Gastbeitrag: Datenschutz bei Maßnahmen gegen die Ausbreitung des Corona-Virus in Unternehmen
Dieser Beitrag wurde uns von Rechtsanwalt Dr. Jens Eckhardt von der Kanzlei Derra, Meyer & Partner Rechtsanwälte PartGmbB, Düsseldorf, Ulm, Berlin (www.derra.eu) zur Verfügung gestellt. Das Datenschutzrecht ist gerade auch bei der Umsetzung von Maßnahmen zur Verhinderung der Ausbreitung des Corona-Virus (Covid-19) zu beachten! Es gibt – derzeit und absehbar - keine pauschalen Befreiungen oder auch nur Erleichterungen. Das zwingt Sie aber nicht in den Konflikt, das eine zu lassen oder gegen das andere verstoßen zu müssen. Mit einem strukturierten Ansatz bekommen Sie beides „unter einen Hut“.
Inhaltsverzeichnis
- I. Stufenkonzept
- 1. Maßnahmen ohne Verarbeitung personenbezogener Daten
- 2. Verarbeitung normaler personenbezogener Daten
- 3. Verarbeitung von Gesundheitsdaten
- 4. Maßgaben für alle Verarbeitungen, insbesondere:
- II. Besonders heikel: Offenlegung der Identität von infizierten Beschäftigten oder entsprechendem Verdacht gegenüber anderen Beschäftigten
- III. Home-Office-Regelungen
I. Stufenkonzept
Die pauschale Musterlösung gibt es nicht. Dazu sind die Konstellationen zu verschieden und verändern sich zu schnell. Daher gibt es leider kein „one size fits all“. Hinzu kommt, dass die Entwicklung derzeit so rasant ist, dass vorgestern noch als unzulässig betrachtete Maßnahmen heute zulässig sein können. Aber dennoch gilt nicht, dass der Zweck die Mittel heiligt.
Wir wollen Ihnen daher eine pragmatische, aber dafür nicht ins datenschutzrechtliche Detail ausdifferenzierte Herangehensweise vorstellen. Damit können Sie Ihre Maßnahme(n) einordnen und schnell bewerten. Der Rechtsrat kann hierdurch nicht ersetzt, aber vereinfacht werden. Wenden Sie sich an uns, wenn Sie Unterstützung benötigen!
Nicht jede Maßnahme erfordert die Verarbeitung personenbezogener Daten und manche Maßnahme ist als Vorstufe der Verarbeitung personenbezogener Daten erforderlich. Mit folgendem Stufenkonzept können Sie an die Bewertung der Maßnahmen rangehen:
Stufenkonzept mit zunehmenden rechtlichen Anforderungen
1. Maßnahmen ohne Verarbeitung personenbezogener Daten
- Beispiele: Verhaltensregeln, Hygienehinweise, Verhaltensregeln für Lieferanten (bis hin zum Verlassen der Fahrerkabine), Untersagung des Zugangs bei nicht zwingenden Zutritten
- Keine Datenschutzpflichten zu beachten!
- Achtung: Dies ändert sich, wenn die Einhaltung der Maßnahmen überprüft wird und erfasst wird.
2. Verarbeitung normaler personenbezogener Daten
- Hinweis: Für Beschäftigte und Externe gelten verschiedene Rechtsgrundlagen.
- Beispiele: Herkunft aus „Sperrgebieten“ oder „Risikogebieten“ oder Kontakten zu Infizierten (ohne Nachfrage, wer der Infizierte ist und ob Familienangehöriger usw.), aber auch Einsatz- und Arbeitspläne.
- Als Rechtsgrundlagen kommen § 26 Abs. 1 S. 1 BDSG für Beschäftigte und Art. 6 Abs. 1 Satz 1 lit f. DS-GVO für alle anderen Personen in Betracht.
- Voraussetzung: Abwägung der Interessen
3. Verarbeitung von Gesundheitsdaten
- Hinweis: Für Beschäftigte und Externe gelten verschiedene Rechtsgrundlagen
- „Gesundheitsdaten“ sind „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheits-dienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“ (Art. 4 Nr. 15 DS-GVO).
- Beispiele: Fiebermessungen beim Zutritt, Homeoffice-Planungen unter Berücksichtigung von Zuordnungen zu gesundheitlichen Gefährdungsgruppen.
- Beispiel: Abfrage von Selbsteinordnung in Risikogruppen zur Gestaltung von Homeoffice-Plänen.
- Als Rechtsgrundlage kommt § 26 Abs. 3 BDSG für Beschäftigte in Betracht.
- Voraussetzung: Abwägung der Interessen.
- Für alle anderen Personen ist die Wahl der rechtlichen Begründung derzeit nicht ohne Weiteres möglich.
4. Maßgaben für alle Verarbeitungen, insbesondere:
4.1 Datenminimierung
- Verarbeiten Sie nur die Daten, die begründbar erforderlich sind.
- Beispiel: Sie müssen nicht immer wissen, mit welcher infizierten Person Kontakt bestand. Denn allein der Umstand genügt.
4.2 Begrenzung des Zugriffs
- Nicht jeder Mitarbeiter muss diese Daten einsehen können.
- Beispiel: Nicht jeder Mitarbeiter muss in einem Einsatzplan lesen können, welche Kollegen zu einer Risikogruppe gehören.
###4.3 Festlegung der Speicherdauer###
- Die Daten müssen nicht unendlich gespeichert bleiben.
- Die Verarbeitung muss am Zweck ausgerichtet sein.
4.4 Festlegung der Sicherheit der Verarbeitung
- Die Daten müssen technisch-organisatorisch geschützt sein.
4.5 Unterrichtung jeder betroffenen Person bei der jeweiligen Datenerhebung nach Maßgabe der Artt. 12, 13, 14 DS-GVO.
- Vereinfacht zum Zusammenstellen der Inhalte: Jeder muss informiert werden, wer was mit welchen Daten wozu (zu welchem/n Zwecke/n) warum (berechtigtes Interesse) wie lange!
- Achtung: Der Umfang der Pflichtinhalte nach Artt. 13, 14 DS-GVO geht natürlich weiter, aber mit der links stehenden Faustformel ist die Vorbereitung leichter!
- Achtung: Erheben Sie Daten nicht direkt bei der jeweiligen Person, sondern mittelbar (bspw. Angehörige Person eines Mitarbeiters) dann müssen Sie grundsätzlich auch diese Person benachrichtigen!
Achtung: Wenn Sie personenbezogene Daten nicht direkt bei der jeweiligen Person, sondern mittelbar erheben (bspw. Nachfrage bei Mitarbeiter zur Gesundheit von Angehörigen), dann müssen Sie grundsätzlich auch diese Person benachrichtigen (Art. 14 DS-GVO)! Es gibt Ausnahmen, aber die müssen geprüft und dokumentiert werden. Machen Sie es sich einfacher, wenn es schnell gehen muss und verzichten Sie auf solche Informationen, wenn es vermeidbar ist.
Exkurs: Einwilligung der betroffenen Person
Formal betrachtet kommt auch die Einwilligung der betroffenen Person in Betracht. Diese muss jedoch freiwillig erteilt werden. Hieran bestehen Zweifel, wenn keine echte Wahlmöglichkeit besteht. Gerade im Beschäftigungsverhältnis wird dies nicht leicht zu begründen sein.
Tipp: Die Verarbeitung muss im Rahmen einer Interessenabwägung gerechtfertigt werden (können). Auch für diese ist die Beschreibung anhand des vorstehenden Stufenkonzepts wichtig, um deutlich zu machen, dass für die betroffene Person mildere Mittel (auch) erfolgt sind oder zumindest in Betracht gezogen wurden.
II. Besonders heikel: Offenlegung der Identität von infizierten Beschäftigten oder entsprechendem Verdacht gegenüber anderen Beschäftigten
Besonders problematisch ist die Offenlegung der Identität von infizierten Beschäftigten oder einem entsprechenden Verdacht gegenüber anderen Beschäftigten und Dritten.
Der Grundsatz muss sein: Nur, wenn es zwingend ist und nur an diejenigen, die zwingend Kenntnis haben müssen. Der Name nur, wenn es für diese Maßnahme zwingend erforderlich ist.
Das bisher zur Verneinung herangezogene Argument der Stigmatisierung halte ich – entgegen der FAQ der Datenschutzaufsichtsbehörde Baden-Württemberg (siehe Link unten) – zwar zwischenzeitlich nicht mehr für so durchschlagend, aber wer hierzu Recht behält, ist noch nicht geklärt. Ich sehe aber ein großes Risiko in einer zu laxen Kommunikation bei Einsatz- und Arbeitsplänen (auch bzgl. Homeoffice), wenn darin für jeden erkennbar ist, welcher Kollege ein Risikopatient ist (oder gar noch warum das so ist). Aber Risiken bestehen bei der Offenlegung weiterhin – vielleicht weniger mit Blick auf ein Bußgeld als eher mit Blick auf Schadensersatzansprüche in „raueren Zeiten“.
Die Aufsichtsbehörde Baden-Württemberg schlägt ein dreistufiges Vorgehen vor:
1. Schutzmaßnahmen und Warnung ohne Offenlegung.
2. Ist dies ausnahmsweise nicht ausreichend, so muss der Arbeitgeber Kontakt mit den Gesundheitsbehörden aufnehmen und um deren Entscheidung ersuchen.
3. Ist auch dies nicht möglich, dürfen auch die übrigen Mitarbeiter über den Verdacht der Ansteckung oder der Erkrankung des konkreten Mitarbeiters informiert werden, um Infektionsquellen zu lokalisieren und einzudämmen.
III. Home-Office-Regelungen
Die Arbeit im Home-Office bringt ebenfalls Datenschutzfragen mit sich und zwar in zwei Richtungen:
1. Verarbeitung der Daten des Beschäftigten und
2. Verarbeitung von personenbezogenen Daten durch den Beschäftigten im Rahmen seiner Tätigkeit für den Arbeitgeber.
Wenn das Unternehmen noch keine Regelungen hat, aber die Zeit sehr drängt, bietet sich eine Orientierung an den Vereinbarungen über die Auftragsverarbeitung nach Art. 28 DS-GVO an. Natürlich passen die nicht eins-zu-eins. Sie können aber als Orientierung und Checkliste für Inhalte verwendet und schnell angepasst werden. Denn die wichtigsten Punkte für eine Home-Office-Regelung sind ebenfalls: Weisungsgebundenheit bei der Verarbeitung (Art. 29 DS-GVO), technisch-organisatorischer Schutz der Daten im Home-Office (Art. 32 DS-GVO – Stichworte: Kein Zugriff durch Dritte, Datensicherung, keine unnötigen Ausdrucke und deren Vernichtung im Büro, akustischer Schutz bei Telefonaten & Co., technischer Schutz der Endgeräte sowie der Zugangssysteme, Geheimhaltung von Zugangs-/Zugriffsberechtigungen) und Meldung bei Datenschutzpannen sowie Festlegung des Standorts anhand Wohnanschrift.
Die Datenerhebung und -speicherung in Bezug auf die Arbeit/Tätigkeit des Beschäftigten (Log-In, Log-Out, Firewalls, Last der Systeme, Bearbeitungsstand von Unterlagen und Ablagen) lässt sich durch § 26 Abs. 1 S. 1 BDSG rechtfertigen, sofern dies angemessen ausgestaltet ist. Diese Erfassung kann auch mitbestimmungspflichtig sein. Entscheidend ist die Beachtung der proaktiven Informationspflichten nach Artt. 12, 13, 14 DS-GVO.
Gerne erstellen wir für Sie entsprechende Mustervereinbarungen und Hinweise!
Ihr Ansprechpartner:
Rechtsanwalt Dr. Jens Eckhardt, Fachanwalt für Informationstechnologierecht Derra, Meyer & Partner Rechtsanwälte PartGmbB, Düsseldorf, Ulm, Berlin
Datenschutz-Auditor (TÜV), Compliance Officer (TÜV), Mitglied im Vorstand des Berufsverbands der Datenschutzbeauftragten (BvD) e.V. Immermannstraße 15, 40210 Düsseldorf -Tel: +49(0)211/17520660 - Fax: +49(0)211/17520666
E-Mail: eckhardt@derra-d.de - www.derra.eu
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare