Derzeit treten vermehrt Mandanten an uns heran, um sich über die datenschutzrechtlichen Rahmenbedingungen im Umgang mit COVID-19 zu informieren. Die häufigsten Fragen haben wir im KollegInnenkreis zusammengetragen und nachfolgend dargestellt. Das FAQ wird fortlaufend aktualisiert, kann eine Beratung im Einzelfall aber nicht ersetzen. Am Ende des Dokuments finden sich weiterführende Links zu ausgewählten Verlautbarungen von Datenschutzaufsichtsbehörden.
Übersicht
Allgemeines
1. Rechtsgrundlagen: Welche Rechtsgrundlagen können für die Verarbeitung personenbezogener Daten im Zusammenhang mit der COVID-19-Pandemie herangezogen werden?
Die Verarbeitung personenbezogener Daten bedarf einer datenschutzrechtlichen Rechtfertigung auch soweit diese der Bekämpfung bzw. Eindämmung der COVID-19-Pandemie dient. Hierbei kommen grundsätzlich sämtliche der in der DSGVO aufgelisteten Rechtsgrundlagen in Betracht. Ob eine Datenverarbeitung gerechtfertigt werden kann, ist von den Verantwortlichen im Einzelfall zu prüfen. Die Prüfung sollte zu Nachweiszwecken dokumentiert werden. Von besonderer Bedeutung sind folgende Rechtsgrundlagen:
- Einwilligung der Betroffenen (Art. 6 Abs. 1 Buchst. a DSGVO),
- Erfüllung einer Rechtspflicht (Art. 6 Abs. 1 Buchst. c DSGVO in Verbindung mit der Verarbeitungsobliegenheit aus nationalem Recht),
- öffentliches Interesse oder in Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 Buchst. e DSGVO in Verbindung mit der Verarbeitungsobliegenheit aus nationalem Recht) sowie die
- allgemeine Interessenabwägung (Art. 6 Abs. 1 Buchst. f DSGVO).
Sofern von der Verarbeitung auch Gesundheitsdaten erfasst sind, sind vorrangig die in Art. 9 Abs. 2 DSGVO normierten spezifischen Rechtfertigungsgründe heranzuziehen. Von besonderer Bedeutung sind dabei Verarbeitungen zum Zwecke
- der Ausübung bzw. Erfüllung von Rechten und Pflichten aus dem Arbeitsrecht dem Recht der sozialen Sicherheit und des Sozialschutzes (Art. 9 Abs. 2 Buchst. b DSGVO),
- der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich (Art. 9 Abs. 2 Buchst. h DSGVO) und
- des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten (Art. 9 Abs. 2 Buchst. i DSGVO).
Im Zusammenhang mit der Covid-19-Pandemie können sich insbesondere aus dem Infektionsschutzgesetz (IfSG, z.B. §§ 6 bis 9, 16 IfSG) und der Corona-Virus-Melde-Verordnung (CoronaVMeldeV) Verarbeitungsobliegenheiten ergeben. Außerhalb spezifischer Verarbeitungsobliegenheiten haben Verantwortliche bei der Verarbeitung von Gesundheitsdaten die §§ 22 bis 25 BDSG zu beachten.
Im Beschäftigungsverhältnis leiten sich Befugnisse für Datenverarbeitungen direkt aus § 26 BDSG, teilweise in Verbindung mit den arbeitsvertraglichen Normen des BGB, der Fürsorgepflicht des Arbeitgebers, dem Arbeitsschutzgesetz (ArbSchG) sowie weiterer arbeitsrechtlicher Vorgaben ab.
2. Gesundheitsdaten: Wann ist ein personenbezogenes Datum ein Gesundheitsdatum im Sinne von Art. 9 Abs. 1 DSGVO
Gesundheitsdaten sind in Art. 4 Nr. 15 DSGVO legaldefiniert. Erfasst werden hiernach sämtliche Informationen, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Eine umfangreiche Erläuterung findet sich zudem in Erwägungsgrund 35 DSGVO, wonach bspw. auch Nummern, Symbole oder Kennzeichen, die eine natürliche Person „für gesundheitliche Zwecke eindeutig identifizieren“ können, als Gesundheitsdatum zu werten sind. Aus dem Gesamtzusammenhang können bereits Arztbesuche Angaben über den Gesundheitszustand des Einzelnen vermitteln. Dass eine Person an COVID-19 erkrankt ist, ist ein Gesundheitsdatum, nicht jedoch, dass eine Person gesund oder genesen ist.
3. Pflichten: Sind die allgemeinen Pflichten nach der DSGVO durch die aktuelle Krisensituation weniger streng?
Grundsätzlich nein. Auch Krisen machen Rechtspflichten nicht obsolet. Im Gegenteil: Ausnahmesituationen wie die aktuelle verlangen erst recht nach geordneten Strukturen und verantwortungsvollem Handeln. Sofern einzelne Pflichten nachweislich infolge der aktuellen Situation nicht oder nicht vollständig erfüllt werden können, kann eine Enthaftung bzw. eine Annahme mildernder Umstände auf Grundlage des allgemeinen Rechtsgedankens der „Höheren Gewalt“ erwogen werden. Einzelne Datenschutzaufsichtsbehörden haben bereits signalisiert, dass bei Verstößen gegen die Vorgaben der DSGVO, etwa einer Überschreitung von Fristen, die aktuelle Situation im Rahmen behördeninterner Ermessensentscheidungen mildernd Berücksichtigung finden wird.
Beschäftigtendatenschutz
4. Kontrollen: Sind Gesundheitskontrollen an den Zugängen zum Betriebsgelände zulässig?
Soweit eine solche Kontrolle, etwa das Messen der Körpertemperatur, auf Grundlage der freiwilligen Entscheidung der Beschäftigten erfolgt, sind diese ohne Weiteres zulässig. Sicherzustellen ist, dass Beschäftigte, die sich nicht mit einer derartigen Kontrolle einverstanden erklären, keine arbeitsrechtlichen Sanktionen erfahren. In Branchen mit typischerweise besonders engem Kontakt, insbesondere Heil- und Pflegeberufen, können angemessene Kontrollmaßnahmen ausnahmsweise verpflichtend vorgegeben werden. Die Datenschutzaufsichtsbehörden weisen darauf hin, dass in diesen Fällen nicht die konkret erfragten Informationen wie Krankheitssymptome oder die Körpertemperatur zu speichern sind, sondern lediglich die Information, dass der Betroffene aufgrund Kontrolle aufgefordert wurde, sich für einen definierten Zeitpunkt nicht mehr zur Arbeitsstätte zu begeben.
5. Befragung: Dürfen Beschäftigte dazu befragt werden, ob sie infiziert sind, ob sie sich zuletzt in einem sog. Risikogebiet aufgehalten haben bzw. ob sie zuletzt Kontakt zu einer erkrankten Person hatten?
Ja. Von Beschäftigten dürfen Informationen darüber erhoben werden, ob diese infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen. Urlaubsrückkehrer dürfen befragt werden, ob sie sich in den zurückliegenden Tagen und Wochen in einer durch das Robert-Koch-Institut als Risikogebiet eingestuften Region aufgehalten haben. Eine Negativauskunft der Beschäftigten muss genügen.
6. Verschlüsselung: Über welche Kommunikationskanäle dürfen Beschäftigte befragt werden?
Bei den zu erfragenden Informationen handelt es sich potentiell um Gesundheitsdaten, jedenfalls dann, wenn sich der Beschäftigte als infiziert meldet. Für die Übermittlung von sensitiven Daten, wie z.B. Gesundheitsdaten, wird unter „normalen“ Umständen eine Inhaltsverschlüsselung als angemessen verlangt werden müssen. Dieser Idealfall für Datenübermittlungen erfährt dort eine Ausnahme, wo die Datenerhebung unter „besonderen“ Umständen stattfindet. Steht die Verarbeitung im Zusammenhang mit der COVID-19-Pandemie und steht ein sicherer Kommunikationskanal nicht zur Verfügung, ist insoweit ausnahmsweise auch eine unverschlüsselte Kommunikation zulässig.
7. Meldepflichten: Kann bzw. muss der Umstand einer Erkrankung eines Beschäftigten dem Gesundheitsamt gemeldet werden?
Eine Meldepflicht besteht grundsätzlich nur für Ärzte, Angehörige anderer Heil- und Pflegeberufe sowie sonstige Berufsgruppen, die berufsbedingt potentiell mit infizierten Personen in Kontakt kommen (§ 8 IfSG). Daneben ist die Leitung von Gemeinschaftseinrichtungen (z.B. Kitas, Heimen, etc.) sowie anderer sog. Masseneinrichtungen zur Meldung verpflichtet (§§ 33, 36 IfSG). Für alle übrigen Arbeitgeber bzw. Betreiber besteht nur dann ein Melderecht, wenn die zuständige Behörde um Auskunft ersucht hat (§ 16 Abs. 2 S. 3 IfSG). Ob hieraus zugleich eine Meldepflicht abgeleitet werden muss, ist fraglich und dürfte tendenziell abzulehnen sein.
8. Interne Offenlegung: Kann bzw. muss der Name eines erkrankten Beschäftigten der übrigen Belegschaft offengelegt werden?
Grundsätzlich dürfen erkrankte Beschäftigte nicht namentlich der übrigen Belegschaft genannt werden. Die Namensnennung darf nur das allerletzte Mittel sein. Vorzugswürdig ist ein abstrakter Hinweis, dass in der „Abteilung xyz“ ein Verdachtsfall o.ä. aufgetreten ist. Ist wegen der Infektionsgefahr eine konkretere Benennung erforderlich, sollten neben den Vorgesetzten allein die tatsächlichen Kontaktpersonen über den Fall informiert werden. Die betroffene Person ist über die Offenlegung und über die ihr insoweit zustehenden Rechte zu informieren. Die Fürsorgepflicht des Arbeitgebers gegenüber der übrigen Belegschaft sollte in diesen Fällen dazu führen, dass (auch) diese Kontaktpersonen freigestellt werden.
9. Externe Offenlegung: Muss in Betrieben mit direktem Kundenkontakt der Umstand der Erkrankung einzelner Beschäftigter offengelegt werden?
Nein. Für eine solche Veröffentlichung besteht keine Erforderlichkeit. Der betroffene Beschäftigte wird ohnehin freigestellt sein. Allein soweit Kontaktpersonen bekannt sind, etwa Kunden eines Außendienstlers, sollten diese benachrichtigt werden.
10. Widerspruchsrecht: Hat der betroffene Beschäftigte ein Recht auf Widerspruch im Sinne der DSGVO bzw. einen Unterlassungsanspruch gegen die ausnahmsweise namentliche Nennung seiner Person gegenüber Kontaktpersonen, Vorgesetzten bzw. der übrigen Belegschaft?
Sofern, wie zuvor dargestellt, der Kreis der zu informierenden Personen auf das dringend nötige Maß beschränkt bleibt, bestehen keine Abwehransprüche. Zwar ist der betroffene Beschäftigte im Zusammenhang mit der Information über die Offenlegung seiner Erkrankung gegenüber Dritter auch auf seine Rechte, darunter u.a. das Recht auf Widerspruch im Sinne von Art. 21 Abs. 1 DSGVO, hinzuweisen. Sofern diese Norm überhaupt anwendbar wäre, führte die hiernach erforderliche Güterabwägung jedoch nicht zu einem Überwiegen der Interessen des Beschäftigten.
11. Private Kontaktdaten: Dürfen Unternehmen die privaten Kontaktdaten (Telefonnummern, E-Mail-Adressen) der Beschäftigten erheben, um hierüber Informationen im Zusammenhang mit der Covid-19-Pandemie im Unternehmen zu kommunizieren? Auf welcher Rechtsgrundlage ist eine solche Verarbeitung zulässig?
Ein solches Vorgehen ist zulässig, um Mitarbeiter kurzfristig über aktuelle Auswirkungen der Pandemie auf die betriebliche Praxis hinweisen zu können. Nach der Auffassung des Landesdatenschutzbeauftragten Baden-Württemberg (Link s. unten) bedarf es allerdings der vorherigen Einwilligung der Beschäftigten in die Nutzung der privaten Kontaktdaten zu diesem Zweck. Diese Rechtsauffassung ist zumindest dann zu eng, wenn der Arbeitgeber bereits über die privaten Kontaktdaten der Beschäftigten verfügt und es sich um Mitarbeiter handelt, die nicht über dienstliche Kommunikationskanäle erreichbar sind. Die ursprüngliche Speicherung der privaten Kontaktdaten erfolgte zu dem Zweck, mit dem Beschäftigten erforderlichenfalls kommunizieren zu können. Dieser Zweck ist vorliegend zweifellos gegeben.
12. Besucherlisten: Dürfen Listen geführt werden, in der die Kontaktdaten aller Personen aufgenommen werden, die in der letzten Zeit das Betriebsgelände betreten haben? Welche Informationen dürfen erhoben werden?
Ja. Das Führen von Besucherlisten kann bereits unter normalen Umständen als Teilaspekt der Ausübung des Hausrechts zulässig sein und ist erst recht vor dem Hintergrund der gegenwärtigen COVID-19-Pandemie zulässig. Diese Rechtsauffassung wird auch durch die Datenschutzbeauftragten von Bund und Ländern (Link s. unten) gestützt. Den Beschäftigten vergleichbar (s. oben) dürfen auch von Besuchern neben den Kontaktdaten Informationen darüber erhoben werden, ob diese selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen und ob sie sich in den zurückliegenden Tagen und Wochen in einer durch das Robert-Koch-Institut als Risikogebiet eingestuften Region aufgehalten haben. Um auch Besucher schnell kontaktieren zu können, falls sich ein Verdachtsfall bei einem Mitarbeiter bestätigt, mit dem die Kunden in Kontakt standen, können auch von den Kunden die Kontaktdaten vorübergehend gespeichert werden. Eine Nutzung der Kontaktdaten zu anderen Zwecken ist unzulässig.
Datenschutz und IT-Sicherheit im Homeoffice
13. Home Office: Welche grundlegenden Voraussetzungen muss ein mobiler bzw. „Heim-“ Arbeitsplatz erfüllen?
Soweit dienstliche Aufgaben im Rahmen von mobiler bzw. „Tele-“Arbeit erledigt werden sollen, müssen durch Arbeitgeber und Arbeitnehmer gemeinschaftlich Maßnahmen ergriffen werden, die der Sicherheitssituation im Büro möglichst nahekommen. Die wesentlichen Schutzziele des Datensicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) sind auch bei der Verrichtung von Tätigkeiten außerhalb der Büroräume sicherzustellen. Folgende Maßnahmen sind nach Möglichkeit mindestens einzuhalten und sollten in einer „Richtlinie Mobile Office“ bzw. einem „Umsetzungskonzept“ festgelegt werden:
- Einrichtung eines Arbeitsplatzes, der vom übrigen Wohnraum räumlich getrennt ist, möglichst ein abschließbares Arbeitszimmer
- Wahrung der üblichen Arbeitsdisziplin, d.h. insbesondere Ordnung, eine sichere Aufbewahrung von Arbeitsmaterialien und gewissenhafte Entsorgung von Datenträgern unter Einhaltung der sonst im Betrieb üblichen Schutzstufen und -klassen
- Vornahme technischer Maßnahmen am Client, z.B. aktuell gepatchte Software und End-Point-Protection, Abschaltung externer Schnittstellen
- Ausdrückliche Untersagung der privaten Nutzung von betrieblicher IT
- Einräumung von Kontrollrechten des Arbeitgebers sowie ggf. des Datenschutzbeauftragten
- Definition von Meldewegen für den Fall von Datenschutzpannen
- Definition von Vorgaben für den Transport von Unterlagen und Datenträgern (z.B. verschlossene Behältnisse, Verschlüsselung)
- Definition von Übergabemodalitäten im Vertretungsfall und die Beendigung des Beschäftigungsverhältnisses bzw. der Mobile Office Genehmigung
Weitere Details und Anregungen können dem Baustein B 2.8 sowie der Maßnahme M 1.44 des BSI IT-Grundschutz-Kataloges entnommen werden.
14. Sensitive Daten: Dürfen auch sensitive personenbezogene Daten, z.B. Gesundheitsdaten, im Mobil- bzw. Homeoffice verarbeitet werden?
Einzelne Datenschutzaufsichtsbehörden haben in der Vergangenheit die Zulässigkeit der Verarbeitung sensitiver personenbezogener Daten unter Verweis auf die besonderen Herausforderungen für die Datensicherheit abgelehnt. Unternehmen, die die Möglichkeit des mobilen Arbeitens eröffnen, sind hiernach angehalten, die Verarbeitung von sensitiven Kunden- bzw. Beschäftigtendaten im Mobile Office auszuschließen. Wird eine Verarbeitung auch sensitiver personenbezogener Daten erwogen, muss über geeignete Maßnahmen für eine Reduktion der damit inhärent verbundenen Risiken (z.B. unbefugte Kenntnisnahme, Zerstörung, Diebstahl von Datenträgern, etc.) gesorgt werden. Hierzu zählt insbesondere, dass die Eingabe durch den Beschäftigten sowie die Bildschirmausgabe über ein sog. Terminalserversystem realisiert wird und darüber eine lokale Datenhaltung vermieden wird. Die Datenübertragung darf nur mittels Ende-zu-Ende-Verschlüsselung (z.B. über VPN) erfolgen. Sofern mit angemessenem Aufwand realisierbar, sollte am Client eine Mehrfaktorauthentifizierung vorgesehen sein. Über den Arbeitsvertrag oder eine Ergänzung hierzu (z.B. Richtlinie Mobiles Arbeiten) sollten dem Arbeitnehmer weitere Maßnahmen aufgegeben werden. Orientierung bietet die Maßnahme M 4.367 des BSI IT-Grundschutz-Kataloges.
15. Tools: Welche Aspekte sollten bei der Auswahl eines Anbieters von Audio- und Videokonferenzen Berücksichtigung finden?
Neben wirtschaftlichen Erwägungen wie den entstehenden Kosten oder der technischen Verfügbarkeit des Dienstes müssen auch rechtliche Aspekte in die Auswahlentscheidung einfließen. Hintergrund ist, dass auch im Falle der Einbindung eines Dienstleisters grundsätzlich der Arbeitgeber Verantwortlicher im Sinne des Datenschutzrechts bleibt. Soweit die einzusetzende Software Funktionen vorhält, die über das betrieblich Erforderliche hinausgehen (z.B. das Fertigen von personenbeziehbaren Nutzungsstatistiken, etc.), dürfen diese regelmäßig nicht genutzt werden und müssen vor dem Einsatz der Software deaktiviert werden. Sowohl aus eigenem Interesse als auch zum Zwecke der Sicherstellung der Integrität und Vertraulichkeit der Kommunikation sollte auf eine verschlüsselte Übertragung Wert gelegt werden. Sind sensitive personenbezogene Daten, Geschäftsgeheimnisse oder Informationen, die einem Berufsgeheimnis unterliegen Gegenstand der Kommunikation, ist eine verschlüsselte Übertragung verpflichtend.
16. Toolanbieter: Welche Compliance-Pflichten sind beim Onboarding eines Anbieters von Audio- und Videokonferenzen zu beachten?
Typischerweise wird ein Vertrag zur Auftragsverarbeitung im Sinne von Art. 28 DSGVO abzuschließen sein. Sofern das Hosting bzw. die Bereitstellung der SaaS-Software zumindest (auch) auf Servern außerhalb der Europäische Union bzw. des Europäischen Wirtschaftsraumes stattfindet, müssen mit dem Dienstleister zusätzliche Garantien vereinbart werden (z.B. Standard-Vertragsklauseln gemäß 2010/87/EU, Zertifizierung unter dem US-EU Privacy Shield, etc.).
Ausgewählte Links zu Informationen der Datenschutzaufsichtsbehörden
Europäischer Datenschutzausschuss (EDSA) https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29Gruppe_EDSA/SonstigePapiere/EDSA_Erklärung_Covid-19_Datenverarbeitung.html?cms_templateQueryString=corona&cms_sortOrder=score+desc
Datenschutzkonferenz von Bund und Ländern (DSK) https://www.datenschutzkonferenz-online.de/media/pm/20200325_Informationen_zu_Corona_und_Arbeitgeber.pdf
Baden-Württemberg (LfDI BW) https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/03/FAQ-Corona.pdf
Bayern (BayLfD, Öffentliche Stellen) https://www.datenschutz-bayern.de/corona/arbeitgeber.html
Bayern (LDA Bayern, Nicht-öffentliche Stellen) https://www.lda.bayern.de/de/corona_datenschutz.html
Brandenburg (LDA) https://www.lda.brandenburg.de/sixcms/detail.php/947857
Hamburg (HmbBfDI) https://datenschutz-hamburg.de/assets/pdf/Corona-FAQ.pdf
Nordrhein-Westfalen (LDI NRW) https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Corona-und-Datenschutz/Corona-und-Datenschutz.html
Schleswig-Holstein (ULD SH) https://www.datenschutzzentrum.de/corona/
Information Commissioner UK (ICO) https://ico.org.uk/for-organisations/data-protection-and-coronavirus/
Datenschutzbehörde Österreich (DSB) https://www.dsb.gv.at/informationen-zum-coronavirus-covid-19-
Sie suchen weitere Informationen zum Coronavirus? Hier finden Sie alle in der Übersicht!