Die Welt steht vor einer der größ­ten Her­aus­for­de­run­gen unse­rer Zeit. Sowohl die Daten­schutz­be­hör­den in Deutsch­land, als auch der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) haben sich zum The­ma Daten­ver­ar­bei­tung in Zei­ten von Coro­na geäu­ßert.

Die Grun­dät­ze der Daten­ver­ar­bei­tung in der Daten­schutz­grund­ver­ord­nung (DSGVO) blei­ben unbe­rührt, jedoch müs­sen auch ande­re natio­na­le Rechts­vor­schrif­ten mit in die Betrach­tung ein­flie­ßen. Zu der Recht­mä­ßig­keit der Daten­ver­ar­bei­tung deu­tet der EDSA an, dass die DSGVO Regeln vor­sieht, die auch für die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten im Rah­men von COVID-19 gel­ten. Die DSGVO ermög­licht Gesund­heits­be­hör­den und Arbeit­ge­bern, im Ein­klang des jewei­li­gen natio­na­len Rech­tes, per­so­nen­be­zo­ge­ne Daten zu ver­ar­bei­ten, . Somit besteht unter Umstän­den kei­ne Not­wen­dig­keit, sich auf die Ein­wil­li­gung (Art. 6 Abs. 1 lit. a) DSGVO) von Ein­zel­per­so­nen zu ver­las­sen.

In sei­ner Stel­lung­nah­me führt der EDSA auf, dass in Bezug auf die Ver­ar­bei­tung von Tele­kom­mu­ni­ka­ti­ons­da­ten (z.B. Stand­ort­da­ten) gel­ten­de natio­na­le Bestim­mun­gen zur Umset­zung der (Daten­schutz­richt­li­nie für elek­tro­ni­sche Kom­mu­ni­ka­ti­on 2002/58E/G, spä­ter 2009/136/EC) ein­ge­hal­ten wer­den müs­sen. Die Richt­li­nie ermög­licht es den Mit­glied­staa­ten, gesetz­ge­be­ri­sche Maß­nah­men zur Wah­rung der öffent­li­chen Sicher­heit ein­zu­füh­ren. Eine sol­che außer­ge­wöhn­li­che Gesetz­ge­bung ist nur mög­lich, wenn sie eine not­wen­di­ge, ange­mes­se­ne und ver­hält­nis­mä­ßi­ge Maß­nah­me inner­halb einer demo­kra­ti­schen Gesell­schaft dar­stellt. Die­se Maß­nah­men müs­sen im Ein­klang mit der Char­ta der Grund­rech­te und der Euro­päi­schen Kon­ven­ti­on zum Schutz der Men­schen­rech­te und der grund­le­gen­den Frei­heit sein. Dar­über hin­aus unter­liegt die­ses der gericht­li­chen Kon­trol­le des Euro­päi­schen Gerichts­hofs und dem Euro­päi­schen Gerichts­hof für Men­schen­rech­te. Die­se Stel­lung ist wich­tig im Zusam­men­hang mit der Fra­ge, ob Regie­run­gen per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten dür­fen, die sich auf den Han­dy­stand­ort (Tracking) von Ein­zel­per­so­nen bezie­hen, damit die Ver­brei­tung der Pan­de­mie über­wacht, ein­ge­dämmt oder gemil­dert wer­den kann. Die­ses wür­de ermög­li­chen Per­so­nen zu loka­li­sie­ren oder Nach­rich­ten zur öffent­li­chen Gesund­heit an Per­so­nen in einem bestimm­ten Gebiet zu sen­den. In dem Papier des EDSA ist auch erwähnt, dass Behör­den zunächst ver­su­chen soll­ten, die Stand­ort­da­ten zu anony­mi­sie­ren. Dadurch hät­te man die Mög­lich­keit Berich­te über die Ansamm­lung mobi­ler End­ge­rä­te an einem bestimm­ten Ort erstel­len zu kön­nen. Für anony­mi­sier­te Daten gel­ten die Daten­schutz­be­stim­mun­gen nicht. Wenn eine Anony­mi­sie­rung nicht mög­lich ist, erlaubt die e‑Pri­va­cy-Richt­li­nie den Mit­glied­staa­ten, Maß­nah­men zur Wah­rung der öffent­li­chen Sicher­heit ein­zu­füh­ren. Hier­bei gilt jedoch das Prin­zip der Ver­hält­nis­mä­ßig­keit. Unter Berück­sich­ti­gung des spe­zi­fi­schen Zwe­ckes muss immer die Lösung ange­wen­det wer­den, wel­che die gerings­te Ein­griffs­in­ten­si­tät auf die Grund­rech­te der betrof­fe­nen Per­son hat. Maß­nah­men, wie das Tracking von Ein­zel­per­so­nen, kön­nen nur in außer­ge­wöhn­li­chen Umstän­den in Betracht gezo­gen wer­den. Es muss jedoch eine genaue­re Prü­fung der Schutz­maß­nah­men erfol­gen, um die Ein­hal­tung der Daten­schutz­grund­sät­ze zu gewähr­leis­ten.

Bezüg­lich des Beschäf­tig­ten­da­ten­schut­zes weist der EDSA auf die natio­na­len Geset­ze hin und ver­tritt die Mei­nung, dass Arbeit­ge­ber nur dann Gesund­heits­da­ten ver­ar­bei­ten kön­nen, wenn das auf­grund natio­na­ler gesetz­li­cher Ver­pflich­tun­gen erfor­der­lich ist. Des Wei­te­ren wird erwähnt, dass Arbeit­ge­ber ihre Ange­stell­ten über COVID-19 Fäl­le infor­mie­ren und im Rah­men der Für­sor­ge­pflicht wei­te­re Schutz­maß­nah­men ergrei­fen müs­sen, dabei dür­fe aber nicht mehr Infor­ma­tio­nen als nötig kom­mu­ni­ziert wer­den. In Fäl­len, in denen es not­wen­dig sei, den Namen des erkrank­ten Mit­ar­bei­ters zu nen­nen und das natio­na­le Recht die­ses erlaubt, soll­te der Betrof­fe­ne im Vor­aus über die­se Maß­nah­me infor­miert wer­den.

Die Daten­schutz­auf­sichts­be­hör­den haben auch Infor­ma­ti­ons­pa­pie­re ver­öf­fent­licht, wel­che den Arbeit­ge­bern im Rah­men von COVID-19 einen Über­blick ver­schaf­fen, was aus daten­schutz­recht­li­cher Sicht erlaubt ist.

Auf­grund der Für­sor­ge­pflicht und aus dem Arbeits­schutz­ge­setz resul­tie­ren­den Pflich­ten sind Arbeit­ge­ber ver­pflich­tet, ent­spre­chen­de Maß­nah­men zu ergrei­fen, um die Sicher­heit und die Gesund­heit der Beleg­schaft sicher­zu­stel­len. In der Umset­zung bedeu­tet das, dass es zu die­sem Zweck (arbeits­me­di­zi­ni­sche Vor­sor­ge) daten­schutz­recht­lich zuläs­sig ist, Infor­ma­tio­nen dar­über zu erhe­ben, ob der erkrank­te Mit­ar­bei­ter in einem Risi­ko­ge­biet war oder Kon­takt mit einer infi­zier­ten Per­son hat­te.

Auf die Fra­ge, ob der Name der erkrank­ten Per­son erwähnt wer­den darf, wei­sen die Behör­den dar­auf hin, dass dies grund­sätz­lich zu ver­mei­den ist und dass der Kreis der Per­so­nen klein gehal­ten wer­den muss – z.B. abtei­lungs- oder team­be­zo­gen. Wenn aber die­se Mög­lich­keit nicht besteht, soll sich der Arbeit­ge­ber zuerst an die Gesund­heits­be­hör­de wen­den, um deren Ent­schluss zu ersu­chen. Im Fal­le, dass die­ses nicht mög­lich ist, darf der Arbeit­ge­ber die rest­li­chen Mit­ar­bei­ter auch dar­über infor­mie­ren.

Was pas­siert, wenn der Arbeit­ge­ber eine Anfra­ge  von der Gesund­heits­be­hör­de erhält – Daten über erkrank­te Mit­ar­bei­ter, über sol­che mit Auf­ent­halt in einem Risi­ko­ge­biet oder die in Kon­takt mit einer infi­zier­ten Per­son hat­ten – an die Behör­de über­mit­teln muss? , auf­grund des Infek­ti­ons­schutz­ge­set­zes und der recht­li­chen Ver­pflich­tung aus Art. 6, Abs. 1, lit. c DSGVO.  Behörd­li­che Auf­for­de­run­gen sind spe­zi­fisch je nach Bun­des­land und wer­den meist vom Gesund­heits­amt erlas­sen. Die höchs­te Rechts­kraft hat in sol­chen Fäl­len das Infek­ti­ons­schutz­ge­setz, wel­ches eine Qua­ran­tä­nean­ord­nung und ein Tätig­keits­ver­bot regelt, die­ses wird durch die hie­si­gen Gesund­heits­äm­ter umge­setzt.

Und wie sieht es mit Kun­den oder Besu­chern aus? Dür­fen Arbeit­ge­ber auf behörd­li­che Anfra­ge Infor­ma­tio­nen ver­ar­bei­ten? Die Ant­wort wird auf das Infek­ti­ons­schutz­ge­setz gestützt. Es wird begrün­det, dass eine Daten­ver­ar­bei­tung auf Anfra­ge zur Spei­che­rung der Besu­cher­da­ten zum Zwe­cke der Erfül­lung einer gesetz­li­chen Pflicht erfor­der­lich ist. In dem Fall sind die Infor­ma­ti­ons­pflich­ten nach Art. 13 und 14 DSGVO ent­spre­chend anzu­pas­sen. Wenn kei­ne behörd­li­che Auf­for­de­rung vor­liegt, dann bedarf die Ver­ar­bei­tung die Ein­wil­li­gung der betrof­fe­nen Per­son.

Wie sind Leis­tungs­er­brin­ger im Gesund­heits­we­sen daten­schutz­recht­lich betrof­fen? Die Mel­de­pflicht von Ärz­ten, Kran­ken­häu­sern und ande­ren Trä­gern im Gesund­heits­be­reich ergibt sich aus dem Infek­ti­ons­schutz­ge­setz (IfSG). Bei der nament­li­chen Mel­dung nach dem IfSG sind Ärz­te nicht ver­pflich­tet ihnen bis­lang nicht vor­lie­gen­de Infor­ma­tio­nen zu erhe­ben. Wenn es aber dazu kommt, sol­che Infor­ma­tio­nen, die ihnen frü­her nicht zur Ver­fü­gung stan­den zu erhe­ben, muss an ers­ter Stel­le geprüft wer­den, ob eine Erhe­bungs­be­fug­nis besteht. An zwei­ter Stel­le muss geprüft wer­den, ob in den Infor­ma­ti­ons­pflich­ten nach Art. 13 und 14 DSGVO schon die Mög­lich­keit erwähnt wor­den ist auf­grund des IfSG Gesund­heits­da­ten an die Gesund­heits­be­hör­de zu mel­den und wenn nicht muss eine ent­spre­chen­de Anpas­sung erfol­gen.

Wenn Sie wei­te­re Fra­gen rund um die­ses The­ma haben, dann wen­den Sie sich an unser Daten­schutz­team: du-bist-datenschutz@blusystems.de