Datenschutz in Corona-Zeiten

Was Unternehmen in der Corona-Krise beim Datenschutz im Betrieb beachten müssen

Veröffentlicht am: 25.03.2020

Von: ROSE & PARTNER Rechtsanwälte Steuerberater

Lesedauer:

Was Unternehmen in der Corona-Krise beim Datenschutz im Betrieb beachten müssen

Ein Beitrag von Rechtsanwalt Thomas Repka

Die Corona-Krise fordert Unternehmen, Geschäftsführer und Manager an unterschiedlichsten Fronten. Einerseits soll das Geschäft weitgehend aufrecht erhalten bleiben, andererseits muss auf die Gesundheit von Mitarbeitern, Angestellten und Kunden besonders geachtet werden. Bei der Umsetzung von Schutzmaßnahmen werden datenschutzrechtliche Fragen oft vernachlässigt. Dies kann gefährlich werden, denn die Datenschutzbehörden gehen besonders bei Datenschutzverstößen mit sensiblen Daten streng vor und verhängen hohe DSGVO-Bußgelder.

Gesundheitsschutz vs. Datenschutz

Über das „ob“ und „wie“ der Datenverarbeitung personenbezogener Daten im Zusammenhang mit der derzeitigen Corona-Pandemie bestand große Unsicherheit. Die Datenschutzbehörden haben daher in den letzten Tagen entsprechende Handlungsempfehlungen veröffentlicht.

Die Datenschutzbehörden bleiben bei ihrer Einschätzung, dass auch in den momentanen Krisenzeiten eine Verarbeitung von Gesundheitsdaten zwar möglich, aber nur restriktiv und in Ausnahmefällen erfolgen soll.

Für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie und/oder zum Schutz von Angestellten können personenbezogene Daten datenschutzkonform verarbeitet werden. Hierbei sind insbesondere das Vorliegen einer gesetzlichen Erlaubnis und der Grundsatz der Verhältnismäßigkeit zu beachten.

Besonderer Schutz von Gesundheitsdaten

Die betroffenen Daten beziehen sich im Zusammenhang mit der Corona-Krise insbesondere auf den gesundheitlichen Zustand der betroffenen Person. Gesundheitsdaten sind jedoch besonders geschützt – eine Verarbeitung ist nur in den in Art. 9 DSGVO genannten Fällen erlaubt. Betrifft die Datenverarbeitung (auch) das Arbeitsverhältnis, ist zusätzlich § 26 Abs. 3 BDSG einschlägig.

Das sagen die Aufsichtsbehörden

Gemäß der Ansicht der Datenschutzbehörden können folgende Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie als datenschutzrechtlich legitimiert betrachtet werden:

Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Zur Erreichung dieses Ziels dürfen Unternehmer personenbezogene Daten verarbeiten, in Fällen, in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestand und in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen, Besuchern und Kunden, insbesondere um festzustellen, ob diese selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen oder sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.

Namensnennung von infizierten Personen ist zu vermeiden

Eine Offenlegung von Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen ist nur dann erlaubt, wenn die Kenntnis für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Hier müssen Geschäftsführer und Vorstände also genau prüfen und abwägen, ob eine Offenlegung tatsächlich erforderlich ist. Andernfalls liegt hierin ein Datenschutzverstoß, der durch die Aufsichtsbehörden sanktioniert werden und Ansprüche der betroffenen Personen auslösen kann. Zudem droht im schlimmsten Fall auch eine persönliche Haftung. Erfahren Kollegen oder Kunden von einer Erkrankung mit dem Corona-Virus einer bestimmten Person, kann dies zu einer erheblichen Stigmatisierung führen. Daher ist die Nennung des Namens so weit wie möglich zu vermeiden. Die Warnung von Mitarbeitern und Kollegen kann in der Regel auch ohne Namensnennung erfolgen.

Mitteilungspflicht von Infektionsfällen im Betrieb an zuständige Behörden

Gibt es für Unternehmen eine behördliche Anordnung (zB. nach dem Infektionsschutzgesetz) Fälle von Infizierten oder von Risikogruppen den zuständigen Behörden mitzuteilen, ist diese Mitteilung datenschutzrechtlich erlaubt. Geschäftsführer haben dann sicherzustellen, dass die entsprechenden Informationen vollständig und richtig übermittelt werden. Eine gesetzliche Meldepflicht oder eine behördliche Anordnung führt dazu, dass die dafür erforderliche Datenverarbeitung und Datenweitergabe zulässig ist.

Cookie	Beschreibung
_gcl_au	This cookie is used by Google Analytics to understand user interaction with the website.
_ga	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
_gat	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.
_gat_UA-4305110-1	This is a pattern type cookie set by Google Analytics, where the pattern element on the name contains the unique identity number of the account or website it relates to. It appears to be a variation of the _gat cookie which is used to limit the amount of data recorded by Google on high traffic volume websites.
_fbp	This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
fr	The cookie is set by Facebook to show relevant advertisments to the users and measure and improve the advertisements. The cookie also tracks the behavior of the user across the web on sites that have Facebook pixel or Facebook social plugin.