Datenschutz in Zeiten von Corona
Die Welt steht vor einer der größten Herausforderungen unserer Zeit. Sowohl die Datenschutzbehörden in Deutschland, als auch der Europäische Datenschutzausschuss (EDSA) haben sich zum Thema Datenverarbeitung in Zeiten von Corona geäußert.
Die Grundätze der Datenverarbeitung in der Datenschutzgrundverordnung (DSGVO) bleiben unberührt, jedoch müssen auch andere nationale Rechtsvorschriften mit in die Betrachtung einfließen. Zu der Rechtmäßigkeit der Datenverarbeitung deutet der EDSA an, dass die DSGVO Regeln vorsieht, die auch für die Verarbeitung von personenbezogenen Daten im Rahmen von COVID-19 gelten. Die DSGVO ermöglicht Gesundheitsbehörden und Arbeitgebern, im Einklang des jeweiligen nationalen Rechtes, personenbezogene Daten zu verarbeiten, . Somit besteht unter Umständen keine Notwendigkeit, sich auf die Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO) von Einzelpersonen zu verlassen.
In seiner Stellungnahme führt der EDSA auf, dass in Bezug auf die Verarbeitung von Telekommunikationsdaten (z.B. Standortdaten) geltende nationale Bestimmungen zur Umsetzung der (Datenschutzrichtlinie für elektronische Kommunikation 2002/58E/G, später 2009/136/EC) eingehalten werden müssen. Die Richtlinie ermöglicht es den Mitgliedstaaten, gesetzgeberische Maßnahmen zur Wahrung der öffentlichen Sicherheit einzuführen. Eine solche außergewöhnliche Gesetzgebung ist nur möglich, wenn sie eine notwendige, angemessene und verhältnismäßige Maßnahme innerhalb einer demokratischen Gesellschaft darstellt. Diese Maßnahmen müssen im Einklang mit der Charta der Grundrechte und der Europäischen Konvention zum Schutz der Menschenrechte und der grundlegenden Freiheit sein. Darüber hinaus unterliegt dieses der gerichtlichen Kontrolle des Europäischen Gerichtshofs und dem Europäischen Gerichtshof für Menschenrechte. Diese Stellung ist wichtig im Zusammenhang mit der Frage, ob Regierungen personenbezogene Daten verarbeiten dürfen, die sich auf den Handystandort (Tracking) von Einzelpersonen beziehen, damit die Verbreitung der Pandemie überwacht, eingedämmt oder gemildert werden kann. Dieses würde ermöglichen Personen zu lokalisieren oder Nachrichten zur öffentlichen Gesundheit an Personen in einem bestimmten Gebiet zu senden. In dem Papier des EDSA ist auch erwähnt, dass Behörden zunächst versuchen sollten, die Standortdaten zu anonymisieren. Dadurch hätte man die Möglichkeit Berichte über die Ansammlung mobiler Endgeräte an einem bestimmten Ort erstellen zu können. Für anonymisierte Daten gelten die Datenschutzbestimmungen nicht. Wenn eine Anonymisierung nicht möglich ist, erlaubt die e‑Privacy-Richtlinie den Mitgliedstaaten, Maßnahmen zur Wahrung der öffentlichen Sicherheit einzuführen. Hierbei gilt jedoch das Prinzip der Verhältnismäßigkeit. Unter Berücksichtigung des spezifischen Zweckes muss immer die Lösung angewendet werden, welche die geringste Eingriffsintensität auf die Grundrechte der betroffenen Person hat. Maßnahmen, wie das Tracking von Einzelpersonen, können nur in außergewöhnlichen Umständen in Betracht gezogen werden. Es muss jedoch eine genauere Prüfung der Schutzmaßnahmen erfolgen, um die Einhaltung der Datenschutzgrundsätze zu gewährleisten.
Bezüglich des Beschäftigtendatenschutzes weist der EDSA auf die nationalen Gesetze hin und vertritt die Meinung, dass Arbeitgeber nur dann Gesundheitsdaten verarbeiten können, wenn das aufgrund nationaler gesetzlicher Verpflichtungen erforderlich ist. Des Weiteren wird erwähnt, dass Arbeitgeber ihre Angestellten über COVID-19 Fälle informieren und im Rahmen der Fürsorgepflicht weitere Schutzmaßnahmen ergreifen müssen, dabei dürfe aber nicht mehr Informationen als nötig kommuniziert werden. In Fällen, in denen es notwendig sei, den Namen des erkrankten Mitarbeiters zu nennen und das nationale Recht dieses erlaubt, sollte der Betroffene im Voraus über diese Maßnahme informiert werden.
Die Datenschutzaufsichtsbehörden haben auch Informationspapiere veröffentlicht, welche den Arbeitgebern im Rahmen von COVID-19 einen Überblick verschaffen, was aus datenschutzrechtlicher Sicht erlaubt ist.
Aufgrund der Fürsorgepflicht und aus dem Arbeitsschutzgesetz resultierenden Pflichten sind Arbeitgeber verpflichtet, entsprechende Maßnahmen zu ergreifen, um die Sicherheit und die Gesundheit der Belegschaft sicherzustellen. In der Umsetzung bedeutet das, dass es zu diesem Zweck (arbeitsmedizinische Vorsorge) datenschutzrechtlich zulässig ist, Informationen darüber zu erheben, ob der erkrankte Mitarbeiter in einem Risikogebiet war oder Kontakt mit einer infizierten Person hatte.
Auf die Frage, ob der Name der erkrankten Person erwähnt werden darf, weisen die Behörden darauf hin, dass dies grundsätzlich zu vermeiden ist und dass der Kreis der Personen klein gehalten werden muss – z.B. abteilungs- oder teambezogen. Wenn aber diese Möglichkeit nicht besteht, soll sich der Arbeitgeber zuerst an die Gesundheitsbehörde wenden, um deren Entschluss zu ersuchen. Im Falle, dass dieses nicht möglich ist, darf der Arbeitgeber die restlichen Mitarbeiter auch darüber informieren.
Was passiert, wenn der Arbeitgeber eine Anfrage von der Gesundheitsbehörde erhält – Daten über erkrankte Mitarbeiter, über solche mit Aufenthalt in einem Risikogebiet oder die in Kontakt mit einer infizierten Person hatten – an die Behörde übermitteln muss? , aufgrund des Infektionsschutzgesetzes und der rechtlichen Verpflichtung aus Art. 6, Abs. 1, lit. c DSGVO. Behördliche Aufforderungen sind spezifisch je nach Bundesland und werden meist vom Gesundheitsamt erlassen. Die höchste Rechtskraft hat in solchen Fällen das Infektionsschutzgesetz, welches eine Quarantäneanordnung und ein Tätigkeitsverbot regelt, dieses wird durch die hiesigen Gesundheitsämter umgesetzt.
Und wie sieht es mit Kunden oder Besuchern aus? Dürfen Arbeitgeber auf behördliche Anfrage Informationen verarbeiten? Die Antwort wird auf das Infektionsschutzgesetz gestützt. Es wird begründet, dass eine Datenverarbeitung auf Anfrage zur Speicherung der Besucherdaten zum Zwecke der Erfüllung einer gesetzlichen Pflicht erforderlich ist. In dem Fall sind die Informationspflichten nach Art. 13 und 14 DSGVO entsprechend anzupassen. Wenn keine behördliche Aufforderung vorliegt, dann bedarf die Verarbeitung die Einwilligung der betroffenen Person.
Wie sind Leistungserbringer im Gesundheitswesen datenschutzrechtlich betroffen? Die Meldepflicht von Ärzten, Krankenhäusern und anderen Trägern im Gesundheitsbereich ergibt sich aus dem Infektionsschutzgesetz (IfSG). Bei der namentlichen Meldung nach dem IfSG sind Ärzte nicht verpflichtet ihnen bislang nicht vorliegende Informationen zu erheben. Wenn es aber dazu kommt, solche Informationen, die ihnen früher nicht zur Verfügung standen zu erheben, muss an erster Stelle geprüft werden, ob eine Erhebungsbefugnis besteht. An zweiter Stelle muss geprüft werden, ob in den Informationspflichten nach Art. 13 und 14 DSGVO schon die Möglichkeit erwähnt worden ist aufgrund des IfSG Gesundheitsdaten an die Gesundheitsbehörde zu melden und wenn nicht muss eine entsprechende Anpassung erfolgen.
Wenn Sie weitere Fragen rund um dieses Thema haben, dann wenden Sie sich an unser Datenschutzteam: du-bist-datenschutz@blusystems.de