Skip to main content

Covid-19: Datenschutz

Aufgrund der aktuellen Situation im Zusammenhang mit Covid-19 haben der Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Baden-Württemberg, die Landesbeauftragte für den Datenschutz Niedersachsen, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und der Europäische Datenschutzausschuss jeweils eine Stellungnahme zur Verarbeitung personenbezogener Daten im Zusammenhang mit der Corona-Pandemie veröffentlicht. Auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat sich mit einer Stellungnahme und einem Podcast zur Verarbeitung personenbezogener Daten im Zusammenhang mit der Corona-Pandemie zu Wort gemeldet. Jüngst äußerte sich die Landesdatenschutzbeauftragte von Schleswig – Holstein zu datenschutzrechtlichen Fragestellungen, die bei der Arbeit im Home Office zu berücksichtigen sind.

Darin wird insbesondere Arbeitgebern, aber auch Veranstaltern sowie Ärzten, Krankenhäusern und anderen Einrichtungen aus dem Gesundheitsbereich aufgezeigt, was in der aktuellen Situation datenschutzrechtlich zu beachten ist, wenn Maßnahmen und Aktivitäten im Zusammenhang mit Covid-19 ergriffen werden.

Der Bundesbeauftragte hat klargestellt, dass im Zusammenhang mit der Covid-19-Pandemie erhobene personenbezogene Daten, die Bezüge zwischen Personen und deren Gesundheitszustand herstellen, Gesundheitsdaten darstellen. Diese genießen nach der Datenschutz-Grundverordnung (DSGVO) besonderen Schutz.

Der Europäische Datenschutzausschuss weist zudem darauf hin, dass die DSGVO einer Datenverarbeitung bei Epidemien nicht pauschal entgegensteht, sondern vielmehr weit ausgestaltete Rechtsgrundlagen enthält, die auch Verarbeitungssituationen bei Epidemien erfassen können. Deshalb müsse häufig keine Einwilligung von Betroffenen eingeholt werden. Vielmehr handele es sich in der Regel um die Erfüllung einer rechtlichen Verpflichtung, den Schutz lebenswichtiger Interessen oder Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit. Eine Ausnahme stellen jedoch insbesondere Standortdaten dar, die nur anonymisiert oder mit Einwilligung des Betroffenen verarbeitet werden dürfen. Sofern möglich solle dabei immer der anonymisierten Verarbeitung der Vorrang gewährt werden. Das gelte unter anderem für die Erstellung von Karten auf Basis von Mobilfunkdaten, mithilfe derer angezeigt werden kann, wo sich aktuell viele Personen aufhalten.

Die wesentlichen Anwendungsfälle und Beispiele aus den Stellungnahmen finden Sie im Folgenden zusammengetragen und ergänzt, auch um Besonderheiten im Einzelfall darzustellen. Die dabei wegen oder im Zusammenhang mit Covid-19 geschaffenen Datenverarbeitungen sind – sofern diese nicht anonymisiert erfolgen – stets im Verzeichnis von Verarbeitungstätigkeiten aufzunehmen. Abhängig von der Datenverarbeitung ist ebenfalls an die gegebenenfalls erforderliche Durchführung einer Datenschutz-Folgenabschätzung zu denken. Geeignete technisch-organisatorische Maßnahmen sind in jedem Fall zu treffen. 

Zu datenschutzrechtlichen Themen im Home Office äußerte sich jüngst die Datenschutzbeauftrage von Schleswig – Holstein. Auch im Home Office gelten grundsätzlich weiterhin die Anforderungen an Datensicherheit, Datenschutz und IT-Security, wie sie auch vor Ort im Betrieb vorgeschrieben sind. Insbesondere sollte daher jeder Arbeitgeber seine Beschäftigten auffordern, datenschutz- und/oder geheimnisrechtlich relevante Dokumente nicht in der Altpapiertonne zu entsorgen, sondern entsprechend der üblichen Prozesse zu vernichten.

Darüber hinaus sollte darauf geachtet werden, dass der Arbeitsplatz datenschutzsicher eingerichtet wird. Dies beinhaltet etwa eine sichere Internetverbindung, wirksame Anti-Virus Systeme, aber auch den Schutz der Daten vor Zugriffen durch Dritte. Diesbezüglich sollte besonders darauf geachtet werden, dass Telefonate nicht mitgehört werden können und die Bildschirme nicht für Dritte sichtbar sind. Die einschlägigen Richtlinien und Policies sollten vor diesem Hintergrund entsprechend überprüft und erforderlichenfalls angepasst werden – dies gilt insbesondere für Auftragsverarbeiter. Liegt eine Datenverarbeitung im Rahmen einer Auftragsverarbeitung vor, sollte sichergestellt werden, dass in der zugrunde liegenden Vereinbarung die Arbeit im Home Office nicht ausgeschlossen ist. Sollte dies nicht der Fall sein, sollten die Vereinbarungen entsprechend – wenn auch nur temporär – angepasst werden.

Private Handynummern oder andere Kontaktdetails dürfen erhoben werden, um die Beschäftigten im Falle einer Schließung des Betriebs oder in ähnlichen Fällen kurzfristig warnen oder auffordern zu können, zu Hause zu bleiben. Dies dient dem legitimen Zweck, eine Infektionsgefährdung der Beschäftigten zu verhindern oder jedenfalls zu verringern. Allerdings bedarf es dafür des Einverständnisses des jeweiligen Beschäftigten. Vor dem Hintergrund der gleichlaufenden Interessen dürfte dies in der Praxis jedoch kein Hindernis darstellen.

Zu beachten ist allerdings, dass die Erhebung und Verarbeitung nur zu den oben genannten legitimen Zwecken erfolgen darf. Die Daten dürfen also nicht für andere Zwecke genutzt werden und sie sind nach dem Ende der Covid-19-Krise zu löschen.

Aufgrund seiner gesetzlichen Fürsorgepflichten nach dem Arbeitsschutzgesetz ist der Arbeitgeber verpflichtet, erforderliche Maßnahmen zu treffen. Insbesondere hat der Arbeitgeber bestmöglich dafür Sorge zu tragen, dass seine Beschäftigten vor einer Infektion durch eine erkrankte Person geschützt werden. Der Arbeitgeber darf daher vor Betreten des Werks- bzw. Bürogeländes Informationen von Besuchern darüber erheben, (i) ob sie Kontakt zu einem Erkrankten und/oder positiv auf Covid-19 Getesteten hatten und (ii) ob sie sich in einem Risikogebiet aufgehalten haben. Allerdings dürfte ein berechtigtes Interesse an der Information – vor dem Hintergrund der Inkubationszeit von 14 Tagen und eines Sicherheitsaufschlags weiterer 14 Tage – regelmäßig auf einen Zeitraum von circa einem Monat vor Betreten beschränkt sein.

Den Interessen der Besucher hat der Arbeitgeber dadurch Rechnung zu tragen, dass eine Negativauskunft des Besuchers regelmäßig ausreicht. Es bedarf also regelmäßig keiner genauen Informationen über konkrete Reiseziele, sondern lediglich einer Auskunft darüber, ob es sich um ein Risikogebiet handelt oder nicht. Außerdem sind die Daten unverzüglich zu löschen, nachdem der legitime Zweck der Datenverarbeitung weggefallen ist.

Um eine Stigmatisierung und Ausgrenzung des Beschäftigten zu vermeiden, dürfte dies nur in äußerst begrenzten Ausnahmefällen zulässig sein. Vielmehr hat der Arbeitgeber dem folgenden, abgestuften Vorgehen zu folgen:

  • 1. Stufe: Regelmäßig kann eine derartige Maßnahme abteilungs-/ bzw. teambezogen ohne konkrete Namensnennung erfolgen.
  • 2. Stufe: Ist dies ausnahmsweise nicht ausreichend, so hat der Arbeitgeber Kontakt mit der zuständigen Gesundheitsbehörde aufzunehmen und deren Entscheidung herbeizuführen.
  • 3. Stufe: Ist auch dies nicht möglich, so dürfen auch die übrigen Beschäftigten über den Verdacht der Ansteckung oder der Erkrankung informiert werden.

Der Grundsatz, dass personenbezogene Daten, insbesondere zum Gesundheitsstatus, auf einer „need-to-know-basis“ zu verarbeiten sind, ist auch hier zu berücksichtigen. Das heißt personenbezogene Daten dürfen nur offengelegt werden, soweit dies erforderlich ist.

Soweit ein Veranstalter plant, Besucherdaten zu speichern, um diese Daten später an Gesundheitsbehörden auf deren Anforderung zu übermitteln, sind folgende Konstellationen zu unterscheiden: 

  • Die zuständige Behörde hat eine Verfügung erlassen, die Besucherdaten zu speichern: In diesem Fall darf und muss der Veranstalter diese Daten häufig nicht nur speichern, sondern auf Verlangen der Behörde auch an diese übermitteln.
  • Eine Verfügung der zuständigen Behörde, die Besucherdaten zu speichern, besteht nicht: In diesem Fall muss der Veranstalter die Einwilligung der Besucher einholen, wenn er die Namen und Kontaktdaten der Besucher erheben und speichern möchte, um diese Daten später an Gesundheitsbehörden auf Aufforderung übermitteln zu können. Die Daten dürfen in der Regel nur so lange gespeichert werden, wie die Inkubations- und Entdeckungszeit der Infektion dauert. Vor dem Hintergrund der Inkubationszeit von 14 Tagen und eines Sicherheitsaufschlags weiterer 14 Tage sind die Daten jedenfalls nach circa einem Monat zu löschen.

In beiden Fällen sollte der Veranstalter allerdings überprüfen, ob seine Datenschutzerklärung die Speicherung und Übermittlung der betreffenden Daten an Gesundheitsbehörden umfasst und die Datenschutzerklärung erforderlichenfalls anpassen.

Ärzte, Krankenhäuser und andere Einrichtungen sind als Leistungserbringer im Gesundheitsbereich nach dem Infektionsschutzgesetz verpflichtet, eine Covid-19-Infektion zu melden. So muss ein Arzt im Falle der Meldung die gesetzlich vorgeschriebenen Angaben mitteilen, wozu unter anderem Name und Vorname, Geschlecht, Geburtsdatum sowie die wahrscheinliche Infektionsquelle gehören. Der Arzt muss diese Angaben jedoch nur dann mitteilen, wenn ihm diese Informationen vorliegen. Er ist nicht verpflichtet, fehlende Angaben zu erheben, so dass er im Einzelfall prüfen muss, ob er diese überhaupt erheben darf, sofern er entsprechende Anstrengungen zur Datenerhebung unternehmen will. Zudem sollten die Leistungserbringer überprüfen, ob die Datenschutzerklärung die Möglichkeit einer Meldung von Gesundheitsdaten an Gesundheitsbehörden umfasst und die Datenschutzerklärung erforderlichenfalls anpassen.

Nach der o.g. Stellungnahme des Landesbeauftragten für Datenschutz und die Informationsfreiheit Rheinland-Pfalz ist von einer Erforderlichkeit dieser Datenverarbeitung nicht auszugehen. Denn der Umstand, dass die Körpertemperatur erhöht sei, lasse noch nicht automatisch den Schluss auf das Vorliegen einer Corona-Erkrankung zu. Vorzugswürdig sei vielmehr, wiederholt darauf hinzuweisen, dass bei Verspüren von grippalen Symptomen ein Arzt aufzusuchen ist, um den Gesundheitszustand abklären zu lassen. Hilfsweise könne der Beschäftigte zum Betriebs- oder Amtsarzt geschickt werden. Zudem stünden die oben beschriebenen Möglichkeiten, z.B. zur Befragung zum Aufenthalt in Risikogebieten oder zu Kontakt mit positiv auf Covid-19 Getesteten zur Verfügung. Im Übrigen seien medizinische Untersuchungen den Gesundheitsämtern vorbehalten.

Auch die Einholung einer Einwilligung des Beschäftigten, um die Erfassung der Körpertemperatur zu legitimieren, sei nicht zulässig. Denn dafür fehle es an der erforderlichen Freiwilligkeit.

Seit dem 18. März 2020 stellt die Deutsche Telekom dem Robert-Koch-Institut Informationen zu Bewegungsströmen von Handynutzern kostenlos zur Verfügung. Diese sollen insbesondere der Überprüfung dienen, inwiefern die aktuellen Maßnahmen und Empfehlungen greifen und die Mobilität der Bevölkerung tatsächlich reduziert wird. Im Einklang mit den Anforderungen des Europäischen Datenschutzausschusses erfolgt diese Datenverarbeitung in anonymisierter Form.

Der EU-Kommissar Thierry Breton hat gemeinsam mit europäischen Telekommunikationsunternehmen und dem Verband der Mobilfunkanbieter vereinbart, dass pro Mitgliedstaat ein Anbieter anonymisierte Standortdaten seiner Mobilfunkkunden an die EU Behörde übermitteln soll. Mithilfe dieser anonymisierten Daten sollen Bewegungsströme ermittelt und die Einhaltung von Kontaktsperren überprüft werden. Die europäische Datenschutzbeauftrage Wojciech Wiewiórowski sieht in dem geplanten Vorgehen keinen Verstoß gegen die DSGVO, wenn die Zwecke klar definiert werden und der Umgang mit den personenbezogenen Daten die strengen Sicherheitsanforderungen der DSGVO erfüllt. Dazu zählen eine effektive Anonymisierung, der vertrauliche Umgang mit und eine Löschung der Daten, sobald sie nicht mehr erforderlich sind.

 

Für weitere Informationen steht Ihnen unser Linklaters Team für Datenschutz gerne zur Verfügung.

ANSPRECHPARTNER

COVID-19 TASK-FORCE

 

Dr. Andreas Dehio, Partner, Aufsichtsrecht
> E-Mail

Dr. Kurt Dittrich, Partner, Kapitalmarktrecht
> E-Mail

Dr. Jan Endler, Partner, Öffentliches Recht / Beihilfen
> E-Mail

Dr. Timon Grau, Partner, Arbeitsrecht
> E-Mail

Dr. Carsten Grave, Partner, Kartellrecht
> E-Mail

Dr. Tim Johannsen-Roth, Partner, Corporate / M&A
> E-Mail

Dr. Jochen Laufersweiler, Partner, Corporate / M&A
> E-Mail

Oliver Rosenberg, Partner, Steuerrecht
> E-Mail

Dr. Sven Schelo, Partner, Restrukturierung
> E-Mail

Kirstin Schwedt, Partnerin, Dispute Resolution
> E-Mail

Prof. Dr. Daniela Seeliger, Partnerin, Kartellrecht
> E-Mail

Andreas Steck, Partner, Aufsichtsrecht
> E-Mail

Dr. Sabine Vorwerk, Partnerin, Restrukturierung
> E-Mail

Ulrich Wolff, Partner, Corporate / M&A
> E-Mail