Newsletter Corona/​COVID‑19

Datenschutz – Was ist zu beachten?

Die politische und gesellschaftliche Reaktion auf das Corona‑​Virus führt auf verschiedenen Ebenen zu einer besonderen Verarbeitung personenbezogener Daten. In welchen Bereichen des öffentlichen Lebens dürfen nun zusätzliche Gesundheitsdaten (ggf. zu Überwachungszecken) verarbeitet werden? Welche Datenverarbeitung durch Arbeitgeber ist zulässig? Gelten Ausnahmen für die strikten datenschutzrechtlichen Fristen, wenn Unternehmen derzeit eher andere Prioritäten setzen? Direkt vorab: Auch in einer (politischen) Ausnahmesituation bleibt es bei den Grundsätzen des Datenschutzrechts, die insbesondere bei sensiblen Gesundheitsdaten gelten.

Homeoffice – Eine persönliche, technische und datenschutzrechtliche Herausforderung

Arbeiten im Homeoffice stellt viele Beschäftigte vor technische und persönliche Herausforderungen. Auch datenschutzrechtlich sind einige Grundregeln zu beachten, die Arbeitgeber bestenfalls in einer eigenen Vereinbarung mit Beschäftigen festhalten.

Mitarbeiter*innen sollten darauf hingewiesen werden,

  • die IT‑​Ausstattung des Unternehmens nicht privat zu nutzen,
  • berufliche Mails nicht an die private E‑​Mail‑​Adresse weiterzuleiten,
  • personenbezogene Daten vor der Einsicht durch Dritte zu schützen (Verwahrung in abschließbaren Schränken, keine Papiere auf dem Küchentisch, keine vertraulichen Gespräche in Anwesenheit Dritter),

‑ sensible Daten datenschutzgerecht zu vernichten,

‑ den Arbeitgeber wegen der strikten Meldepflichten unverzüglich zu informieren, sollten Daten verloren gehen oder sonstige Verletzungen des Schutzes personenbezogener Daten relevant sein.

Im Regelfall sollten Telefonkonferenzen eingerichtet werden; Videokonferenzen dürften mit Blick auf das Interesse einzelner Arbeitnehmer*innen, ihr privates Umfeld nicht im beruflichen Kontext zu teilen, nur im Ausnahmefall erforderlich sein.

Sonstiger Beschäftigtendatenschutz

Auch über die Regelungen des Homeoffice hinaus ist die Frage der Reichweite und Erforderlichkeit der Verarbeitung von Beschäftigtendaten derzeit besonders relevant. Die Arbeitgeber sind auf Gesundheitsdaten ihrer Mitarbeiterinnen und Mitarbeiter angewiesen: So ist es datenschutzrechtlich im Beschäftigungsverhältnis zulässig, eine mögliche Infizierung mit dem Virus sowie den Kontakt zu infizierten Personen abzufragen. Gleiches gilt für Fragen nach dem Aufenthalt in einem Risikogebiet im relevanten Zeitraum.

Die Verarbeitung dieser Informationen sollte zunächst rein intern erfolgen. Eine Offenlegung sensibler Daten gegenüber Dritten ist nur in engen Ausnahmen zulässig. So mag eine Weitergabe an Behörden auf deren Anfrage hin wegen gesetzlicher Verpflichtungen oder behördlicher Verfügungen zulässig sein. Auf die gleichwohl bestehenden transparenten Informationspflichten gegenüber den Betroffenen ist zu achten.

Unzulässig wird die derzeit diskutierte Möglichkeit sein, vor Betreten des Betriebsgeländes medizinische Untersuchungen – wie etwa Fiebermessen oder eine Verwendung von (Infrarot‑)Wärmebildkameras – vorzunehmen; ein solcher Grundrechtseingriff dürfte eher unverhältnismäßig sein, freilich in Abhängigkeit des Inhalts und der Gefahrgeneigtheit der eigentlichen Beschäftigung. Personalfragebögen an alle Beschäftigten und das Sammeln privater Kontaktdaten (z. B. Handynummern der Beschäftigten) zur besseren Erreichbarkeit bei einem Verdachtsfall sind im Rahmen freiwilliger Kooperation mit den Beschäftigten zulässig. Auch hier muss darauf geachtet werden, Daten nur für einen gewissen Zeitraum zu verarbeiten und nach Ende der derzeitigen Situation zu löschen.

Dispens für die strikten datenschutzrechtlichen Fristen?

Wenn in Unternehmen plötzlich die Mehrheit der Beschäftigten im Homeoffice tätig ist, können sich interne Prozesse verlangsamen. Gesetzlich sind Unternehmen nach Art. 12 Abs. 3 DS‑​GVO dennoch verpflichtet, auf Betroffenenrechte spätestens nach drei Monaten zu reagieren. Auch für die Meldepflicht bei Datenschutzverstößen (Art. 33 DS‑​GVO) gilt eine strikte Frist von 72 Stunden nach Kenntnisnahme des Ereignisses. Begründbar dürfte es im Einzelfall durchaus sein, die DS‑​GVO unionsrechtskonform vor dem Hintergrund der Rechtsprechung des EuGH zum Begriff der höheren Gewalt auszulegen und so eine Verlängerung von Fristen zu begründen.

Listen infizierter Personen?

Personenbezogene Daten infizierter und unter Infektionsverdacht stehender Personen dürfen zum Schutz und zur Information möglicher Kontaktpersonen nur offengelegt werden, wenn die Kenntnis der Identität erforderlich ist. Diese Beurteilung unterliegt jedoch einem Wandel. Angesichts der Vielzahl infizierter Personen allein in Deutschland kann die an mancher Stelle erwähnte stigmatisierende Wirkung, die die Offenlegung der Erkrankung bedeuten kann, nicht mehr ohne weiteres angenommen werden.

Die Berechtigung zur Verarbeitung von Gesundheitsdaten kann sich auf die Fürsorgepflicht im Sinne der Gesundheitsvorsorge und der Arbeitssicherheit (konkret: Schutz vor Infektionen) stützen. Zu unterscheiden bleibt dabei der Anlass, ob nämlich eine öffentliche Stelle – also Behörde – oder eine nicht‑öffentliche Stelle – also Unternehmen und Arbeitgeber – entsprechende Listen führt. Eine Zusammenstellung von Daten infizierter Personen in pauschaler Form wird datenschutzrechtlich unzulässig sein. Zudem müssen grundsätzlich alle erhobenen Daten nach Wegfall des Anlasses, hier also nach dem Ende der Corona‑​Pandemie, unverzüglich von Arbeitgebern und Dienstherren gelöscht werden. Datenschutzrechtliche Informationen gegenüber Betroffenen sind zu gewährleisten.

Registrierung von Fahrgästen und Restaurantbesuchern?

Zum Zweck der nachträglichen Identifizierbarkeit sind Flug‑, Schiffs‑, Bahn- und Busreisende, die sich an Bord eines Verkehrsmittels mit einem Corona‑​Verdachtsfall befunden haben, verpflichtet, sogenannte Aussteigerkarten auszufüllen. Ferner ist es derzeit üblich – und bei ausreichend bestimmter Regelung in Verordnungen auch zulässig –, dass in Restaurants die Kontaktdaten von Gästen erfasst werden. Diese Datenerhebung dürfte auf Grundlage der entsprechenden Verordnungen – und damit gemäß Art. 6 Abs. 1 lit. c DS‑​GVO – zulässig sein. Entscheidend wird es sein, dass die Verantwortlichen auf das „Wie“ der Datenverarbeitung (Wer hat also Zugriff auf die Daten der Betroffenen? Wann werden die Daten gelöscht?) achten. Unzulässig wird es deshalb sein, wenn eine Vielzahl von Mitarbeiter*innen auf die Kundendaten zugreifen kann, entsprechende Zettel in Restaurants oder Friseursalons nicht verschlossen verwahrt werden und eine Löschung der Daten nach Beendigung des Besuchs nicht gewährleistet ist.

Nutzung von Handydaten?

Im Zusammenhang mit der Corona‑​Pandemie wird die Offenlegung von Standortdaten durch Mobilfunkanbieter vielfach diskutiert. Die bereits in anderen Ländern praktizierte Nutzung von personenbezogenen Handydaten durch öffentliche Stellen begegnet datenschutzrechtlichen Bedenken und bedürfte eigener gesetzlicher Regelungen, die die engen Grenzen des Art. 9 Abs. 2 lit. i DS‑​GVO wahren müssten. Die Nutzung von GPS Daten von Smartphones in Kombination mit Daten von Überwachungskameras zur Prüfung, ob sich infizierte Personen an Kontaktverbote halten, ließe sich mit der DS‑​GVO jedenfalls nicht vereinbaren.

Alle weiteren App‑​basierten Lösungen werden weniger am „Ob“ denn mehr am „Wie“ scheitern. Über die Rechtsgrundlage der Einwilligung wird eine Vielzahl von Datenverarbeitungen zulässigerweise geregelt werden; zentral wird es darauf ankommen, durch dezentrale Lösungen die Risiken eines Datenverlustes und unrechtmäßiger Zugriffe zu minimieren.

Diane Lindermann

Dr Diane Lindermann
senior associate

attorney
(lindermann@redeker.de)

This newsletter does not constitute individual legal advice and is intended solely to provide information on selected topics. If you have any questions regarding the newsletter, please contact a named contact person.