NEWS

Datenschutz in der Krise: Was Unternehmen trotz und wegen Corona beachten müssen

Noch immer beschäftigt uns alle die Corona-Krise: Sämtliche Branchen und Bereiche des öffentlichen Lebens sind betroffen. Natürlich ist die Gesundheit jetzt das Wichtigste, weswegen andere Erwägungen in den Hintergrund treten. Um die COVID-19-Pandemie so weit wie möglich einzudämmen, sind Entscheider und Gesetzgeber wie auch Mediziner auf detaillierte Informationen über betroffene und bedrohte Gruppen angewiesen. Nur so können Infektionsketten nachverfolgt und unterbunden werden. Dies hat nicht nur die Gefährdung des Datenschutzes zur Folge, sondern auch einen verstärkten Fokus auf besonders geschützte Datenkategorien.


Der BfDI stellt jedoch fest, dass sich der Schutz personenbezogener Daten und die Maßnahmen zur Bekämpfung der COVID-19-Pandemie nicht entgegenstehen. Zur Eindämmung der Pandemie können datenschutzkonforme Daten erhoben und verwendet werden. Solange die Maßnahmen der Arbeitgeber und Dienstherren verhältnismäßig sind, steht der Datenschutz der Infektionsbekämpfung nicht im Weg.

 

Gesundheitsdaten

Einen besonderen Schutz gewährt die DSGVO den sogenannten Gesundheitsdaten, also Informationen über den früheren, aktuellen oder zukünftigen Gesundheitszustand einer betroffenen Person. Hierzu gehören biometrische und genetische Informationen, biologische Proben sowie Informationen zu Vorerkrankungen und Behinderungen. In diese Kategorien fallen also sämtliche Daten aus Temperaturmessungen bei Arbeitnehmern und Kunden, Ergebnisse von Corona- und Antikörper-Tests sowie Informationen zu Vorerkrankungen, die die Anfälligkeit der betroffenen Person steigern.

Diese Daten dürfen nur mit freiwillig erteilter, ausdrücklicher Zustimmung der betroffenen Person erhoben, verarbeitet und gespeichert werden. Die Verarbeitung der Gesundheitsdaten zu Corona-Zeiten kann aber auch durch die Ausnahmetatbestände des Art. 9 Abs. 2 lit. i und g DSGVO zulässig sein. Das ist dann der Fall, wenn sie „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit“ (Art. 9 Abs. 2 lit. I DSGVO) erforderlich ist. Nach diesen Rechtsgrundlagen ist in bestimmten Fällen eine Verarbeitung von Gesundheitsdaten auch ohne Einwilligung der Betroffenen zulässig. Insbesondere im nicht öffentlichen Bereich dürfen Gesundheitsdaten dann verarbeitet werden, solange sie für die Erfüllung von Rechten und Pflichten im Rahmen des Arbeitsverhältnisses erforderlich sind (vgl. Art. 9 Abs. 2 lit. b) DSGVO). Mit Blick auf das Corona-Virus trifft den Arbeitgeber eine Fürsorgepflicht, die nicht nur gegenüber dem einzelnen Arbeitnehmer besteht, sondern auch gegenüber allen Beschäftigten als Gesamtheit. Somit hat der Arbeitgeber verhältnismäßige Maßnahmen zu ergreifen, wie z.B. der Meldepflicht des Infektionsschutzgesetztes (§ 7  Abs. 1 Nr. 31 a IfSG) nachzukommen. Dabei bleibt zu beachten, dass nach dem Grundsatz der Datenminimierung jedoch nur erforderliche Daten verarbeitet werden dürfen. 

Als weitere Rechtsgrundlage kann zudem Art. 9 Abs. 2 lit. g DSGVO Anwendung finden. Das ist dann zu bejahen, wenn der Gesetzgeber Rechtsvorschriften erlassen hat, die den Unternehmen bei Vorliegen eines erheblichen öffentlichen Interesses die Verarbeitung besonderer Kategorien von personenbezogenen Daten erlaubt. Ein solches öffentliches Interesse ist bei dem Kampf gegen den Corona-Virus zu bejahen.

Somit kann die Datenverarbeitung aufgrund der vorgeschriebenen Maßnahmen gegen COVID-19 zwar gerechtfertigt werden, Arbeitgeber müssen aber sicherstellen, dass diese Daten vertraulich erhoben werden können. Hierzu müssen praktikable und zugleich sichere Verfahren entwickelt werden.

 

Kontaktdaten

Die grundlegenden Daten einer betroffenen Person sind ihre Kontaktdaten: Name, Adresse, Telefonnummer – alle Informationen, die die betroffene Person identifizieren. Die neuerlichen Erleichterungen der Kontakteinschränkungen gehen mit neuen Regelungen, z.B. für die Gastronomie, einher. So sollen Restaurantbetreiber nun nicht nur Hygiene- und Abstandsvorschriften beachten, sondern auch die Kontaktdaten ihrer Gäste aufnehmen, um Infektionsketten nachvollziehen zu können, falls sich einer der Gäste im Nachhinein als infiziert herausstellt.

Dies stellt vor allem Betriebe vor große Herausforderungen, die bisher nicht mit datenschutzrechtlichen Fragen konfrontiert waren. Reservierungsbücher werden zumeist handschriftlich geführt und spätestens nach einem Jahr ausgetauscht; außerdem enthalten sie nicht vollständige Informationen. Jetzt aber müssen sämtliche Kontaktdaten aller Gäste vorgehalten werden – und das unter Beachtung der DSGVO.

Grundsätzlich kann die Erhebung der Daten auf Grund von Art. 6 Abs. 1 lit. c DSGVO zwar gerechtfertigt werden, jedoch müssen Gastronomen auch geeignete technische und organisatorische Maßnahmen treffen, um die Sicherheit und anschließende Löschung der Daten nach einem angemessenen Zeitraum zu gewährleisten. Auch muss darauf geachtet werden, dass die Daten nicht von unbefugten Dritten, wie zum Beispiel anderen Gästen, eingesehen werden können.

 

Bewegungsdaten

Reisewarnungen des Robert Koch-Instituts und Empfehlungen anderer Institutionen rücken auch Bewegungsdaten in den Fokus. So wurden bereits Mitte März Quarantäneverpflichtungen für Menschen ausgesprochen, die sich kurz vorher in sogenannten Risikogebieten wie China, Norditalien oder dem Landkreis Heinsberg in Nordrhein-Westfalen aufgehalten hatten. Theoretisch ließen sich auch aus den Aufzeichnungen von beispielsweise Hotels und Gastronomiebetrieben Bewegungsprofile erstellen.

Für Bewegungsdaten gilt – wie für alle persönlichen Daten – dass eine Verarbeitung dann zulässig und unproblematisch ist, wenn sie vorher anonymisiert wurden. Die bislang kontrovers diskutierte Corona-Tracing-App, die im Auftrag der Bundesregierung von SAP und der T-Systems entwickelt wird, soll daher über das dezentrale Modell Nutzerdaten verarbeiten. Dabei generiert die App für jeden Nutzer eine pseudonymisierte ID-Nummer, die keinen direkten Rückschluss auf den Nutzer zulässt. Die App leitet sodann aus dieser Zahlenfolge weitere temporäre IDs ab und registriert via Bluetooth, wenn sich ein anderes Smartphone, das ebenfalls die App installiert hat, für einen kritischen Zeitraum in der Nähe (1,5 bis 2 Meter) befindet. Die temporär generierten IDs werden nur untereinander ausgetauscht. Registriert die App die ID einer infizierten Person, so erhält der Nutzer eine Warnung. An einen Server werden lediglich die eigenen IDs weitergeleitet. Auf den zentralen Servern wird nicht überprüft, ob Kontakt zu einer infizierten Person bestand. Diese Prüfung findet über regelmäßige Updates der App nur auf dem eigenen Smartphone statt.

Kritik an der App hagelt es insbesondere im Zusammenhang mit der Umsetzung durch die Tech-Konzerne Apple und Google aufgrund ihrer mangelnden Vertrauenswürdigkeit sowie bezüglich der Effektivität, sollte die App nur von wenigen genutzt werden. Auch in arbeitsrechtlicher Hinsicht ist fragwürdig, ob die Anordnung der Installation der Corona-App durch den Arbeitgeber gerechtfertigt wäre, da dies unter anderem einen Eingriff in das allgemeine Persönlichkeitsrecht des Arbeitnehmers darstellen würde, wobei hier auch die Frage der jeweiligen Branche eine gewichtige Rolle spielt. Die Installation auf dem privaten Smartphone wird jedenfalls nicht zu verlangen sein.

 

Fazit

Da die Regelungen und Auflagen häufig angepasst werden, weil sich Bedingungen ständig ändern, bleibt die Compliance ein mehr oder weniger bewegliches Ziel. Außerdem sind noch viele Fragen ungeklärt und die Bestimmungen in den einzelnen Bundesländern sehr unterschiedlich.

Zum Glück ist die DSGVO mittlerweile etabliert und umgesetzt und regelt zentral den Datenschutz in Europa. Auch für den aktuellen Ausnahmezustand lassen sich hieraus sinnvolle Maßnahmen ableiten. Unsere Datenschutzexperten stehen Ihnen gerne zur Seite.