Datenschutz

Datenschutz in der Corona-Krise

Author: Levin Rühmann
Berater für IT-Sicherheit und Datenschutz

Keine Thematik bewegt die Welt derzeit so stark, wie das Corona-Virus. Die Zahl der Neu-Infektionen steigt täglich und verlangt nach geeigneten Schutzmaßnahmen, sowohl privat, als auch im öffentlichen Bereich und im beruflichen Kontext. Der Schutz der Beschäftigten ist essenziell – nicht zuletzt auch vor dem Hintergrund der Vermeidung von Standort- oder Einrichtungsschließungen. Neben Akut-Maßnahmen, wie der Förderung des Arbeitens im Home-Office und der Umstellung auf Video- und Telefonkonferenzen, die den direkten persönlichen Kontakt unterbinden sollen, gibt es auch zahlreiche weitere Ansätze.

Keine Thematik bewegt die Welt derzeit so stark, wie das Corona-Virus. Die Zahl der Neu-Infektionen steigt täglich und verlangt nach geeigneten Schutzmaßnahmen, sowohl privat, als auch im öffentlichen Bereich und im beruflichen Kontext. Der Schutz der Beschäftigten ist essenziell – nicht zuletzt auch vor dem Hintergrund der Vermeidung von Standort- oder Einrichtungsschließungen. Neben Akut-Maßnahmen, wie der Förderung des Arbeitens im Homeoffice und der Umstellung auf Video- und Telefonkonferenzen, die den direkten persönlichen Kontakt unterbinden sollen, gibt es auch zahlreiche weitere Ansätze.

Gesundheitsschutz vs. Datenschutz

Häufig geht mit entsprechenden Schutzmaßnahmen allerdings die Erhebung von Gesundheitsdaten nach Artikel 9 Datenschutzgrundverordnung (DSGVO) einher. Beispiele hierfür sind Fiebermessungen oder an Mitarbeitende oder Besucher ausgehändigte Fragebögen, welche eine Abfrage von Krankheitssymptomen beinhalten. Wichtig ist vor allem, dass diese Daten einen erhöhten Schutzbedarf aufweisen und nur unter bestimmten Voraussetzungen verarbeitet werden dürfen. Fraglich ist daher, wie diese Verarbeitungsprozesse aus Datenschutzsicht zu betrachten sind und welche Grenzen hier grundsätzlich gezogen werden müssen, um die Betroffenen zu schützen und das Recht auf informationelle Selbstbestimmung zu bewahren. Auch wenn Datenschutzfragen in diesen Zeiten meistens nicht im Mittelpunkt der Problemstellung stehen, sollten sie dennoch in den Betrachtungshorizont und die Lösungsansätze einfließen.

Webcast zum Thema "Datenschutz in der Corona-Krise" mit Arne Wolff und Julian Lang

Sicher ist, dass Daten, die im Zusammenhang mit der Corona-Virus-Pandemie im Beschäftigtenkontext erhoben werden, vom Grad der Sensibilität mitunter sehr hoch anzusiedeln sind und somit nur unter bestimmte Voraussetzung verarbeitet werden dürfen. Gleichzeitig ist die Verarbeitung der Daten zur Eindämmung der Verbreitung und zum Schutz der Mitmenschen essenziell. Dies gilt insbesondere bei Personen, sein es Beschäftigte, Gäste oder Besucher, mit nachgewiesenem Infekt oder auch in Verdachtsfällen, z. B. aufgrund des Kontakts zu nachweislich infizierten Personen oder des Aufenthalts in einem vom RKI klassifizierten Risikogebiet.

Was müssen Arbeitgeber beachten?

Abgesehen von der Diskussion, ob die angewendeten Maßnahmen ein geeignetes Mittel sind, um Rückschluss auf eine Erkrankung mit dem Corona-Virus zuzulassen, lässt sich sagen, dass der Arbeitgeber zunächst einmal der Fürsorgepflicht nach dem Arbeitsschutzgesetz unterliegt. In diesem Zusammenhang ist dieser auch dazu befähigt, Gesundheitsdaten zu erheben, um evtl. vorliegende Risiken für den Betroffenen und die übrige Belegschaft auszuschließen. Natürlich gilt es dabei immer die Grundsätze der Verarbeitung, die sich aus Artikel 5 DSGVO ergeben, zu berücksichtigen. Besonders die Zweckbindung sollte hier oberste Priorität haben. Konkret bedeutet dies, dass die Gesundheitsdaten ausschließlich für Zwecke der Gesundheitsvorsorge und Eindämmung des Corona-Virus verwendet werden dürfen. Zudem sollten sich die erhobenen Daten nur auf ein zwingend notwendiges Maß beschränken (Datenminimierung) und unverzüglich gelöscht werden, sobald die Pandemie überwunden ist und somit der Zweck der Verarbeitung entfällt.

Wie in vielen anderen Fällen auch, sind seitens des Arbeitgebers Risiken gegeneinander abzuwägen und eine Beurteilung dahingehend vorzunehmen, ob gewisse Daten für die Erfüllung einer bestimmten Aufgabe erforderlich sind und vor allem wem Sie offengelegt werden. Dazu zählt bspw. die Frage, wer Kenntnis von der Infizierung bzw. dem Verdacht einer Infizierung eines Mitarbeiters erlange darf. Um die Problematik einer Stigmatisierung zu vermeiden, sollte die Nennung eines Namens grundsätzlich unterbleiben. Der Hinweis an die übrigen Beschäftigten kann hier auch ohne direkten Personenbezug vorgenommen werden. Bei Unsicherheiten sollte stets der Rat des Datenschutzbeauftragten hinzugezogen oder ggf. Kontakt zu den Gesundheitsbehörden aufgenommen werden.

Erhalten Sie die neuesten Informationen über den Datenschutz in Zeiten von Corona, auf www.corona-datenschutz.de

Fazit

Allgemein ergeben sich vielseitige Fragestellungen, wie mit gewissen datenschutzrechtlichen Problemstellungen im Rahmen der Corona-Pandemie umgegangen werden sollte. Trotz der Kurzfristigkeit einer Vielzahl der Maßnahmen sollte Datenschutz nicht in den Hintergrund geraten, sondern weiterhin mit Sorgfalt sowie Sinn und Verstand behandelt werden.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.