Corona-Virus Datenschutz – Die derzeitige Situation im Umgang mit SARS-COV-2 bzw. dem Corona-Virus wirft neue Fragen im Bereich des Datenschutzes auf und sorgt bei vielen Unternehmern für Unklarheiten.

Maßnahmen wie Kurzarbeit und Homeoffice treten derzeit vermehrt in den Vordergrund.  Daneben besteht für Unternehmen die Gefahr, dass Standorte wegen Corona-Virus-Infektionen von einzelnen Mitarbeitern geschlossen werden müssen.

Hierfür treffen Unternehmen bereits Sicherheitsvorkehrungen wie zum Beispiel eigene Gesundheitstests bei Mitarbeitern um das Risiko einer Quarantäne des Betriebes zu minimieren.

Im folgenden Beitrag möchten wir Sie erneut durch den Dschungel des Datenschutzes führen und Ihnen an die Hand geben, was Sie nun im Bereich des Datenschutzes beachten sollten. Insbesondere weisen wir bereits jetzt darauf hin, dass gerade jetzt in Zeiten des Corona-Virus der Datenschutz beachtet werden muss. Wer hier nun eigensinnig handelt, riskiert hohe Bußgelder.

Corona-Virus & Datenschutz, Richtlinien für das Homeoffice

Eine Vielzahl kleiner und großer Unternehmen ermöglicht den eigenen Mitarbeitern im Homeoffice zu arbeiten.

Wie auch im eigenen Betrieb gilt es hier, die nach der DSGVO geforderten technischen und organisatorischen Maßnahmen zu gewährleisten.

Denn die Arbeit von Zuhause bringt insbesondere in Bezug auf technische und organisatorische Maßnahmen Risiken für die Vertraulichkeit, Integrität und ggf. auch Verfügbarkeit von personenbezogenen Daten mit sich, die bestmöglich auszuschließen bzw. zu minimieren sind. Hierzu sollten Sie Richtlinien für die Heimarbeit und den damit verbundenen Datenschutz erstellen, die jedem Mitarbeiter zur Verfügung zu stellen sind.

Diese Richtlinien sollten folgende grundlegenden Leitlinien vorgeben:

  • Grundsätze über den Umgang mit personenbezogenen Daten im Rahmen der Heimarbeit
  • Grundsätze über die Nutzung der firmeneigenen IT-Systeme
  • Regelungen über die Sicherung personenbezogener Daten
  • Ausnahmen und Hinweis auf Sanktionen im Fall einer Pflichtverletzung

Corona-Virus & Datenschutz – Die Verarbeitung von Gesundheitsdaten

Der Umgang mit Informationen über die Gesundheit (Gesundheitsdaten) von Mitarbeitern, insbesondere der Umgang mit solchen Informationen wirft für viele Unternehmen in Zeiten von Corona-Virus nunmehr neue Fragen auf.

  • Sind Maßnahmen wie z.B. die Messung von Fieber, die Abfrage von Erkrankungen bzw. Symptomen mittels Fragebogen im Zusammenhang bzgl. Corona-Virus mit dem Datenschutz vereinbar?
  • Können Sie Mitarbeiter über die Erkrankung von Kolleginnen und Kollegen unterrichten?
  • Wie verhält es sich mit entsprechenden Daten von Besuchern oder Gästen?

Dem Grunde nach ist eine Verarbeitung von Gesundheitsdaten nur eingeschränkt möglich. Zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern können Sie jedoch für folgende Maßnahmen Daten datenschutzkonform erheben, speichern und verwenden.

Im Rahmen von Maßnahmen, die dazu dienen Informationen über die Feststellungen von Infektionen zu treffen. So können Sie zum Beispiel festhalten, welche Mitarbeiter in Ihrem Hause erkrankt sind und entsprechend reagieren. Auch können Sie solche Informationen verarbeiten um einen möglichen Kontakt zu infizierten Personen festzustellen. Beispielsweise wenn sich in einer Abteilung eine Person infiziert hat und es in dieser Zeitspanne ein Meeting mit anderen Personen der Abteilung gegeben hatte.

Weiter können Sie für Maßnahmen solche Informationen verarbeiten, in denen Ihnen mitgeteilt wurde, dass eine Person sich im relevanten Zeitraum in einem durch das Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet aufgehalten hat.

Insbesondere für Hotelbetreiber ist anzumerken, dass die Verarbeitung von Gesundheitsdaten von Gästen datenschutzkonform verwendet werden können um festzustellen ob

  • Gäste selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
  • Gäste sich im relevanten Zeitraum in einem vom Robert-Koch.Institut (RKI) als Risikogebiet eingestuften Gebiet  aufgehalten haben.

Corona-Virus & Datenschutz: Fiebermessung und ähnliche Maßnahmen zur Bekämpfung von Corona

Das Messen von Fieber am Eingang von Betriebsgeländen oder die Erhebung von Daten mittels Selbstauskunft oder zur Verfügung gestellten Fragebögen kann nach oben genannten Kriterien zulässig sein.

Dabei sind insbesondere die Vorgaben des § 26 Abs. 3 BDSG (neu) zu beachten. Danach ist eine Verarbeitung von Gesundheitsdaten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn Sie zur Ausübung von Rechten oder zu Erfüllung von Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Hier besteht für Arbeitgeber eine Fürsorgepflicht den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Solche oder ähnliche Maßnahmen sollten jedoch freiwillig sein. Allein aus einer überhöhten Temperatur lässt sich nämlich nicht schließen, dass auch ein Fall von Corona vorliegt.

Achtung: Einschränkung der „Namensnennung“

Neben den oben genannten Möglichkeiten der Verarbeitung von Gesundheitsdaten ist im Datenschutz grundsätzlich darauf zu achten, dass eine Offenlegung der Identität über infizierte Personen nur in Ausnahmefällen rechtmäßig ist.

Grundsätzlich reicht es aus, dass Sie Ihre Mitarbeiter, Besucher oder Gäste darüber in Kenntnis setzen, dass bestätigte Fälle vorliegen um so den Zweck der Eindämmung, Übertragung bzw. Ansteckungsgefahr von Corona zu erreichen.

Auftragsdatenverarbeitung

Lassen Sie die entsprechenden Maßnahmen durch Dritte durchführen, so befinden Sie sich schnell in einer Auftragsdatenverarbeitung und damit bereits in der nächsten Kontrollpflicht.

Hier ist insbesondere durch Sie als Verantwortlicher darauf zu achten, dass auch der Auftragsdatenverarbeiter die hinreichenden Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen vorliegen und die Verarbeitung somit im Einklang mit der Datenschutzgrundverordnung erfol

Informationspflicht

Soweit personenbezogene Daten erhoben und verarbeitet werden, sind die entsprechenden betroffenen Personen hierüber zu informieren. Solche Informationspflichten kennen Sie zumeist schon aus Ihren Datenschutzerklärungen.

Speicherdauer

Das Thema Corona-Virus und Datenschutz verfolgt grundsätzlich einen gemeinsamen Zweck, nämlich die Eindämmung der nun herrschenden Pandemie. Sobald dieser Zweck weggefallen ist, sind auch die personenbezogenen Gesundheitsdaten zu löschen.

Eigene Absicherung & Fazit

Das Thema Corona und Datenschutz beschäftigt derzeit Unternehmen, Einzelunternehmer, Vereine, Verbände, Rechtsanwälte und insbesondere auch Behörden.

Derzeit herrscht eine rege Diskussion über zulässige Maßnahmen. So ist nunmehr auch angedacht, Handydaten, angelehnt an das südkoreanische Prinzip, verarbeitet werden. Dies natürlich anonymisiert.

Eine klare Rechtslage über einzelne Maßnahmen herrscht jedoch nicht. Viele Fragen sind im Rahmen des Datenschutzes und dem doch sehr jungen Gesetz noch ungeklärt. Umso wichtiger ist es, dass Sie hier konform arbeiten und dokumentieren. Der Schutz personenbezogener Daten steht trotz der derzeitigen Lage im Vordergrund.

Die Corona-Pandemie führt schon für einen Großteil zu wirtschaftlichen Einbußen. Riskieren Sie darüber hinaus nicht auch noch empfindliche Bußgelder. Klare datenschutzkonforme technische und organisatorische Maßnahmen sind hier nun die halbe Miete.

Risikogebiete nach RKI (Stand: 21.03.2020)

Die jeweiligen Informationen finden Sie hier. Das Robert Koch Institut veröffentlicht hier laufend aktuelle Informationen. Derzeit (Stand: 21.03.2020) werden folgende Gebiete als Risikogebiete eingestuft:

  • Ägypten: Ganzes Land (neu seit 21.03.2020)
  • China: Provinz Hubei (inkl. Stadt Wuhan)
  • Frankreich: Region Grand Est (diese Region enthält Elsass, Lothringen und Champagne-Ardenne)
  • Iran: ganzes Land
  • Italien: ganzes Land
  • Österreich: Bundesland Tirol
  • Spanien: Madrid
  • Südkorea: Provinz Gyeongsngbuk-do (Nord-Gyeongsang)
  • USA: Bundesstaaten Kalifornien, Washington und New York

Besonders betroffene Gebiete in der Bundesrepublik Deutschland:

  • Landkreis Heinsberg (Nordrhein-Westfalen) (Stand: 06.03.2020)