Skip to main content

Covid-19: Datenschutz

Aufgrund der aktuellen Situation im Zusammenhang mit Covid-19 haben unter anderem der Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Baden-Württemberg, die Landesbeauftragte für den Datenschutz Niedersachsen, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und der Europäische Datenschutzausschuss jeweils eine Stellungnahme zur Verarbeitung personenbezogener Daten im Zusammenhang mit der Corona-Pandemie veröffentlicht. Auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat sich mit einer Stellungnahme und einem Podcast zur Verarbeitung personenbezogener Daten im Zusammenhang mit der Corona-Pandemie zu Wort gemeldet. Zudem äußerte sich die Landesdatenschutzbeauftragte von Schleswig – Holstein zu datenschutzrechtlichen Fragestellungen, die bei der Arbeit im Home Office zu berücksichtigen sind. Bezüglich des Einsatzes von Wärmebildkameras bzw. elektronischer Temperaturerfassung hat die Datenschutzkonferenz (DSK) in einem Beschluss ausführlich Stellung bezogen.

Darin wird insbesondere Arbeitgebern, aber auch Veranstaltern sowie Ärzten, Krankenhäusern und anderen Einrichtungen aus dem Gesundheitsbereich aufgezeigt, was in der aktuellen Situation datenschutzrechtlich zu beachten ist, wenn Maßnahmen und Aktivitäten im Zusammenhang mit Covid-19 ergriffen werden.

Der Bundesbeauftragte hat klargestellt, dass im Zusammenhang mit der Covid-19-Pandemie erhobene personenbezogene Daten, die Bezüge zwischen Personen und deren Gesundheitszustand herstellen, Gesundheitsdaten darstellen. Diese genießen nach der Datenschutz-Grundverordnung (DSGVO) besonderen Schutz.

Der Europäische Datenschutzausschuss weist zudem darauf hin, dass die DSGVO einer Datenverarbeitung bei Epidemien nicht pauschal entgegensteht, sondern vielmehr weit ausgestaltete Rechtsgrundlagen enthält, die auch Verarbeitungssituationen bei Epidemien erfassen können. Deshalb müsse häufig keine Einwilligung von Betroffenen eingeholt werden. Vielmehr handele es sich in der Regel um die Erfüllung einer rechtlichen Verpflichtung, den Schutz lebenswichtiger Interessen oder Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit. Eine Ausnahme stellen jedoch insbesondere Standortdaten dar, die nur anonymisiert oder mit Einwilligung des Betroffenen verarbeitet werden dürfen. Sofern möglich solle dabei immer der anonymisierten Verarbeitung der Vorrang gewährt werden. Das gelte unter anderem für die Erstellung von Karten auf Basis von Mobilfunkdaten, mithilfe derer angezeigt werden kann, wo sich aktuell viele Personen aufhalten.

Die wesentlichen Anwendungsfälle und Beispiele aus den Stellungnahmen finden Sie im Folgenden zusammengetragen und ergänzt, auch um Besonderheiten im Einzelfall darzustellen. Die dabei wegen oder im Zusammenhang mit Covid-19 geschaffenen Datenverarbeitungen sind – sofern diese nicht anonymisiert erfolgen – stets im Verzeichnis von Verarbeitungstätigkeiten aufzunehmen. Abhängig von der Datenverarbeitung ist ebenfalls an die gegebenenfalls erforderliche Durchführung einer Datenschutz-Folgenabschätzung zu denken. Geeignete technisch-organisatorische Maßnahmen sind in jedem Fall zu treffen. 

Zu datenschutzrechtlichen Themen im Home Office äußerte sich die Datenschutzbeauftrage von Schleswig – Holstein. Auch im Home Office gelten grundsätzlich weiterhin die Anforderungen an Datensicherheit, Datenschutz und IT-Security, wie sie auch vor Ort im Betrieb vorgeschrieben sind. Insbesondere sollte daher jeder Arbeitgeber seine Beschäftigten auffordern, datenschutz- und/oder geheimnisrechtlich relevante Dokumente nicht in der Altpapiertonne zu entsorgen, sondern entsprechend der üblichen Prozesse zu vernichten.

Darüber hinaus sollte darauf geachtet werden, dass der Arbeitsplatz datenschutzsicher eingerichtet wird. Dies beinhaltet etwa eine sichere Internetverbindung, wirksame Anti-Virus Systeme, aber auch den Schutz der Daten vor Zugriffen durch Dritte. Diesbezüglich sollte besonders darauf geachtet werden, dass Telefonate nicht mitgehört werden können und die Bildschirme nicht für Dritte sichtbar sind. Die einschlägigen Richtlinien und Policies sollten vor diesem Hintergrund entsprechend überprüft und erforderlichenfalls angepasst werden – dies gilt insbesondere für Auftragsverarbeiter. Liegt eine Datenverarbeitung im Rahmen einer Auftragsverarbeitung vor, sollte sichergestellt werden, dass in der zugrunde liegenden Vereinbarung die Arbeit im Home Office nicht ausgeschlossen ist. Sollte dies nicht der Fall sein, sollten die Vereinbarungen entsprechend – wenn auch nur temporär – angepasst werden.

Der Bayerische Landesbeauftragte für den Datenschutz weist daraufhin, dass generell möglichst datensparsam gearbeitet werden muss und nach Möglichkeit keine sensiblen Daten auf Privatgeräten abgespeichert werden sollten. Mobile Geräte müssten mindestens durch eine PIN oder ein Passwort geschützt sein.

Bei der Auswahl eines Videokommunikations-Tools für das Home-Office ist zu beachten, dass insbesondere bei Produkten von Anbietern mit Sitz außerhalb der EU überprüft werden sollte, ob diese dem Datenschutzniveau der DSGVO entsprechen.

Private Handynummern oder andere Kontaktdetails dürfen erhoben werden, um die Beschäftigten im Falle einer Schließung des Betriebs oder in ähnlichen Fällen kurzfristig warnen oder auffordern zu können, zu Hause zu bleiben. Dies dient dem legitimen Zweck, eine Infektionsgefährdung der Beschäftigten zu verhindern oder jedenfalls zu verringern. Allerdings bedarf es dafür des Einverständnisses des jeweiligen Beschäftigten. Vor dem Hintergrund der gleichlaufenden Interessen dürfte dies in der Praxis jedoch kein Hindernis darstellen.

Zu beachten ist allerdings, dass die Erhebung und Verarbeitung nur zu den oben genannten legitimen Zwecken erfolgen darf. Die Daten dürfen also nicht für andere Zwecke genutzt werden und sie sind nach dem Ende der Covid-19-Krise zu löschen.

Aufgrund seiner gesetzlichen Fürsorgepflichten nach dem Arbeitsschutzgesetz ist der Arbeitgeber verpflichtet, erforderliche Maßnahmen zu treffen. Insbesondere hat der Arbeitgeber bestmöglich dafür Sorge zu tragen, dass seine Beschäftigten vor einer Infektion durch eine erkrankte Person geschützt werden. Der Arbeitgeber darf daher vor Betreten des Werks- bzw. Bürogeländes Informationen von Besuchern darüber erheben, (i) ob sie Kontakt zu einem Erkrankten und/oder positiv auf Covid-19 Getesteten hatten und (ii) ob sie sich in einem Risikogebiet aufgehalten haben. Allerdings dürfte ein berechtigtes Interesse an der Information – vor dem Hintergrund der Inkubationszeit von 14 Tagen und eines Sicherheitsaufschlags weiterer 14 Tage – regelmäßig auf einen Zeitraum von circa einem Monat vor Betreten beschränkt sein.

Den Interessen der Besucher hat der Arbeitgeber dadurch Rechnung zu tragen, dass eine Negativauskunft des Besuchers regelmäßig ausreicht. Es bedarf also regelmäßig keiner genauen Informationen über konkrete Reiseziele, sondern lediglich einer Auskunft darüber, ob es sich um ein Risikogebiet handelt oder nicht. Außerdem sind die Daten unverzüglich zu löschen, nachdem der legitime Zweck der Datenverarbeitung weggefallen ist.

Aufgrund seiner gesetzlichen Fürsorgepflichten nach dem Arbeitsschutzgesetz ist der Arbeitgeber verpflichtet, erforderliche Maßnahmen zum Schutz der Arbeitnehmer zu treffen. Insbesondere hat der Arbeitgeber bestmöglich dafür Sorge zu tragen, dass die übrigen Beschäftigten vor einer Infektion durch eine erkrankte Person geschützt werden. Der Arbeitgeber darf daher (i) Informationen darüber erheben, zu welchen Personen ein erkrankter Beschäftigter Kontakt hatte, (ii) Informationen von Urlaubsrückkehrern darüber erheben, ob sie sich in einem Risikogebiet aufgehalten haben, und (iii) Informationen von Beschäftigten darüber erheben, ob sie Kontakt zu einem Erkrankten und/oder positiv auf Covid-19 Getesteten hatten.

Den Interessen der Beschäftigten hat der Arbeitgeber dadurch Rechnung zu tragen, dass eine Negativauskunft des Beschäftigten regelmäßig ausreicht. Es bedarf also regelmäßig keiner genauen Informationen über konkrete Reiseziele, sondern lediglich einer Auskunft darüber, ob es sich um ein Risikogebiet handelt oder nicht. Außerdem sind die Daten unverzüglich zu löschen, nachdem der legitime Zweck der Datenverarbeitung weggefallen ist.

Um eine Stigmatisierung und Ausgrenzung des Beschäftigten zu vermeiden, dürfte dies nur in äußerst begrenzten Ausnahmefällen zulässig sein. Vielmehr hat der Arbeitgeber dem folgenden, abgestuften Vorgehen zu folgen:

  • 1. Stufe: Regelmäßig kann eine derartige Maßnahme abteilungs-/ bzw. teambezogen ohne konkrete Namensnennung erfolgen.
  • 2. Stufe: Ist dies ausnahmsweise nicht ausreichend, so hat der Arbeitgeber Kontakt mit der zuständigen Gesundheitsbehörde aufzunehmen und deren Entscheidung herbeizuführen.
  • 3. Stufe: Ist auch dies nicht möglich, so dürfen auch die übrigen Beschäftigten über den Verdacht der Ansteckung oder der Erkrankung informiert werden.

Der Grundsatz, dass personenbezogene Daten, insbesondere zum Gesundheitsstatus, auf einer „need-to-know-basis“ zu verarbeiten sind, ist auch hier zu berücksichtigen. Das heißt personenbezogene Daten dürfen nur offengelegt werden, soweit dies erforderlich ist.

Soweit ein Veranstalter plant, Besucherdaten zu speichern, um diese Daten später an Gesundheitsbehörden auf deren Anforderung zu übermitteln, sind folgende Konstellationen zu unterscheiden: 

  • Die zuständige Behörde hat eine Verfügung erlassen, die Besucherdaten zu speichern: In diesem Fall darf und muss der Veranstalter diese Daten häufig nicht nur speichern, sondern auf Verlangen der Behörde auch an diese übermitteln.
  • Eine Verfügung der zuständigen Behörde, die Besucherdaten zu speichern, besteht nicht: In diesem Fall muss der Veranstalter die Einwilligung der Besucher einholen, wenn er die Namen und Kontaktdaten der Besucher erheben und speichern möchte, um diese Daten später an Gesundheitsbehörden auf Aufforderung übermitteln zu können. Die Daten dürfen in der Regel nur so lange gespeichert werden, wie die Inkubations- und Entdeckungszeit der Infektion dauert. Vor dem Hintergrund der Inkubationszeit von 14 Tagen und eines Sicherheitsaufschlags weiterer 14 Tage sind die Daten jedenfalls nach circa einem Monat zu löschen.

In beiden Fällen sollte der Veranstalter allerdings überprüfen, ob seine Datenschutzerklärung die Speicherung und Übermittlung der betreffenden Daten an Gesundheitsbehörden umfasst und die Datenschutzerklärung erforderlichenfalls anpassen. Die Verarbeitung der Daten ist allerdings nur zur Nachverfolgung von Infektionsfällen zulässig, nicht zu anderen Zwecken. 

Weiterhin ist zu beachten, dass die Auslegung öffentlich einsehbarer Listen, in die Kunden oder Besucher sich eintragen sollen, nicht zulässig ist. Es gilt die Regel: „Pro Gast ein Blatt“. Zudem sind die Betroffenen gemäß Art. 13 DSGVO über die Datenerhebung zu informieren. Dieser Informationspflicht werde auch durch gut einsehbare Aushänge genügt, so der Landesbeauftragte für Datenschutz und Informationsfreiheit Rheinland-Pfalz.

Ärzte, Krankenhäuser und andere Einrichtungen sind als Leistungserbringer im Gesundheitsbereich nach dem Infektionsschutzgesetz verpflichtet, eine Covid-19-Infektion zu melden. So muss ein Arzt im Falle der Meldung die gesetzlich vorgeschriebenen Angaben mitteilen, wozu unter anderem Name und Vorname, Geschlecht, Geburtsdatum sowie die wahrscheinliche Infektionsquelle gehören. Der Arzt muss diese Angaben jedoch nur dann mitteilen, wenn ihm diese Informationen vorliegen. Er ist nicht verpflichtet, fehlende Angaben zu erheben, so dass er im Einzelfall prüfen muss, ob er diese überhaupt erheben darf, sofern er entsprechende Anstrengungen zur Datenerhebung unternehmen will. Zudem sollten die Leistungserbringer überprüfen, ob die Datenschutzerklärung die Möglichkeit einer Meldung von Gesundheitsdaten an Gesundheitsbehörden umfasst und die Datenschutzerklärung erforderlichenfalls anpassen.

In dem o.g. Beschluss der DSK weist diese darauf hin, dass die Verarbeitung personenbezogener Daten bei der Körpertemperaturmessung als betriebliche Maßnahme in der Regel daran scheitern dürfte, dass eine solche Verarbeitung nicht geeignet ist, um das Infektionsrisiko zu reduzieren. Ungeeignete Maßnahmen sind in der Konsequenz jedoch nicht erforderlich, um dem Zweck der Verarbeitung zu dienen. Eine erhöhte Temperatur ist der DSK zufolge nicht zwangsläufig Symptom einer Covid-19-Infektion und umgekehrt weisen viele Infizierte keine erhöhte Temperatur auf. Darüber hinaus seien mildere Maßnahmen, bspw. Hygiene- und Abstandsbestimmungen, weniger einschneidend und ebenso effektiv.

Auch der Landesbeauftragte für Datenschutz und die Informationsfreiheit Rheinland-Pfalz ist nach der o.g. Stellungnahme der Überzeugung, dass Datenverarbeitungen bei der Temperaturmessung nicht erforderlich sind. Vorzugswürdig sei vielmehr, wiederholt darauf hinzuweisen, dass bei Verspüren von grippalen Symptomen ein Arzt aufzusuchen ist, um den Gesundheitszustand abklären zu lassen. Hilfsweise könne der Beschäftigte zum Betriebs- oder Amtsarzt geschickt werden. Zudem stünden die oben beschriebenen Möglichkeiten, z.B. zur Befragung zum Aufenthalt in Risikogebieten oder zu Kontakt mit positiv auf Covid-19 Getesteten, zur Verfügung. Im Übrigen seien medizinische Untersuchungen den Gesundheitsämtern vorbehalten.

Der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen zufolge könne das Messen der Körpertemperatur in Einzelfällen zulässig sein. Zwar sei das Vorliegen einer erhöhten Körpertemperatur kein definitives Kriterium für eine Corona-Infektion, allerdings könne eine solche Messung Hinweise auf Verdachtsfälle geben. Insbesondere, wenn es bereits Infizierte unter den Beschäftigten gab oder das Unternehmen in einem Risikogebiet ansässig ist, käme ausnahmsweise die Zulässigkeit der Erfassung der Körpertemperatur in Betracht.
Jedoch wird darauf verwiesen, dass möglichst eine einvernehmliche Lösung gefunden werden sollte. Man könne bspw. die Einwilligung der Beschäftigten einholen. An dieser Stelle ist jedoch zu beachten, dass die Beschäftigten in einem wirtschaftlichen Abhängigkeitsverhältnis zum Arbeitgeber stehen. Sofern die Erbringung der Arbeitsleistung an die Einwilligung in die Datenverarbeitung geknüpft ist, habe der einzelne Beschäftigte laut dem Landesbeauftragten für Datenschutz und Informationsfreiheit Rheinland-Pfalz und auch der DSK keine oder nur in seltenen Fällen eine echte Wahlmöglichkeit. An der erforderlichen Freiwilligkeit der Einwilligung fehle es daher regelmäßig.

Die DSK weist darauf hin, dass die Anwendbarkeit der DSGVO bei einer manuellen Temperaturmessung in Frage stehen kann, wenn die so erhobenen Daten nicht gespeichert werden. Hintergrund ist, dass die DSGVO nur Anwendung findet, wenn Daten entweder (teilweise) automatisiert verarbeitet werden oder nichtautomatisiert verarbeitet sowie in einem Dateisystem gespeichert werden. Das kann bei bestimmten Arten von Temperaturmessungen ohne Speicherung dazu führen, dass der Anwendungsbereich der DSGVO nicht eröffnet ist. Beachtet werden muss in diesem Zusammenhang jedoch, dass das Bundesdatenschutzgesetz (BDSG) stets auf die Verarbeitung von Beschäftigtendaten Anwendung findet und damit einen weiteren Anwendungsbereich als die DSGVO aufweist. Die Regelung zum Beschäftigtendatenschutz gilt auch dann, wenn Daten nichtautomatisiert verarbeitet und nicht in einem Dateisystem gespeichert werden. Jedenfalls für Temperaturmessungen bei Beschäftigten wird der datenschutzrechtliche Anwendungsbereich deshalb in der Regel eröffnet sein, es sei denn, es gelingt im konkreten Fall, schon keine Daten zu verarbeiten.

Seit dem 18. März 2020 stellt die Deutsche Telekom dem Robert-Koch-Institut Informationen zu Bewegungsströmen von Handynutzern kostenlos zur Verfügung. Diese sollen insbesondere der Überprüfung dienen, inwiefern die aktuellen Maßnahmen und Empfehlungen greifen und die Mobilität der Bevölkerung tatsächlich reduziert wird. Im Einklang mit den Anforderungen des Europäischen Datenschutzausschusses erfolgt diese Datenverarbeitung in anonymisierter Form.

Der EU-Kommissar Thierry Breton hat gemeinsam mit europäischen Telekommunikationsunternehmen und dem Verband der Mobilfunkanbieter vereinbart, dass pro Mitgliedstaat ein Anbieter anonymisierte Standortdaten seiner Mobilfunkkunden an die EU Behörde übermitteln soll. Mithilfe dieser anonymisierten Daten sollen Bewegungsströme ermittelt und die Einhaltung von Kontaktsperren überprüft werden. Die europäische Datenschutzbeauftragte Wojciech Wiewiórowski sieht in dem geplanten Vorgehen keinen Verstoß gegen die DSGVO, wenn die Zwecke klar definiert werden und eine Löschung der Daten erfolgt, sobald sie nicht mehr erforderlich sind.

Auch Telefónica Deutschland (O2) übermittelt seit April 2020 Analysen zu Bevölkerungsbewegungen auf Basis anonymisierter und aggregierter Mobilfunkdaten an das Robert-Koch-Institut.

Bestenfalls sammelt eine Tracing-App lediglich anonyme Gerätedaten. Diese lassen keine Rückschlüsse auf die Person der App-Nutzer zu und sind damit nicht personenbezogen. Mangels Personenbezogenheit dieser Daten greift für sie das europäische Datenschutzrecht nicht. Sollten in Einzelfällen, wie bspw. bei Eingangskontrollen an besonders risikobehafteten Orten, doch Daten erhoben werden, aufgrund derer man einen Nutzer identifizieren kann, sind die bestehenden Erlaubnistatbestände der DSGVO im jeweiligen Einzelfall zu überprüfen. Im Rahmen des datenschutzrechtlich Zulässigen könnten so insbesondere Unternehmen erwägen, die Nutzung solcher Apps auf Firmen-Mobiltelefonen anzuordnen, da dies grundsätzlich vom Weisungsrecht eines Arbeitgebers gedeckt sein kann.

Die Verlagerung eines erheblichen Teils der Belegschaft ins Home Office hat bei vielen Unternehmen dazu geführt, dass interne Verwaltungsprozesse nicht mehr reibungslos funktionieren. Dies könnte das Datenschutzrecht insofern betreffen, als dass Auskunftsanfragen nach Art. 15 DSGVO eventuell lediglich verzögert bearbeitet werden können. Entweder, weil aktuell ein Personalmangel im Unternehmen herrscht oder weil auf analoge Daten, die im Büro archiviert sind, aufgrund der Heimarbeit nicht in absehbarer Zeit zugegriffen werden kann. Für die betroffenen Unternehmen stellt sich somit die berechtigte Frage, ob die in der DSGVO vorgegebenen Fristen in Anbetracht der außergewöhnlichen Situation flexibel gehandhabt werden können oder ob sich das Unternehmen trotz der Pandemie Schadensersatzklagen oder Bußgeldern ausgesetzt sieht, wenn Fristen nicht eingehalten werden.

Noch gibt es aus Deutschland dazu keine Stellungnahme. Die Datenschutzbehörden aus England und Irland jedoch haben sich bereits dahingehend geäußert, dass den besonderen Umständen Rechnung getragen werden soll. So sollen die gesetzlichen Fristen bei Auskunftsanfragen aus Art. 12 Abs. 3 DSGVO nicht verlängert werden, jedoch sollen Fristverletzungen nicht geahndet werden und Unternehmen sollen, in Absprache mit den betroffenen Anspruchstellern, ein stufenweises Vorgehen in Betracht ziehen. So könnte sichergestellt werden, dass zumindest digitale Daten der Betroffenen ausgegeben werden können und die analogen Daten bereitgestellt werden, sobald die Belegschaft wieder physisch im Büro anwesend ist.

Abzuwarten bleibt, wie sich die europäischen und deutschen Behörden und Gerichte positionieren werden.

 

Für weitere Informationen steht Ihnen unser Linklaters Team für Datenschutz gerne zur Verfügung.

ANSPRECHPARTNER

COVID-19 TASK-FORCE

 

Dr. Andreas Dehio, Partner, Aufsichtsrecht
> E-Mail

Dr. Kurt Dittrich, Partner, Kapitalmarktrecht
> E-Mail

Dr. Jan Endler, Partner, Öffentliches Recht / Beihilfen
> E-Mail

Dr. Timon Grau, Partner, Arbeitsrecht
> E-Mail

Dr. Carsten Grave, Partner, Kartellrecht
> E-Mail

Dr. Tim Johannsen-Roth, Partner, Corporate / M&A
> E-Mail

Dr. Jochen Laufersweiler, Partner, Corporate / M&A
> E-Mail

Oliver Rosenberg, Partner, Steuerrecht
> E-Mail

Dr. Sven Schelo, Partner, Restrukturierung
> E-Mail

Kirstin Schwedt, Partnerin, Dispute Resolution
> E-Mail

Prof. Dr. Daniela Seeliger, Partnerin, Kartellrecht
> E-Mail

Andreas Steck, Partner, Aufsichtsrecht
> E-Mail

Dr. Sabine Vorwerk, Partnerin, Restrukturierung
> E-Mail

Ulrich Wolff, Partner, Corporate / M&A
> E-Mail