Datenschutz und Covid-19: Was ist zu beachten?
Die COVID-19-Pandemie in Deutschland und Europa motiviert Unternehmen zunehmend zu Abwehrmaßnahmen. Hierbei stellt sich für Arbeitgeber und auch für Mitarbeiter die Frage, unter welchen Umständen Daten (insbes. Gesundheitsdaten) verarbeitet und ausgetauscht werden dürfen.
Können Selbstauskünfte und Fragebögen als Maßnahme gegen die weitere Verbreitung und Eindämmung der COVID-19-Pandemie als datenschutzrechtlich legitimiert betrachtet werden?
Selbstauskünfte von den Mitarbeitern einzuholen oder Fragebögen ausfüllen zu lassen, die nach dem Gesundheitszustand der Beschäftigten, möglichen Aufenthalten in Risikogebieten oder Kontakt zu nachweislich infizierten Personen fragen, stellt eine Verarbeitung von Gesundheitsdaten dar. Auch wenn eine Verarbeitung von Gesundheitsdaten grundsätzlich nur restriktiv möglich ist, können für die beispielhaft genannten Maßnahmen zur Eindämmung der COVID-19-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern, datenschutzkonform Gesundheitsdaten verarbeitet werden. Neben dem Grundsatz der Verhältnismäßigkeit sind die Informationspflichten, die Angabe einer Rechtsgrundlage für die Verarbeitung sowie die Gewährung von Betroffenenrechtenzu beachten.
Zunächst sollte die Verarbeitung der Gesundheitsdaten lediglich intern erfolgen, da eine Offenlegung dieser Daten gegenüber Dritten nur in Ausnahmefällen zulässig ist. Beispielsweise kann wegen gesetzlicher Verpflichtungen oder behördlicher Verfügungen die Weitergabe der sensiblen Daten auf Anfrage der Behörde hin zulässig sein.
Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen kann in engen Ausnahmen rechtmäßig sein. Die Kenntnis der Identität muss für Vorsorgemaßnahmen der Kontaktpersonen erforderlich sein.
Alle Daten müssen grundsätzlich nach Wegfall des Verarbeitungszwecks, mithin dem Ende der Pandemie von Arbeitgebern und Dienstherren unverzüglich gelöscht werden. Im Übrigen sind datenschutzrechtliche Informationen gegenüber Betroffenen zu gewährleisten.
#StayAtHome: Was gilt es beim Homeoffice zu beachten?
Im Zuge der COVID-19-Pandemie hat sich vieles im Alltagsleben sehr schnell verändert. Dazu gehört auch das Arbeiten von Zuhause. Üblicherweise ist die Einrichtung eines Heimarbeitsplatzes mit viel Vorbereitung verbunden, um zum Beispiel auch die datenschutzrechtlichen Vorgaben am heimischen Arbeitsplatz in gleichem Maße wie im Büro zu gewährleisten. Da dem Arbeitgeber durch die räumliche Verlagerung des Arbeitsplatzes die Kontroll- und Zugriffsmöglichkeit genommen wird, sollten Mitarbeiter auf Folgendes aufmerksam gemacht werden:
- Im Regelfall sollten Telefonkonferenzen eingerichtet werden. Videokonferenzen dürften mit Blick auf das Interesse einzelner ArbeitnehmerInnen, ihr privates Umfeld nicht im beruflichen Kontext zu teilen, nur im Ausnahmefall erforderlich sein.
- Wenn die IT-Ausstattung vom Arbeitgeber zur Verfügung gestellt wird, darf diese grundsätzlich nicht privat genutzt werden. Private Hard-und Software dürfen für Telearbeit und das Mobile Arbeiten nur unter bestimmten Voraussetzungen eingesetzt werden.
- Das Arbeitszimmer muss abschließbar sein. Auch die mit dem in Telearbeit Arbeitenden in häuslicher Gemeinschaft lebenden Personen dürfen keinen Zugriff auf betriebliche / dienstliche Unterlagen haben.
- Bei Verlust von personenbezogenen Daten oder sonstigen Verletzungen gegen datenschutzrechtliche Vorschriften, ist der Arbeitgeber unverzüglich zu informieren.
- Berufliche E-Mails dürfen nicht auf private Postfächer der mobil Arbeitenden umgeleitet werden.
Welche Auswirkungen hat die Covid-19-Pandemie auf die datenschutzrechtlichen Fristen?
Es kann aufgrund der Pandemie dazu kommen, dass Ressourcen, in finanzieller und personeller Hinsicht, von der üblichen Arbeit zur Einhaltung der Datenschutzvorgaben abgezogen werden. Dadurch kommt es zur Verlangsamung interner Prozesse.
Nach Art. 12 Abs.3 DSGVO sind Unternehmen gleichwohl gesetzlich dazu verpflichtet, auf Betroffenenrechte spätestens nach drei Monaten zu reagieren. Des Weiteren gilt für die Meldepflicht bei Datenschutzverstößen gem. Art. 33 DSGVO eine feste Frist von 72 Stunden nach Kenntniserlangung des Ereignisses.
Die Aufsichtsbehörden können die gesetzlichen Fristen nicht pauschal verlängern, jedoch sollte sich im Einzelfall durch einen Verweis auf die derzeitige Situation eine Verlängerung begründen lassen.