Kategorie: Themenreihe Datenschutz und Corona

Themenreihe Datenschutz und Corona – Teil 9: Gesellschaftliche Einschätzung zur Wichtigkeit des Datenschutzes

27. März 2020

Die Corona-Krise stellt nicht nur das Gesundheitssystem, die Wirtschaft und jeden Einzelnen vor Schwierigkeiten. Menschen in den sogenannten ‚systemrelevanten‘ Berufen arbeiten seit Tagen sowohl körperlich als auch psychisch am Limit und sind ständig dem Virus und seinen Folgen ausgesetzt.

Die zu befürchtenden wirtschaftlichen Schäden sind bislang nur zu erahnen und führen zu zusätzlichen Sorgen. Das Thema ist derzeit allgegenwärtig. Die Bevölkerung ist in Sorge, sich oder andere Menschen anzustecken und ob Sie selbst, Familie, Freunde und Bekannte die Krise gesundheitlich und wirtschaftlich überstehen.

In diesen Zeiten fällt es verständlicher Weise schwer sich auch weiterhin mit Datenschutz zu beschäftigen. Nicht Wenige haben gerade in Zeiten des Coronavirus schlicht keine Lust auf die „leidigen“ datenschutzrechtlichen Themen und Einige sehen den Datenschutz sogar als zusätzliche Hürde, wenn es zum Beispiel darum geht im Home-Office arbeiten zu können.

Gesellschaftliche Einschätzung zum Datenschutz

In den letzten zwei Wochen haben wir uns die größte Mühe gegeben, Ihnen, mit Hilfe unserer Themenreihe Datenschutz und Corona, datenschutzrechtliche Vorgaben und Maßnahmen sowie die Besonderheiten der aktuellen Situation näher zu bringen. Mit diesem Beitrag möchten wir noch die allgemeine gesellschaftliche Haltung gegenüber dem Thema Datenschutz und seine nicht mindergeringe Bedeutung zu Zeiten des Coronavirus diskutieren.

Bereits Anfang März hat die FAZ einen Artikel veröffentlicht, der die Ergebnisse einer repräsentativen Umfrage zum Thema hatte, die das Marktforschungsunternehmen Innofact im Auftrag von Usercentrics durchgeführt hat. Ergebnis dieser Studie war, dass ein großer Teil der deutschen Bevölkerung zur Bekämpfung der Corona-Krise bereit ist, Einschränkungen beim Datenschutz und damit des Rechts auf informationelle Selbstbestimmung hinzunehmen. Darüber hinaus spricht sich die Mehrheit der Befragten auch für die Ausweitung der Vorratsdatenspeicherung (beispielsweise von Flug- und Reisedaten) aus, um die Verbreitung der Pandemie nachvollziehen zu können. Zudem sind mehr als 50% der Befragten bereit, ihre Gesundheitsdaten freiwillig preiszugeben.

Als das Robert-Koch-Institut (RKI) bekannt gab, dass es von einer Tochterfirma der Deutschen Telekom AG mehrere Terrabyte anonymisierter Daten bekommen hat, um Bewegungsmuster von Telekom-Nutzern nachzuvollziehen und so die Wirksamkeit der bislang verhängten Maßnahmen zu bewerten, gab es ebenfalls kaum Stimmen, die eine solche Datenweitergabe kritisch sahen. Dies mag daran liegen, dass es sich um anonymisierte Daten handelt. In anderen Ländern ist es aber nicht bei einer anonymisierten Datenweitergabe geblieben. In China, Südkorea und Taiwan zum Beispiel wurden Phone-tracking-Technologien und Handy-Apps eingesetzt, um die Bewegungsmuster auf Individuen herunterbrechen zu können.

Zum Thema Handy-Apps gibt es auch Neuigkeiten aus Österreich. Das Österreichische Rote Kreuz hat die App „Stopp Corona“ entwickelt. Ziel der App ist, es dass die Nutzer der App tracken sollen, mit wem sie Kontakt hatten. Im Falle einer Infektion soll der Nutzer diese in der App angeben, um die Kontakte der letzten 48 Stunden automatisiert über die Infektion zu unterrichten und diese aufzufordern, sich selbst zu isolieren. Auch hier soll die Datenverarbeitung laut Angaben des Roten Kreuzes anonymisiert erfolgen. Die App ist seit Dienstag, 24.03.2020, in Österreich für Android-Geräte verfügbar. Ob und mit welchem Erfolg diese und ähnliche Apps bei der Ausbreitung der Pandemie helfen können bleibt abzuwarten.

Ansicht des BfDI

Der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI), Dr. Ulrich Kelber, wiederholt dieser Tage jedenfalls immer wieder, dass der Verhältnismäßigkeitsgrundsatz gewahrt werden muss. Das bedeutet, dass zu ergreifende Maßnahmen wirksam sein müssen, um überhaupt aus datenschutzrechtlicher Sicht, gerechtfertigt werden zu können.

Darüber hinaus betont der BfDI, dass seine Behörde in ständigem Kontakt mit dem RKI sei und bereit für datenschutzrechtliche Prüfungen möglicherweise zu ergreifender Maßnahmen. Den Einsatz einer App, ähnlich der „Stopp Corona“ App, schließt er grundsätzlich nicht aus, bringt in die Diskussion aber ein, dass die Datenverarbeitung an eine Einwilligung des Betroffenen geknüpft werden sollte.

Handelt es sich um neue Erkenntnisse?

Aber sind diese Erkenntnisse wirklich neu, oder erscheinen sie durch den Bezug zur Corona-Krise nur in einem anderen Licht?

Der überwiegende Teil der Bevölkerung nutzt die Social Media Dienste Facebook und Instagram. Darüber hinaus erfreuen sich auch Messenger wie WhatsApp nach wie vor großer Beliebtheit in der Gesellschaft und stehen weltweit genauso hoch im Kurs wie der Kartendienst Google Maps. Was all diese Dienste gemein haben ist, dass sie bereits alle wegen Konflikten mit datenschutzrechtlichen Vorgaben in den Medien waren. Nutzern muss also bewusst sein, dass sie sehr viel über sich persönlich, Interessen, Hobbies, Aufenthaltsorte usw. preisgeben. Dies wird gerne in Kauf genommen, um die vermeintlich kostenlosen Vorteile, die sich ihnen durch die Verwendung der oben genannten Dienste ergeben, zu nutzen. Die Betreiber dieser Dienste lassen sich jedoch allzu gerne mit den freiwillig bereit gestellten Daten der Nutzer entschädigen, beispielsweise um auf den Einzelnen zugeschnittene Werbung zu platzieren.

Die Erkenntnis, dass personenbezogene Daten freiwillig zur Verfügung gestellt werden, ist also eigentlich gar nicht neu. In der derzeitigen Situation erscheint der zweifelsohne wichtige Zweck der Pandemiebekämpfung nur als willkommene Ausrede, weil es ‚erstrebenswert‘ erscheint den Datenschutz gegenüber einem höheren Ziel hintanzustellen.

Aber auch, wenn gewisse Maßnahmen, insbesondere bei anonymisierter Verwendung von Daten zur Bekämpfung des Corona Virus sinnvoll zu sein scheinen, so sollten Eingriffe in die informationellen Selbstbestimmung jedes Einzelnen auch jetzt nur nach behutsamer Abwägung erfolgen, damit sich jeder Mensch im Rahmen seiner Freiheiten und Rechte auch weiterhin frei entfalten kann. Deshalb ist es auch in Zeiten der Corona-Krise wichtig, die datenschutzrechtlichen Voraussetzungen der DSGVO und der anderen Datenschutzgesetze des Bunds sowie der Länder, die den Gedanken der informationellen Selbstbestimmung in sich tragen, zu wahren, auch und vor allem, wenn sensible Daten wie Gesundheitsdaten verarbeitet werden sollen.

Mit diesem Beitrag enden die täglichen Beiträge zur Themenreihe Datenschutz und Corona. Von Zeit zu Zeit werden wir diese Reihe selbstverständlich um neue Beiträge aus dem Bereich ergänzen und Sie natürlich auch weiterhin über datenschutzrechtliche Neuigkeiten auf dem Laufenden halten, die keinen Bezug zur Corona-Krise haben.

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.

Themenreihe Datenschutz und Corona – Teil 8: Homeschooling und Datenschutz

26. März 2020

Die Corona Krise hat das gesellschaftliche Leben fest im Griff. Auch das Schulwesen ist hiervon nicht verschont geblieben. Die Schulen in ganz Deutschland wurden geschlossen. Im Saarland greift diese Maßnahme sogar bis zum 24. April. Dies stellt Lehrer, Schüler und Eltern vor neue und schwierige Herausforderungen. Lehrer sind gezwungen Wege und Mittel zu finden den Lernstoff von zuhause aus zu vermitteln. Eltern müssen es wiederum schaffen, den Heimunterricht ihrer Kinder mit der eigenen Arbeit zu vereinbaren. Aber auch Schüler sind dazu angehalten den Unterrichtstoff selbstständig auf- und nachzuarbeiten.

Der Austausch zwischen den Lehrern und den Schülern zuhause findet dabei über Emails, Social Media Kanäle oder verschiedene Lernportale statt. In unserem heutigen Beitrag wollen wir in Kürze zusammenstellen, welche datenschutzrechtlichen Aspekte beim sog. Homeschooling beachtet werden müssen, welche sicheren Austauschmöglichkeiten zwischen Schule und Schüler bestehen und welche Lernportale den Anforderungen der DSGVO am ehesten gerecht werden.

DSGVO gilt auch für Schulen

Die Schule hat sich an die Vorgaben und Richtlinien der DSGVO zu halten. Sie ist als Verantwortlicher anzusehen und hat beispielweise einen Datenschutzbeauftragten zu bestellen oder muss darauf achten, dass jede Datenverarbeitung oder -übermittlung aufgrund der entsprechenden Rechtsgrundlage erfolgt. Dies erfordert auch einen verantwortungsvollen Umgang mit Informations- und Kommunikationstechnologien, vgl. Art. 32 DSGVO.

Um den Schutz von Schülerdaten zu gewährleisten haben Schulen und Lehrkörper, gerade auch in Bezug auf Homeschooling, hier einiges zu beachten:

  • Sollte für eine Datenverarbeitung keine Rechtsgrundlage vorliegen, z.B. zur Veröffentlichung von Bildern von Personen, ist eine entsprechende Einwilligung der Betroffenen erforderlich, vgl. Art. 7 Abs. 1 DSGVO,
  • Bei der Verarbeitung von Schülerdaten sind Schulen und Lehrer dazu angehalten, auf die Datensicherheit zu achten. Es ist daher auf ein angemessenes Schutzniveau zu achten, vgl. Art 32 DSGVO. Dies z.B. durch regelmäßige Datensicherungen oder das Updaten eigener Geräte,
  • Unbefugte Dritte müssen vom Zugriff auf die Daten ausgeschlossen werden. Eine Datenübermittlung an Dritte ist ohne Weiteres nicht gestattet,
  • Sind die verarbeiteten Daten nicht mehr erforderlich, sind diese zu löschen.

Der Austausch zwischen Lehrer, Schüler & Eltern

Immer wieder problematisch ist die Frage, welche Kommunikationskanäle ausreichenden Datenschutz und Datensicherheit bieten. Whatsapp, Facebook und Instagram gelten als Datensammler und sind für die Kommunikation zwischen Schüler und Lehrer in einigen Bundesländern, wie z.B. in Hamburg, sogar komplett untersagt. In anderen Bundesländern werden lediglich Empfehlungen ausgesprochen. Der Bundesbeauftragte Für Datenschutz Ulrich Kleber rät von der Nutzung von WhatsApp ab.

Rheinland-Pfalz nutzt zur Kommunikation hingegen eine auf Moodle basierende Lernplattform. Diese ist kostenfrei und läuft auf landeseigenen Servern. Eine Datenübermittlung an Drittländer findet nicht statt. Daneben empfiehlt der Landesdatenschutzbeauftragte europäische Messenger-Anbieter wie (z. B. Pidgin/OTR, Hoccer, Chiffry, Wire oder Threema).

Darüber hinaus unterscheidet sich die externe Kommunikation zwischen Schule und Schüler von Bundesland zu Bundesland sehr. Auch unter den Schulen gibt es immer wieder Unterschiede.

Eine allgemeine Untersuchung einzelner Messenger-Dienste hat die Verbraucherzentrale NRW vorgenommen. Gerade Threema und Hoccer stechen als anonym nutzbare Messenger heraus.

Online-Lernplattformen

Online-Lernangebote gibt es viele. Bei der Auswahl sollte folgendes beachtet werden:

  • werden durch die Applikation (freiwillige) Daten erfragt, sollte dem Grundsatz der Datensparsamkeit gefolgt, d.h. so weinige Angaben wie möglich gemacht werden.
  • im Allgemeinen sollten Eltern die Privatsphäre ihrer Kinder so gut es geht schützen. Das heißt, sie sollten kontrollieren, welche Lernprogramme genutzt werden und Kinder bei der Installation und Anmeldung unterstützen.

Zur Frage, welche Online-Lernplattformen zu empfehlen sind, hat die Seite Datenschutzbeauftragter-info.de kürzlich verschiedene Anbieter vorgestellt und auf ihren Datenschutz untersucht.

Dabei scheint besonders StudySmart zu überzeugen. Neben einem umfangreichen Angebot für Schüler und Studenten, ist für die Anmeldung nur eine Emailadresse erforderlich. Zur Verwendung der Applikation ist nur noch das jeweilige Bundesland anzugeben. Eine Verarbeitung von Nutzerdaten soll lediglich zur Optimierung der Plattform und der Auswertung von Lernzeit und -fortschritt erfolgen. Problematisch ist, dass StudySmart u.a. Applikationen von Google und Facebook nutzt. Der damit verbundene Datentransfer in die USA soll zwar pseudonymisiert erfolgen, eine Herausgabe an US-Behörden kann aber nicht ausgeschlossen werden.

Eher kritischer bewertet wird die Plattform SimpleClub. Diese bietet Lernvideos für Schüler der 8. Bis 13. Klasse an. Sie erhebt jedoch wesentlich mehr Daten als StudySmart und nutzt ebenso Applikationen wie zum Beispiel Facebook.

Auch LernAttack erhebt viele Daten zur Anmeldung. Die von Duden entwickelte Lernplattform bietet Videos und Aufgaben für Schüler ab der vierten Klasse. Auch hier werden Applikationen von beispielsweise Facebook genutzt. Anders als SimpleClub wird hier aber ausdrücklich über die Datenverarbeitungen informiert.

Chance zur Digitalisierung des Schulwesens

Die Digitalisierung der Schulen schreitet in den Bundesländern mit unterschiedlichem Tempo voran. Je nach Schule gibt es hier immense Unterschiede. Die aktuelle Krise kann hier jedoch als Chance verstanden werden die Schulen ins digitale Zeitalter voranzutreiben und gleichsam für einen hohen Datenschutzstandard sorgen.

Unsere Themenreihe Datenschutz und Corona endet morgen mit unserem neunten und letzten Beitrag zum Thema Gesellschaftliche Einschätzung zur Wichtigkeit des Datenschutzes in Zeiten der Corona-Krise.

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen Sie sich und andere.

Themenreihe Datenschutz und Corona – Teil 7: Kooperation der Deutschen Telekom mit dem Robert-Koch-Institut

25. März 2020

Im Kampf gegen die Ausbreitung des Coronavirus stellt die Deutsche Telekom dem Robert-Koch-Institut (RKI) kostenlos anonymisierte Handydaten ihrer Kunden zur Verfügung. Die Datensätze dienen der Erforschung der Ansteckungsrate des Coronavirus sowie der Beurteilung der verhängten Maßnahmen.

Die Deutsche Telekom AG bestätigte gegenüber „Tagesspiegel Background Digitalisierung & KI“ ihre Zusammenarbeit mit der Bundesoberbehörde. Das Telekommunikationsunternehmen hat bereits am 17.03.2020 einen ersten Handydatensatz im Umfang von fünf Gigabyte aus dem letzten Quartal 2019 dem RKI übermittelt. Rund 46 Millionen Handykunden sind hiervon betroffen. Eine zweite Lieferung von Datensätzen, die aktuelle Bewegungsdaten bis zum 19. März 2020 enthält, erhielt das RKI in dieser Woche.

Betroffene Telekom-Kunden könnten sich nun die Frage stellen, welche Erkenntnisse das RKI aus ihren Handydaten im Kampf gegen das Coronavirus schöpfen? Dazu erklärt RKI-Präsident Lothar Wieler auf einer Pressekonferenz am 18.03.2020: „Diese aggregierten und anonymisierten Daten werden uns zeigen, wie sehr die Mobilität tatsächlich nachgelassen hat.“ Die Sprecherin der Deutschen Telekom führt dazu weiter aus: „Damit lassen sich Bewegungsströme modellieren – bundesweit, auf Bundesland-Ebene sowie auf die Kreis-Gemeinde-Ebene heruntergebrochen.“

Die Deutsche Telekom versichert auf Twitter, keine individuellen Handydaten freizugeben. Mit den übermittelten Handydaten sei eine digitale Beobachtung einzelner Bürger oder infizierter Menschen ausgeschlossen. Vielmehr handle es sich hierbei um sogenannte „Schwarmdaten“.

Der BfDI Ulrich Kelber erklärte dazu auf Twitter: „Die Weitergabe von Standortdaten durch die Deutsche Telekom an das Robert-Koch-Institut ist in der gewählten Form datenschutzrechtlich vertretbar. Vor allem unter den aktuellen Umständen spricht nichts gegen die Weitergabe dieser Daten zum Zweck des Gesundheitsschutzes. (…) Es handelt sich vorliegend um Daten, die keine Rückschlüsse auf einzelne Personen ermöglichen.“

Auch andere Länder erhoffen sich mit dem Erfassen von Bewegungsdaten neue Erkenntnisse über das Verbreitungsverhalten des Coronavirus zu erhalten. In Österreich übermittelt der Mobilfunkanbieter A1 nach eigenen Angaben der Regierung die Bewegungsdaten aller österreichischen Bürger. In China, Südkorea und Taiwan greift die Regierung zu härteren Überwachungstechniken, wie z.B. Phone-tracking-Technologie und Handy-Apps.

Die Themenreihe zu Datenschutz und Corona wird morgen mit einem Beitrag zum Thema „Datenschutz und Homeschooling“ fortgesetzt.

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.

Themenreihe Datenschutz und Corona – Teil 6: Global Privacy Assembly billigt die Nutzung von Daten zur Bekämpfung der Coronavirus-Pandemie

24. März 2020

Am 17. März 2020 gab der Exekutivausschuss der Global Privacy Assembly („GPA“) eine Erklärung ab, in der sie ihre Ansicht darlegte, dass die Verarbeitung personenbezogener Daten durch Organisationen und Regierungen zur Bekämpfung der Ausbreitung der COVID-19-Pandemie grundsätzlich legal sei. 

Ausweislich der Erklärung des GPA erkennt die GPA die beispiellosen Herausforderungen an, denen sich die Organisationen bei der Bekämpfung der Verbreitung von COVID-19 gegenübersehen. Zur Bewältigung dieser Herausforderungen seien koordinierte Antworten auf nationaler und globaler Ebene erforderlich. Dies beinhalte den erforderlichen Austausch personenbezogener Daten durch Organisationen und Regierungen sowie über Grenzen hinweg.

Was ist die GPA denn überhaupt? 

Das GPA trat erstmals 1979 als Internationalen Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre zusammen. Sie ist seit mehr als vier Jahrzehnten das wichtigste globale Forum für Datenschutzbehörden. An ihr nehmen Datenschutzbehörden aus über 80 Ländern teil. Sie besteht aus derzeit mehr als 130 Teilnehmern. Insbesondere nehmen Mitglieder aus Behörden aller EU-Mitgliedstaaten teil.

Was sagt das Europäische Datenschutzausschuss (EDSA)? 

Für die konkrete Bewertung einer datenschutzrechtlichen Zulässigkeit sind die europäischen Aufsichtsbehörden zuständig. Deren Standpunkt hängt oft von dem gemeinsamen Gremium, dem Europäischen Datenschutzausschuss (EDSA) ab. 

Dieser konstatiert, dass die in Europa geltende Datenschutzgrundverordnung (DSGVO) auch für Fälle gilt, in denen die Verarbeitung personenbezogener Daten in einem Kontext wie dem des COVID-19 geschieht. In diesem Kontext ermögliche das Gesetz jedoch die Verarbeitung personenbezogener Daten, ohne vorab die Zustimmung der betroffenen Person einholen zu müssen. Dies gelte zum Beispiel, wenn die Verarbeitung personenbezogener Daten für die Arbeitgeber aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder zum Schutz lebenswichtiger Interessen (Art. 6 und 9 GDPR) oder zur Erfüllung einer anderen gesetzlichen Verpflichtung notwendig sei.

Einschätzung entspricht der des BfDI 

Die Einschätzung der GPA und des EDSA korreliert mit der des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI). Auf dessen Homepage werden ferner die grundsätzlich mögliche Verarbeitung besonderer Kategorien personenbezogener Daten (iSv Art. 9 DSGVO) erläutert. 

So sei eine Verarbeitung von Gesundheitsdaten zwar grundsätzlich nur restriktiv möglich. Für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern könnten jedoch datenschutzkonform Daten erhoben und verwendet werden. Insoweit sei jedoch der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage zu beachten.

Die Themenreihe zu Datenschutz und Corona wird morgen mit einem Beitrag zur Nutzung von Daten der Telekomnutzer durch das RKI fortgesetzt. 

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.

Themenreihe Datenschutz und Corona – Teil 5: Datenschutz im Home-Office

23. März 2020

Im Zusammenhang mit der Corona-Pandemie entscheiden sich viele Arbeitgeber dafür ihre Mitarbeiter ins Home-Office zu versetzen. Dadurch leisten sie sowohl einen Beitrag zum Gesundheitsschutz der Beschäftigten, zur Verzögerung der Ausbreitung des Virus als auch zur Aufrechterhaltung des Betriebes. Das Arbeiten im privaten Umfeld erhöht jedoch gleichzeitig auch die Risiken für Datenschutzverstöße. Zur Verhinderung von Bußgeldern sollte der Arbeitgeber die Einhaltung der datenschutzrechtlichen Vorgaben anhand bestimmter Maßnahmen sicherstellen.

Nachfolgend werden einige technische und organisatorische Maßnahmen aufgelistet, die zur Einhaltung der Datenschutzvorgaben im Home-Office beitragen können:

Technische Maßnahmen

  • Herstellung einer sicheren und schnellen Breitband-Internetverbindung mit einem verschlüsselten Zugriff zum Firmennetzwerk (z.B. als ASP-Lösung mit einem VPN)
  • Installation eines Viren-Scanners und einer Firewall
  • Einstellung eines passwortgeschützten Bildschirmschoners
  • Verschlüsselung des Rechners zum Schutze vor unberechtigtem Zugriff von Familienmitgliedern oder anderen Mitbewohnern
  • Verschlüsselung der E-Mails, Datenträger und Firmen-Handys
  • Sicherstellung der Zugangsberechtigung mithilfe von Authentifizierungssystemen (z.B. durch eine Zwei-Faktor-Identifizierung)
  • Durchführung von regelmäßigen System-Updates
  • Datensicherung auf einem zentralen Server mithilfe eines zertifizierten Cloud-Anbieters
  • Regelung und Kontrolle der Datensicherung

Organisatorische Maßnahmen

Zur Umsetzung der organisatorischen Maßnahmen kann eine Sicherheitsrichtlinie für den ordnungsgemäßen Umgang mit personenbezogenen Daten mit den Beschäftigten vereinbart werden. Darin können auch Regelungen zur Datenvernichtung, zu Sicherheitsanforderungen, zur korrekten IT-Nutzung, zur Datenübermittlung und zu den Kommunikationsarten festgelegt werden. Weiterhin sollte eine Verpflichtung auf das Datengeheimnis und ein Audit-Fragebogen ausgefüllt werden. Weitere Beispiele, ohne Anspruch auf Vollständigkeit, werden nachfolgend aufgeführt:

  • Schulungen zur Sensibilisierung der Beschäftigten und zur Einweisung in die Heimarbeit
  • Anweisungen zu Passwörtern und zur Datensicherheit
  • Bereitstellung von Firmengeräten wie z.B. Laptops oder Handys
  • Dokumentation der Ausgabe der Elektrogeräte an die Mitarbeiter
  • Vereinbarungen zur Untersagung der Privatnutzung von unternehmensinterner Hardware oder eines Anschließens von privaten Datenträgern
  • Einrichtung einer Rufumleitung
  • Anweisung zur Meldung von Datenpannen
  • Clean-Desk-Policy

Die Durchsetzung der Maßnahmen ermöglicht die Einhaltung des Datenschutzes im Home-Office und verringert somit das Risiko von Datenschutzverstößen.

Die Themenreihe Datenschutz und Corona wird morgen mit einem Beitrag zur Einschätzung der Global Privacy Assembly fortgesetzt.

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.

Themenreihe Datenschutz und Corona – Teil 4: Verarbeitung von Gesundheitsdaten zum Schutz vor Corona-Infektionen

20. März 2020

Der Ausbruch, die Verbreitung und die Folgen des Corona-Virus sorgen derzeit weltweit für große Besorgnis. Die Ausbreitung des Virus soweit wie möglich zu unterbrechen, oder zumindest zu verlangsamen, hat dieser Tage die höchste Priorität. Aus diesem Grund senden vieler Orts Arbeitgeber ihre Mitarbeiter ins Homeoffice, um das Risiko einer Infektion zu verringern. Da diese Vorgehensweise gerade bei Versorgungsbetrieben, wie Einkaufsläden oder auch Kraftwerken nicht umfassend möglich ist, besteht ein großes Interesse beim Arbeitgeber, dass weder die anwesenden Arbeitnehmer noch Besucher des Unternehmens mit dem Virus infiziert sind. Bei der Anfrage nach dem Gesundheitszustand wird nach personenbezogenen Daten, sogenannten „Gesundheitsdaten“ gefragt. Nach Art. 9 EU-Datenschutzgrundverordnung (DSGVO) erfahren diese ein besonders hohes Maß an Schutz, so dass beim Verlangen nach Auskunft einiges zu beachten ist.

Was sind Gesundheitsdaten?

Zunächst ist zu klären, was unter den Begriff „Gesundheitsdaten“ fällt. Nach Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen (z.B. Rehaaufenthalte), beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

Der Begriff Gesundheitsdaten umfasst also nicht nur krankheitsspezifische Angaben der betroffenen Person, wie z.B. einen viralen Infekt oder Medikamentenkonsum, sondern bereits die allgemeine Aussage, ob jemand gesund ist oder nicht. Problematisch sind Informationen, die nur indirekt auf den Gesundheitszustand hinweisen. Hier wird allgemein vertreten, dass der Sachzusammenhang berücksichtigt werden muss, in welchen die Information verwendet werden soll. (vgl. Simitis/Hornung/Spiecker, Art. 4 Nr. 15 Rn. 4).

Wann darf der Arbeitgeber Gesundheitsdaten von Arbeitnehmern gerade in Hinblick auf das Corona-Virus verarbeiten nach der DSGVO?

Es bleibt zu klären, wann Gesundheitsdaten verarbeitet werden dürfen. Bei Gesundheitsdaten gilt ein generelles Verarbeitungsverbot. Gemäß Art. 9 Abs. 2 DSGVO kann in bestimmten Fällen eine Verarbeitung von Gesundheitsdaten allerdings auch ohne Einwilligung des Betroffenen zulässig sein. Allgemein empfiehlt es sich unter gegeben Umständen eine Einwilligung einzuholen.

Im Rahmen des Beschäftigtenverhältnisses im nicht öffentlichen Bereich dürfen Gesundheitsdaten verarbeitet werden, soweit sie für die für die Erfüllung von Rechten und Pflichten im Rahmen des Arbeitsverhältnisses erforderlich ist (Art. 9 Abs. 2 lit. g) DSGVO). Den Arbeitgeber trifft gerade in Hinblick auf das Corona-Virus eine Fürsorgepflicht, die nicht nur gegenüber dem einzelnen Arbeitnehmer, sondern auch gegenüber allen Arbeitnehmern als Gesamtheit besteht. Demnach hat der Arbeitgeber die Verpflichtung verhältnismäßige Maßnahmen zu ergreifen, um die Gesundheit seiner Arbeitnehmer während der Arbeitszeit zu schützen (vgl. LfDI BW). Dies umfasst insbesondere auch Maßnahmen gegen meldepflichtige Krankheiten wie das Corona-Virus (meldepflichtig gem. § 7 Abs. 1 Nr. 31 a Infektionsschutzgesetz (IfSG)). Wichtig ist hierbei, dass nach dem Grundsatz der Datenminimierung nur die wirklich erforderlichen Daten verarbeitet werden und diese auch zum Schutze des einzelnen Arbeitnehmers, sowie aber auch um den Betriebsfrieden zu wahren, streng vertraulich behandelt werden. Sollte der Arbeitgeber personenbezogene Daten verarbeiten, die keine Gesundheitsdaten sind, so kann er sich -nach sorgfältiger Prüfung- auch auf Art. 6 Abs. 1 lit. f) DSGVO oder § 26 Bundesdatenschutzgesetz (BDSG) stützen (vgl. BfDI).

Muss der Arbeitnehmer seine Infizierung mitteilen?

Auch der Arbeitnehmer ist aufgrund seiner Treuepflicht gegenüber dem Arbeitgeber verpflichtet, ihn über eine Corona-Infektion zu unterrichten. Diese Treueplicht befugt den Arbeitnehmer dahingehend, dass er personenbezogene Daten von Personen im betrieblichen Umfeld offenlegt, mit denen er Kontakt gehabt hat. Diese Offenlegung kann sowohl auf ein berechtigtes Interesse des Arbeitgebers nach Art. 6 Abs. 1 lit. f) DSGVO als auch Art. 6 Abs. 1 lit c) DSGVO gestützt werden.

Wann kann ein Arbeitnehmer auch die Gesundheitsdaten von Besuchern oder Gästen des Unternehmens verarbeiten?

Da in Unternehmen regelmäßig Besucher und Gäste verkehren, besteht auch ein großes Interesse seitens des Arbeitgebers, vorsorgliche Maßnahmen zur Eindämmung des Virus zu ergreifen. Sollten hierfür Gesundheitsdaten verarbeitet werden müssen, so kann dies nach sorgfältiger Prüfung auf Grundlage von Art. 9 Abs. 2 lit. i) DSGVO iVm § 22 Abs. 1 Nr. 1 lit. c) BDSG geschehen. Bei anderen Maßnahmen bei denen personenbezogene Daten verarbeitet werden, die keine Gesundheitsdaten sind, kann sich der Arbeitgeber auf sein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO stützen (vgl. BfDI).

Welche Maßnahmen sind in Hinblick auf die Eindämmung des Corona-Virus erlaubt?

Beispiele für zulässige Maßnahmen gegenüber Arbeitnehmern:

  • Maßnahmen ohne datenschutzrechtlichen Bezug, wie zum Beispiel:
    • Hygienevorschriften,
    • allgemeine Dienstanweisung bei Symptomen zuhause zu bleiben,
    • Absage/Verschieben von Dienstreisen,
    • Anordnung im Home Office zu arbeiten,
    • regelmäßiges informieren über relevante Neuigkeiten rund um das Virus.
  • Auskunftsverlangen über Infektion bei begründetem Verdacht,
  • Auskunftsverlangen gegenüber infizierten Arbeitnehmern hinsichtlich Kontaktpersonen im betrieblichen Umfeld,
  • Auskunftsverlagen über Aufenthalt in einem Risikogebiet nach Urlaub oder Dienstreise,
  • Verarbeitung von Daten, die von dem Arbeitnehmer proaktiv mitgeteilt werden, z.B., dass Kontakt mit einer/einem (potentiell) Infizierten bestand,
  • Einholung der Einwilligung zur Speicherung von Notfallkontakten und privaten Kontaktdaten zur Verständigung bei Notfällen und betrieblichen Änderungen aufgrund des Virus.

Beispiele für unzulässige Maßnahmen gegenüber Arbeitnehmern:

  • Verpflichtende umfassende Fragebögen an die gesamte Arbeitnehmerschaft (anlasslose Reihenbefragungen),
  • Befragung anderer Arbeitnehmer, ob jemand Symptome zeigt.

Beispiele für zulässige Maßnahmen gegenüber Besuchern oder Gästen des Unternehmens:

  • Maßnahmen ohne datenschutzrechtlichen Bezug, wie Hygienevorschriften, Einschränkung von Besuchsmöglichkeiten,
  • Auskunftsverlangen über Infektion bei begründetem Verdacht,
  • Auskunftsverlangen gegenüber infizierten Besuchern oder Gästen hinsichtlich Kontaktpersonen im Unternehmen.

Beispiele für unzulässige Maßnahmen gegenüber Besuchern oder Gästen des Unternehmens:

  • Pauschale Gesundheitsauskunft ohne begründeten Verdacht.

Die Themenreihe Datenschutz und Corona wird mit einem Beitrag zum Thema „Datenschutzkonformes Arbeiten im Home Office“ fortgesetzt.

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.

Themenreihe Datenschutz und Corona – Teil 3: Tipps für Datenschutzhinweise

19. März 2020

Wie im letzten Teil unserer Themenreihe Datenschutz und Corona angekündigt, möchten wir Ihnen heute Tipps für Datenschutzhinweise nach Art. 13, 14 DSGVO näher bringen. Diese sollen Personen, die von einer „coronabedingten“ Datenverarbeitung betroffen sind, die erforderlichen Informationen zur Verfügung stellen. Dabei möchten wir uns insbesondere auf Beschäftigte sowie Besucher von Unternehmen konzentrieren.

Informationspflichten bleiben bestehen

Sowohl der Bundesdatenschutzbeauftragte Dr. Ulrich Kelber (BfDI) als auch der Landesdatenschutzbeauftragte für Baden-Württemberg Dr. Stefan Brink (LfDI BW) haben in ihren Stellungnahmen zu Datenverarbeitungen im Zusammenhang mit der Corona-Pandamie deutlich gemacht, dass sich durch die aktuelle Krisensituation zwar Besonderheiten hinsichtlich der Zulässigkeit bestimmter Datenverarbeitungen ergeben können, dies die für die Verarbeitung Verantwortlichen jedoch nicht davon entbindet, die datenschutzrechtlichen Grundsätze der DSGVO und des BDSG einzuhalten (für genauere Informationen hinsichtlich der Stellungnahmen verweisen wir auf den ersten Beitrag dieser Themenreihe). Einer der wesentlichsten Grundsätze ist dabei die Transparenz (Art. 5 Abs. 1 S. 1 lit. a) DSGVO), welche sich insbesondere in den Informationspflichten nach Art. 13 und Art. 14 DSGVO niederschlägt. Trotz der in gewisser Weise erleichterten Möglichkeit der Verarbeitung zum Zwecke der Pandemiebekämpfung müssen die Betroffenen also hinreichend über die Datenverarbeitung informiert werden.

Wegen der Bedeutung des Themas und der besonderen Situation auch für die von der Verarbeitung Betroffenen empfehlen wir grundsätzlich, das Merkblatt kurz und übersichtlich zu halten. Neben den unbedingt erforderlichen Angaben zum Verantwortlichen und Datenschutzbeauftragten sollten daher nur Informationen aufgenommen werden, die unmittelbar die Verarbeitung selbst betreffen. Es erscheint hingegen wenig sinnvoll, ausführliche Eräuterungen zu den Betroffenenrechten aus der DSGVO und dem BDSG aufzunehmen. Hier dürfte auch ein Verweis auf eine „allgemeine“ Datenschutzerklärung des Verantwortlichen ausreichen, welche der Betroffene online oder über einen separaten Aushang, einsehen kann.

Hinsichtlich des Informationsgehalts in Bezug auf die konkrete Verarbeitung soll hier zwischen der Information der Beschäftigten (von denen z.B. private Kontaktdaten oder Informationen zu Aufenthalten in Risikogebieten erhoben werden sollen) sowie von Besuchern des Unternehmens unterschieden werden. Die wesentlich mitzuteilenden Informationen erstrecken sich auf den Zweck und die Rechtsgrundlage der Verarbeitung, nähere Angaben zu einer etwaigen Interessenabwägung sowie zur Weitergabe der Daten und schließlich die Dauer der Speicherung.

Informationen für Beschäftigte

Die Daten der Beschäftigten werden insbesondere zu dem Zweck verarbeitet, den Gesundheitsschutz der Beschäftigten sicherzustellen und entsprechende Risiken zu verringern. Um dieser arbeitsrechtlichen Pflicht nachkommen zu können, müssen insbesondere Informationen dazu verarbeitet werden, ob sich ein Beschhäftigter in letzter Zeit in einem Risikogebiet aufgehalten hat. Regelmäßig werden aber auch private Kontaktdaten erhoben, um die Beschäftigten über Betriebsschließungen und sonstige Maßnahmen informieren zu können. Diese Verarbeitungen sind nach Ansicht der Datenschutzbehörden nach § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 S. 1 lit. f) DSGVO gerechtfertigt. Im letzten Fall sind noch Spezialvorschriften aus dem Tarif-, Arbeits- und Sozialbereich hinzuzuziehen. Bei besonders sensiblen Daten, wie es auch Gesundheitsdaten sind, ist zudem § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO anzuführen.

Erfolgt die Verarbeitung der Daten auf der Grundlage eines berechtigten Interesses im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DSGVO, so müssen den Beschäftigten auch die wesentlichen Punkte der Interessenabwägung mitgeteilt werden. Während auf der Seite des Betroffenen ein Interesse an der Nichtverarbeitung der Daten besteht, wiegt das Interesse des Verantwortlichen, die eigenen Mitarbeiter vor einer Erkrankung mit COVID-19 (Coronavirus) zu schützen und seiner arbeitsrechtlichen Verpflichtung zum Schutz der Mitarbeiter nachzukommen, deutlich schwerer. Das Interesse des Verantwortlichen überwiegt demnach das Individualinteresse des Betroffenen. Nicht zuletzt sollte ein solches Vorgehen auch im Eigeninteresse des Mitarbeiters liegen.

Schließlich ist der Beschäftigte darüber zu informieren, dass die erhobenen Daten nicht weitergegeben werden und eine Speicherung der Daten zunächst für eine beschränkte Zeit erfolgt, beispielweise acht Wochen. Dabei ist aber auch darauf hinzuweisen, dass die Speicherung im Falle einer Verlängerung der Pandemie ggf. länger erfolgen kann, nach deren Ende jedoch gelöscht und nicht anderweitig genutzt werden. Die entspricht den Vorgaben der Aufsichtsbehörden.

Informationen für Besucher

Sofern ein Verantwortlicher Informationen über Besucher seines Unternehmens verarbeitet – etwa deren Kontaktdaten für den Fall, eine Infektionskette nachvollziehen zu müssen – erfolgt dies ebenfalls zu dem Zweck, die Gesundheit der Beschäftigten sicherstellen zu können und die Ausbreitung der Pandemie zu verhindern bzw. wenigstens zu verlangsamen. Zwar kann hier nicht auf § 26 Abs. 1 BDSG zurückgegriffen werden, doch auch hier besteht ein berechtigtes Interesse des Verantwortlichen im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Insoweit hier Gesundheitsdaten verarbeitet werden, ist zudem Art. 9 Abs. 2 lit. i) DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG heranzuziehen.

Im Rahmen der Interessenabwägung ist zu berücksichtigen, dass dem Interesse des Betroffenen am Zugang zum Betriebsgelände das Interesse des Verantwortlichen, die eigenen Mitarbeiter vor einer Erkrankung mit COVID-19 (Coronavirus) zu schützen – und damit die Gesundheit der Mitarbeiter und die Sicherung der Betriebsabläufe sowie ein erhebliches öffentliches Interesse – entgegensteht. Das Interesse des Verantwortlichen überwiegt auch hier das Individualinteresse des Betroffenen.

Hinsichtlich der Weitergabe der Daten ergeben sich hier keine Abweichungen, jedoch kann die Speicherdauer ggf. kürzer bemessen werden, beispielsweise mit vier Wochen. Hier sollte aber auch auf die Umstände und Bedürfnisse des Einzelfalls abgestellt werden. Wichtig ist lediglich, dass keine zeitlich unbeschränkte Speicherung stattfindet und die Daten später nicht zweckfremd verwendet werden.

Die Themenreihe Datenschutz und Corona wird morgen mit einem Beitrag zum Thema „Verarbeitung von Gesundheitsdaten zum Schutz vor Corona-Infektionen“ fortgesetzt.

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.

Themenreihe Datenschutz und Corona – Teil 2: Datenverarbeitung im Zusammenhang mit dem Coronavirus

18. März 2020

Im Zuge des Coronavirus befindet sich der Arbeitgeber in einem Spannungsfeld zwischen einerseits dem Schutz der eigenen Mitarbeiter, der Sicherung des Betriebsablaufs und der Eindämmung der Pandemie sowie andererseits den Vorgaben, die bei der Datenverarbeitung, insbesondere bei der Verarbeitung von Gesundheitsdaten, an ihn gestellt werden.

Die Einhaltung der datenschutzrechtlichen Vorgaben mag dem ein oder anderen in der derzeitigen Situation nicht als überragend wichtig erscheinen.

Nichtsdestotrotz sollten bei der jeweiligen Datenverarbeitung, vor allem bei der Verarbeitung sensibler Daten, die datenschutzrechtlichen Voraussetzungen der DSGVO und des BDSG eingehalten werden.

Am vergangenen Freitag, 13.03.2020, veröffentliche der Bundesdatenschutzbeauftragte, Dr. Ulrich Kelber eine Stellungnahme zum Thema Datenschutz und Corona und der baden-württembergische Landesdatenschutzbeauftragte, Dr. Stefan Brink FAQs– wir berichteten darüber in Teil 1 der Reihe.

Datenschutzrechtlich notwendige Maßnahmen

Die notwendigen Maßnahmen, die auch im Falle einer Datenverarbeitung mit Bezug zum Coronavirus, einzuhalten und vorzunehmen sind, unterscheiden sich grundsätzlich nicht von denen, die auch bei jeder anderen Datenverarbeitung zu ergreifen sind. Auch die Stellungnahmen des BfDI und des LfDI BW lassen keine Lockerung hinsichtlich der datenschutzrechtlichen Vorgaben erkennen.
Dazu gehören unter anderem:

  • die umfassende Information des Betroffenen nach Art. 13 (in diesem Zusammenhang wird bereits auf den morgigen Beitrag hingewiesen, der sich detailliert mit dieser Thematik beschäftigt),
  • die sichere Aufbewahrung der personenbezogenen Daten – dazu folgen weitere Information im Verlauf des Beitrags,
  • die Führung eines Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO.

Sichere Aufbewahrung der personenbezogenen Daten

Zur sicheren Aufbewahrung der personenbezogenen Daten:
Sofern die Datenverarbeitung auf eine Rechtsgrundlage aus Art. 9 Abs. 2 DSGVO in Verbindung mit § 22 Abs. 1 BDSG gestützt wird, ist für die Sicherheit der Datenverarbeitung § 22 Abs. 2 BDSG zu berücksichtigen.

Wie bereits der Wortlaut von § 22 Abs. 2 S. 1 BDSG offenbart, sind „angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen“. Genauere Informationen enthält § 22 Abs. 2 S. 2 BDSG, der die verschiedenen Maßnahmen, die „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen“ ergriffen werden können. Sodann werden die verschiedenen Möglichkeiten aufgelistet.

Ohne Anspruch auf Vollständigkeit wird an dieser Stelle auf folgende Maßnahmen, unter Nennung von Beispielen, eingegangen:

  • Sensibilisierung der an Verarbeitungsvorgängen Beteiligten, § 22 Abs. 2 S. 2 Nr. 3 BDSG;
    • datenschutzrechtliche Schulung der Mitarbeiter, die an der Datenverarbeitung beteiligt sind,
    • Sensibilisierung für die besondere Bedeutung von sensiblen Daten, wie z.B. Gesundheitsdaten,
    • Hinweis auf die Einhaltung datenschutzrechtlicher Standards, auch in Zeiten der Corona-Krise.
  • Benennung einer oder eines Datenschutzbeauftragten, § 22 Abs. 2 S. 2 Nr. 4 BDSG;
    • sollten Sie sich unsicher sein, ob und wie Sie die personenbezogenen Daten verarbeiten, benennen Sie einen Datenschutzbeauftragten,
    • sollten Sie bereits einen Datenschutzbeauftragten benannt haben, kontaktieren Sie diesen und bitten um Unterstützung.
  • Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern, § 22 Abs. 2 S. 2 Nr. 5 BDSG, zum Beispiel durch:
    • Einführung eines Zugriffskonzepts und Einhaltung des ‚Need-to-know Prinzips‘ – achten Sie darauf, dass der Kreis, der Zugriffsberechtigten so klein wie möglich ist,
    • Verschlossene Aufbewahrung von papiergebundenen Dokumenten, z.B. in einem Tresor oder zumindest einem abschließbaren Schrank (die Schlüsselgewalt sollte natürlich ebenfalls begrenzt sein),
    • Passwort geschützte digitale Dokumente (restriktive Weitergabe des Passworts unter Berücksichtigung des ‚Need-to-know Prinzips‘).

Die Themenreihe Datenschutz und Corona wird morgen mit einem Beitrag zum Thema „Tipps für Datenschutzhinweise“ fortgesetzt.

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.

Themenreihe Datenschutz und Corona – Teil 1: Stellungnahmen der Aufsichtsbehörden

17. März 2020

Das Thema Corona ist im Moment allgegenwärtig und betrifft jeden Einzelnen von uns.
Auch wenn es im ersten Moment nicht auf der Hand liegt. Datenschutz und das Coronavirus haben durchaus Berührungspunkte und zwar wenn personenbezogene Daten in Bezug auf das Virus verarbeitet werden.
Dies kann sowohl im Beschäftigungskontext als auch in Bezug auf Besucher und Lieferanten eines Unternehmens der Fall sein. Zum Beispiel zum Schutz der eigenen Mitarbeiter durch Einlasskontrollen oder wenn Mitarbeiter nach Krankheitssymptomen befragt werden.

Diese Themen und noch weitere, die einen Bezug zu „Datenschutz und Corona“ haben, möchten wir Ihnen in den nächsten Tagen erläutern.

Heute möchten wir Ihnen zunächst die bisherigen Stellungnahmen des Bundesdatenschutzbeauftragten Dr. Ulrich Kelber (BfDI) und des Landesdatenschutzbeauftragten für Baden-Württemberg Dr. Stefan Brink (LfDI BW), zusammenfassen.

Restriktive Datenverarbeitung

Beide Behörden stellen zunächst klar, dass die Erhebung und Verarbeitung personenbezogener Daten als Maßnahme gegen die weitere Verbreitung und Eindämmung der Corona-Pandemie in vielen Fällen erforderlich, jedoch restriktiv zu behandeln ist. Der Betroffene sei auch in diesen Fällen „Herr seiner Daten“. Zur Datenerhebung und Verarbeitung sei daher immer eine gesetzliche Grundlage erforderlich. Die jeweilige Maßnahme müsse zudem verhältnismäßig sein.

Das BfDI listet hier nach Situationen auf, in denen eine Verarbeitung personenbezogener Daten erforderlich ist. Dies insbesondere dann, wenn die betroffene Person nachweislich infiziert ist, Kontakt zu infizierten Personen hatte oder sich in einem vom Robert Koch-Institut ausgewiesenen Risikogebiet aufgehalten hat.

In diesen Situtationen dürfe der Arbeitgeber oder Dienstherr, um eine Ausbreitung des Virus bestmöglich zu verhindern oder einzudämmen, die personenbezogenen (Gesundheits-)Daten von Beschäftigten erheben und verarbeiten. Davon ist auch die Datenverarbeitung gegenüber Gästen und Besuchern umfasst.

Arbeitgeber sind beispielweise dazu verpflichtet den gesundheitlichen Schutz der Belegschaft sicherzustellen und mögliche Risiken auszuschließen. Diese Fürsorgepflicht verpflichtet, nach Ansicht der Datenschutzbehörden, die Arbeitgeber unter Umständen zu Befragungen der Mitarbeiter zum Aufenthalt in Risikogebieten. Jede hierauf bezogene Maßnahme muss verhältnismäßig sein, vertraulich behandelt werden und zweckgebunden erfolgen. Dies bedeutet jedoch auch, dass erhobene Daten spätestens nach Ende der Pandemie wieder gelöscht werden müssen.

Jede Maßnahme ist also einzelnd zu bewerten. Eine Offenlegung personenbezogener Daten z.B. durch Nennung eines bestimmten Mitarbeiters ist beispielsweise nur zulässig, soweit die Kenntnis der Identität für Vorsorgemaßnahmen der Kontaktpersonen erforderlich ist. Grundsätzlich können Maßnahmen jedoch Abteilungs- oder Teambezogen erfolgen, ohne einzelne Namen zu nennen.

Rechtsgrundlagen der Verarbeitung

Die Rechtsgrundlagen für die jeweilige Datenerhebung bzw. Verarbeitung finden sich in der EU-Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) in Verbindung mit den jeweiligen Landesdatenschutz- und Fachgesetzen wieder.

Die Einwilligung soll als Rechtsgrundlage nur herangezogen werden, wenn die Betroffenen über die Datenverarbeitung umfassend informiert wurden und diese freiwillig in die Maßnahme eingewilligt haben.

Für die Verarbeitung personenbezogener Mitarbeiterdaten durch öffentlich-rechtliche Arbeitgeber ergibt sich die Rechtsgrundlage aus Art. 6 Abs. 1 Satz 1 lit. e) DSGVO. Das BfDI erkennt hier ein Handeln im öffentlichen Interesse. Nicht-öffentliche Arbeitgeber handeln im Rahmen ihrer Pflichten aus dem Beschäftigungsverhältnis, § 26 Abs 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO. Im letzten Fall sind noch Spezialvorschriften aus dem Tarif-, Arbeits- und Sozialbereich hinzuzuziehen. Bei besonders sensiblen Daten, wie es auch Gesundheitsdaten sind, ist zudem § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO BDSG zu beachten.

Gegenüber Dritten, z.B. Gästen oder Besuchern, sind Maßnamen von öffentlichen Stellen grundsätzlich auf Art. 6 Abs. 1 Satz 1 lit. c) und e) DSGVO ggf. in Verbindung mit den jeweiligen Landesdatenschutzgesetzen zu stützen. Im nicht-öffentlichen Bereich kann Art. 6 Abs. 1 Satz 1 lit. f) DSGVO als Rechtsgrundlage herangezogen werden. Bei Gesundheitsdaten ist zudem Art. 9 Abs. 2 lit. i) i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG anzuwenden.

Übermittlung von Daten an Behörden

Behördliche Maßnamen können je nach Reglung des jeweiligen Bundeslandes durch Ordnungsbehörden oder das Gesundheitsamt erlassen werden. Die jeweilige Rechtsgrundlage hängt von der jeweiligen Maßnahme ab. Der BDfI nennt hier insbesondere Vorschriften im Infektionsschutzgesetz (IfsG), welche Quarantänevorschriften und Tätigkeitsverbote durch das Gesundheitsministerium regeln. Hier ist regelmäßig von einer Übermittlungsbefugnis der Arbeitgeber oder Unternehmer auszugehen.

Ohne eine gesetzlich gestützte Anordnung, ist eine Übermittlung regelmäßig nur mit der Einwilligung der betroffenen Personen rechtmäßig. Folglich dürfen im Zusammenhang mit dem Corona-Virus die Daten von Besuchern ohne Einwilligung nur übermittelt werden, wenn zuvor eine Anordnung der zuständigen Behörde nach § 16 Abs. 1 IfsG ergangen ist.

Die Themenreihe Datenschutz und Corona wird morgen mit einem Beitrag zum Thema „Datenverarbeitung im Zusammenhang mit dem Coronavirus“ fortgesetzt.

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.