Datenschutz und Corona – Das müssen Sie bei der Verarbeitung von Daten beachten!

Knowledge Base der Datenbeschützerin

In Zeiten des Coronavirus steht an erster Stelle, die Anzahl der Neuinfizierungen über einen längeren Zeitraum zu strecken. Dies führt zu drastischen, noch nie da gewesenen Maßnahmen. Sie als Unternehmen, Behörde, Verein oder sonstige Institution, sind verpflichtet mitzuwirken.

Was bedeutet das nun aber für die Regeln des Datenschutzes? Sind die DSGVO und das BDSG aufgrund der Corona-Krise außer Kraft gesetzt?

Natürlich Nicht!

Auf was Sie als Verantwortlicher achten müssen, erfahren Sie in diesem Beitrag!

Auf den Punkt gebracht: Datenschutz und Corona

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Die Erhebung und Verarbeitung besonders schützenswerter Daten nach Art. 9 DSGVO ist für die Eindämmung einer Pandemie erlaubt
  • Die Rechtsgrundlagen der Verarbeitung können abweichen von den üblichen Rechtsgrundlagen im Beschäftigungsverhältnis
  • Denken Sie and die Erweiterung Ihrer Informationspflicht für die neue Datenverarbeitung
  • Stellen Sie den besonderen Schutz der Gesundheitsdaten sicher

Wie verhält es sich mit dem Beschäftigtendatenschutz beim Coronavirus?

Der Bundesdatenschutzbeauftragte (BfDI) gibt einige Hinweise für Arbeitgeber heraus. Hier wird auf den Umgang mit personenbezogenen Daten, die durch die Corona-Pandemie entstehen, hingewiesen. Nachfolgend eine Zusammenfassung, der für Sie relevanten Punkte:

Besonders schützenswerte Daten nach Art. 9 DSGVO

Wenn es um Daten zu Betroffenen der Pandemie geht, ist man mehr oder weniger sofort bei besonders schützenswerten Daten nach Art. 9 DSGVO. Diese müssen höher geschützt werden, als „normale“ personenbezogene Daten. Zudem muss ein wichtiger Zweck vorliegen, damit die Daten überhaupt verarbeitet werden dürfen.

Die Maßnahmen zum Schutz der Verzögerung der Ausweitung der Corona-Pandemie gelten als wichtiger Zweck. Natürlich aber auch der Schutz der Mitarbeiter. Trotzdem ist es wichtig, dass auch zu diesem Zweck der Datenschutz eingehalten wird. Das BfDI weißt auch auf die Einhaltung der Verhältnismäßigkeit bei der Datenverarbeitung hin!

Hinweis zu personenbezogenen Daten besonderer Kategorien (Art. 9 DSGVO)

Sehr häufig haben wir die Anfrage bzw. die Annahme, dass die Verarbeitung von Daten, die unter Artikel 9 DSGVO fallen, einen Datenschutzbeauftragten voraussetzen. Dies könnte man beim schnellen Durchlesen, aus Art. 37 (1) lit. c DSGVO heraus lesen.

Beim genauen lesen sieht man allerdings, dass es sich bei der Verarbeitung dieser Daten um die Kerntätigkeit des Verantwortlichen handeln muss. Ebenfalls muss es sich dann noch um eine umfangreiche Verarbeitung dieser Daten handeln. Da fallen nicht mal Ärzte darunter!

Das heißt nun für Sie, als Verantwortlicher im Umgang mit Datenschutz und Corona, dass Sie deswegen nicht plötzlich einen Datenschutzbeauftragten benennen müssen.

Datenschutzrechtlich erlaubte Erhebungs- und Verarbeitungszwecke im Umgang mit Covid-19 Daten

Diese Liste ist übernommen vom Bundesdatenschutzbeauftragten:

  • Personenbezogene Daten (inklusive benötigter Gesundheitsdaten) zur Verhinderung weiterer Ausbreitung des Corona-Virus bei Mitarbeitern und Führungskräften (dies gilt in angemessenen Umgang auch für Vereine und andere Organisationen).
    • Personen, bei denen eine Infektion festgestellt wurde
    • Personen, die Kontakt zu einer nachweislich infizierten Person hatten
    • Personen, die sich im relevanten Zeitraum in einem Risikogebiet aufgehalten haben (Risikogebiete werden vom Robert-Koch-Institiut eingestuft)
  • Daten von Gästen und Besuchern, ebenfalls inklusive der benötigten Gesundheitsdaten dürfen erhoben und verarbeitet werden, wenn
    • diese infiziert sind oder Kontakt mit einer nachweislich infizierten Person hatten
    • sich im relevanten Zeitraum in einem Risikogebiet aufgehalten haben
  • Die Offenlegung dieser Daten von nachweislich infizierten bzw. unter Verdacht stehenden Personen, sich infiziert zu haben ist mit größter Vorsicht zu behandeln. Dies ist nur erlaubt, wenn diese Informationen für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Rechtsgrundlagen zur Verarbeitung der Daten im Zusammenhang mit der Corona-Pandemie

Auf der Seite des BfDI ist dies sehr ausführlich erläutert. Hier geben wir Ihnen einen kurzen Überblick.

  • Artikel 6 (1) lit. e DSGVO: Verarbeitung von Mitarbeiterdaten für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt;
  • Art. 6 (1) lit. c DSGVO: Auch weiterhin ist natürlich die Erfüllung (eventuell neuer) gesetzlicher Anforderungen eine Grundlage
  • §26 (3) BDSG: Erlaubte Verarbeitung von Daten nach Art. 9 DSGVO zur sozialen Sicherheit und des Sozialschutzes;
  • Art. 9 (2) lit. g DSGVO: Verarbeitung aus Gründen des öffentlichen Interesses
  • §22 Abs. 1 (1) lit. c BDSG: Verarbeitung von Daten besonderer Kategorien im öffentlichen Interesse und zur öffentlichen Gesundheit

Schutz der personenbezogenen Daten für die Verarbeitung zur Eindämmung der Corona-Pandemie

Natürlich müssen diese Daten entsprechend der Anforderungen mit Maßnahmen nach Art. 32 DSGVO geschützt werden.

Besonders ist auf die höhere Sicherheit der Verarbeitung hinzuweisen, wenn Daten nach Art. 9 DSGVO (also besonders schutzwürdige Daten) verarbeitet werden. Beispielsweise muss die Übertragung der Daten höher geschützt sein.

Bei der Erhebung und Verarbeitung handelt es sich um einen temporären Notfallprozess. Hier sollten Sie neben dem Datenschutz noch ein paar weitere Details beachten. Ausführlich finden Sie das im Blogbeitrag zum Notfallplan.

Löschung von Daten für Zwecke der Pandemie-Eindämmung

Nachdem der Verarbeitungszweck erloschen ist (laut BfDI nach Ende der Pandemie – spätestens), müssen die Daten unverzüglich gelöscht werden.

Einwilligung oder Information der Betroffenen bei der Erhebung von Gesundheitsdaten über Corona?

Da mit den oben genannten Rechtsgrundlagen die Verarbeitung zulässig ist, sollte von einer Einwilligung abgesehen werden.

Die Information nach Art. 13 und Art. 14 der Betroffenen über die Datenverarbeitung ist ausreichen. Sie können hierfür folgende Beispielsformulierung entnehmen.

Passage für die Informationspflicht nach Art. 13 und Art. 14 DSGVO zum Zwecke der Eindämmung der Pandemie

„Zur Eindämmung der Pandemie und zum Schutz der Gesundheit unserer Mitarbeiter werden zum aktuellen Zeitpunkt folgende zusätzliche Daten nach Art. 9 DSGVO von unseren Mitarbeitern erhoben: [Bitte hier eine Aufzählung der erhobenen Daten einfügen].

Die Verarbeitung der Daten beruht auf einer gesetzlichen Grundlage nach Art. 6 Abs. 1 lit. c DSGVO, zur Wahrnehmung der Aufgaben des öffentlichen Interesses nach Art. 6 Abs. 1 lit. e DSGVO, sowie aufgrund des Gesundheitsschutzes nach §22 Abs. 1 (1) lit. c BDSG [ggf. hier – falls zutreffend noch weitere Rechtsgrundlagen einfügen].

Die Daten verbleiben intern und werden nur auf Anfrage seitens der Gesundheitsbehörde an diese übermittelt. Die erhobenen Daten werden unverzüglich nach Beendigung der Pandemie gelöscht.“

Quellen:

Die ausführlichen Hinweise des BfDI finden Sie hier.

Weitere interessante Links zum Thema Beschäftigtendatenschutz bei einer Pandemie

Linksammlung der GDD:

https://www.gdd.de/datenschutz-und-corona

Stellungnahme des Datenschutzbeauftragten aus Baden-Württemberg:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/03/FAQ-Corona.pdf

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!
Regina Stoiber

Seit über 10 Jahren bin ich nun im Bereich Informationssicherheit und Datenschutz tätig. Mit Begeisterung für das Thema bin ich seit einigen Jahren nun selbständig. Ich unterstütze Sie, beim Schützen Ihrer Daten. Praxisorientiert, strukturiert und persönlich.

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.