IT & Datenschutz
Vorheriger Beitrag
Nächster Beitrag

Datenschutz in Zeiten des Coronavirus – Ein Überblick

3. April 2020 von Dr. Maria Fasouli (LL.M. Eur.)

Zur Eindämmung von COVID-19 werden in der ganzen Welt Maßnahmen ergriffen. Dies kann zur Verarbeitung verschiedener Arten von personenbezogenen Daten führen. Im Zusammenhang mit der Corona-Pandemie werden vor allem solche Daten erhoben, durch die eine Verbindung zwischen Personen und deren Gesundheitszustand hergestellt werden kann. Ab diesem Zeitpunkt handelt es sich um Gesundheitsdaten, die nach Artikel 9 Datenschutz-Grundverordnung (DS-GVO) in der Union besonders geschützt sind.

Die DSGVO verbietet grundsätzlich die Verarbeitung besonderer Kategorien personenbezogener Daten wie z.B. Gesundheitsdaten. Sie sieht allerdings einige Ausmaßen vor. Für Covid-19 relevant sind vor allem:

  • Das erhebliche öffentliche Interesse im Bereich der öffentlichen Gesundheit (Art. 9 Abs. 2 lit. i DS-GVO), wegen dem die Verarbeitung auf der Grundlage des Unionsrechts oder des nationalen Rechts erforderlich ist
  • Die Notwendigkeit, die lebenswichtigen Interessen der betroffenen Person zu schützen (Art. 9 Abs. 2 lit. c DS-GVO).

Insofern wird in Erwägungsgrund 46 ausdrücklich auf die Bekämpfung einer Epidemie Bezug genommen. Dadurch werden die rechtlichen Grundlagen festgelegt, die es den zuständigen Gesundheitsbehörden und den Arbeitgebern ermöglichen, personenbezogene Daten im Zusammenhang mit Epidemien zu verarbeiten, ohne die Zustimmung der betroffenen Person einholen zu müssen. Dies gilt zum Beispiel, wenn die Verarbeitung personenbezogener Daten für die Arbeitgeber aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder zum Schutz lebenswichtiger Interessen oder zur Erfüllung einer anderen gesetzlichen Verpflichtung notwendig ist (Artt. 6 Abs. 1 lit. c und e iVm. 9 Abs. 2 lit. i DS-GVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG).

Im Beschäftigungskontext kann die Verarbeitung personenbezogener Daten für die Erfüllung einer gesetzlichen Verpflichtung z.B. erforderlich sein, wenn der Arbeitgeber Grund zu der Annahme hat, dass ein Mitarbeiter infiziert ist und er deshalb im Rahmen der Fürsorgepflichten Isolationsmaßnahmen einleiten will[1].

Erfassen von Bewegungsdaten durch öffentliche Stellen

Für die Verarbeitung von elektronischen Kommunikationsdaten, wie z.B. mobilen Standortdaten, gelten zusätzliche Regeln. Das nationale Gesetz zur Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) sieht den Grundsatz vor, dass die Standortdaten vom Dienstanbieter nur mit der Einwilligung der betroffenen Personen verwendet werden dürfen (§§ 96 Telekommunikationsgesetz).

Die Behörden müssen daher die Verarbeitung von Standortdaten in anonymer Form anstreben ("Kartographie"). Werden die Daten so aggregiert, dass dadurch keine natürliche Person identifiziert werden kann, dann handelt es sich nicht mehr um Daten, die von der DSGVO geschützt sind. Auf diese Weise können Berichte über die Konzentration von mobilen Geräten an einem bestimmten Ort zu erstellt werden, was die Nachverfolgung von Infektionsketten erlaubt. Mit dieser Datengrundlage kann dann nachvollzogen werden, ob Isolationsmaßnamen effektiv sind oder ggf. Problemgebiete identifiziert werden. Nicht möglich wäre aber das individuelle Verfolgen von Erkrankten.  

Wenn die Anonymisierung der Daten nicht möglich ist, sieht Art. 15 Richtlinie 2002/58/EG vor, dass die Mitgliedstaaten trotzdem Rechtsvorschriften zur Gewährleistung ihrer nationalen und öffentlichen Sicherheit erlassen können. Diese Notstandsrechtsvorschriften sind nur dann erlaubt, wenn diese notwendig, angemessen und verhältnismäßig innerhalb einer demokratischen Gesellschaft sind. Wenn solche Maßnahmen eingeführt werden, dann ist ein Mitgliedstaat verpflichtet, angemessene Schutzvorkehrungen, wie z.B. das Recht des Einzelnen auf einen Rechtsbehelf zu gewährleisten. Diese Maßnahmen müssen im Einklang mit der Charta der Grundrechte und der Europäischen Menschenrechtskonvention stehen.  Die bereitgestellten Informationen sollten leicht zugänglich sein und in klarer und deutlicher Sprache bereitgestellt werden. Es ist wichtig, angemessene Sicherheitsmaßnahmen und Vertraulichkeitsrichtlinien zu ergreifen, die sicherstellen, dass persönliche Daten nicht an Unbefugte weitergegeben werden. Zudem sollten die Maßnahmen, die zur Bewältigung des aktuellen Notfalls und des zugrunde liegenden Entscheidungsprozesses durchgeführt werden, angemessen dokumentiert werden.

Die Grundsätze der Verhältnismäßigkeit der Maßnahme in Bezug auf Dauer und Umfang, begrenzte Datenspeicherung und Zweckbindung sind dabei aufrecht zu halten. Invasive Maßnahmen wie die "Verfolgung von Personen“ könnten nur unter außergewöhnlichen Umständen und in Abhängigkeit von den konkreten Verarbeitungsmodalitäten als verhältnismäßig angesehen werden. Diese sollten jedoch einer verstärkten Kontrolle und Sicherheitsvorkehrungen unterliegen, um die Einhaltung der Datenschutzgrundsätze zu gewährleisten, sodass die Notfallmaßnahmen nicht zur Unterdrückung der Menschenrechte missbraucht werden können.

Beschäftigtendatenschutz

Hier stellt sich vor allem die Frage, ob ein Arbeitgeber bzw. ein Dienstherr von Arbeitnehmern sowie Gästen und Besuchern verlangen kann, dass sie ihm im Rahmen von COVID-19 spezifische Gesundheitsinformationen bereitstellen.

Der Arbeitgeber hat die Fürsorgepflicht, im Sinne der Gesundheitsvorsorge die Gesundheit der Gesamtheit seiner Beschäftigten sicherzustellen. Hierzu zählt auch die angemessene Reaktion auf die pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge oder der Nachverfolgbarkeit dient. Auch hier muss der Arbeitgeber bei jeder Maßnahme die Prinzipien der Verhältnismäßigkeit und der Datenminimierung beachten. Die Daten müssen vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks, spätestens nach dem Ende der Pandemie, müssen die erhobenen Daten unverzüglich gelöscht werden.

Insbesondere wird man die Verarbeitung der Gesundheitsdaten von Beschäftigten durch den Arbeitgeber als datenschutzrechtlich legitim ansehen können, wenn eine Infektion tatsächlich festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat. Die Erhebung und Verarbeitung personenbezogener Daten bzw. Gesundheitsdaten von Gästen und Besuchern ist dann legitimiert, insbesondere um festzustellen, ob diese selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen oder ob sich in einem relevanten Zeitraum in einem als Risikogebiet eingestuften Gebiet aufgehalten haben.

Im Gegensatz dürfte es regelmäßig unzulässig sein, wenn der Arbeitgeber das Betreten der Unternehmensgelände durch die Arbeitnehmer ohne konkreten Anlass davon abhängig macht, dass diese zunächst ihre Körpertemperatur erfassen lassen. Diese Maßnahme ist schon nicht geeignet, geschweige denn erforderlich, um die Pandemie zu bekämpfen. Denn schließlich ist ein Großteil der mit Covid-19 Infizierten asymptomatisch.

Zudem ist die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen nur dann rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist. In diesem Fall wird das Prinzip der Datensparsamkeit am besten erfüllt, wenn der infizierte Arbeitnehmer selbst eine Liste von Kontaktpersonen vorliegt und diese gezielt angesprochen werden. Eine unternehmensweite namentliche Benennung des Infizierten erübrigt sich so.

Als kritisch zu betrachten ist das Einholen einer Einwilligungserklärung vom Arbeitnehmer zur Legitimierung von Datenverarbeitungsvorgängen. Denn hier wird es regelmäßig an der dafür erforderlichen Freiwilligkeit, also das Vorhandensein einer echten Wahlmöglichkeit, fehlen. Denn der Beschäftigte befindet sich in einem wirtschaftlichen Abhängigkeitsverhältnis zum Arbeitgeber oder Dienstherrn.

Zusätzlich zu den bestehenden Rechtsgrundlagen für die Datenverarbeitung auf Seiten des Arbeitgebers ergeben sich aus mehreren Rechtsvorschriften auch für Beschäftigte verschiedene Nebenpflichten, unter anderem Rücksichts-, Verhaltens- und Mitwirkungspflichten gegenüber ihrem Arbeitgeber und Dritten. Insbesondere kann der Arbeitnehmer bei hinreichendem Verdacht, er sei infiziert, eine Offenlegungsbefugnis der zugrunde liegenden Tatsachen (gemäß Art. 6 Abs. 1 lit. c) und f) DSGVO) bezüglich personenbezogener Daten der Kontaktpersonen gegenüber seinem Arbeitgeber haben.

Fazit

Datenschutzbestimmungen wie die DS-GVO behindern nicht die Maßnahmen, die im Kampf gegen die Coronavirus-Pandemie ergriffen werden. Dennoch muss der für die Datenverarbeitung Verantwortliche auch in diesen außergewöhnlichen Zeiten den Schutz der persönlichen Daten der betroffenen Personen gewährleisten. Denn der Grundrechtsschutz stellt gerade in Krisenzeiten ein wesentliches Merkmal unserer freiheitlich demokratischen Grundordnung dar, dass unbedingt aufrecht gehalten werden muss[2].



[1] Die Rechtsgrundlage zur Verarbeitung „Gesundheitsdaten von Mitarbeitern“ ergibt sich für öffentlich-rechtliche Arbeitgeber grundsätzlich aus Art. 6 Abs. 1 S. 1 lit. e) DSGVO i.V.m. den einschlägigen beamtenrechtlichen Vorschriften. Zusätzlich könnte Art. 9 Abs. 2 lit. g) DSGVO als Rechtsgrundlage für die Datenverarbeitung betrachtet werden, da die Fürsorgepflicht im Sinne der Gesundheitsvorsorge hier auch einem wichtigen öffentlichen Interesse dient. Für Arbeitgeber im nicht-öffentlichen Bereich werden § 26 Abs. 1 und 3 BDSG i.V.m. Art. 6 Abs. 1 S. 1 lit. f) und Art. 9 Abs. 2 lit. b) DSGVO und den entsprechenden tarif-, arbeits- und sozialrechtlichen Regelungen herangezogen werden.
Maßnahmen gegenüber Dritten können bei öffentlichen Stellen auf Art. 6 Abs. 1 S. 1 lit. c) und e) ggf. i.V.m. den jeweiligen Landesdatenschutzgesetzen gestützt werden. Im nicht-öffentlichen Bereich kann Art. 6 Abs. 1 S. 1 lit. f) DS-GVO als Rechtsgrundlage verwendet werden. Die Verarbeitung von besonders sensiblen Daten bzw. Gesundheitsdaten kann zudem auf Art. 9 Abs. 2 lit. i) i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG gestürzt werden.
[2]Quellen: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit:
https://www.bfdi.bund.de/DE/Datenschutz/Datenschutz-Corona/Allgemeines/Allgemeines_node.html
European Data Protection Board Statement adopted on 19. March 2020:
https://edpb.europa.eu/sites/edpb/files/files/news/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf