehenden Möglichkeiten zur Datennutzung (anonymisierte Standortdaten, Datenspenden von Gesundheitsdaten) sowie die geplante App zur Nachverfolgung der Kontaktpersonen ausreichend seien.
In die gleiche Kerbe schlägt Stephan Thomae, Vizechef der FDP-Bundestagsfraktion. Auch wenn das GPS-Tracking in Ländern wie Südkorea Erfolge gezeigt habe, solle Südkorea nicht als Vorbild genommen werden, sondern der Fokus darauf liegen, die Akzeptanz der Bevölkerung in die geplante, auf freiwilliger Basis und mittels Bluetooth-Technologie operiende App zu stärken. Auch Konstantin von Notz (Grüne) sieht kein Bedürfnis für eine Änderung der datenschutzrechtlichen Rechtslage; die derzeitige sei ausreichend.
Eingeschränkte Unterstützung für die Empfehlung der Leopoldina kommt hingegen vom digitalpolitischen Sprecher der SPD-Bundestagsfraktion, Jens Zimmermann. “Mittelfristig” sei eine entsprechende Debatte angebracht, kurzfristig jedoch die derzeit geplanten digitalen Maßnahmen ausreichend. Nur wenn sich dabei zeige, “dass gesetzliche Änderungen notwendig werden, sollte dies auf der Grundlage dieser Erfahrungswerte diskutiert werden.”
Wann in Deutschland eine entsprechende App zur Nachverfolgung von Corona-Kontakten zum Einsatz kommen kann, ist derzeit immer noch offen. Mehrere mögliche Modelle werden durch das Robert-Koch-Institut (RKI) geprüft. Bis zur “Marktreife” steht daher zunächst nur die Datenspende-App des RKI zur Verfügung.
8. April 2020
Video-Verhandlungen gewinnen durch die Corona Krise immer mehr an Relevanz, da die Gerichte seit Ausbruch der Pandemie zu einem Notbetrieb gezwungen werden und viele Termine um Monate verschoben wurden. Die Justizminister der Länder verlangten sogar öffentlich, die Gerichte sollten ihren Dienst weitgehend einstellen, denn gefüllte Gerichtssäle stellen zweifellos eine Gesundheitsgefahr dar, “Social Distancing” ist so schwer möglich.
Da dies für viele Richter und Anwälte inakzeptabel erscheint, werden Forderungen nach Online-Verhandlungen und Videoübertragungen immer lauter. Die Angst der Gerichte vor einem nicht mehr aufholbaren Rückstau bei totalem Verhandlungsausfall ist groß. “Die Zivilprozessordnung erlaubt es, Verhandlungen ohne körperliche Präsenz der Parteien durch allgemein übliche Ton- und Bildübertragungen durchzuführen”, so Uwe Freyschmidt, Vorsitzender des Berliner Anwaltvereins. “Videoübertragungen können die persönliche Präsenz in Gerichtsverhandlungen auf einfachem Weg ersetzen.”
Vereinzelt bedienen sich die Gerichte schon der Video-Verhandlung. Bei einigen Arbeitsgerichten in Niedersachsen werden die Gütetermine nach § 54 ArbGG beispielsweise bereits im Rahmen von Video- oder Telefonkonferenzen durchgeführt.
Der Öffentlichkeitsgrundsatz wird durch die Videoübertragung in den Sitzungssaal gewahrt, wobei hier während der Corona-Krise sehr fraglich bleibt, ob es sinnvoll ist, Zuschauer in den Sitzungssaal zu lassen.
Voraussetzung für die Video-Verhandlung ist ein kompatibles Videokonferenzsystem. Die Gerichte, die die Video-Verhandlung bereits eingeführt haben, benutzen zumeist Skype Business, bei denen das Gericht die Konferenz administriert und den Parteien entsprechende Einladungslinks elektronisch (per Mail) übermittelt. Die Möglichkeit, Gerichtsverhandlungen per Skype durchzuführen, wirft datenschutzrechtliche Fragen auf:
- Drittstaatenübermittlung: Es gab im Zusammenhang mit Skype in der Vergangenheit bereits Verstöße gegen die DSGVO bzgl. der Datenübermittlung an Drittstaaten. Es wurde bekannt, dass Transkribierungen von Skype-Mitschnitten durch Auftragnehmer in China durchgeführt wurden.
- Einwilligungen der Parteien: Der Anwalt kann nicht für seinen Mandanten in die Verarbeitung dessen Daten durch die Skype nutzenden Gerichte einwilligen. Es ist somit zwingend notwendig, dass die Parteien der Verhandlung selbst datenschutzrechtliche Einwilligungserklärungen abgeben. Die Einwilligung sollte sich ausdrücklich auch auf die Datenübermittlung in Drittstaaten beziehen.
- Auftragsverarbeitung: Außerdem ist durch die Gerichte sicherzustellen, dass etwaige Auftragnehmer die Daten der Prozessteilnehmer nicht zu eigenen Zwecken nutzen.
- Zugriff Unbefugter: Bei der Nutzung von Skype wird auch der U.S. Cloud-Act relevant, der fast zeitgleich mit der DSGVO in Kraft getreten ist. Gemäß des U.S. Cloud-Act könnten US-Ermittlungsbehörden Daten direkt von Unternehmen wie beispielsweise Microsoft, Google, Skype oder Amazon anfordern. Der U.S. Cloud-Act verpflichtet US-Unternehmen selbst dann zur Datenherausgabe, wenn lokale Gesetze am Ort des Datenspeichers dies verbieten. Wie Gerichte die Prozessbeteiligten vor diesem DSGVO-widrigen Verhalten schützen wollen, ist noch unklar.
1. April 2020
Nachdem zunächst im Rahmen der Novelle des Infektionsschutzgesetzes geplant war, mögliche Kontaktpersonen von am Covid-19-Virus erkrankten Personen “anhand der Auswertung von Standortdaten des Mobilfunkgerätes zu ermitteln, dadurch die Bewegung von Personen zu verfolgen und im Verdachtsfall zu kontaktieren”, dieses Vorhaben wegen Kritik aus Politik und von Datenschützern jedoch fallengelassen wurde, arbeiten das Robert-Koch-Institut (RKI) und das Heinrich-Hertz-Institut (HHI) an einer App, welche die Ermittlung von Kontaktpersonen und die Benachrichtung der Betroffenen ermöglichen soll.
Durch die App sollen Smartphones unter Aktivierung der Bluetooth-Technik scannen können, welche anderen Geräte sich in der Nähe befinden. Diese Informationen würden zunächst nur lokal auf dem Smartphone selbst gespeichert, und erst im Falle einer postiven Diagnose auf einen zentralen und sicheren Server gesendet, auf welchen nur das RKI oder das HHI Zugriff haben.
Dabei sollen jedoch keine Klarnamen oder sonstige Informationen zur Identifizierung der Betroffenen verwendet werden, sondern ausschließlich zufällig erstellte und anonyme IDs. Auch die Benachtichtigung der möglichen Kontaktpersonen erfolge anonym, für das RKI oder HHI sei nur die ID der möglichen Kontaktperson sichtbar. Diese werde dann aufgefordert, sich einem Test zu unterziehen und sich bis zum Erhalt der Diagnose in Quarantäne zu begeben.
Obwohl diese Vorgehensweise und technische Ausgestaltung einen möglichst weitgehenden Schutz der personenbezogenen Daten der Nutzer sowie deren Privatsphäre ermöglichen soll, wird auch hier Kritik geäußert. Von Seiten der FDP wird eine vorherige Überprüfung der App durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie durch das Bundesamt für Sicherheit in der Informationstechnik gefordert, um den Abbau der Bürgerrechte auch in Zeiten der Coronakrise zu verhindern. Auch der Hamburgische Datenschutzbeauftragte, Johannes Caspar, warnte, dass eine Überwachung aller Infizierten zu einem nicht hinnehmbaren Generalverdacht führe. Eine Nutzung der App auf der Grundlage einer Einwilligung sei jedoch denkbar, doch müsse noch geprüft werden, wie weit die Anonymisierung der verarbeiteten Daten tatsächlich erfolge.
Wann eine entsprechende App zur Nachverfolgung der Infektionsketten und zur Benachrichtigung möglicher Betroffener zum Einsatz kommen kann, bleibt somit abzuwarten. Die Epidemiologen hoffen im Falle eines Einsatzes, dass möglichst viele Bürger die App auf freiwilliger Basis nutzen. So könne eine bessere Nachverfolgung der Infektionen und somit auch eine Ausbreitung des Virus verhindert werden.
31. März 2020
Der Berliner Beuftragte für Datenschutz und Informationsfreiheit, teilte in der Pressemitteilung vom 30.März 2020 mit, dass sich bei der Investitionsbank Berlin eine Datenpanne ereignet hat.
Seit vergangenem Freitag zahlt die Investitionsbank Berlin (im Folgenden: IBB) bedürftigen Einzel- und Kleinstunternehmern bis zu 15.000 € aus dem Hilfspaket des Landes Berlin aus. Dadurch sollen die Liquiditätsengpässe, die den Unternehmen durch die Corona-Krise entstandenen sind, aufgefangen werden.
Die IBB hatte die dänische Software-Firma „Queue-it“ dazu beauftragt eine Warteschlange für die 150.000 eingegangenen Anträge zu erstellen. Dadurch wurde ein schwerwiegender Programmierfehler ausgelöst, der zu einer Datenpanne führte.
Nach Abschluss des Antragsverfahren wurde den Antragsstellern die Kopie einer fremden Person zum Herunterladen angezeigt. Bei den einsehbaren personenbezogenen Daten handelte es sich um Ausweis-, Bank- und Steuerdaten, sowie um Angaben zum Unternehmen.
Nach aktuellem Stand sollen 390 Personen am Freitag in der Zeit von 15:30-16:30 von der Datenpanne betroffen gewesen sein. Am Montag wurde der Datenschutzverstoß fristgemäß bei der zuständigen Aufsichtsbehörde gemeldet. Aktuell werden alle betroffenen Personen ermittelt, um sie gemäß Art. 34 DSGVO über den Vorfall zu informieren. Informationen zu einem möglichen Bußgeldverfahren liegen noch nicht vor.
27. März 2020
Die Corona-Krise stellt nicht nur das Gesundheitssystem, die Wirtschaft und jeden Einzelnen vor Schwierigkeiten. Menschen in den sogenannten ‚systemrelevanten‘ Berufen arbeiten seit Tagen sowohl körperlich als auch psychisch am Limit und sind ständig dem Virus und seinen Folgen ausgesetzt.
Die zu befürchtenden wirtschaftlichen Schäden sind bislang nur zu erahnen und führen zu zusätzlichen Sorgen. Das Thema ist derzeit allgegenwärtig. Die Bevölkerung ist in Sorge, sich oder andere Menschen anzustecken und ob Sie selbst, Familie, Freunde und Bekannte die Krise gesundheitlich und wirtschaftlich überstehen.
In diesen Zeiten fällt es verständlicher Weise schwer sich auch weiterhin mit Datenschutz zu beschäftigen. Nicht Wenige haben gerade in Zeiten des Coronavirus schlicht keine Lust auf die „leidigen“ datenschutzrechtlichen Themen und Einige sehen den Datenschutz sogar als zusätzliche Hürde, wenn es zum Beispiel darum geht im Home-Office arbeiten zu können.
Gesellschaftliche Einschätzung zum Datenschutz
In den letzten zwei Wochen haben wir uns die größte Mühe gegeben, Ihnen, mit Hilfe unserer Themenreihe Datenschutz und Corona, datenschutzrechtliche Vorgaben und Maßnahmen sowie die Besonderheiten der aktuellen Situation näher zu bringen. Mit diesem Beitrag möchten wir noch die allgemeine gesellschaftliche Haltung gegenüber dem Thema Datenschutz und seine nicht mindergeringe Bedeutung zu Zeiten des Coronavirus diskutieren.
Bereits Anfang März hat die FAZ einen Artikel veröffentlicht, der die Ergebnisse einer repräsentativen Umfrage zum Thema hatte, die das Marktforschungsunternehmen Innofact im Auftrag von Usercentrics durchgeführt hat. Ergebnis dieser Studie war, dass ein großer Teil der deutschen Bevölkerung zur Bekämpfung der Corona-Krise bereit ist, Einschränkungen beim Datenschutz und damit des Rechts auf informationelle Selbstbestimmung hinzunehmen. Darüber hinaus spricht sich die Mehrheit der Befragten auch für die Ausweitung der Vorratsdatenspeicherung (beispielsweise von Flug- und Reisedaten) aus, um die Verbreitung der Pandemie nachvollziehen zu können. Zudem sind mehr als 50% der Befragten bereit, ihre Gesundheitsdaten freiwillig preiszugeben.
Als das Robert-Koch-Institut (RKI) bekannt gab, dass es von einer Tochterfirma der Deutschen Telekom AG mehrere Terrabyte anonymisierter Daten bekommen hat, um Bewegungsmuster von Telekom-Nutzern nachzuvollziehen und so die Wirksamkeit der bislang verhängten Maßnahmen zu bewerten, gab es ebenfalls kaum Stimmen, die eine solche Datenweitergabe kritisch sahen. Dies mag daran liegen, dass es sich um anonymisierte Daten handelt. In anderen Ländern ist es aber nicht bei einer anonymisierten Datenweitergabe geblieben. In China, Südkorea und Taiwan zum Beispiel wurden Phone-tracking-Technologien und Handy-Apps eingesetzt, um die Bewegungsmuster auf Individuen herunterbrechen zu können.
Zum Thema Handy-Apps gibt es auch Neuigkeiten aus Österreich. Das Österreichische Rote Kreuz hat die App „Stopp Corona“ entwickelt. Ziel der App ist, es dass die Nutzer der App tracken sollen, mit wem sie Kontakt hatten. Im Falle einer Infektion soll der Nutzer diese in der App angeben, um die Kontakte der letzten 48 Stunden automatisiert über die Infektion zu unterrichten und diese aufzufordern, sich selbst zu isolieren. Auch hier soll die Datenverarbeitung laut Angaben des Roten Kreuzes anonymisiert erfolgen. Die App ist seit Dienstag, 24.03.2020, in Österreich für Android-Geräte verfügbar. Ob und mit welchem Erfolg diese und ähnliche Apps bei der Ausbreitung der Pandemie helfen können bleibt abzuwarten.
Ansicht des BfDI
Der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI), Dr. Ulrich Kelber, wiederholt dieser Tage jedenfalls immer wieder, dass der Verhältnismäßigkeitsgrundsatz gewahrt werden muss. Das bedeutet, dass zu ergreifende Maßnahmen wirksam sein müssen, um überhaupt aus datenschutzrechtlicher Sicht, gerechtfertigt werden zu können.
Darüber hinaus betont der BfDI, dass seine Behörde in ständigem Kontakt mit dem RKI sei und bereit für datenschutzrechtliche Prüfungen möglicherweise zu ergreifender Maßnahmen. Den Einsatz einer App, ähnlich der „Stopp Corona“ App, schließt er grundsätzlich nicht aus, bringt in die Diskussion aber ein, dass die Datenverarbeitung an eine Einwilligung des Betroffenen geknüpft werden sollte.
Handelt es sich um neue Erkenntnisse?
Aber sind diese Erkenntnisse wirklich neu, oder erscheinen sie durch den Bezug zur Corona-Krise nur in einem anderen Licht?
Der überwiegende Teil der Bevölkerung nutzt die Social Media Dienste Facebook und Instagram. Darüber hinaus erfreuen sich auch Messenger wie WhatsApp nach wie vor großer Beliebtheit in der Gesellschaft und stehen weltweit genauso hoch im Kurs wie der Kartendienst Google Maps. Was all diese Dienste gemein haben ist, dass sie bereits alle wegen Konflikten mit datenschutzrechtlichen Vorgaben in den Medien waren. Nutzern muss also bewusst sein, dass sie sehr viel über sich persönlich, Interessen, Hobbies, Aufenthaltsorte usw. preisgeben. Dies wird gerne in Kauf genommen, um die vermeintlich kostenlosen Vorteile, die sich ihnen durch die Verwendung der oben genannten Dienste ergeben, zu nutzen. Die Betreiber dieser Dienste lassen sich jedoch allzu gerne mit den freiwillig bereit gestellten Daten der Nutzer entschädigen, beispielsweise um auf den Einzelnen zugeschnittene Werbung zu platzieren.
Die Erkenntnis, dass personenbezogene Daten freiwillig zur Verfügung gestellt werden, ist also eigentlich gar nicht neu. In der derzeitigen Situation erscheint der zweifelsohne wichtige Zweck der Pandemiebekämpfung nur als willkommene Ausrede, weil es ‚erstrebenswert‘ erscheint den Datenschutz gegenüber einem höheren Ziel hintanzustellen.
Aber auch, wenn gewisse Maßnahmen, insbesondere bei anonymisierter Verwendung von Daten zur Bekämpfung des Corona Virus sinnvoll zu sein scheinen, so sollten Eingriffe in die informationellen Selbstbestimmung jedes Einzelnen auch jetzt nur nach behutsamer Abwägung erfolgen, damit sich jeder Mensch im Rahmen seiner Freiheiten und Rechte auch weiterhin frei entfalten kann. Deshalb ist es auch in Zeiten der Corona-Krise wichtig, die datenschutzrechtlichen Voraussetzungen der DSGVO und der anderen Datenschutzgesetze des Bunds sowie der Länder, die den Gedanken der informationellen Selbstbestimmung in sich tragen, zu wahren, auch und vor allem, wenn sensible Daten wie Gesundheitsdaten verarbeitet werden sollen.
Mit diesem Beitrag enden die täglichen Beiträge zur Themenreihe Datenschutz und Corona. Von Zeit zu Zeit werden wir diese Reihe selbstverständlich um neue Beiträge aus dem Bereich ergänzen und Sie natürlich auch weiterhin über datenschutzrechtliche Neuigkeiten auf dem Laufenden halten, die keinen Bezug zur Corona-Krise haben.
Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.
Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.
26. März 2020
Laut IT-Sicherheitsexperten machen sich Kriminelle die momentanen Sorgen und Ängste von Nutzern, hinsichtlich des Coronavirus, zu Nutze.
Demnach würden Kriminelle unter anderem gefälschte E-Mails zu Coronavirus-Themen im Namen der Weltgesundheitsorganisation WHO oder im Namen von Hotelketten, Fluggesellschaften und Fitnessstudios verschicken. Ziel sei es, an die Passwörter der Nutzer zu gelangen. Mit Anklicken der in den E-Mails enthaltenen Links werde der Nutzer auf eine Pishing-Seite weitergeleitet oder es lade sich eine Schadsoftware im Hintergrund.
Aber auch das von vielen Arbeitgebern im Zuge der Corona-Krise angesetzte Homeoffice berge laut den Experten große Risiken. Da viele Arbeitscomputer nun dauerhaft außerhalb der Firmennetzwerke liefen, seien diese auch nicht mehr so gut geschützt. Die Experten empfehlen daher Arbeitgebern, die Ihren Mitarbeitern einen Fernzugriff auf das Firmennetzwerk ermöglichen, den Zugang mit einer Zwei-Faktor-Authentifizierung abzusichern – lesen Sie in diesem Zusammenhang auch gerne unseren Beitrag aus der Themenreihe.
Vor allem aber bestehe für öffentliche Gesundheitseinrichtungen ein hohes Risiko, Opfer von Cyberangriffen zu werden. Insbesondere Krankenhäuser seien ein beliebtes Ziel für Attacken mit sogenannten Erpresserprogrammen, die die IT-Systeme verschlüsseln und anschließend ein Lösegeld fordern. Für einige Kriminelle sei gerade die Corona-Krise ein großer Anreiz um Krankenhäuser anzugreifen.
Die Corona Krise hat das
gesellschaftliche Leben fest im Griff. Auch das Schulwesen ist hiervon nicht verschont
geblieben. Die Schulen in ganz Deutschland wurden geschlossen. Im Saarland
greift diese Maßnahme sogar bis zum 24. April. Dies stellt Lehrer, Schüler und
Eltern vor neue und schwierige Herausforderungen. Lehrer sind gezwungen Wege
und Mittel zu finden den Lernstoff von zuhause aus zu vermitteln. Eltern müssen
es wiederum schaffen, den Heimunterricht ihrer Kinder mit der eigenen Arbeit zu
vereinbaren. Aber auch Schüler sind dazu angehalten den Unterrichtstoff selbstständig
auf- und nachzuarbeiten.
Der Austausch zwischen den Lehrern und den Schülern zuhause findet dabei über Emails, Social Media Kanäle oder verschiedene Lernportale statt. In unserem heutigen Beitrag wollen wir in Kürze zusammenstellen, welche datenschutzrechtlichen Aspekte beim sog. Homeschooling beachtet werden müssen, welche sicheren Austauschmöglichkeiten zwischen Schule und Schüler bestehen und welche Lernportale den Anforderungen der DSGVO am ehesten gerecht werden.
DSGVO gilt auch für Schulen
Die Schule hat sich an die Vorgaben und Richtlinien der DSGVO zu halten. Sie ist als Verantwortlicher anzusehen und hat beispielweise einen Datenschutzbeauftragten zu bestellen oder muss darauf achten, dass jede Datenverarbeitung oder -übermittlung aufgrund der entsprechenden Rechtsgrundlage erfolgt. Dies erfordert auch einen verantwortungsvollen Umgang mit Informations- und Kommunikationstechnologien, vgl. Art. 32 DSGVO.
Um den Schutz von Schülerdaten zu
gewährleisten haben Schulen und Lehrkörper, gerade auch in Bezug auf
Homeschooling, hier einiges zu beachten:
- Sollte für eine Datenverarbeitung keine Rechtsgrundlage vorliegen, z.B. zur Veröffentlichung von Bildern von Personen, ist eine entsprechende Einwilligung der Betroffenen erforderlich, vgl. Art. 7 Abs. 1 DSGVO,
- Bei der Verarbeitung von Schülerdaten sind Schulen und Lehrer dazu angehalten, auf die Datensicherheit zu achten. Es ist daher auf ein angemessenes Schutzniveau zu achten, vgl. Art 32 DSGVO. Dies z.B. durch regelmäßige Datensicherungen oder das Updaten eigener Geräte,
- Unbefugte Dritte müssen vom Zugriff auf die Daten ausgeschlossen werden. Eine Datenübermittlung an Dritte ist ohne Weiteres nicht gestattet,
- Sind die verarbeiteten Daten nicht mehr erforderlich, sind diese zu löschen.
Der Austausch zwischen Lehrer, Schüler & Eltern
Immer wieder problematisch ist die Frage, welche Kommunikationskanäle ausreichenden Datenschutz und Datensicherheit bieten. Whatsapp, Facebook und Instagram gelten als Datensammler und sind für die Kommunikation zwischen Schüler und Lehrer in einigen Bundesländern, wie z.B. in Hamburg, sogar komplett untersagt. In anderen Bundesländern werden lediglich Empfehlungen ausgesprochen. Der Bundesbeauftragte Für Datenschutz Ulrich Kleber rät von der Nutzung von WhatsApp ab.
Rheinland-Pfalz nutzt zur Kommunikation hingegen eine auf Moodle basierende Lernplattform. Diese ist kostenfrei und läuft auf landeseigenen Servern. Eine Datenübermittlung an Drittländer findet nicht statt. Daneben empfiehlt der Landesdatenschutzbeauftragte europäische Messenger-Anbieter wie (z. B. Pidgin/OTR, Hoccer, Chiffry, Wire oder Threema).
Darüber hinaus unterscheidet sich
die externe Kommunikation zwischen Schule und Schüler von Bundesland zu
Bundesland sehr. Auch unter den Schulen gibt es immer wieder Unterschiede.
Eine allgemeine Untersuchung einzelner Messenger-Dienste hat die Verbraucherzentrale NRW vorgenommen. Gerade Threema und Hoccer stechen als anonym nutzbare Messenger heraus.
Online-Lernplattformen
Online-Lernangebote gibt es viele. Bei der Auswahl sollte folgendes
beachtet werden:
- werden durch die Applikation (freiwillige) Daten erfragt, sollte dem Grundsatz der Datensparsamkeit gefolgt, d.h. so weinige Angaben wie möglich gemacht werden.
- im Allgemeinen sollten Eltern die Privatsphäre ihrer Kinder so gut es geht schützen. Das heißt, sie sollten kontrollieren, welche Lernprogramme genutzt werden und Kinder bei der Installation und Anmeldung unterstützen.
Zur Frage, welche Online-Lernplattformen zu empfehlen sind, hat die Seite Datenschutzbeauftragter-info.de kürzlich verschiedene Anbieter vorgestellt und auf ihren Datenschutz untersucht.
Dabei scheint besonders StudySmart zu überzeugen. Neben einem umfangreichen Angebot für Schüler und Studenten, ist für die Anmeldung nur eine Emailadresse erforderlich. Zur Verwendung der Applikation ist nur noch das jeweilige Bundesland anzugeben. Eine Verarbeitung von Nutzerdaten soll lediglich zur Optimierung der Plattform und der Auswertung von Lernzeit und -fortschritt erfolgen. Problematisch ist, dass StudySmart u.a. Applikationen von Google und Facebook nutzt. Der damit verbundene Datentransfer in die USA soll zwar pseudonymisiert erfolgen, eine Herausgabe an US-Behörden kann aber nicht ausgeschlossen werden.
Eher kritischer bewertet wird die Plattform SimpleClub. Diese bietet Lernvideos für Schüler der 8. Bis 13. Klasse an. Sie erhebt jedoch wesentlich mehr Daten als StudySmart und nutzt ebenso Applikationen wie zum Beispiel Facebook.
Auch LernAttack erhebt viele Daten zur Anmeldung. Die von Duden entwickelte Lernplattform bietet Videos und Aufgaben für Schüler ab der vierten Klasse. Auch hier werden Applikationen von beispielsweise Facebook genutzt. Anders als SimpleClub wird hier aber ausdrücklich über die Datenverarbeitungen informiert.
Chance zur
Digitalisierung des Schulwesens
Die Digitalisierung der Schulen schreitet in den Bundesländern mit unterschiedlichem Tempo voran. Je nach Schule gibt es hier immense Unterschiede. Die aktuelle Krise kann hier jedoch als Chance verstanden werden die Schulen ins digitale Zeitalter voranzutreiben und gleichsam für einen hohen Datenschutzstandard sorgen.
Unsere Themenreihe Datenschutz und Corona endet morgen mit unserem neunten und letzten Beitrag zum Thema Gesellschaftliche Einschätzung zur Wichtigkeit des Datenschutzes in Zeiten der Corona-Krise.
Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.
Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen Sie sich und andere.
