Haben Sie Fragen oder Interesse? +49 (511) 165 80 40 90
de

von

Datenschutz in Zeiten des Coronavirus

Die aktuellen Entwicklungen stellen uns alle vor große Herausforderungen, und auch in datenschutzrechtlicher Sicht können Hürden auftreten. Im Folgenden wird ein Überblick über häufig gestellte Fragen wie bspw. die Verarbeitung von Gesundheitsdaten von Mitarbeitern dargestellt.

 

a) Verarbeitung privater Kontaktdaten von Arbeitnehmern

 

Eine reibungslose Kommunikation innerhalb des Unternehmens ist wichtig, um schnell und flexibel auf die aktuell sehr dynamischen Entwicklungen reagieren zu können. Entsprechend empfehlen viele Berufsverbände derzeit den Aufbau eines innerbetrieblichen Kommunikationsnetzwerkes, um schnell auf notwendige Maß-nahmen zur Einschränkung der Pandemie reagieren zu können.

Besonders wichtig ist hierbei, Beschäftigte auch kurzfristig warnen bzw. auffordern zu können, nicht im Betrieb zu erscheinen. Zu diesem Zweck ist die Verarbeitung von privaten Kontaktdaten wie Handynummern oder E-Mail-Adressen zulässig.  Ein solches Vorgehen ist jedoch nur mit Einverständnis der Mitarbeitenden möglich, und diese sind nicht zur Offenlegung von Kontaktdaten verpflichtet. Gleichwohl dürften derartige Maßnahmen auch dem Eigeninteresse dienen.

Zudem muss die Verarbeitung stets zweckgebunden erfolgen. Da die Kommunikation zur Reduzierung der Infektionsgefahr dient, darf eine Kontaktaufnahme zu anderen Zwecken nicht erfolgen. Auch sind die Daten spätestens nach dem Ende der Pandemie zu löschen.

 

 

b) Verarbeitung von Gesundheitsdaten und Informationen zum Aufenthalt in Risikogebieten

 

Ein weiteres wichtiges Element der Infektionsprävention ist die Quarantäne infizierter Personen. Aufgrund der Fürsorgepflicht gegenüber Arbeitnehmenden nach dem Arbeitsschutzgesetz (ArbSchG) sind Betriebe verpflichtet, Maßnahmen zu treffen, die die Gesundheit der Mitarbeitenden schützen. Dazu gehört insbesondere, die Erkrankung von Mitarbeitenden durch Kolleginnen und Kollegen zu verhindern. Nach den aktuellen Vorgaben des Robert-Koch-Institutes (RKI) sind insbesondere Menschen, die sich in Risikogebieten aufgehalten haben, als Risikopersonen einzustufen.

Mitarbeitende, die aus dem Urlaub zurückkehren, dürfen insofern darüber befragt werden, ob sie sich in einem vom RKI festgelegten Risikogebiet aufgehalten haben. Zu beachten ist jedoch, dass für diese Zwecke eine Negativauskunft regelmäßig ausreichend ist.

 

c) Informationen über infizierte Beschäftigte

 

Wenngleich mittelfristig von einer hohen Anzahl an infizierten Personen in Deutschland auszugehen sein dürfte, kann die Information hierüber zu schweren persönlichen Folgen für die Betroffenen führen, insbesondere zur Stigmatisierung. Unternehmen sollten daher grundsätzlich Fingerspitzengefühl zeigen und prüfen, ob Möglichkeiten bestehen, die Offenlegung der Identität eines Infizierten zu vermeiden. Gleichzeitig müssen selbstverständlich Maßnahmen zur weiteren Einschränkung der Infektionsgefahr getroffen werden. Sollte dies erforderlich sein, ist zu prüfen, ob einzelne Teams/Abteilungen auch ohne Nennung der konkret betroffenen Personen informiert werden können. Ist dies nicht möglich, sollte zunächst Rücksprache mit den Gesundheitsbehörden gehalten werden, die dann eventuell weitere Betroffene kontaktieren können. Sollte auch dies nicht möglich sein, dürfen – als ultima ratio – infektionsgefährdete Mitarbeitende ausnahmsweise über die Identität der oder des infizierten Beschäftigten informiert werden.

 

d) Personenbezogene Daten und Gesundheitsdaten von Gästen und Besucherinnen/Besuchern

 

Wenngleich aktuell auf soziale Interaktion wann immer möglich verzichtet werden soll, ist die Verarbeitung personenbezogener Daten einschließlich Gesundheitsdaten von Gästen und Besucherinnen bzw. Besuchern im Betrieb möglich. Dies muss jedoch dem Zweck dienen, festzustellen, ob diese selbst infiziert sind, im Kontakt mit einer nachweislich infizierten Person standen, oder sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben. Wie auch bei den Beschäftigten ist hier jedoch regel-mäßig nur eine Negativauskunft erforderlich. Auch darf die Identität infizierter Menschen – wie auch bei Beschäftigten – nur in Ausnahmefällen offengelegt werden.

 

e) Datenschutz beim Home-Office

 

Viele Betriebe stellen derzeit zunehmend auf Home-Office um. Diese Regelung senkt nicht nur das Infektionsrisiko deutlich, sondern kann auch Beschäftigten, die ihre Kinder zu Hause betreuen müssen, deutlich entlasten. Gleichwohl sind damit einhergehend diverse datenschutzrechtliche Implikationen zu beachten. Insbesondere ist durch geeignete technische und/oder organisatorische Maßnahmen sicherzustellen, dass die Sicherheit der verwendeten IT-Systeme gewährleistet ist und den durch Home-Office bedingten Risiken für die Sicherheit, Integrität und Vertraulichkeit personenbezogener Daten Rechnung getragen wird. Mögliche technische Maßnahmen umfassen z.B.:

- Verbindung über VPN-Tunnel

- Verschlüsselung der Daten (Ende-zu-Ende), sowie verschlüsselte Speicherung auf den Endgeräten

- Zwei-Faktor-Authentifizierung für den Zugriff auf Daten

- Keine Nutzung der Geräte für private Zwecke

 

Optimalerweise werden die getroffenen Maßnahmen in einer für die Mitarbeitenden verbindlichen Richtlinie festlegen. Ein Muster hierfür ist z.B. online zu finden.

 

f) Nutzung von Online-Tools und Videokonferenzen

 

Mit der Nutzung von Home-Office geht auch die Notwendigkeit einher, eine möglichst effiziente Zusammenarbeit zu gewährleisten. Neben Videokonferenzen bieten sich hier auch diverse Online-Tools an, etwa um Dateien auszutauschen oder gemeinsam zu bearbeiten. Die Nutzung solcher Tools ist aus datenschutzrechtlicher Sicht grundsätzlich zulässig.

Werden über diese Plattformen personenbezogene Daten verarbeitet – was regelmäßig alleine aufgrund der Identifizierbarkeit der Mitarbeitenden der Fall sein dürfte – ist ein Auftragsverarbeitungsvertrag i.S.d. Art. 28 DSGVO mit dem Diensteanbieter erforderlich. Werden die Leistungen durch Unternehmen außerhalb der Europäischen Union erbracht (in sog. Drittstaaten) sind zudem zusätzliche Garantien erforderlich, um ein angemessenes Datenschutzniveau zu gewährleisten. Dies kann – bei US-Unternehmen – etwa die Zertifizierung unter dem Privacy-Shield oder der Verwendung geeigneter Standardvertragsklauseln sein.

 

g) Weiterführende Informationen

 

Die Datenschutzbehörden stellen aktuell immer neue Hinweise zum Umgang mit dem Coronavirus aus daten-schutzrechtlicher Sicht zur Verfügung. Informationen finden sich unter anderem zum Thema Datenschutz in der Coronakrise allgemein oder speziell zum Bereich Home-Office.

 

 

 

Zurück

lexICT...

... ist eine Datenschutz-Beratungsfirma mit Sitz in Hannover und Wien, die großen Wert auf eine individuelle Beratung und die Entwicklungen pragmatischer Lösungen setzt. Unser Team besteht ausschließlich aus Jurist*innen, die sich im Datenschutz spezialisiert haben und über den gewissen Nerd-Faktor verfügen, um die Nische zwischen Recht und Technik optimal ausfüllen zu können.

Kontaktieren Sie uns!

lexICT UG (haftungsbeschränkt)
Ostfeldstraße 49
30559 Hannover

+49 (511) 165 80 40 90

+49 (511) 165 80 40 99

Copyright 2022. All Rights Reserved.
Einstellungen gespeichert
Datenschutzeinstellungen

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

You are using an outdated browser. The website may not be displayed correctly. Close