COVID-19 im Lichte unseres Datenschutzrechts

(Beitrag vom 23. April 2020)

1. Verarbeitung in Unternehmen und Behörden

Arbeitgeber und Dienstherrn müssen zwischen dem Schutz der Gesundheit der Beschäftigten und dem Interesse bzw. dem Erfordernis, den Geschäftsbetrieb aufrechtzuerhalten, abwägen.

Parallel dazu haben sie gegenüber den Arbeitnehmern eine Fürsorgepflicht, worunter auch der Schutz der Gesundheit fällt. Die Verarbeitung von Gesundheitsdaten durch den Arbeitgeber bzw. Dienstherrn unterliegt grundsätzlich strengen Regeln. Die Datenschutzaufsichtsbehörden sind der Ansicht, dass davon auch die angemessene Reaktion auf die pandemische Verbreitung einer meldepflichtigen Krankheit, insbesondere hinsichtlich der Vorsorge und der Nachverfolgbarkeit, umfasst ist.

Basierend darauf, soll die Verarbeitung personenbezogener Beschäftigtendaten sowie der Gesundheitsdaten rechtmäßig sein, wenn es sich um Informationen zu Fällen handelt, bei denen eine Infektion festgestellt wurde, der Kontakt mit einer nachweislich infizierten Person bestanden hat oder ein Aufenthalt in einem als Risikogebiet eingestuften Gebiet stattgefunden hat.

Arbeitgeber dürfen ihre Mitarbeiter demnach über den Kontakt zu Infizierten befragen, sowie Urlaubsrückkehrer darüber, ob sie sich in einem Risikogebiet aufgehalten hat. Eine Negativauskunft ist in beiden Fällen allerdings ausreichend.

Stellt sich dabei heraus, dass ein Mitarbeiter möglicherweise erkrankt ist, sind im Rahmen der Fürsorgepflichten des Arbeitgebers Schutzmaßnahmen einzuleiten, die verschiedene Folgeprobleme mit sich bringen:

Vorab ist die infizierte Person, trotz einer bereits erfolgten Infektion, zu schützen. Der Arbeitgeber sollte die Identität des infizierten Mitarbeiters nur in einem Ausnahmefall offenlegen, etwa dann, wenn Maßnahmen nicht abteilungs- oder teambezogen erlassen werden können und die Gesundheitsbehörden nicht für eine Rücksprache erreichbar sind. 

Des Weiteren verlangt die schnelle Einleitung von Maßnahmen eine effiziente Kommunikationsstruktur. Zu diesem Zwecke werden derzeit von vielen Unternehmen oder Behörden Listen mit privaten Kontaktdaten der Beschäftigten angelegt. Eine solche Maßnahme ist zwar zulässig, wenn die Betroffenen ihre Einwilligung dazu erteilen. Allerdings müssen die Daten mit dem Ende der Pandemie auch wieder gelöscht werden.

Die Datenschutzaufsichtsbehörden führen außerdem aus, dass Daten von Gästen und Besuchern verarbeitet werden dürfen. Diese Verarbeitung kann bei öffentlichen Stellen auf Art.6 Abs.1 lit. c und e DSGVO i.?V.?m. einschlägigen Landesdatenschutzgesetzen gestützt werden und im privat-rechtlichen Bereich auf Art.6 Abs.1lit. f DS-GVO. Sind Gesundheitsdaten betroffen, finden zudem Art.9 Abs.2 it. i DSGVO i.?V.?m.§ 22 Abs.1 Nr.1 it. c BDSG Anwendung.

Die Verarbeitung dient der Sammlung von Identitäts- und Kontaktdaten bei Veranstaltungen, um Betroffene darüber informieren zu können, falls sich herausstellt, dass sich eine andere Person infiziert hat.

Mit entsprechenden Verarbeitungsvorgängen darf man insbesondere rechnen, sobald eine zunehmende Lockerung der aktuellen Beschränkungen zu Tage tritt.

2. Nutzung des Homeoffice, e-Learning etc.

Die aktuellen Beschränkungen fordern auch zunehmende Kreativität, um u.a. im persönlichen Kontakt zu bleiben. Viele Arbeitgeber setzen auf das Homeoffice. Universitäten, Schulen und Sporteinrichtungen auf Videotelefonate und Livestreams. Die digitale Welt scheint die Zwischenlösung für all die Einschränkungen zu sein.

Damit geht jedoch auch die Verarbeitung personenbezogener Daten auf den Servern des Diensteanbieters einher. Dementsprechend sind datenschutzrechtliche Vorgaben einzuhalten: Zunächst muss mit dem Diensteanbieter ein Auftragsverarbeitungsvertrag i.?S.?d.?Art. 28 DSGVO abgeschlossen werden. Bei Diensteanbietern aus Drittländern, wie den USA, muss zudem ein angemessenes Datenschutzniveau sichergestellt werden, z.?B. indem ein Unternehmen unter dem EU-US-Privacy-Shield zertifiziert ist. Bei der Nutzung solcher Dienste sind die Anforderungen einzuhalten, wonach geeignete technische und organisatorische Maßnahmen zu implementieren sind, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. So war etwa das Videokonferenztool „Zoom“ wegen Sicherheitsmängeln in die Kritik geraten.

Weitere Probleme können sich ergeben, wenn eine über die Kommunikation hinausgehende Vernetzung von Mitarbeitern mit dem Firmennetz erforderlich wird. Insbesondere unter Nutzung privater Endgeräte.

Wichtig ist, dass sichergestellt wird, dass die Sicherheit der Datenverarbeitung gewährleistet ist. Daher sollten sowohl die technischen als auch die organisatorischen Maßnahmen eindeutig festgelegt und an die Mitarbeiter kommuniziert werden. Dafür bietet sich eine interne Unternehmensrichtlinie an.

Aus technischer Sicht bietet sich insbesondere die Verbindung über den VPN-Tunnel, die Verschlüsselung der Daten (Ende-zu-Ende) sowie eine verschlüsselte Speicherung auf den Endgeräten, Zwei-Faktor-Authentifizierung für den Zugriff auf Daten sowie ein Verbot der Privatnutzung von bereitgestellten Geräten an.

3. Nutzung von „Corona-Apps“ und ICT-Technologien

„Corona-Apps“ haben den Zweck, durch personenbezogene Daten von Infizierten entsprechende Bewegungsmuster zu erstellen.

Insbesondere in Asien wurden erste Erfolge bei der Bekämpfung des COVID-19 verzeichnet. So wurden umfangreiche personenbezogene Daten von Infizierten verarbeitet, um einen Überblick darüber zu haben, wo sich diese aufgehalten haben. Von den Daten umfasst werden die GPS-Daten, Überwachungskameras und Kreditkarten-Transaktionen.

Ein solches Überwachungs-Modell ist in Deutschland aus datenschutzrechtlicher Sicht undenkbar.

Allerdings hat das Robert-Koch-Institut von der Deutschen Telekom Handydaten erhalten, die anonymisiert und aggregiert sind, sodass einzelne Personen nicht zurückverfolgt werden können. Entsprechend unterliegen diese Maßnahmen durch das RKI nicht dem Anwendungsbereich der DS-GVO.

Dennoch lassen sich hier sowohl Rückschlüsse über die Aktivität der Bevölkerung als auch über allgemeine Bewegungsmuster ableiten, die bei der Einschätzung der weiteren Entwicklung hilfreich sein können.

Eine weitergehende Nutzung von Standortdaten ist jedoch unwahrscheinlich. Zwar war bereits die Rede davon, ob die Identifikation von Kontaktpersonen mittels Handyortung ermöglicht werden soll. Dieser Vorschlag wurde jedoch auf Grund von massiver Kritik nicht umgesetzt.

In diesem Zusammenhang verfolgt das RKI das Ziel, mit einer Coronavirus-App, die derzeit mit anderen Institutionen entwickelt wird, die Ermittlung von Kontaktpersonen auch ohne die Nutzung von Standortdaten zu ermöglichen. Hierzu soll die Bluetooth-Schnittstelle genutzt werden, um Nähe und Kontaktdauer zwischen zwei Personen festzustellen und somit Infektionsketten nachvollziehen zu können. Dafür wird allerdings aus datenschutzrechtlicher Sicht erforderlich sein, dass die Nutzer die entsprechende App installieren und für die Nutzung auch eine Einwilligung abgeben.

Um das mit der App verfolgte Ziel auch tatsächlich zu erreichen, wird erforderlich sein, dass möglichst viele Personen diese auch verwenden. Nach einer aktuellen Umfrage von Usercentrics wären 71,9?% der Befragten bereit, ihre personenbezogenen Daten mit Institutionen wie dem RKI zu teilen. Der Grund hierfür mag u.a. darin liegen, dass eine derartige App ein individuelles Nutzen verspricht. Denn jeder Nutzer soll im Falle eines Kontakts gewarnt werden.

Man kann somit sagen, dass die Entwicklung und Nutzung von ICT-Anwendungen noch am Anfang stehen. Die unterschiedlichen Möglichkeiten und die damit einhergehenden datenschutzrechtlichen Probleme werden sich in der Zukunft noch weiter zeigen. Jedenfalls kann man sich sicher sein, dass die Nutzung entsprechender Anwendungen auch ohne grundrechtliche Eingriffe möglich ist, sofern einwilligungsbasierte Lösungen dargeboten werden.

Bei Fragen wenden Sie sich gerne an Rechtsanwältin Ursula Gunkel oder Rechtsanwalt Sebastian Steinmann.