In Zeiten des Coronavirus steht an erster Stelle, die Anzahl der Neuinfizierungen über einen längeren Zeitraum zu strecken. Dies führt zu drastischen, noch nie da gewesenen Maßnahmen. Sie als Unternehmen, Behörde, Verein oder sonstige Institution, sind verpflichtet mitzuwirken.
Was bedeutet das nun aber für die Regeln des Datenschutzes? Sind die DSGVO und das BDSG aufgrund der Corona-Krise außer Kraft gesetzt?
Natürlich Nicht!
Auf was Sie als Verantwortlicher achten müssen, erfahren Sie in diesem Beitrag!
Inhaltsverzeichnis
Auf den Punkt gebracht: Datenschutz und Corona
- Die Erhebung und Verarbeitung besonders schützenswerter Daten nach Art. 9 DSGVO ist für die Eindämmung einer Pandemie erlaubt
- Die Rechtsgrundlagen der Verarbeitung können abweichen von den üblichen Rechtsgrundlagen im Beschäftigungsverhältnis
- Denken Sie and die Erweiterung Ihrer Informationspflicht für die neue Datenverarbeitung
- Stellen Sie den besonderen Schutz der Gesundheitsdaten sicher
Wie verhält es sich mit dem Beschäftigtendatenschutz beim Coronavirus?
Der Bundesdatenschutzbeauftragte (BfDI) gibt einige Hinweise für Arbeitgeber heraus. Hier wird auf den Umgang mit personenbezogenen Daten, die durch die Corona-Pandemie entstehen, hingewiesen. Nachfolgend eine Zusammenfassung, der für Sie relevanten Punkte:
Besonders schützenswerte Daten nach Art. 9 DSGVO
Wenn es um Daten zu Betroffenen der Pandemie geht, ist man mehr oder weniger sofort bei besonders schützenswerten Daten nach Art. 9 DSGVO. Diese müssen höher geschützt werden, als „normale“ personenbezogene Daten. Zudem muss ein wichtiger Zweck vorliegen, damit die Daten überhaupt verarbeitet werden dürfen.
Die Maßnahmen zum Schutz der Verzögerung der Ausweitung der Corona-Pandemie gelten als wichtiger Zweck. Natürlich aber auch der Schutz der Mitarbeiter. Trotzdem ist es wichtig, dass auch zu diesem Zweck der Datenschutz eingehalten wird. Das BfDI weißt auch auf die Einhaltung der Verhältnismäßigkeit bei der Datenverarbeitung hin!
Hinweis zu personenbezogenen Daten besonderer Kategorien (Art. 9 DSGVO)
Sehr häufig haben wir die Anfrage bzw. die Annahme, dass die Verarbeitung von Daten, die unter Artikel 9 DSGVO fallen, einen Datenschutzbeauftragten voraussetzen. Dies könnte man beim schnellen Durchlesen, aus Art. 37 (1) lit. c DSGVO heraus lesen.
Beim genauen lesen sieht man allerdings, dass es sich bei der Verarbeitung dieser Daten um die Kerntätigkeit des Verantwortlichen handeln muss. Ebenfalls muss es sich dann noch um eine umfangreiche Verarbeitung dieser Daten handeln. Da fallen nicht mal Ärzte darunter!
Das heißt nun für Sie, als Verantwortlicher im Umgang mit Datenschutz und Corona, dass Sie deswegen nicht plötzlich einen Datenschutzbeauftragten benennen müssen.
Datenschutzrechtlich erlaubte Erhebungs- und Verarbeitungszwecke im Umgang mit Covid-19 Daten
Diese Liste ist übernommen vom Bundesdatenschutzbeauftragten:
- Personenbezogene Daten (inklusive benötigter Gesundheitsdaten) zur Verhinderung weiterer Ausbreitung des Corona-Virus bei Mitarbeitern und Führungskräften (dies gilt in angemessenen Umgang auch für Vereine und andere Organisationen).
- Personen, bei denen eine Infektion festgestellt wurde
- Personen, die Kontakt zu einer nachweislich infizierten Person hatten
- Personen, die sich im relevanten Zeitraum in einem Risikogebiet aufgehalten haben (Risikogebiete werden vom Robert-Koch-Institiut eingestuft)
- Daten von Gästen und Besuchern, ebenfalls inklusive der benötigten Gesundheitsdaten dürfen erhoben und verarbeitet werden, wenn
- diese infiziert sind oder Kontakt mit einer nachweislich infizierten Person hatten
- sich im relevanten Zeitraum in einem Risikogebiet aufgehalten haben
- Die Offenlegung dieser Daten von nachweislich infizierten bzw. unter Verdacht stehenden Personen, sich infiziert zu haben ist mit größter Vorsicht zu behandeln. Dies ist nur erlaubt, wenn diese Informationen für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.
Rechtsgrundlagen zur Verarbeitung der Daten im Zusammenhang mit der Corona-Pandemie
Auf der Seite des BfDI ist dies sehr ausführlich erläutert. Hier geben wir Ihnen einen kurzen Überblick.
- Artikel 6 (1) lit. e DSGVO: Verarbeitung von Mitarbeiterdaten für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt;
- Art. 6 (1) lit. c DSGVO: Auch weiterhin ist natürlich die Erfüllung (eventuell neuer) gesetzlicher Anforderungen eine Grundlage
- §26 (3) BDSG: Erlaubte Verarbeitung von Daten nach Art. 9 DSGVO zur sozialen Sicherheit und des Sozialschutzes;
- Art. 9 (2) lit. g DSGVO: Verarbeitung aus Gründen des öffentlichen Interesses
- §22 Abs. 1 (1) lit. c BDSG: Verarbeitung von Daten besonderer Kategorien im öffentlichen Interesse und zur öffentlichen Gesundheit
Schutz der personenbezogenen Daten für die Verarbeitung zur Eindämmung der Corona-Pandemie
Natürlich müssen diese Daten entsprechend der Anforderungen mit Maßnahmen nach Art. 32 DSGVO geschützt werden.
Besonders ist auf die höhere Sicherheit der Verarbeitung hinzuweisen, wenn Daten nach Art. 9 DSGVO (also besonders schutzwürdige Daten) verarbeitet werden. Beispielsweise muss die Übertragung der Daten höher geschützt sein.
Bei der Erhebung und Verarbeitung handelt es sich um einen temporären Notfallprozess. Hier sollten Sie neben dem Datenschutz noch ein paar weitere Details beachten. Ausführlich finden Sie das im Blogbeitrag zum Notfallplan.
Löschung von Daten für Zwecke der Pandemie-Eindämmung
Nachdem der Verarbeitungszweck erloschen ist (laut BfDI nach Ende der Pandemie – spätestens), müssen die Daten unverzüglich gelöscht werden.
Einwilligung oder Information der Betroffenen bei der Erhebung von Gesundheitsdaten über Corona?
Da mit den oben genannten Rechtsgrundlagen die Verarbeitung zulässig ist, sollte von einer Einwilligung abgesehen werden.
Die Information nach Art. 13 und Art. 14 der Betroffenen über die Datenverarbeitung ist ausreichen. Sie können hierfür folgende Beispielsformulierung entnehmen.
Passage für die Informationspflicht nach Art. 13 und Art. 14 DSGVO zum Zwecke der Eindämmung der Pandemie
„Zur Eindämmung der Pandemie und zum Schutz der Gesundheit unserer Mitarbeiter werden zum aktuellen Zeitpunkt folgende zusätzliche Daten nach Art. 9 DSGVO von unseren Mitarbeitern erhoben: [Bitte hier eine Aufzählung der erhobenen Daten einfügen].
Die Verarbeitung der Daten beruht auf einer gesetzlichen Grundlage nach Art. 6 Abs. 1 lit. c DSGVO, zur Wahrnehmung der Aufgaben des öffentlichen Interesses nach Art. 6 Abs. 1 lit. e DSGVO, sowie aufgrund des Gesundheitsschutzes nach §22 Abs. 1 (1) lit. c BDSG [ggf. hier – falls zutreffend noch weitere Rechtsgrundlagen einfügen].
Die Daten verbleiben intern und werden nur auf Anfrage seitens der Gesundheitsbehörde an diese übermittelt. Die erhobenen Daten werden unverzüglich nach Beendigung der Pandemie gelöscht.“
Quellen:
Die Pressemitteilung vom 13.03.2022 des BfDI finden Sie hier.
Weitere interessante Links zum Thema Beschäftigtendatenschutz bei einer Pandemie
Linksammlung der GDD:
https://www.gdd.de/datenschutz-und-corona
Stellungnahme des Datenschutzbeauftragten aus Baden-Württemberg:
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/03/FAQ-Corona.pdf