Corona / Covid-19 und Datenschutz

Aktuell dominiert Corona und Covid-19 die öffentliche Berichterstattung. Wir hoffen, dass Sie und Ihre Verwandten und Freunde gesund sind.

Neben der Tatsache, dass natürlich der Datenschutz auch weiterhin zu beachten ist, kommen auch spezifische Fragen hinzu. Hierzu haben wir nachfolgend ein paar Themen in Form von FAQ (Frequently Asked Questions) zusammengestellt, welche wir regelmäßig aktualisieren. Falls Sie weitere Fragen haben oder detaillierte Informationen benötigen, kommen Sie bitte auf uns zu. Wir sind weiterhin auch während der Pandemie für Sie da!

Vorab ein paar Tipps für diese Zeit:

Wenn Sie unsicher sind, welche Daten Sie erheben und weitergeben dürfen: Wir sind weiterhin für Sie da. Sprechen Sie mit Ihrem Ansprechpartner bei der UIMC und/oder Ihrem Datenschutzbeauftragten. Wenn Sie keine Kontaktdaten vorliegen haben, kontaktieren Sie uns mittels Kontaktformular.
Wenn Sie nachvollziehbarerweise Ihre Mitarbeiter in Home-Office arbeiten lassen, beachten Sie dennoch den Datenschutz und die Informationssicherheit, um Ihr Unternehmen nicht solchen Risiken auszusetzen (Näheres in den FAQ).
Informieren Sie Ihre Mitarbeiter kontinuierlich und umfassend. Aber achten Sie hierbei auch auf die Persönlichkeitsrechte der ggf. infizierten Kollegen (Näheres in den FAQ).
Nutzen Sie die Zeit, wenn die Arbeitsbelastung der Mitarbeiter geringer ist, um wichtige Schulungen vorzuziehen. Im Home Office können die Kollegen einfach unsere E-Learning-Plattform nutzen. Damit sind die gesetzlich wichtigen Schulungen erledigt, wenn nach der Krise das "Geschäft wieder anzieht".
Wir werden Sie über unseren Info-Brief "UIMCommunication" regelmäßig informieren. Falls Sie ihn noch nicht abonniert haben, können Sie das gerne noch nachholen.
Und vor allem: Bleiben Sie gesund!

News

[alle News]
[2021] 3G am Arbeitsplatz
[2021] Datenschutz, Corona und Nachverfolgbarkeit im Sport
[2021] Verarbeitung von Impfdaten nicht ohne weiteres möglich
[2021] Corona forciert Digitalisierungsschub: Dabei Informationssicherheit berücksichtigen
[2020] Homeoffice bietet Datendieben neue Angriffsmöglichkeiten
[2020] Datenschutz der Mitarbeiter gilt auch in Coronazeiten
[2020] Corona-App: Was darf der Arbeitgeber von seinen Mitarbeitern verlangen?
[2020] Home-Office, Soft-Token, erkrankte Mitarbeiter, Arbeitsbelastung
[2020] Wärmebildkameras: Spannungsfeld Datenschutz vs. Gesundheitsschutz beachten
[2020] Was muss ein Unternehmen bei privaten Mitarbeiter-Kontaktdaten beachten?
[2020] Videobewerbungsgespräch: Was gilt es datenschutzrechtlich zu beachten?

FAQ / Häufig gestellte Fragen:

Es sollen aktuell auch Mitarbeiter im Home Office arbeiten, die es vorab nicht getan haben. Ist dies datenschutzrechtlich zulässig?

Neben der Betrachtung von arbeitsrechtlichen Aspekten sind vorab datenschutzrechtliche Vorgaben zu beachten. So sollten ergänzende organisatorische Absprachen zwischen Mitarbeitern und Vorgesetzten sowie dem Arbeitgeber getroffen werden. Insbesondere sollten Verfügbarkeitszeiten festgelegt werden. Aber auch Sicherheitsfragestellungen sind zu definieren. Neben einer grundsätzlichen Sensibilisierung im Hinblick auf Informationssicherheit und Datenschutz sollten zusätzlich Maßnahmen ergriffen und Vorgaben gemacht werden:

a) Es sollten ausschließlich firmeneigene und keine privaten Geräte (Laptops, Smartphones etc.) genutzt werden. Ausnahmen sind nur dann möglich, wenn die tatsächliche Datenverarbeitung trotz privatem Endgerät auf den Firmen-Servern stattfindet (beispielsweise mittels Terminalsession).

b) Alle Unterlagen und sonstige Datenträger mit vertraulichen Daten sind bei Nichtgebrauch und außerhalb der Arbeitszeiten in geeigneten (abschließbaren) Schränken aufzubewahren.

c) Nicht mehr benötigte Unterlagen sind zu vernichten (sofern im Home-Office keine sichere Vernichtung mittels Shredder möglich ist, sollten die Unterlagen sicher verwahrt und am Firmensitz vernichtet werden).

d) Sofern das heimische WLAN-Netzwerk genutzt werden soll, so sind auch hier Vorgaben zur sicheren Konfiguration zu machen.

e) Es ist klarzustellen, dass auch Familienangehörige als Firmenfremde gelten und als Unbefugte weder Laptop nutzen noch Unterlagen und Daten einsehen dürfen.

Nutzen Sie hierzu die Muster-Richtlinie in unserem Online-Formular-Center (www.Online-Formular-Center.eu).

Auch sind Mitarbeiter im Hinblick auf die Sicherheitsanforderungen wie Passwortgebrauch, Verhinderung der Einsicht von Unterlagen und Monitoren sowie der Vertraulichkeit des gesprochenen Worts bei Telefonaten noch einmal zu sensibilisieren. Da E-Learning unabhängig von Ort und Zeit gut funktioniert, eignet sich diese Methode aktuell besonders gut. Nutzen Sie hierzu unsere E-Learning-Plattform eCollege: www.uimcollege.de.

Weitere Details können Sie gerne mit uns absprechen (Ansprechpartner bei der UIMC und/oder Datenschutzbeauftragter; falls die Kontaktdaten fehlen, kontaktieren Sie uns mittels Kontaktformular).

Zur besseren internen und externen Kommunikation wollen wir ein Videokonferenzsystem nutzen. Worauf sollten wir hier achten?

In der Regel werden solche Lösungen durch einen Dienstleister angeboten (ob mit oder ohne Installation einer Software), so dass es sich um eine Auftragsverarbeitung handelt. Somit ist eine sorgfältige Auswahl und ein Vertrag zur Auftragsverarbeitung abzuschließen. Hierzu sollten Sie die Regeln des Datenschutzhandbuchs beachten und den Muster-Vertrag in unserem Online-Formular-Center (www.Online-Formular-Center.eu) nutzen.

Des Weiteren sind auch die technischen Schutzmaßnahmen zu beachten. Unter anderem gilt es folgende Aspekte bei der Auswahl des Systems zu beachten (ausführliche Informationen zu den Anforderungen an neue Systeme finden Sie ebenfalls im Online-Formular-Center): Verschlüsselung, Löschfristen/-möglichkeiten (auch von Protokollen, Chats etc.), Rechtekonzept etc. Auch sollten Schulungen bzw. Einweisung der Mitarbeiter in das System nicht vernachlässig werden, so dass nicht durch unbedarfte Handlungen beispielsweise im Rahmen des Desktop-Sharings mehr preisgegeben wird, als gewünscht (z. B. „aufpoppende“ Maileingangsfenster).

Sofern der Dienstleister außerhalb der EU sitzen (viele Dienstleister haben Ihren Sitz in den USA) müssen Sie ferner darauf achten, ob der Dienstleister sich dem Privacy Shield unterworfen hat (siehe https://www.privacyshield.gov/list; externer Link). Alternativ sind die EU-Standardvertragsklauseln abzuschließen.

Darüber hinaus müssen Sie die Informationspflichten beachten und den Betroffenen gemäß Artikel 13 und ggf. 14 DSGVO über die Datenverarbeitung informieren. Auch hierzu finden Sie ein Muster im Online-Formular-Center.

Ein Mitarbeiter hat sich mit Covid-19 infiziert. Darf ich hierüber die Kollegen informieren?

Wenn es Mitarbeiter gibt, die sich mit Corona bzw. Covid-19 infiziert haben, so dürfen die Mitarbeiternamen in aller Regel nicht genannt werden. Vielmehr ist der Belegschaft – sofern erforderlich – nur mitzuteilen, dass es einen Verdachtsfall gibt und ggf. durch Behörden eine häusliche Quarantäne angeordnet wurde. Sofern trotzdem eine Bekanntgabe/Veröffentlichung stattfindet, liegt hierbei in der Regel aufgrund der unzulässig veröffentlichten Gesundheitsdaten eine Datenpanne nach Artikel 33 DSGVO vor, die meldepflichtig ist.

Etwas anderes gilt nur dann, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist oder der betroffene Mitarbeiter die Erlaubnis erteilt hat. Ausnahmen sollten Sie unbedingt mit Ihrem Ansprechpartner bei der UIMC und/oder Ihrem Datenschutzbeauftragten besprechen. Wenn Sie keine Kontaktdaten haben, kontaktieren Sie uns mittels Kontaktformular.

Aktuell kommen viele Mitarbeiter aus dem Urlaub? Darf ich fragen, ob sie in einem Risikogebiet waren?

Der Arbeitgeber hat ein Fragerecht, ob der betroffene Mitarbeiter aus einem Risikogebiet gemäß Robert-Koch-Institut kommt (beispielsweise nach Urlaubsrückkehr), so dass dies datenschutzrechtlich unproblematisch ist. Mehr Fragerechte hat der Arbeitgeber in diesem Zusammenhang aber nicht.

[Update 22.05.2020] Wir wollen an unseren Standorten im Eingangsbereich der Gebäude Wärmebildkameras einsetzen, um Corona-Infizierte zu identifizieren. Ist dies zulässig?

Bei der Verarbeitung der „Körpertemperatur“ handelt es sich um ein Gesundheitsdatum nach Art. 9 Abs. 1 DSGVO. Die Verarbeitung von Gesundheitsdaten ist untersagt, es sei denn, es liegen die in Art. 9 Abs. 2 DSGVO beschriebenen Ausnahmen vor. Ein Vorliegen einer der darin genannten Ausnahmen sehen wir grundsätzlich als nicht gegeben. Ebenso sehen wir auch zur Zweckerreichung (hier: Erkennung einer Covid-19-Erkrankung) die Verwendung einer Wärmebildkamera zur Verarbeitung der Körpertemperatur als personenbezogenem Datum nicht als das mildeste Mittel zur Zweckerreichung an. Daher sollten keine Wärmebildkameras für den genannten Zweck verwendet werden.

[Update 29.05.2020] Wir wollen am Eingang die Körpertemperatur der Mitarbeiter messen, um Corona-Verdachtsfälle zum Arzt oder ins Home Office zu schicken. Ist dies zulässig?

Bei der Verarbeitung der „Körpertemperatur“ handelt es sich um ein Gesundheitsdatum im Sinne der besonderen Kategorie personenbezogener Daten. Nach aktuellen Ausführungen der Aufsichtsbehörden bestehen gelindere Mittel zur Erreichung des Ziels, eine Ausbreitung des Virus zu verhindern. Eine geeignete Rechtsgrundlage kann folglich nur in einer Einwilligung bestehen, an deren Freiwilligkeit gerade im Beschäftigtenverhältnis erhebliche Zweifel bestehen. In Betracht zu ziehen sind deshalb weniger eingriffsintensive Mittel, aus denen Verdachtsfälle abgeleitet werden können, jedoch nicht per se Gesundheitsdaten betreffen (z. B. Befragungen über den Gesundheitszustand).

Bei der Temperaturmessung hat sich herausgestellt, dass es ein unzureichendes Mittel ist, potentielle Infektionen tatsächlich zu erkennen, weil dies nur bei direkt auftretenden Symptomen überhaupt ein Erfolg erzielen kann. Es wurde teilweise sogar das Gegenteil behauptet nämlich, dass das Risiko steigen könnte, weil infizierten Personen Zugang gewährt werden würde und eine nur vermeintliche Sicherheit zur Nachlässigkeit in anderen Bereichen führen könnte (z. B. weniger Abstand, Handeschütteln, etc.), weil man sich eben in Sicherheit wiegt.

[Update 27.03.2020] Dürfen wir Besucher oder Liefereranten befragen, ob sie aus einem Risikogebiet kommen oder Corona-Symtome haben?

Es kann als Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie als datenschutzrechtlich legitimiert betrachtet werden, wenn personenbezogene Daten (inkl. Gesundheitsdaten) von Besuchern, Gästen oder anderen Lieferanten erhoben oder verarbeitet werden. Hierbei sollte sich aber auf folgende Informationen beschränkt werden: Frage nach Infektion oder Kontakt mit einer nachweislich infizierten Person oder nach Aufenthalt in einem vom RKI (Link siehe rechts) als Risikogebiet eingestuften Gebiet. Weitere Fragen nach Gesundheitsdaten sind nicht zulässig. Vergessen Sie hierbei die Informationspflichten nach Artikel 13 DSGVO nicht.

Da bei uns fast alle Mitarbeiter im Home-Office arbeiten, wollen wir die Durchwahlen direkt auf das Handy umleiten. Ist dies zulässig?

Sofern alle Mitarbeiter von zu Hause aus arbeiten und dennoch erreichbar sein sollen, so kann die Telefonanlage oftmals so programmiert werden, dass die eingehenden Telefonate direkt auf das Diensthandy des Mitarbeiters weitergeleitet werden. Dies ist datenschutzrechtlich unproblematisch. Arbeits- und mitbestimmungspflichtige Aspekte sind hierbei nicht berücksichtigt.

Viele Mitarbeiter arbeiten im Home Office, haben aber kein Diensthandy. Darf ich deren privaten Telefonnummern einfordern?

Aktuell sollen auch einige Mitarbeiter im Home-Office arbeiten, die normalerweise nicht für einen solchen Arbeitsplatz vorgesehen sind und kein Diensthandy haben. Das Hinterlegen einer privaten Telefonnummer (egal ob Mobil- oder Festnetz) ist mangels anderer Rechtsgrundlage in aller Regel einwilligungspflichtig. Sofern die Notwendigkeit einer schnellen Erreichbarkeit besteht, kann ggfs. die Angabe der Festnetznummer erforderlich sein, eine Mobilnummer muss hingegen niemals offenbart werden.

Bitte beachten Sie die grundsätzliche Problematik, dass bei Einwilligungen im Arbeitsverhältnis oftmals die Freiwilligkeit in Abrede gestellt wird. Aktuell ist ein solches Vorgehen aber u. E. durchaus akzeptabel (siehe unten; sollte nach Ende der Corona-Krise aber neu bewertet werden).

Muster-Einwilligungen finden Sie in unserem Online-Formular-Center (www.Online-Formular-Center.eu). Arbeits- und mitbestimmungspflichtige Aspekte sind hierbei nicht berücksichtigt.

Wir wollen unsere Mitarbeiter unabhängig vom dienstlichen E-Mail-Account schnell und laufend informieren. Dürfen wir hierzu die privaten Telefonnummern oder E-Mail-Adressen nutzen?

Wenn die private Telefonnummer oder E-Mail-Adresse für laufende Informationen des Arbeitgebers (z. B. Start von Kurzarbeit oder Quarantäne-Maßnahmen) an die Mitarbeiter im Rahmen der Corona-Maßnahmen genutzt werden sollen, müssen Sie die Mitarbeiter im Sinne einer (freiwilligen) Einwilligung fragen, ob sie dies wünschen.

Ändert sich diese Bewertung, ob ich private Telefonnummern nutzen kann, wenn mir diese in der Personalakte schon vorliegen?

Hierbei ist zu prüfen, wofür die privaten Rufnummern erhoben wurden. Wenn bei der Erhebung der gewünschte Zweck bereits angegeben wurde (Nutzung für den Versand von Firmen-Informationen, zur dienstlichen Kommunikation o. ä.), so ist dies zulässig. Andernfalls, was sicher der Regelfall, liegt eine Zweckänderung vor. In diesem Fall bedarf es einer Einwilligung. Muster-Einwilligungen finden Sie in unserem Online-Formular-Center (www.Online-Formular-Center.eu).

Einige Mitarbeiter sollen neuerdings im Home Office arbeiten. Leider haben wir nicht genügend Token, um das VPN im Rahmen einer 2-Faktor-Authentifizierung zu schützen, und wollen nun einen sog. Soft Token auf dem privaten Handy nutzen.

Ein solches Vorgehen kann grundsätzlich datenschutzrechtlich konform ausgestaltet werden, dies ist jedoch mit Schwierigkeiten im Bereich der Rechtsgrundlagen behaftet ist. Hierbei ist u. E. nur der Weg über eine Einwilligung möglich. Andere Rechtsgrundlagen scheitern an ihrem Anwendungsbereich (§ 26 BDSG: fehlende Erforderlichkeit) oder an der negativ ausgehenden Bewertung der Interessenlage, dessen positiver Ausgang zur Anwendung von Art. 6 Abs. 1 lit. f) DSGVO zwingende Voraussetzung ist.

Die Maßnahme steht und fällt letztlich mit den Einwilligungen der betroffenen Mitarbeiter. Die Einwilligung muss die gesetzlich vorgegebenen Erfordernisse erfüllen, um rechtswirksam zu sein (freiwillig, informiert und nachweisbar). Hinzu kommt die Problematik, dass eine Einwilligung nicht erteilt werden muss oder später widerrufen werden kann. Muster-Einwilligungen finden Sie in unserem Online-Formular-Center (www.Online-Formular-Center.eu).

[Update 01.04.2020] Wir hatten eine Datenpannen, können aber in der aktuellen Krise die 72-Stunden-Frist für die Meldung nicht einhalten. Gilt diese Frist auch aktuell?

Die DSGVO ist hier eindeutig, indem sie fordert, dass die Meldung nach Art. 33 Abs. 1 DSGVO „unverzüglich und möglichst binnen 72 Stunden“ zu erfolgen hat. Die gesetzliche Formulierung ist hier weiter als bei Art. 12 Abs. 3 DSGVO, sodass pandemiebedingte Einschränkungen der Arbeitsfähigkeit hier gegebenenfalls Berücksichtigung finden können. Wichtig ist jedoch, dass Sicherheitslücken sofort geschlossen werden, damit z.B. Kriminelle die aktuelle Ausnahmesituation nicht für ihre Zwecke missbrauchen können, und dass die Meldung an die Aufsichtsbehörde nicht unnötig verzögert wird. Diese Aussage gilt natürlich nicht automatisch für alle Aufsichtsbehörden in Deutschland oder Österreich. Stimmen Sie sich hier mit Ihrem Datenschutzbeauftragten ab.

Auch in den aktuellen Zeiten erreichen uns Auskunftsersuchen. In der aktuellen Situation bekommen wir aber große Probleme, dem Ersuchen fristgerecht nachzukommen. Ist dies ein Problem?

Die DSGVO sieht (auch in Zeiten von Corona) eine entsprechende Möglichkeit nicht vor; jedoch lässt sich die aktuelle Pandemie ggf. im Rahmen der Bußgeldbemessung anbringen. Sprechen Sie hierbei gerne mit Ihrem Ansprechpartner bei der UIMC und/oder Ihrem Datenschutzbeauftragten. Wenn Sie keine Kontaktdaten haben, kontaktieren Sie uns mittels Kontaktformular.

Hierzu unsere Bewertung:

Grundsätzlich muss die Auskunft innerhalb eines Monats erteilt werden. Eine Verlängerung um zwei weitere Monate ist zulässig, wenn „dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.“ Umstritten ist, ob es sich bei der Aufzählung um kumulative oder alternative Anforderungen handelt. Naheliegend ist hierbei, dass das Wort „und“ als alternative Aufzählung zu verstehen ist. Ansonsten wäre die Verlängerungsmöglichkeit eigentlich nie möglich, was nicht die Intention des Gesetzgebers sein dürfte.

Hiernach genügt somit entweder die Komplexität oder die Anzahl der Anträge zur Verlängerung der Monatsfrist. Im Rahmen der Komplexität, die sicherlich auf die inhaltlichen Aspekte der Auskunft gerichtet ist, könnten ggf. Aspekte verzögerter Rückmeldungen aus den Fachabteilungen hinsichtlich vorhandener Daten berücksichtigt werden.

Zudem lassen die Aufsichtsbehörden generell eine zweistufige Vorgehensweise zu, nach der bei großen Datenmengen zunächst die „Kerndaten“ zur Verfügung gestellt werden mit dem Hinweis, die restlichen Angaben nachzureichen, sofern der Betroffene diese auch wünscht. Vor dem Hintergrund der Corona-Pandemie könnte insofern zunächst auch der Kern der Auskunft erteilt werden, um sodann die übrigen Daten möglichst zeitnah nachzureichen.

Hinzu kommen ggf. folgende Möglichkeiten: So besteht beispielsweise im Verwaltungs- und Gerichtsverfahren die Möglichkeit einer sog. Wiedereinsetzung in den vorigen Stand. Die Wiedereinsetzung führt nicht dazu, dass sich eine (gesetzliche) Frist verlängert. Sie bewirkt vielmehr, dass eine versäumte und verspätet nachgeholte Prozesshandlung als rechtzeitig bewirkt gilt. Sie wird nur gewährt, wenn die Fristversäumnis unverschuldet erfolgte, sie also trotz Beachtung der erforderlichen Sorgfalt nicht verhindert werden konnte.

Die Rechtsprechung hat Wiedereinsetzung z. B. bei Fristversäumnis wegen längeren Urlaubs (wenn jedoch bereits eine rechtliche Auseinandersetzung geführt wird oder zu befürchten ist, muss der Urlaubnehmer Vorsorge treffen, dass er von wichtigen Zustellungen erfährt und das Erforderliche veranlassen kann), schwerer Krankheit, die auch die Einholung von Rechtsrat und Beauftragung eines Bevollmächtigten unmöglich macht, bzw. wegen von außen kommenden Ereignissen, die unter den gegebenen Umständen auch durch äußerste Sorgfalt nicht abgewendet werden können (z.B. Naturkatastrophen), als zulässig angesehen..

Die DSGVO sieht eine entsprechende Möglichkeit zur Wiedereinsetzung nicht vor; jedoch lässt sich der dahinter stehende Rechtsgedanke der Wiedereinsetzung ggf. im Rahmen der Bußgeldbemessung anbringen.

[Update 31.03.2020] Die Datenschutz-Behörde Hamburg äußerte sich hierzu wie folgt (Diese Aussage gilt natürlich nicht automatisch für alle Aufsichtsbehörden in Deutschland oder Österreich):

„Gesetzliche Fristen der DSGVO gelten unverändert weiter. So haben Betroffene zum Beispiel auch in Krisenzeiten das Recht, von jedem Verantwortlichen binnen eines Monats Auskunft über die zu ihrer Person gespeicherten Daten zu erhalten. Eine Verlängerung nach Art. 12 Abs. 3 S. 2 DSGVO ist weiterhin nur ausnahmsweise möglich, wenn dies aufgrund der Komplexität und der Anzahl von Anträgen erforderlich ist.

Im Zuge des Einschreitensermessens kann es im Einzelfall jedoch geboten sein, dass der HmbBfDI Verstöße nicht verfolgt, in denen die gesetzliche Frist überschritten wird, weil die Arbeitsfähigkeit des Verantwortlichen pandemiebedingt stark eingeschränkt ist. Bei der Beurteilung wird es entscheidend auf die Länge der Überschreitung sowie die Unternehmensgröße und die damit verbundene berechtigte Erwartung an die Professionalität des Verantwortlichen ankommen.“

Sprechen Sie hierbei gerne mit Ihrem Ansprechpartner bei der UIMC und/oder Ihrem Datenschutzbeauftragten. Wenn Sie keine Kontaktdaten haben, kontaktieren Sie uns mittels Kontaktformular.

[Update 31.03.2020] Wir haben ein Schreiben mit Antwortfrist von der Datenschutz-Aufsichtsbehörde erhalten. Müssen wir auch in Corona-Zeiten die Frist einhalten?

Die Datenschutz-Behörde Hamburg äußerte sich hierzu wie folgt: „[…] Von uns gesetzte Fristen für Antworten an uns werden während der Zeit der Pandemie großzügiger bemessen. Darüber hinaus geht der HmbBfDI derzeit mit begründeten Anträgen auf Fristverlängerung wohlwollend um.“ Diese Aussage gilt natürlich nicht automatisch für alle Aufsichtsbehörden in Deutschland oder Österreich. Demnach muss eine Fristverlängerung beantragt werden. Stimmen Sie sich hier mit Ihrem Datenschutzbeauftragten ab.

Gerade wir im Gesundheitswesen arbeiten in Zeiten von Corona am Limit. Nichtsdestotrotz wollen wir natürlich die Datenschutz-Vorgaben einhalten, benötigen aber einen pragmatischeren Ansatz in der Umsetzung. Gibt es hierzu rechtliche Möglichkeiten?

Grundsätzlich kann eine Datenverarbeitung in der aktuellen Pandemie-Zeit weiter gefasst werden, wenn dies aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist. Hierbei müssen aber die Grundanforderungen bei der Datenverarbeitung weiterhin angewandt werden und die Mitarbeiter bezüglich der Ausnahmesituation und der weiterhin erforderlichen Maßnahmen sensibilisiert werden.

Sprechen Sie hierbei aber unbedingt mit Ihrem Ansprechpartner bei der UIMC und/oder Ihrem Datenschutzbeauftragten. Wenn Sie keine Kontaktdaten haben, kontaktieren Sie uns mittels Kontaktformular.

Hierzu unsere Bewertung:

Nach Art. 9 Absatz 1 DSGVO sind sehr enge Vorgaben an die Verarbeitung besonderer Kategorien personenbezogener Daten gesetzt. Gemäß Absatz 2 lit. i gilt dies aber dann nicht, wenn

„die Verarbeitung […] aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich ist.“

Diese Vorschrift ist streng genommen nur eine Öffnungsklausel, weil sie das Unionsrecht oder das Recht eines Mitgliedstaates bzw. staatliches Recht als Grundlage erfordert. Das Infektionsschutzgesetz bietet jedoch keine entsprechende Rechtsgrundlage zur Erhebung/Verarbeitung personenbezogener Daten von nicht-öffentlichen Stellen im Rahmen der Bekämpfung von Infektionskrankheiten.

§ 22 BDSG greift aber den Rahmen des Art. 9 DSGVO auf und setzt die Vorschrift nahezu inhaltsgleich in nationales Recht um. Der Begriff der öffentlichen Gesundheit umfasst dabei:

„alle Elemente im Zusammenhang mit der Gesundheit, wie den Gesundheitszustand einschließlich Morbidität und Behinderung, die sich auf diesen Gesundheitszustand auswirkenden Determinanten, den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel, die Bereitstellung von Gesundheitsversorgungsleistungen und den allgemeinen Zugang zu diesen Leistungen sowie die entsprechenden Ausgaben und die Finanzierung und schließlich die Ursachen der Mortalität“ (EG 54 DSGVO).

So kann insbesondere der Schutz vor Pandemien von der öffentlichen Sicherheit und Gesundheit umfasst sein. Die schnelle Verbreitung des Coronavirus und die lange Inkubationszeit fordern Maßnahmen, die den Bereich der öffentlichen Gesundheit tangieren. Der Verarbeitungsvorgang der Maßnahme muss erforderlich sein. Sofern die Datenverarbeitung auf eine Rechtsgrundlage aus Art. 9 Abs. 2 DSGVO in Verbindung mit § 22 Abs. 1 BDSG gestützt wird, ist für die Sicherheit der Datenverarbeitung § 22 Abs. 2 BDSG zu berücksichtigen. Hiernach sind technisch organisatorische Maßnahmen zur Wahrung der Interessen der betroffenen Personen vorzusehen. Ohne Anspruch auf Vollständigkeit wird an dieser Stelle auf folgende Maßnahmen, unter Nennung von Beispielen, eingegangen:
»   Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
»   Hinweis auf die Einhaltung datenschutzrechtlicher Standards, auch in Zeiten der Corona-Krise,
»   Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern auf ein erforderliches Maß.