20. März 2020
Der Ausbruch, die Verbreitung und die Folgen des Corona-Virus sorgen derzeit weltweit für große Besorgnis. Die Ausbreitung des Virus soweit wie möglich zu unterbrechen, oder zumindest zu verlangsamen, hat dieser Tage die höchste Priorität. Aus diesem Grund senden vieler Orts Arbeitgeber ihre Mitarbeiter ins Homeoffice, um das Risiko einer Infektion zu verringern. Da diese Vorgehensweise gerade bei Versorgungsbetrieben, wie Einkaufsläden oder auch Kraftwerken nicht umfassend möglich ist, besteht ein großes Interesse beim Arbeitgeber, dass weder die anwesenden Arbeitnehmer noch Besucher des Unternehmens mit dem Virus infiziert sind. Bei der Anfrage nach dem Gesundheitszustand wird nach personenbezogenen Daten, sogenannten „Gesundheitsdaten“ gefragt. Nach Art. 9 EU-Datenschutzgrundverordnung (DSGVO) erfahren diese ein besonders hohes Maß an Schutz, so dass beim Verlangen nach Auskunft einiges zu beachten ist.
Was sind Gesundheitsdaten?
Zunächst ist zu klären, was unter den Begriff „Gesundheitsdaten“ fällt. Nach Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen (z.B. Rehaaufenthalte), beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
Der Begriff Gesundheitsdaten umfasst also nicht nur krankheitsspezifische Angaben der betroffenen Person, wie z.B. einen viralen Infekt oder Medikamentenkonsum, sondern bereits die allgemeine Aussage, ob jemand gesund ist oder nicht. Problematisch sind Informationen, die nur indirekt auf den Gesundheitszustand hinweisen. Hier wird allgemein vertreten, dass der Sachzusammenhang berücksichtigt werden muss, in welchen die Information verwendet werden soll. (vgl. Simitis/Hornung/Spiecker, Art. 4 Nr. 15 Rn. 4).
Wann darf der Arbeitgeber Gesundheitsdaten von Arbeitnehmern gerade in Hinblick auf das Corona-Virus verarbeiten nach der DSGVO?
Es bleibt zu klären, wann Gesundheitsdaten verarbeitet werden dürfen. Bei Gesundheitsdaten gilt ein generelles Verarbeitungsverbot. Gemäß Art. 9 Abs. 2 DSGVO kann in bestimmten Fällen eine Verarbeitung von Gesundheitsdaten allerdings auch ohne Einwilligung des Betroffenen zulässig sein. Allgemein empfiehlt es sich unter gegeben Umständen eine Einwilligung einzuholen.
Im Rahmen des Beschäftigtenverhältnisses im nicht öffentlichen Bereich dürfen Gesundheitsdaten verarbeitet werden, soweit sie für die für die Erfüllung von Rechten und Pflichten im Rahmen des Arbeitsverhältnisses erforderlich ist (Art. 9 Abs. 2 lit. g) DSGVO). Den Arbeitgeber trifft gerade in Hinblick auf das Corona-Virus eine Fürsorgepflicht, die nicht nur gegenüber dem einzelnen Arbeitnehmer, sondern auch gegenüber allen Arbeitnehmern als Gesamtheit besteht. Demnach hat der Arbeitgeber die Verpflichtung verhältnismäßige Maßnahmen zu ergreifen, um die Gesundheit seiner Arbeitnehmer während der Arbeitszeit zu schützen (vgl. LfDI BW). Dies umfasst insbesondere auch Maßnahmen gegen meldepflichtige Krankheiten wie das Corona-Virus (meldepflichtig gem. § 7 Abs. 1 Nr. 31 a Infektionsschutzgesetz (IfSG)). Wichtig ist hierbei, dass nach dem Grundsatz der Datenminimierung nur die wirklich erforderlichen Daten verarbeitet werden und diese auch zum Schutze des einzelnen Arbeitnehmers, sowie aber auch um den Betriebsfrieden zu wahren, streng vertraulich behandelt werden. Sollte der Arbeitgeber personenbezogene Daten verarbeiten, die keine Gesundheitsdaten sind, so kann er sich -nach sorgfältiger Prüfung- auch auf Art. 6 Abs. 1 lit. f) DSGVO oder § 26 Bundesdatenschutzgesetz (BDSG) stützen (vgl. BfDI).
Muss der Arbeitnehmer seine Infizierung mitteilen?
Auch der Arbeitnehmer ist aufgrund seiner Treuepflicht gegenüber dem Arbeitgeber verpflichtet, ihn über eine Corona-Infektion zu unterrichten. Diese Treueplicht befugt den Arbeitnehmer dahingehend, dass er personenbezogene Daten von Personen im betrieblichen Umfeld offenlegt, mit denen er Kontakt gehabt hat. Diese Offenlegung kann sowohl auf ein berechtigtes Interesse des Arbeitgebers nach Art. 6 Abs. 1 lit. f) DSGVO als auch Art. 6 Abs. 1 lit c) DSGVO gestützt werden.
Wann kann ein Arbeitnehmer auch die Gesundheitsdaten von Besuchern oder Gästen des Unternehmens verarbeiten?
Da in Unternehmen regelmäßig Besucher und Gäste verkehren, besteht auch ein großes Interesse seitens des Arbeitgebers, vorsorgliche Maßnahmen zur Eindämmung des Virus zu ergreifen. Sollten hierfür Gesundheitsdaten verarbeitet werden müssen, so kann dies nach sorgfältiger Prüfung auf Grundlage von Art. 9 Abs. 2 lit. i) DSGVO iVm § 22 Abs. 1 Nr. 1 lit. c) BDSG geschehen. Bei anderen Maßnahmen bei denen personenbezogene Daten verarbeitet werden, die keine Gesundheitsdaten sind, kann sich der Arbeitgeber auf sein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO stützen (vgl. BfDI).
Welche Maßnahmen sind in Hinblick auf die Eindämmung des Corona-Virus erlaubt?
Beispiele für zulässige Maßnahmen gegenüber Arbeitnehmern:
- Maßnahmen ohne datenschutzrechtlichen Bezug, wie zum Beispiel:
- Hygienevorschriften,
- allgemeine Dienstanweisung bei Symptomen zuhause zu bleiben,
- Absage/Verschieben von Dienstreisen,
- Anordnung im Home Office zu arbeiten,
- regelmäßiges informieren über relevante Neuigkeiten rund um das Virus.
- Auskunftsverlangen über Infektion bei begründetem Verdacht,
- Auskunftsverlangen gegenüber infizierten Arbeitnehmern hinsichtlich Kontaktpersonen im betrieblichen Umfeld,
- Auskunftsverlagen über Aufenthalt in einem Risikogebiet nach Urlaub oder Dienstreise,
- Verarbeitung von Daten, die von dem Arbeitnehmer proaktiv mitgeteilt werden, z.B., dass Kontakt mit einer/einem (potentiell) Infizierten bestand,
- Einholung der Einwilligung zur Speicherung von Notfallkontakten und privaten Kontaktdaten zur Verständigung bei Notfällen und betrieblichen Änderungen aufgrund des Virus.
Beispiele für unzulässige Maßnahmen gegenüber Arbeitnehmern:
- Verpflichtende umfassende Fragebögen an die gesamte Arbeitnehmerschaft (anlasslose Reihenbefragungen),
- Befragung anderer Arbeitnehmer, ob jemand Symptome zeigt.
Beispiele für zulässige Maßnahmen gegenüber Besuchern oder Gästen des Unternehmens:
- Maßnahmen ohne datenschutzrechtlichen Bezug, wie Hygienevorschriften, Einschränkung von Besuchsmöglichkeiten,
- Auskunftsverlangen über Infektion bei begründetem Verdacht,
- Auskunftsverlangen gegenüber infizierten Besuchern oder Gästen hinsichtlich Kontaktpersonen im Unternehmen.
Beispiele für unzulässige Maßnahmen gegenüber Besuchern oder Gästen des Unternehmens:
- Pauschale Gesundheitsauskunft ohne begründeten Verdacht.
Die Themenreihe Datenschutz und Corona wird mit einem Beitrag zum Thema „Datenschutzkonformes Arbeiten im Home Office“ fortgesetzt.
Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.
Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.
19. März 2020
Wie im letzten Teil unserer Themenreihe Datenschutz und Corona angekündigt, möchten wir Ihnen heute Tipps für Datenschutzhinweise nach Art. 13, 14 DSGVO näher bringen. Diese sollen Personen, die von einer „coronabedingten“ Datenverarbeitung betroffen sind, die erforderlichen Informationen zur Verfügung stellen. Dabei möchten wir uns insbesondere auf Beschäftigte sowie Besucher von Unternehmen konzentrieren.
Informationspflichten bleiben bestehen
Sowohl der Bundesdatenschutzbeauftragte Dr. Ulrich Kelber (BfDI) als auch der Landesdatenschutzbeauftragte für Baden-Württemberg Dr. Stefan Brink (LfDI BW) haben in ihren Stellungnahmen zu Datenverarbeitungen im Zusammenhang mit der Corona-Pandamie deutlich gemacht, dass sich durch die aktuelle Krisensituation zwar Besonderheiten hinsichtlich der Zulässigkeit bestimmter Datenverarbeitungen ergeben können, dies die für die Verarbeitung Verantwortlichen jedoch nicht davon entbindet, die datenschutzrechtlichen Grundsätze der DSGVO und des BDSG einzuhalten (für genauere Informationen hinsichtlich der Stellungnahmen verweisen wir auf den ersten Beitrag dieser Themenreihe). Einer der wesentlichsten Grundsätze ist dabei die Transparenz (Art. 5 Abs. 1 S. 1 lit. a) DSGVO), welche sich insbesondere in den Informationspflichten nach Art. 13 und Art. 14 DSGVO niederschlägt. Trotz der in gewisser Weise erleichterten Möglichkeit der Verarbeitung zum Zwecke der Pandemiebekämpfung müssen die Betroffenen also hinreichend über die Datenverarbeitung informiert werden.
Wegen der Bedeutung des Themas und der besonderen Situation auch für die von der Verarbeitung Betroffenen empfehlen wir grundsätzlich, das Merkblatt kurz und übersichtlich zu halten. Neben den unbedingt erforderlichen Angaben zum Verantwortlichen und Datenschutzbeauftragten sollten daher nur Informationen aufgenommen werden, die unmittelbar die Verarbeitung selbst betreffen. Es erscheint hingegen wenig sinnvoll, ausführliche Eräuterungen zu den Betroffenenrechten aus der DSGVO und dem BDSG aufzunehmen. Hier dürfte auch ein Verweis auf eine „allgemeine“ Datenschutzerklärung des Verantwortlichen ausreichen, welche der Betroffene online oder über einen separaten Aushang, einsehen kann.
Hinsichtlich des Informationsgehalts in Bezug auf die konkrete Verarbeitung soll hier zwischen der Information der Beschäftigten (von denen z.B. private Kontaktdaten oder Informationen zu Aufenthalten in Risikogebieten erhoben werden sollen) sowie von Besuchern des Unternehmens unterschieden werden. Die wesentlich mitzuteilenden Informationen erstrecken sich auf den Zweck und die Rechtsgrundlage der Verarbeitung, nähere Angaben zu einer etwaigen Interessenabwägung sowie zur Weitergabe der Daten und schließlich die Dauer der Speicherung.
Informationen für Beschäftigte
Die Daten der Beschäftigten werden insbesondere zu dem Zweck verarbeitet, den Gesundheitsschutz der Beschäftigten sicherzustellen und entsprechende Risiken zu verringern. Um dieser arbeitsrechtlichen Pflicht nachkommen zu können, müssen insbesondere Informationen dazu verarbeitet werden, ob sich ein Beschhäftigter in letzter Zeit in einem Risikogebiet aufgehalten hat. Regelmäßig werden aber auch private Kontaktdaten erhoben, um die Beschäftigten über Betriebsschließungen und sonstige Maßnahmen informieren zu können. Diese Verarbeitungen sind nach Ansicht der Datenschutzbehörden nach § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 S. 1 lit. f) DSGVO gerechtfertigt. Im letzten Fall sind noch Spezialvorschriften aus dem Tarif-, Arbeits- und Sozialbereich hinzuzuziehen. Bei besonders sensiblen Daten, wie es auch Gesundheitsdaten sind, ist zudem § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO anzuführen.
Erfolgt die Verarbeitung der Daten auf der Grundlage eines berechtigten Interesses im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DSGVO, so müssen den Beschäftigten auch die wesentlichen Punkte der Interessenabwägung mitgeteilt werden. Während auf der Seite des Betroffenen ein Interesse an der Nichtverarbeitung der Daten besteht, wiegt das Interesse des Verantwortlichen, die eigenen Mitarbeiter vor einer Erkrankung mit COVID-19 (Coronavirus) zu schützen und seiner arbeitsrechtlichen Verpflichtung zum Schutz der Mitarbeiter nachzukommen, deutlich schwerer. Das Interesse des Verantwortlichen überwiegt demnach das Individualinteresse des Betroffenen. Nicht zuletzt sollte ein solches Vorgehen auch im Eigeninteresse des Mitarbeiters liegen.
Schließlich ist der Beschäftigte darüber zu informieren, dass die erhobenen Daten nicht weitergegeben werden und eine Speicherung der Daten zunächst für eine beschränkte Zeit erfolgt, beispielweise acht Wochen. Dabei ist aber auch darauf hinzuweisen, dass die Speicherung im Falle einer Verlängerung der Pandemie ggf. länger erfolgen kann, nach deren Ende jedoch gelöscht und nicht anderweitig genutzt werden. Die entspricht den Vorgaben der Aufsichtsbehörden.
Informationen für Besucher
Sofern ein Verantwortlicher Informationen über Besucher seines Unternehmens verarbeitet – etwa deren Kontaktdaten für den Fall, eine Infektionskette nachvollziehen zu müssen – erfolgt dies ebenfalls zu dem Zweck, die Gesundheit der Beschäftigten sicherstellen zu können und die Ausbreitung der Pandemie zu verhindern bzw. wenigstens zu verlangsamen. Zwar kann hier nicht auf § 26 Abs. 1 BDSG zurückgegriffen werden, doch auch hier besteht ein berechtigtes Interesse des Verantwortlichen im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Insoweit hier Gesundheitsdaten verarbeitet werden, ist zudem Art. 9 Abs. 2 lit. i) DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG heranzuziehen.
Im Rahmen der Interessenabwägung ist zu berücksichtigen, dass dem Interesse des Betroffenen am Zugang zum Betriebsgelände das Interesse des Verantwortlichen, die eigenen Mitarbeiter vor einer Erkrankung mit COVID-19 (Coronavirus) zu schützen – und damit die Gesundheit der Mitarbeiter und die Sicherung der Betriebsabläufe sowie ein erhebliches öffentliches Interesse – entgegensteht. Das Interesse des Verantwortlichen überwiegt auch hier das Individualinteresse des Betroffenen.
Hinsichtlich der Weitergabe der Daten ergeben sich hier keine Abweichungen, jedoch kann die Speicherdauer ggf. kürzer bemessen werden, beispielsweise mit vier Wochen. Hier sollte aber auch auf die Umstände und Bedürfnisse des Einzelfalls abgestellt werden. Wichtig ist lediglich, dass keine zeitlich unbeschränkte Speicherung stattfindet und die Daten später nicht zweckfremd verwendet werden.
Die Themenreihe Datenschutz und Corona wird morgen mit einem Beitrag zum Thema „Verarbeitung von Gesundheitsdaten zum Schutz vor Corona-Infektionen“ fortgesetzt.
Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.
Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und
schützen sich und andere.
18. März 2020
Im Zuge des Coronavirus befindet sich der Arbeitgeber in einem Spannungsfeld zwischen einerseits dem Schutz der eigenen Mitarbeiter, der Sicherung des Betriebsablaufs und der Eindämmung der Pandemie sowie andererseits den Vorgaben, die bei der Datenverarbeitung, insbesondere bei der Verarbeitung von Gesundheitsdaten, an ihn gestellt werden.
Die Einhaltung der datenschutzrechtlichen Vorgaben mag dem ein oder anderen in der derzeitigen Situation nicht als überragend wichtig erscheinen.
Nichtsdestotrotz sollten bei der jeweiligen Datenverarbeitung, vor allem bei der Verarbeitung sensibler Daten, die datenschutzrechtlichen Voraussetzungen der DSGVO und des BDSG eingehalten werden.
Am vergangenen Freitag, 13.03.2020, veröffentliche der Bundesdatenschutzbeauftragte, Dr. Ulrich Kelber eine Stellungnahme zum Thema Datenschutz und Corona und der baden-württembergische Landesdatenschutzbeauftragte, Dr. Stefan Brink FAQs– wir berichteten darüber in Teil 1 der Reihe.
Datenschutzrechtlich notwendige Maßnahmen
Die notwendigen Maßnahmen, die auch im Falle einer Datenverarbeitung mit Bezug zum Coronavirus, einzuhalten und vorzunehmen sind, unterscheiden sich grundsätzlich nicht von denen, die auch bei jeder anderen Datenverarbeitung zu ergreifen sind. Auch die Stellungnahmen des BfDI und des LfDI BW lassen keine Lockerung hinsichtlich der datenschutzrechtlichen Vorgaben erkennen.
Dazu gehören unter anderem:
- die umfassende Information des Betroffenen nach Art. 13 (in diesem Zusammenhang wird bereits auf den morgigen Beitrag hingewiesen, der sich detailliert mit dieser Thematik beschäftigt),
- die sichere Aufbewahrung der personenbezogenen Daten – dazu folgen weitere Information im Verlauf des Beitrags,
- die Führung eines Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO.
Sichere Aufbewahrung der personenbezogenen Daten
Zur sicheren Aufbewahrung der personenbezogenen Daten:
Sofern die Datenverarbeitung auf eine Rechtsgrundlage aus Art. 9 Abs. 2 DSGVO in Verbindung mit § 22 Abs. 1 BDSG gestützt wird, ist für die Sicherheit der Datenverarbeitung § 22 Abs. 2 BDSG zu berücksichtigen.
Wie bereits der Wortlaut von § 22 Abs. 2 S. 1 BDSG offenbart, sind „angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen“. Genauere Informationen enthält § 22 Abs. 2 S. 2 BDSG, der die verschiedenen Maßnahmen, die „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen“ ergriffen werden können. Sodann werden die verschiedenen Möglichkeiten aufgelistet.
Ohne Anspruch auf Vollständigkeit wird an dieser Stelle auf folgende Maßnahmen, unter Nennung von Beispielen, eingegangen:
- Sensibilisierung der an Verarbeitungsvorgängen Beteiligten, § 22 Abs. 2 S. 2 Nr. 3 BDSG;
- datenschutzrechtliche Schulung der Mitarbeiter, die an der Datenverarbeitung beteiligt sind,
- Sensibilisierung für die besondere Bedeutung von sensiblen Daten, wie z.B. Gesundheitsdaten,
- Hinweis auf die Einhaltung datenschutzrechtlicher Standards, auch in Zeiten der Corona-Krise.
- Benennung einer oder eines Datenschutzbeauftragten, § 22 Abs. 2 S. 2 Nr. 4 BDSG;
- sollten Sie sich unsicher sein, ob und wie Sie die personenbezogenen Daten verarbeiten, benennen Sie einen Datenschutzbeauftragten,
- sollten Sie bereits einen Datenschutzbeauftragten benannt haben, kontaktieren Sie diesen und bitten um Unterstützung.
- Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern, § 22 Abs. 2 S. 2 Nr. 5 BDSG, zum Beispiel durch:
- Einführung eines Zugriffskonzepts und Einhaltung des ‚Need-to-know Prinzips‘ – achten Sie darauf, dass der Kreis, der Zugriffsberechtigten so klein wie möglich ist,
- Verschlossene Aufbewahrung von papiergebundenen Dokumenten, z.B. in einem Tresor oder zumindest einem abschließbaren Schrank (die Schlüsselgewalt sollte natürlich ebenfalls begrenzt sein),
- Passwort geschützte digitale Dokumente (restriktive Weitergabe des Passworts unter Berücksichtigung des ‚Need-to-know Prinzips‘).
Die Themenreihe Datenschutz und Corona wird morgen mit einem Beitrag zum Thema „Tipps für Datenschutzhinweise“ fortgesetzt.
Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.
Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und
schützen sich und andere.
17. März 2020
Das Thema Corona ist im Moment allgegenwärtig und betrifft jeden Einzelnen von uns.
Auch wenn es im ersten Moment nicht auf der Hand liegt. Datenschutz und das Coronavirus haben durchaus Berührungspunkte und zwar wenn personenbezogene Daten in Bezug auf das Virus verarbeitet werden.
Dies kann sowohl im Beschäftigungskontext als auch in Bezug auf Besucher und Lieferanten eines Unternehmens der Fall sein. Zum Beispiel zum Schutz der eigenen Mitarbeiter durch Einlasskontrollen oder wenn Mitarbeiter nach Krankheitssymptomen befragt werden.
Diese Themen und noch weitere, die einen Bezug zu „Datenschutz und Corona“ haben, möchten wir Ihnen in den nächsten Tagen erläutern.
Heute möchten wir Ihnen zunächst die bisherigen Stellungnahmen des Bundesdatenschutzbeauftragten Dr. Ulrich Kelber (BfDI) und des Landesdatenschutzbeauftragten für Baden-Württemberg Dr. Stefan Brink (LfDI BW), zusammenfassen.
Restriktive Datenverarbeitung
Beide Behörden stellen zunächst klar, dass die Erhebung und Verarbeitung personenbezogener Daten als Maßnahme gegen die weitere Verbreitung und Eindämmung der Corona-Pandemie in vielen Fällen erforderlich, jedoch restriktiv zu behandeln ist. Der Betroffene sei auch in diesen Fällen „Herr seiner Daten“. Zur Datenerhebung und Verarbeitung sei daher immer eine gesetzliche Grundlage erforderlich. Die jeweilige Maßnahme müsse zudem verhältnismäßig sein.
Das BfDI listet hier nach Situationen auf, in denen eine Verarbeitung personenbezogener Daten erforderlich ist. Dies insbesondere dann, wenn die betroffene Person nachweislich infiziert ist, Kontakt zu infizierten Personen hatte oder sich in einem vom Robert Koch-Institut ausgewiesenen Risikogebiet aufgehalten hat.
In diesen Situtationen dürfe der Arbeitgeber oder Dienstherr, um eine Ausbreitung des Virus bestmöglich zu verhindern oder einzudämmen, die personenbezogenen (Gesundheits-)Daten von Beschäftigten erheben und verarbeiten. Davon ist auch die Datenverarbeitung gegenüber Gästen und Besuchern umfasst.
Arbeitgeber sind beispielweise dazu verpflichtet den gesundheitlichen Schutz der Belegschaft sicherzustellen und mögliche Risiken auszuschließen. Diese Fürsorgepflicht verpflichtet, nach Ansicht der Datenschutzbehörden, die Arbeitgeber unter Umständen zu Befragungen der Mitarbeiter zum Aufenthalt in Risikogebieten. Jede hierauf bezogene Maßnahme muss verhältnismäßig sein, vertraulich behandelt werden und zweckgebunden erfolgen. Dies bedeutet jedoch auch, dass erhobene Daten spätestens nach Ende der Pandemie wieder gelöscht werden müssen.
Jede Maßnahme ist also einzelnd zu bewerten. Eine Offenlegung personenbezogener Daten z.B. durch Nennung eines bestimmten Mitarbeiters ist beispielsweise nur zulässig, soweit die Kenntnis der Identität für Vorsorgemaßnahmen der Kontaktpersonen erforderlich ist. Grundsätzlich können Maßnahmen jedoch Abteilungs- oder Teambezogen erfolgen, ohne einzelne Namen zu nennen.
Rechtsgrundlagen der Verarbeitung
Die Rechtsgrundlagen für die jeweilige Datenerhebung bzw. Verarbeitung finden sich in der EU-Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) in Verbindung mit den jeweiligen Landesdatenschutz- und Fachgesetzen wieder.
Die Einwilligung soll als Rechtsgrundlage nur herangezogen werden, wenn die Betroffenen über die Datenverarbeitung umfassend informiert wurden und diese freiwillig in die Maßnahme eingewilligt haben.
Für die Verarbeitung personenbezogener Mitarbeiterdaten durch öffentlich-rechtliche Arbeitgeber ergibt sich die Rechtsgrundlage aus Art. 6 Abs. 1 Satz 1 lit. e) DSGVO. Das BfDI erkennt hier ein Handeln im öffentlichen Interesse. Nicht-öffentliche Arbeitgeber handeln im Rahmen ihrer Pflichten aus dem Beschäftigungsverhältnis, § 26 Abs 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO. Im letzten Fall sind noch Spezialvorschriften aus dem Tarif-, Arbeits- und Sozialbereich hinzuzuziehen. Bei besonders sensiblen Daten, wie es auch Gesundheitsdaten sind, ist zudem § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO BDSG zu beachten.
Gegenüber Dritten, z.B. Gästen oder Besuchern, sind Maßnamen von öffentlichen Stellen grundsätzlich auf Art. 6 Abs. 1 Satz 1 lit. c) und e) DSGVO ggf. in Verbindung mit den jeweiligen Landesdatenschutzgesetzen zu stützen. Im nicht-öffentlichen Bereich kann Art. 6 Abs. 1 Satz 1 lit. f) DSGVO als Rechtsgrundlage herangezogen werden. Bei Gesundheitsdaten ist zudem Art. 9 Abs. 2 lit. i) i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG anzuwenden.
Übermittlung von Daten an Behörden
Behördliche Maßnamen können je nach Reglung des jeweiligen Bundeslandes durch Ordnungsbehörden oder das Gesundheitsamt erlassen werden. Die jeweilige Rechtsgrundlage hängt von der jeweiligen Maßnahme ab. Der BDfI nennt hier insbesondere Vorschriften im Infektionsschutzgesetz (IfsG), welche Quarantänevorschriften und Tätigkeitsverbote durch das Gesundheitsministerium regeln. Hier ist regelmäßig von einer Übermittlungsbefugnis der Arbeitgeber oder Unternehmer auszugehen.
Ohne eine gesetzlich gestützte Anordnung, ist eine Übermittlung regelmäßig nur mit der Einwilligung der betroffenen Personen rechtmäßig. Folglich dürfen im Zusammenhang mit dem Corona-Virus die Daten von Besuchern ohne Einwilligung nur übermittelt werden, wenn zuvor eine Anordnung der zuständigen Behörde nach § 16 Abs. 1 IfsG ergangen ist.
Die Themenreihe Datenschutz und Corona wird morgen mit einem Beitrag zum Thema „Datenverarbeitung im Zusammenhang mit dem Coronavirus“ fortgesetzt.
Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.
Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und
schützen sich und andere.
12. März 2020
Anfang des Jahres wurde bekannt, dass das Unternehmen Clearview riesengroße Datenbanken zur Gesichtserkennung erstellt hatte (wir berichteten). Dazu verwendete es Milliarden Fotos aus öffentlich zugänglichen Quellen wie Facebook, Twitter und LinkedIn. Nach ersten Angaben des Unternehmens wurde das Programm nur Sicherheits- und Strafverfolgungsbehörden, wie ausgewählten Sicherheitsexperten zur Verfügung gestellt. Laut jüngsten Berichten der New York Times und der Webseite BussFeed News wurde die Datenbank jedoch auch von Privatpersonen für rein persönliche Zwecke genutzt.
Das Programm ist derart konzipiert, dass es Menschen in Echtzeit erkennt und dem Nutzer verschiedene Informationen zur identifizierten Person liefert. Es entsteht ein automatisch generiertes, biometrisches Profil, das neben dem Namen weitere persönliche Daten wie Wohnort, Aktivitäten sowie Freunde und Bekannte anzeigt.
Dem Bericht der Times zufolge bekamen Private und Unternehmen Zugang zur App, um Investitionsanreize zu schaffen. Dies wurde mittlerweile auch vom Gründer bestätigt. Der Billionär John Catsimatidis nutzte die App beispielweise um seine Einkaufshäuser vor Diebstählen zu schützen. Nach Angaben der Times missbrauchte er das Programm aber auch um seiner Tochter nachzuspionieren. Investoren und Freunde des Gründers verwendeten die App um auf Partys anzugeben. Die Liste der Leute, die Cleaview privat genutzt haben sollen, wird immer länger. Cleaview’s Kunden kommen dabei nicht nur aus den USA und Kanada. Zu den mehr als 2.200 Klienten gehören scheinbar auch Organisationen in Saudi-Arabien und den Vereinten Arabischen Emiraten.
10. März 2020
Die niederländische Aufsichtsbehörde verhängte gegen den Tennisverband „Koninklijke Nederlandse Lawn Tennisbond“ (KNLTB) eine Geldbuße von 525.000 EUR, weil er die personenbezogenen Daten seiner Mitglieder verkauft hatte. Im Jahr 2018 stellte KNLTB unrechtmäßig die personenbezogenen Daten einiger tausend seiner Mitglieder zwei Sponsoren zur Verfügung.
Darunter waren der Name, das Geschlecht und die Adresse der Mitglieder. Die Sponsoren nutzten die Daten dazu um an die betroffenen Personen heranzutreten und ihnen tennisbezogene und andere Angebote unterbreiten zu können. Ein Sponsor erhielt personenbezogene Daten von 50.000, der andere von mehr als 300.000 Mitgliedern. Die Sponsoren wandten sich per Post oder Telefon an einige dieser KNLTB-Mitglieder.
Der Tennisverband hat sich auf
das berechtigte Interesse am Verkauf der Daten berufen. Die niederländischen
Aufsichtsbehörden waren anderer Ansicht und entschieden, dass KNLTB keine
Grundlage für die Weitergabe dieser personenbezogenen Daten an die Sponsoren
hatte. Daher war die Übermittlung der personenbezogenen Daten rechtswidrig. Das
verhängte Bußgeld von 525.000 Euro ist allerdings noch nicht rechtskräftig,
weil der Tennisverband Rechtsmittel eingelegt kann.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland Pfalz (LfDI RLP) hat am 06. März 2020 seinen aktualisierten Handlungsrahmen für die Nutzung von „Social Media“ durch öffentliche Stellen veröffentlicht.
Wie bereits berichtet stellte der EuGH im Juni 2018 fest, dass der Betreiber einer Fanseite auf Facebook gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten verantwortlich ist. Daraufhin stellte das BVerwG im September 2019 klar, dass die Datenschutzaufsichtsbehörden bei Verstößen gegen die Betreiber von Facebook-Fanpages vorgehen können.
Der LfDI RLP beschäftigt sich zunächst mit der Zulässigkeit der Datenverarbeitung durch öffentliche Stellen. Diese könnten zwar Öffentlichkeitsarbeit als Annexkompetenz zu ihren Aufgaben betreiben. Die Stellen könnten sich dabei aber nicht auf Art. 6 Abs. 1 lit. e DSGVO i.V.m. § 3 LDSG RLP berufen. Danach ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Nach Ansicht des LfDI RLP ist die Weitergabe an Social Media-Dienste für die Öffentlichkeitsarbeit aber nicht erforderlich. Es bedürfe daher einer Einwilligung oder anderen Rechtsgrundlage.
Ob angemeldete Nutzer eine wirksame Einwilligung abgegeben haben lässt der Handlungsrahmen offen. Der LfDI RLP sieht es unter Vorbehalt als akzeptabel an, in einer Einwilligung an den Dienst auch eine solche für die Verarbeitung im Zusammenhang mit bestimmten Angeboten der Plattform zu sehen. Eine Einwilligung fehle aber jedenfalls regelmäßig bei Nutzerinnen und Nutzern, die nicht Mitglied der jeweiligen Social Media-Plattform sind. Jedenfalls sehe Facebook dafür keine technische Lösung vor.
Der Handlungsrahmen führt weiter aus, dass öffentliche Stellen für einen datenschutzkonformen Betrieb von Social Media-Plattformen eine Vereinbarung zur gemeinsamen Verantwortlichkeit schließen müssen. Solche Vereinbarungen müssten Antworten auf die im Fragenkatalog des Beschlusses der Datenschutzkonferenz zu Facebook Fanpages vom 5. September 2018 gestellten Fragen enthalten. Facebook beantworte in seiner Seiten-Insights-Ergänzung aktuell nicht alle diese Fragen. Zudem müssen der Verantwortliche auch weiteren Pflichten nachkommen, wie den Informationspflichten oder der Bereitstellung alternativer Informations- und Kommunikationsmöglichkeiten.
Der LfDI RLP weist darauf hin, dass er bei Verstößen die Außerbetriebnahme des Angebots anordnen könnte und eine Beanstandung oder Verwarnung erfolgen könnte. Daneben könnten betroffene Personen gegenüber Betreibern von Fanpages Schadensersatzansprüche haben.
Nachdem insbsondere der Landesbeauftragter für den Datenschutz des Landes Baden-Württemberg mit seinen Äußerungen zur Nutzung des Kurznachrichtendienstes Twitters für Aufsehen gesorgt hatte, beschäftigt sich jetzt eine weitere Aufsichtsbehörde mit der Nutzung von Social Media durch öffentlich Stellen.
9. März 2020
Das Verwaltungsgericht Berlin (VG Berlin) hat in einem Beschluss (vom 28.02.2020 – VG 3 L 1028.19) entschieden, dass Daten aus der Akte eines Schülers (13 Jahre) im Rahmen eines Löschbegehrens nach der DSGVO nicht gelöscht werden dürfen.
Dem Beschluss liegt ein Fall zugrunde, bei dem ein Schüler ein Berliner Gymnasiums im Schuljahr 2017/2018 wegen eines Gewaltvorfalls verlassen musste. Auch an seiner neuen Schule kam es zu Gewaltvorfällen. Alle Ereignisse sind in seiner Schülerakte dokumentiert worden. Nun strebt der Schüler an, an eine Privatschule zu wechseln.
Seine Eltern und er sind der Ansicht, dass die Angaben in der Schülerakte die Aufnahme auf einer Privatschule gefährden können. Im Wege des vorläufigen Rechtschutzes begehrten die Eltern und der Schüler deshalb die Entfernung bestimmter Einträge aus der Akte, da sie fehlerhaft und diskriminierend seien. Das Löschbegehren in Art. 17 DSGVO schreibt vor, dass der Verantwortliche einer Datenverarbeitung personenbezogene Daten, die unrechtmäßig verarbeitet werden oder für die Zweckerfüllung nicht mehr notwendig sind, löschen muss.
Nach dem Berliner Schulgesetz dürfen Schulen die personenbezogenen Daten der Eltern und der Schüler verarbeiten, soweit dies zur Erfüllung ihrer schulbezogenen Aufgaben dient. Das Gericht begründet die Datenverarbeitung damit, dass es Aufgabe der Schule ist bei der Auswahl der pädagogischen Maßnahme auch das vorherige Verhalten des Schülers zu berücksichtigen. Danach bewertet das Gericht die Weitergabe der vollständigen Schülerakte an die Privatschule als zulässig.
Das VG Berlin betont darüber hinaus, dass eine Schülerakte dazu
dient, die Persönlichkeitsentwicklung und das Verhalten des Schülers über seine
Schullaufbahn hinweg sowie die Zusammenarbeit mit den Erziehungsberechtigten
über einen längeren Zeitraum nachvollziehbar zu machen und schließt aus der Berliner
Schuldatenverordnung, dass dieser Zweck nach einem Schulwechsel gerade nicht
wegfällt.
Aus den oben genannten Gründen hat das VG Berlin den Antrag der Eltern und des Schülers zurückgewiesen.
Das Bundesamt für Sicherheit in der Informationstechnik (im Folgenden: BSI) hat einen neuen Anforderungskatalog hinsichtlich Sicherheitskriterien für Smartphones veröffentlicht. Dadurch soll die Datensicherheit der Nutzer in der digitalen Welt verbessert werden.
Der BSI-Präsident Arne Schönbohm erklärte in der Pressemitteilung: „Smartphones haben sich in den letzten Jahren zur Schaltzentrale entwickelt, über die wir immer mehr Alltagsvorgänge steuern und abwickeln. Hersteller und OEM sind daher aufgerufen, die Geräte so sicher wie möglich zu machen, und zwar von Anfang an und über eine gewisse Nutzungsdauer hinweg. Unser Anforderungskatalog ist ein Wegweiser zu mehr Security-by-Design und Security-by-Default.”
Der Sicherheitskatalog richtet sich an die Hersteller, Mobilfunkanbieter und Erstausrüster von Smartphones. Dort werden Kriterien beschrieben um Mobilfunkgeräte über spezielle Hardware-Eigenschaften zu schützen und die Software im Auslieferungs-Zustand bereits zu stärken.
Zusätzlich werden Voraussetzungen an die einheitliche Bereitstellung
von Updates während der Gerätelaufzeit aufgestellt.
Der Katalog kann kostenlos auf der Seite des BSI heruntergeladen werden.
5. März 2020
Google verlegt die Verantwortlichkeit für ihre britischen Nutzerdaten von Irland in die USA. Damit unterstellt Google die Daten der Zuständigkeit der US-Regulierungsbehörden.
Dieser Wechsel könnte Auswirkungen auf den Umfang des rechtlichen Schutzes der britischen Nutzerdaten von Google haben. Denn im Gegensatz zu Irland, unterliegen die USA nicht den strengen Anforderungen der DSGVO.
Die Verlegung der Verantwortlichkeit erfolgt aufgrund des Ausstiegs Großbritanniens aus der Europäischen Union und den damit geschaffenen Unsicherheiten über die Zukunft der Datenschutzbestimmungen des Landes.
Am 24. Januar 2020 hat die EU das Austrittsabkommen mit Großbritannien unterzeichnet. Das Austrittsabkommen beinhaltet eine Übergangsfrist bis zum 31.12.2020. Während dieser Übergangsfrist wird Großbritannien weiterhin wie ein EU-Mitgliedsstaat behandelt. Die DSGVO findet dementsprechend weiter Anwendung.
Was nach der Übergangszeit wird, bleibt abzuwarten. Falls kein weiteres internationales Abkommen geschlossen wird, würde Großbritannien spätestens dann zu einem Drittland im Sinne der DSGVO werden. Möglich wäre aber auch der Erlass eines Angemessenheitsbeschlusses gem. Art. 45 DSGVO durch die EU-Kommission.
Das Datenschutzrecht in Großbritannien wird durch das Datenschutzgesetz von 2018 (Data Protection Act) geregelt, dass die Umsetzung der DSGVO im Vereinigten Königreich darstellt.
Darüber hinaus plant die britische Regierung, laut britischer Datenschutzbehörde, mit dem Ende der Übergangsfrist, die DSGVO als „UK DSGVO“ in das britische Recht zu übernehmen.
Google selbst teilte mit, dass sich die Datenschutzstandards für britische Nutzer mit der Verlegung der Verantwortlichkeit nicht ändern sollen.
