Datenschutz in Zeiten von Corona / Covid-19

Die aktuelle Situation rund um das Corona-Virus /Covid-19 wirft zahlreiche ungeklärte Fragen zum Datenschutzrecht auf. Dr. Christian Rosinus und Dr. Christoph Ritzer diskutieren die wichtigsten Fragen rund um den Datenschutz im Home-Office, bei der Nutzung von Videokonferenzsystemen und der Corona-Warn-App. Welche Haftungsrisiken drohen und wie lassen diese sich vermeiden?
Das Datenschutzrecht hat in den vergangenen Jahren viele gesetzliche Neuerungen erfahren, die es stärker ins Blickfeld von Unternehmen und Beratern gerückt haben. Die aktuelle Situation rund um das Corona-Virus wirft zusätzlich zahlreiche ungeklärte Fragen auf, insbesondere zum Datenschutz im Arbeitsverhältnis und zur Datensicherheit bei Verwendung der Corona-Warn-App der Bundesregierung.
Was müssen Arbeitgeber zum Thema Datenschutz im Arbeitsverhältnis beachten?
Arbeitgeber müssen in diesen Tagen viele Aufgaben parallel bewältigen. Viele sehen sich in der Pandemie unter dem besonderen Druck, den Schutz der Gesundheit ihrer Mitarbeiter mit den Anforderungen des Datenschutzes in Einklang bringen zu müssen. Zum Gesundheitsschutz gehört es auch, Infektionsketten im Betrieb zu identifizieren und durch angemessene Abwehrmaßnahmen zu unterbrechen. Zwangsläufig lässt sich eine solche Infektionsquelle aber nur dann schnell und effizient eindämmen, wenn der infizierte Mitarbeiter auch bestimmt werden kann. Die datenschutzrechtliche Schwierigkeit ist, dass es den Arbeitgeber grundsätzlich nichts anzugehen hat, aus welchem Grund ein Arbeitnehmer arbeitsunfähig ist. Was heißt das nun für Mitarbeiter mit positiver COVID-19-Diagnose? Ist der Arbeitgeber über ein positives Testergebnis zu informieren? Und dürfen die Kollegen über das Ansteckungsrisiko informiert werden?
Der Ton der Deutschen Behörden ist an dieser Stelle relativ klar: Datenschutz soll einer wirksamen Eindämmung dieser Pandemie nicht im Wege stehen. Die Datenverarbeitung kann im Rahmen der arbeitsvertraglichen Fürsorgepflicht erfasst sein und ist somit eine Verarbeitung für Beschäftigungszwecke. Gegenüber Besuchern oder anderen Dritten im Unternehmen besteht diese arbeitsvertragliche Anknüpfung allerdings nicht. Hier ist zu raten, sich eine entsprechende schriftliche Einwilligung in die Datenverarbeitung erteilen zu lassen. Egal ob Arbeitnehmer oder Dritte, die Datenverarbeitung unterliegt einer strengen Zweckbindung. Auch nach außen hin sind die Daten vor unbefugten Zugriffen zu schützen, insbesondere über angemessene technisch organisatorische Maßnahmen.
Wie kann Datenschutz im Homeoffice funktionieren?
Unter datenschutzrechtlichen Aspekten kann das Arbeiten im Homeoffice zum Risikofaktor werden. Der Datenschutz bei der Verwendung von Webkonferenz-Systemen sowie der Arbeit mit vertraulichen Informationen und Geschäftsgeheimnissen „am Küchentisch“ ist ein Thema. Wie gelingt es, eine vertrauliche Arbeitsumgebung in den eigenen vier Wänden zu schaffen?
Bei der Verwendung von Webkonferenz-Software ist die Empfehlung der Datenschutzbehörden, auf eine sorgfältige Ende zu Ende Verschlüsselung zu achten. Wird eine Cloud-basierte Softwarelösung verwendet, sollte man außerdem Wert darauf legen, dass die Metadaten der Kommunikation vom Cloud-Provider nicht für eigene Zwecke verwendet werden können.
Außerdem sollten Arbeitnehmer darauf achten, dass Unterlagen und Hardware auch im Familienkreis nicht frei einsehbar sind und nach der Verwendung sicher aufbewahrt werden, idealerweise in abschließbaren Räumen oder Schränken.
Die Corona-Warn-App – Techniksegen oder Datenschutzrisiko?
Das Thema Tracking-App gehört nach wie vor zu den datenschutzrechtlichen Brennpunkten in der öffentlichen Diskussion. Deutschland hat sich für eine dezentrale Lösung entschieden, d.h. dass die Datenspeicherung nur auf den Endgeräten der App-Nutzer erfolgt statt auf einem zentralen Server. Die Kontaktpersonen selbst werden auf dem Handy nicht mit Namen identifiziert, sondern nur über zufällige Nummern. Vor diesem Hintergrund kann man von einer datenschutzfreundlichen Lösung sprechen.
Welche Haftungsrisiken drohen bei Datenschutzverstößen?
Nicht zuletzt wegen der teilweise erheblichen Bußgeldandrohungen ist das Datenschutzrecht zuletzt stärker ins Blickfeld von Unternehmen und Beratern gerückt. Bei Verstößen drohen je nach Tatbestand Sanktionen von bis zu zwei bzw. vier Prozent des globalen Jahresumsatzes der betroffenen Unternehmensgruppe. Für Unternehmen, die angesichts der Herausforderungen der Pandemie ihre Mitarbeiter schützen wollen, ist das Sanktionsrisiko aber überschaubar, sofern die Datenerhebung zeitlich begrenzt und die von der Datenverarbeitung Betroffenen sorgfältig informiert werden.
Fazit
Datenschutz ist ein sensibles Thema. Das hat sich auch in Zeiten von COVID-19 nicht geändert. Obwohl Unternehmen gerade sicherlich reichlich andere Themen haben, sollten sie den Datenschutz daher nicht auf die leichte Schulter nehmen. Hilfestellung gibt es u.a. von den Datenschutzbehörden der Bundesländer. Je nach Bundesland haben die Datenschutzbehörden zu diesen Themen Informationen, Muster und Checklisten bereitgestellt.
Hier finden Sie Links zu guten Seiten der Behörden mit Mustern und Empfehlungen:
- https://datenschutz-hamburg.de/pages/corona-faq
- https://www.datenschutz-mv.de/datenschutz/publikationen/Corona/
Empfehlungen des Bundesbeauftragen zur Nutzung von Messenger- und Videokonferenzdiensten in Zeiten der Corona-Pandemie:
Praxishilfe der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD):