Newsletter Corona/​COVID‑19

Datenschutz – Was ist zu beachten?

Die politische und gesellschaftliche Reaktion auf das Corona‑​Virus führt auf verschiedenen Ebenen zu einer besonderen Verarbeitung personenbezogener Daten. Auch in einer solchen Ausnahmesituation bleibt es bei den Grundsätzen des Datenschutzrechts, die insbesondere bei sensiblen Gesundheitsdaten gelten.

Homeoffice – Eine persönliche, technische und datenschutzrechtliche Herausforderung

Arbeiten im Homeoffice stellt viele Beschäftigte vor technische und persönliche Herausforderungen. Auch datenschutzrechtlich sind einige Grundregeln zu beachten, die Arbeitgeber bestenfalls in einer eigenen Vereinbarung mit Beschäftigen festhalten.

Mitarbeiter*innen sollten darauf hingewiesen werden,

  • die IT‑​Ausstattung des Unternehmens nicht privat zu nutzen,
  • berufliche Mails nicht an die private E‑​Mail‑​Adresse weiterzuleiten,
  • personenbezogene Daten vor der Einsicht durch Dritte zu schützen (Verwahrung in abschließbaren Schränken, keine Papiere auf dem Küchentisch, keine vertraulichen Gespräche in Anwesenheit Dritter),
  • sensible Daten datenschutzgerecht zu vernichten,
  • den Arbeitgeber wegen der strikten Meldepflichten unverzüglich zu informieren, sollten Daten verloren gehen oder sonstige Verletzungen des Schutzes personenbezogener Daten relevant sein.

Im Regelfall sollten Telefonkonferenzen eingerichtet werden; Videokonferenzen dürften mit Blick auf das Interesse einzelner Arbeitnehmer*innen, ihr privates Umfeld nicht im beruflichen Kontext zu teilen, nur im Ausnahmefall erforderlich sein.

Sonstiger Beschäftigtendatenschutz

Auch über die Regelungen des Homeoffice hinaus ist die Frage der Reichweite und Erforderlichkeit der Verarbeitung von Beschäftigtendaten derzeit besonders relevant. Die Arbeitgeber sind auf Gesundheitsdaten ihrer Mitarbeiterinnen und Mitarbeiter angewiesen: So ist es datenschutzrechtlich im Beschäftigungsverhältnis zulässig, eine mögliche Infizierung mit dem Virus sowie den Kontakt zu infizierten Personen abzufragen. Gleiches gilt für Fragen nach dem Aufenthalt in einem Risikogebiet im relevanten Zeitraum.

Die Verarbeitung dieser Informationen sollte zunächst rein intern erfolgen. Eine Offenlegung sensibler Daten gegenüber Dritten ist nur in engen Ausnahmen zulässig. So mag eine Weitergabe an Behörden auf deren Anfrage hin wegen gesetzlicher Verpflichtungen oder behördlicher Verfügungen zulässig sein. Auf die gleichwohl bestehenden transparenten Informationspflichten gegenüber den Betroffenen ist zu achten.

Unzulässig wird die derzeit diskutierte Möglichkeit sein, vor Betreten des Betriebsgeländes medizinische Untersuchungen – wie etwa Fiebermessen – vorzunehmen; ein solcher Grundrechtseingriff dürfte eher unverhältnismäßig sein, freilich in Abhängigkeit des Inhalts und der Gefahrgeneigtheit der eigentlichen Beschäftigung. Personalfragebögen an alle Beschäftigten und das Sammeln privater Kontaktdaten (z. B. Handynummern der Beschäftigten) zur besseren Erreichbarkeit bei einem Verdachtsfall sind im Rahmen freiwilliger Kooperation mit den Beschäftigten zulässig. Auch hier muss darauf geachtet werden, Daten nur für einen gewissen Zeitraum zu verarbeiten und nach Ende der derzeitigen Situation zu löschen.

Dispens für die strikten datenschutzrechtlichen Fristen?

Wenn in Unternehmen plötzlich die Mehrheit der Beschäftigten im Homeoffice tätig ist, können sich interne Prozesse verlangsamen. Gesetzlich sind Unternehmen nach Art. 12 Abs. 3 DS‑​GVO dennoch verpflichtet, auf Betroffenenrechte spätestens nach drei Monaten zu reagieren. Auch für die Meldepflicht bei Datenschutzverstößen (Art. 33 DS‑​GVO) gilt eine strikte Frist von 72 Stunden nach Kenntnisnahme des Ereignisses. Begründbar dürfte es im Einzelfall durchaus sein, die DS‑​GVO unionsrechtskonform vor dem Hintergrund der Rechtsprechung des EuGH zum Begriff der höheren Gewalt auszulegen und so eine Verlängerung von Fristen zu begründen.

Listen infizierter Personen?

Personenbezogene Daten infizierter und unter Infektionsverdacht stehender Personen dürfen zum Schutz und zur Information möglicher Kontaktpersonen nur offengelegt werden, wenn die Kenntnis der Identität erforderlich ist. Diese Beurteilung unterliegt jedoch einem Wandel. Angesichts von mittlerweile weit über 10.000 infizierten Personen allein in Deutschland kann die an mancher Stelle erwähnte stigmatisierende Wirkung, die die Offenlegung der Erkrankung bedeuten kann, nicht mehr ohne weiteres angenommen werden.

Die Berechtigung zur Verarbeitung von Gesundheitsdaten kann sich auf die Fürsorgepflicht im Sinne der Gesundheitsvorsorge und der Arbeitssicherheit (konkret: Schutz vor Infektionen) stützen. Zu unterscheiden bleibt dabei der Anlass, ob nämlich eine öffentliche Stelle – also Behörde – oder eine nicht‑öffentliche Stelle – also Unternehmen und Arbeitgeber – entsprechende Listen führt. Eine Zusammenstellung von Daten infizierter Personen in pauschaler Form wird datenschutzrechtlich unzulässig sein. Zudem müssen grundsätzlich alle erhobenen Daten nach Wegfall des Anlasses, hier also nach dem Ende der Corona‑​Epidemie, unverzüglich von Arbeitgebern und Dienstherren gelöscht werden. Datenschutzrechtliche Informationen gegenüber Betroffenen sind zu gewährleisten.

Registrierung von Fahrgästen und Restaurantbesuchern?

Zum Zweck der nachträglichen Identifizierbarkeit sind Flug‑, Schiffs‑, Bahn‑ und Busreisende, die sich an Bord eines Verkehrsmittels mit einem Corona‑​Verdachtsfall befunden haben, verpflichtet, sogenannte Aussteigerkarten auszufüllen. In einigen Städten müssen Restaurants zudem die Kontaktdaten von Gästen aufgrund ordnungsrechtlicher Verfügung erfassen. Diese Datenverarbeitung ist rechtmäßig, wenn die Betroffenen einwilligen (Art. 6 Abs. 1 lit. a DS‑​GVO) oder wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt (Art. 6 Abs. 1 lit. c DS‑​GVO). Die Rechtmäßigkeit der Datenverarbeitung beruht in aller Regel auf der letzteren Variante, wenn die erhebende Stelle durch gesetzliche Grundlagen oder Allgemeinverfügungen zu einer Datenerhebung verpflichtet ist. Auch hierbei ist seitens der erhebenden Stelle auf Informationspflichten zu achten.

Nutzung von Handydaten?

Aktuell wird die Offenlegung von Standortdaten durch Mobilfunkanbieter diskutiert. Mit Hilfe sogenannter „Schwarmdaten“ sollen Bewegungsströme abgebildet werden; um den Einzelnen soll es nicht gehen. Selbst wenn offenbar eine Nutzung anonymisierter Daten in Rede steht (was im Einzelfall zu überprüfen wäre), ist der Vorgang der eigentlichen Anonymisierung von personenbezogenen Daten eine Verarbeitung im Sinne der DS‑​GVO. Deshalb könnten für die Mobilfunkanbieter Informationspflichten ggü. den Betroffenen entstehen.

Die in anderen Ländern praktizierte oder geplante Nutzung von personenbezogenen Handydaten durch öffentliche Stellen begegnet indes datenschutzrechtlichen Bedenken und bedürfte eigener gesetzlicher Regelungen, die die engen Grenzen des Art. 9 Abs. 2 lit. i DS‑​GVO wahren müsste. Die Nutzung von GPS‑​Daten von Smartphones in Kombination mit Daten von Überwachungskameras zur Prüfung, ob sich infizierte Personen an Kontaktverbote halten, ließe sich mit der DS‑​GVO jedenfalls nicht vereinbaren.

Diane Rataj

Dr Diane Rataj
Associate

attorney
(rataj@redeker.de)