Datenschutz und Coronavirus (COVID-19)

Seit dem Ausbruch des Coronavirus (COVID-19) haben sich weltweit bereits mehr als 500.000 Menschen (27. März 2020) infiziert. Aufgrund der rasanten Verbreitung müssen bereits viele Unternehmen wirtschaftliche Einbußen hinnehmen und eine Vielzahl von Arbeitnehmern werden in Kurzarbeit geschickt oder verlieren ihre Arbeitsplätze. Die wirtschaftlichen Auswirkungen zeigen sich in nahezu allen Branchen: von Dienstleistungsbetrieben bis hin zur Schwerindustrie.

Die Auswirkungen des Virus betreffen auch den Bereich „Datenschutz“. Aus diesem Grund werden Datenschutzbehörden auf der ganzen Welt aktiv und verabschieden Maßnahmen, um  damit auch ihren Beitrag zur Bekämpfung des Virus zu leisten und mit  spezifischen Leitlinien zu Datenverarbeitungsaktivitäten (Stichwort Krankenakten) Hilfestellung für bieten.

Der Europäische Datenschutzausschuss (European Data Protection Board - EDPB)

Am 19. März 2020 verabschiedete der Europäische Datenschutzausschuss eine «Erklärung zur Verarbeitung personenbezogener Daten im Zusammenhang mit dem COVID-19-Ausbruch». In der Erklärung wurde betont, dass Datenschutzbestimmungen, einschließlich der Allgemeinen Datenschutzverordnung der Europäischen Union („DSGVO“), die im Kampf gegen COVID-19 ergriffenen Maßnahmen nicht verhindern sollten, zeitgleich jedoch auch die für die Verarbeitung Verantwortlichen in diesen außergewöhnlichen Zeiten beim, “Schutz personenbezogener Daten von Personen“ unterstützen müssen. Das EDPB erklärte ausdrücklich, dass alle in diesem Zusammenhang ergriffenen Maßnahmen den allgemeinen Rechtsgrundsätzen entsprechen sollten und dass „ein Notfall eine Rechtsbedingung ist, die Einschränkungen der Freiheit legitimieren kann, sofern diese Einschränkungen verhältnismäßig und auf den Notfallzeitraum beschränkt sind.“

Darüber wies das EDPB erneut auf die wichtigsten Datenschutzgrundsätze, die von den für die Verarbeitung Verantwortlichen einzuhalten sind, hin. Zu diesen Grundsätzen gehören diejenigen, nach denen Einzelpersonen transparente Informationen über Verarbeitungsaktivitäten erhalten sollten. Dies umschließt auch Informationen zum Grund der Verarbeitung sowie deren Aufbewahrungsfristen. Ebenso die notwendige Dokumentation der vom Unternehmen ergriffenen Maßnahmen und Sicherheits- und Vertraulichkeitsrichtlinien sowie die zugrundeliegenden Entscheidungsprozesse zum Umgang mit der aktuellen Notfalllage.

In Bezug auf die Rechtsgrundlage für die Verarbeitung personenbezogener Daten erklärte das EDPB, dass die DSGVO Arbeitgebern und zuständigen Gesundheitsbehörden rechtliche Gründe für die Verarbeitung von Daten im Rahmen einer Epidemie gemäß den nationalen Rechtsvorschriften und den darin festgelegten Bedingungen bietet. Im Zusammenhang mit der Beschäftigung kann eine Verarbeitung erforderlich sein, um einer [nationalen] gesetzlichen Verpflichtung nachzukommen, der der Arbeitgeber unterliegt (z. B. Verpflichtungen in Bezug auf Gesundheit und Sicherheit am Arbeitsplatz). Das EDPB betonte auch, dass Ausnahmen von den „Verboten für die Verarbeitung medizinischer Daten“ für Unternehmen möglich sind, sofern dies aus Gründen eines erheblichen Interesses im Bereich der öffentlichen Gesundheit erforderlich ist.

Trotz einiger Klarstellungen zu wichtigen Fragestellungen zum Umgang mit dem Datenschutz während der Corona Pandemie, blieb das EDPB Experten zufolge spezifische Empfehlungen schuldig.

Deutsche Datenschutzbehörden (Der Bundesbeauftragte für Datenschutz und die Informationsfreiheit – BfDI)

Aufgrund der fehlenden spezifischen Empfehlungen des EDPB haben die Datenschutzbehörden (DPA) der EU-Mitgliedstaaten begonnen, selbst aktive Maßnahmen zu ergreifen bzw. Leitlinien zu veröffentlichen. Der Bundesbeauftragte für Datenschutz und die Informationsfreiheit (BfDI) lieferte ebenfalls Informationen zum Datenschutz und zum Coronavirus.

Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden von Bund und Ländern, veröffentlichte explizite Informationen für Arbeitgeber und Arbeitnehmer zum Umgang mit dem Datenschutz im Zusammenhang mit der Corona-Pandemie. Die Datenschutzexperten machten deutlich, dass der Schutz personenbezogener Daten und Maßnahmen zur Bekämpfung der Infektion nicht in Konflikt geraten sollten und dürfen.

Darüber hinaus erklärte der BfDI, Professor Ulrich Kelber, dass Gesundheitsinformationen sehr sensible Daten seien. Demnach müsse sich jeder, der solche Daten sammelt oder verarbeitet, der besonderen Verantwortung bewusst sein, die mit dieser Art von Daten einhergeht. Solange die von Arbeitgebern und Arbeitnehmern getroffenen Maßnahmen verhältnismäßig sind, verhindert der Datenschutz nicht die Überprüfung der Ansteckung. Er wies ebenso darauf hin, dass Daten in Übereinstimmung mit den Datenschutzgesetzen gesammelt und verwendet werden können, um die Corona-Pandemie zu bekämpfen oder Mitarbeiter zu schützen. So können bspw. personenbezogene Gesundheitsdaten von Mitarbeitern erfasst werden, um zu verhindern, dass sich der Virus in der Belegschaft verbreitet.

Die allgemeine Meinung des BfDI ist, dass die Einschränkung des Datenschutzes zum Wohle des öffentlichen Interesses bzw. der öffentlichen Gesundheit kein neuartiges Konzept ist. BDSG neu § 22 Abs. 1 gestattet die Verarbeitung besonderer Kategorien personenbezogener Daten "aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie zum Beispiel Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsrisiken ..." unter bestimmten Bedingungen zum Schutz der Integrität der Daten. Nach BDSG neu § 22 Abs. 2 sind die Beteiligten jedoch verpflichtet, diese Datensätze den besonderen Umständen entsprechend durch bestimmte Sicherheitsmaßnahmen wie Verschlüsselung, Datentrennung, Datenzugriffskontrolle sowie durch Speichersicherungen zu schützen. Das deutsche "Infektionsschutzgesetz“ enthält zahlreiche Datenverarbeitungsgenehmigungen für örtliche und nationale Gesundheitsämter und -behörden (bereits im Verdachtsfall) und beinhaltet ebenso umfangreiche Meldepflichten von Ärzten usw. gegenüber eben diesen Stellen.

Inmitten der Corona-Pandemie ist es daher wichtiger denn je, Datenschutz und Privatsphäre in den Mittelpunkt des öffentlichen Diskurses zu stellen und die Idee zu fördern, dass es sich nicht um „öffentliche Gesundheit ODER Datenschutz“, sondern um „öffentliche Gesundheit UND Datenschutz“ handelt.

Weitere Informationen zur bestmöglichen Einhaltung von Datenschutz und Sicherheit während der Corona-Pandemie erhalten Sie von Ihren RSM-Experten.

Ansprechpartner

Telefon: +49 40 35006-300
E-Mail: gregor.strobl[at]rsm.de

Alexandra Khammud LL.M
DSGVO Expertin - Risk Advisory Services (RAS)
E-Mail: alexandra.khammud[at]rsm.de

Internet Explorer 11 wird nicht unterstützt.

Wir haben festgestellt, dass Sie einen veralteten Browser verwenden. Wir empfehlen Ihnen, einen aktuellen Browser zu nutzen, um Ihre Sicherheit zu erhöhen und alle Funktionalitäten der RSM-Website nutzen zu können.

Wir empfehlen die folgenden Browser: