Pandemie

Pandemie-Bekämpfung nicht ohne Datenschutz

 

Die Eindämmung des neuartigen Coronavirus SARS-CoV2 und der dadurch ausgelösten Krankheit COVID-19 stellt Staat, Wirtschaft, Gesellschaft und Individuen vor - teils völlig neue - Herausforderungen.


Angesichts der ergriffenen und diskutierten Maßnahmen zur Pandemie-Bekämpfung ist daran zu erinnern, dass der Datenschutz nicht Daten, sondern die betroffenen Menschen und das Gemeinwesen schützt. Die damit unter anderem verfolgte Wahrung der Menschenwürde ist auch angesichts von Pandemiegefahren zentrales Ziel und Aufgabe aller staatlichen Gewalt. Alle Maßnahmen des Infektionsschutzes müssen sich daran messen lassen.


Das Datenschutzrecht steht dem Infektionsschutz nicht im Weg, sondern erkennt den Schutz der Gesundheit und der Bevölkerung vor Infektionsgefahren als hohes Gut ausdrücklich an, nicht nur in Erwägungsgrund 46 der Datenschutz-Grundverordnung (DSGVO). Soweit personenbezogene Daten verarbeitet werden, gelten jedoch die Prinzipien des Datenschutzes uneingeschränkt. Hervorzuheben ist hier insbesondere die Verpflichtung zur Sorgfalt bei der Datenverarbeitung und zur Datenminimierung.


Gesundheitsdaten sind besonders sensible Daten. Deren herausgehobener Schutz nach Artikel 9 DSGVO, § 22 Bundesdatenschutzgesetz (BDSG), § 4 Sächsisches Datenschutz-Umsetzungsgesetz (SächsDSUG) und § 4 Sächsisches Datenschutz-Durchführungsgesetz (SächsDSDG) prägt die datenschutzrechtlichen Pflichten für Verantwortliche in besonderer Weise.


Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat am 13.03.2020 Informationen für Arbeitgeber und Dienstherren zum Umgang mit dem Datenschutz im Zusammenhang mit der COVID-19-Pandemie (https://www.datenschutzkonferenz-online.de/pressemitteilungen.html), der Europäische Datenschutzausschuss (EDSA), das Gremium der unabhängigen Datenschutzaufsichtsbehörden der Europäischen Union, hat am 19.03.2020 eine Stellungnahme zur personenbezogenen Datenverarbeitung im Zusammenhang mit dem Ausbruch von COVID-19 veröffentlicht (nur in englischer Sprache verfügbar: Statement on the processing of personal data in the context of the COVID-19 outbreak (https://edpb.europa.eu/our-work-tools/our-documents/other/statement-processing-personal-data-context-covid-19-outbreak_en).


Die folgende Hilfestellung erfolgt mittels auf die Situation in Sachsen angepasster datenschutzrechtlicher Hinweise. Ziel bleibt, Pandemiebekämpfung und Datenschutz im Einzelnen zu vereinbaren.

 

  1. Zulässige Maßnahmen von Arbeitgebern bzw. Dienstherren im Interesse des Infektionsschutzes – Hinweise zum Musterformular - Erhebung privater Kontaktdaten von Mitarbeitern zur Risikoprävention
  2. Zulässige Maßnahmen durch Unternehmen gegenüber Dritten wie Kunden, Besuchern etc. zum Zweck des Infektionsschutzes
  3. Hinweise zum Datenschutz bei (Tele-) Heimarbeit / im Home-Office
  4. Meldepflichten von Leistungserbringern im Gesundheitswesen (wie Krankenhäuser, Ärzte, etc.) im Interesse des Infektionsschutzes
  5. Zulässige Maßnahmen von Staat und Kommunen im Interesse des Infektionsschutzes
  6. Auswertung von Telekommunikationsdaten zur Pandemiebekämpfung nur unter engen Voraussetzungen zulässig
  7. Der Sächsische Datenschutzbeauftragte im Pandemiemodus bis voraussichtlich 8. Juni 2020
  8. Handreichung - Datenschutzrechtliche Aspekte der Erhebung von Kontaktdaten von Kunden und Besuchern der Corona-Pandemie

  9. Musterformular für Betriebe und Einrichtungen mit datenschutzrechtlicher Information nach Art. 13 Datenschutz-Grundverordnung (DSGVO)

 

Allgemeine und weiterführende Hinweise aus Sachsen sowie Kontaktadressen zur COVID-19-Pandemie finden Sie unter https://www.coronavirus.sachsen.de/.

Auswertung von Telekommunikationsdaten zur Pandemiebekämpfung nur unter engen Voraussetzungen zulässig

Die Nutzung von Telekommunikationsdaten ist nach geltendem Recht im Interesse des Infektionsschutzes nur insoweit zulässig, als die Identifizierbarkeit der Betroffenen ausgeschlossen bleibt (Anonymisierung), oder die Betroffenen ihre Einwilligung geben. In jedem Fall muss bei der Ausgestaltung derartiger Nutzungen sichergestellt sein, dass die Datenhaltung sicher ist, die erhobenen Daten nur für die vorgesehenen Zwecke verarbeitet und insbesondere nach Abwendung der Gefahr wieder zuverlässig gelöscht werden.


Der Sächsische Datenschutzbeauftragte warnt vor einer unkritischen Übernahme von Methoden zur Identifizierung individueller Infektionsrisiken und zur Quarantänedurchsetzung aus Ländern, die teils völlig andere staatliche und gesellschaftliche Strukturen und Wertvorstellungen haben. Auch und gerade im Angesicht unbekannter Gefahren sind das Gesetzlichkeitsprinzip, die Verhältnismäßigkeit und das Datenminimierungsgebot zu beachten.


Soweit Gesetzgeber oder Private Möglichkeiten zu einer entsprechenden Datenauswertung schaffen, ist zu vergegenwärtigen, dass das Recht auf informationelle Selbstbestimmung Verfassungsrang genießt, und die Prinzipien des Datenschutzes daneben sowohl durch das Recht der Europäischen Union als auch nach der Europäischen Menschenrechtskonvention geschützt sind.


Die Auswertung personenbeziehbarer (Telekommunikations-) Daten

  • darf insoweit nur auf der Grundlage ausreichend konkreter Gesetze oder Einwilligungen erfolgen,
  • muss für die verfolgten Zwecke geeignet, erforderlich und verhältnismäßig sein, und
  • hat Datensicherheit, Nachvollziehbarkeit, Verantwortlichkeit, Datenminimierung und Speicherbegrenzung zu gewährleisten.

 

Insoweit ist zu betonen, dass jedenfalls auf einer ersten Stufe die anonyme Datenverarbeitung im Regelfall ausreichen dürfte um festzustellen, ob und wieweit eine Ansprache, Identifikation etc. betroffener Personen erforderlich ist. Jedenfalls in derartigen frühen Phasen der Gefahrenanalyse dürfte im Regelfall die Verwendung nicht zumindest effektiv pseudonymisierter Daten unzulässig bleiben; auch wiederum ist eine pseudonyme Ansprache von betroffenen Personen ggf. vorzugswürdig und kann für die verfolgten Zwecke ausreichend sein.


Die Erfahrung lehrt, dass in Notfallzeiten Gesetze und Praktiken entstehen, die über den Notfall hinaus gelten oder zur Übung werden. In besonders dringlicher Form gilt für die Auswertung von Telekommunikationsdaten daher der allgemeine Satz, dass Notfallmaßnahmen sich am Notfall und dessen Fortbestand bzw. Erledigung zu messen haben.

Meldepflichten von Leistungserbringern im Gesundheitswesen (wie Krankenhäuser, Ärzte, etc.) im Interesse des Infektionsschutzes

Die Meldepflichten von Ärzten, Krankenhäusern und anderen Einrichtungen, beispielsweise Laboren, gegenüber Gesundheitsbehörden ergeben sich insbesondere aus den detaillierten Regelungen der §§ 6, 7, 8 und 9 IfSG in Verbindung mit der Verordnung über die Ausdehnung der Meldepflicht nach § 6 Absatz 1 Satz 1 Nummer 1 und § 7 Absatz 1 Satz 1 des Infektionsschutzgesetzes auf Infektionen mit dem erstmals im Dezember 2019 in Wuhan/Volksrepublik China aufgetretenen neuartigen Coronavirus („2019-nCoV“) des Bundesministeriums der Gesundheit vom 30. Januar 2020 (CoronaVMeldeV).


Nach § 9 Absatz 1 IfSG muss die namentliche Meldung durch einen Arzt etc. folgende Angaben, soweit vorliegend, enthalten:

  • Name und Vorname,
  • Geschlecht,
  • Geburtsdatum,
  • Anschrift der Hauptwohnung oder des gewöhnlichen Aufenthaltsortes und, falls abweichend: Anschrift des derzeitigen Aufenthaltsortes,
  • weitere Kontaktdaten,
  • Diagnose oder Verdachtsdiagnose,
  • Tag der Erkrankung, Tag der Diagnose, gegebenenfalls Tag des Todes und wahrscheinlicher Zeitpunkt oder Zeitraum der Infektion,
  • wahrscheinliche Infektionsquelle, einschließlich der zugrunde liegenden Tatsachen; in Deutschland: Landkreis oder kreisfreie Stadt, in dem oder in der die Infektion wahrscheinlich erworben worden ist, ansonsten: Staat, in dem die Infektion wahrscheinlich erworben worden ist.

 

Ärzte sind demnach aus datenschutzrechtlicher Sicht nicht verpflichtet, ihnen bislang nicht vorliegende Informationen aus dem umfangreichen Katalog des § 9 Absatz 1 IfSG erst noch, eventuell unter beträchtlichem Einsatz von Zeit und anderen Ressourcen, zu erheben, um danach ihre namentliche Meldung nach den Vorschriften des Infektionsschutzgesetzes zu machen. Soweit es Ärzten, etwa aus medizinischen oder epidemiologischen Gründen, sachgerecht oder angezeigt scheint, bestimmte Ihnen noch nicht vorliegende Informationen zu erheben, dürfen sie dies versuchen. Selbstverständlich müssen sie dann in datenschutzrechtlicher Hinsicht u.a. prüfen, ob sie eine entsprechende Erhebungsbefugnis haben.


Leistungserbringer sollten zudem überprüfen, ob die Möglichkeit einer Meldung von Gesundheitsdaten an Gesundheitsbehörden aufgrund des Infektionsschutzgesetzes in ihren jeweils erteilten Datenschutzerklärungen gemäß Artikel 13 und 14 DSGVO enthalten ist.

Zulässige Maßnahmen von Staat und Kommunen im Interesse des Infektionsschutzes

Die Datenschutzgesetze sehen personenbezogene Datenverarbeitungen ausdrücklich im Interesse der Gesundheitsvorsorge und des Schutzes vor (grenzüberschreitenden) Gesundheitsgefahren vor.


Aus allgemeinen und besonderen ordnungsbehördlichen Normen ergeben sich eine Reihe von Rechtsgrundlagen für behördliche und sonstige öffentlich-rechtliche Datenverarbeitungen. Zu nennen sind hier insbesondere das Infektionsschutzgesetz (IfSG) sowie die auf dieser Grundlage erlassenen Allgemeinverfügungen von Land und Kommunen.


Zwar gilt auch im Datenschutzrecht in gewissem Umfang, dass besondere Umstände besondere Maßnahmen erfordern und auch zulassen. Dennoch gelten die Grundsätze des Datenschutzrechts unvermindert, während der besonderen Pandemie-Situation im Rahmen der datenschutzrechtlichen Interessen- und Risikoabwägungen Rechnung getragen wird.


Das Erfordernis einer gesetzlichen Grundlage für die Datenverarbeitung wird bei hoheitlichem Handeln im Regelfall gemäß Artikel 6 Abs. 2 Buchstaben c, d und e sowie Artikel 9 Abs. 2 Buchstaben g, h und i DSGVO erfüllt, wenn die Datenverarbeitung auf anderweitiger gesetzlicher Grundlage, zum Schutz lebenswichtiger Interessen, im öffentlichen Interesse, zur Gesundheitsvorsorge und/oder zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren erfolgt. Die letzteren beiden Rechtsgründe gelten jedoch nur soweit, wie die zugrundeliegenden Normen angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des (ärztlichen) Berufsgeheimnisses, vorsehen.


Die Beschränkung der personenbezogenen Datenverarbeitung auf das zur Erreichung des verfolgten Zwecks konkret erforderliche Maß bleibt in jedem Fall zwingend, ebenso wie die Transparenz der Datenverarbeitung gegenüber den Betroffenen (Informationspflichten nach Artikel 13, 14, 15 DSGVO), die Verpflichtungen zur Datenminimierung sowie zur Nachvollziehbarkeit und Verantwortlichkeit. Mit Hinblick auf die letzteren beiden Prinzipien ist insbesondere die Dokumentations- und Organisationspflicht nach Artikel 24, 25, 32 DSGVO von besonderer Bedeutung, die auch durch die besondere Notfall-Lage nicht aufgehoben sind.


Aus dem Gebot der Datenminimierung und Speicherbegrenzung, Artikel 5 Abs. 1 Buchstaben c und e DSGVO, folgt insbesondere auch, dass für Zwecke der Pandemiebekämpfung erhobene personenbezogene Daten nach Abklingen der Infektionsgefahr grundsätzlich zu löschen sind.

Hinweise zum Datenschutz bei der (Tele-) Heimarbeit / im Home-Office

Jede Entscheidung, die Arbeit von zu Hause aus zu ermöglichen, erfordert eine sorgfältige Analyse des beabsichtigten Einsatzes und der Arbeitsprozesse, die durch Heimarbeit umgesetzt werden sollen. Dies gilt für die herkömmliche Arbeit mit Papier (z.B. Akten) ebenso wie bei jeder durch Computer unterstützten Tätigkeit.

In der aktuellen Situation werden viele Arbeitsprozesse in das private Umfeld (Homeoffice) verlagert. Auch wenn in manchen Fällen andere Herausforderungen überwiegen, müssen die zu einer Verlagerung ins Homeoffice getroffenen Entscheidungen immer auch die geltenden Rahmenbedingungen und Regelungen des Datenschutzes im Blick behalten.

Geschaffene und an den betrieblichen oder behördlichen Anforderungen orientierte und geeignete rechtliche und technisch-organisatorische betriebs- bzw. dienststelleninterne Anweisungen sowie kollektivrechtliche Betriebs- oder Dienstvereinbarungen zum Zweck der Einhaltung der datenschutzrechtlichen Vorschriften sind die Voraussetzung, dass personenbezogene Datenverarbeitung im Wege der Tele- und Heimarbeit durchgeführt werden kann.

 

Wer trägt die Verantwortung?

Der Arbeitgeber bleibt auch bei der Ermöglichung von Teleheimarbeit im Homeoffice dafür verantwortlich, dass der Datenschutz durch geeignete technische und organisatorische Maßnahmen gewahrt bleibt.

Verursacht jedoch ein Arbeitnehmer durch eigenes Verschulden eine Datenpanne, kann er – abhängig von den konkreten Umständen und insbesondere der Schwere des Verstoßes gegen seine Sorgfaltspflicht – datenschutz- und arbeitsrechtlich dafür haftbar gemacht werden.

 

Gibt es universelle Vorgaben des Datenschutzes für die Arbeit im Homeoffice?

Nein, jeder Fall ist speziell und erfordert eine sorgfältige Betrachtung. Ausgewählte Links zu Empfehlungen sind am Ende des Artikels zusammengestellt. Generell kommt es darauf an, welche personenbezogenen Daten im Homeoffice verarbeitet werden sollen und welche Risiken dadurch für die Rechte und Freiheiten natürlicher Personen entstehen könnten.

Nicht alle Arten von personenbezogenen Daten bergen die gleichen Risiken. Der Blickwinkel des Datenschutzes ist es dabei, aus Sicht eines Betroffenen zu beurteilen, welcher Schaden einer Person bei einem Missbrauch dieser Daten entstehen könnte. Die Datenschutz-Grundverordnung, nachfolgend DSGVO, unterscheidet zwischen Keinem Risiko, Risiko und Hohem Risiko. Was besonders schutzbedürftig ist, regelt Artikel 9 DSGVO.

 

Was ist hinsichtlich des Datenschutzes im Homeoffice zu beachten?

Im Wesentlichen geht es darum, die Sicherheit der personenbezogenen Daten zu gewährleisten (Artikel 32 DSGVO) und demzufolge alle erforderlichen und verhältnismäßigen Maßnahmen zu ergreifen. Vereinfacht gesagt, dürfen personenbezogene Daten auch im Homeoffice nicht abhandenkommen (Verfügbarkeit), nicht verfälscht werden (Integrität) und nur von denjenigen eingesehen bzw. verarbeitet werden, die dazu auch befugt sind (Vertraulichkeit).

Generell gilt: Je größer der Schaden einer natürlichen Person bei einem Missbrauch ihrer personenbezogenen Daten wäre, desto besser sind diese Daten zu schützen. 

 

Was sind nun geeignete Maßnahmen zur Gewährleistung der Sicherheit?

Dies kann dieser Beitrag nicht abschließend beantworten, da es wie bereits gesagt auf die Schutzbedürftigkeit der personenbezogenen Daten in jedem Einzelfall ankommt. Die nachfolgenden Hinweise können lediglich dazu beitragen, die richtigen Maßnahmen in einem Homeoffice-Projekt zu identifizieren.

Dabei stellt die Gewährleistung der Vertraulichkeit meist die größte Herausforderung dar. Ist die Vertraulichkeit effektiv gewährleistet, sind potentielle Schäden hinsichtlich der Integrität oder der Verfügbarkeit der Daten zumindest unwahrscheinlicher.

Die Vertraulichkeit zu gewährleisten umfasst alle Facetten der Verarbeitung - von der Sensibilisierung der Mitarbeiter über die räumliche Sicherheit vor Ort, die technische Sicherheit des Computers bis hin zur Sicherheit des Datentransports.

Zur Sensibilisierung der Mitarbeiter:

Arbeitnehmerinnen und Arbeitnehmer sollten speziell auf die Beachtung des Datenschutzes und dessen Umsetzung im Homeoffice hingewiesen werden. Dies gilt umso mehr, falls die Tele-Heimarbeit bzw. die Arbeit im Homeoffice eine neue Situation darstellt. Ein Nachweis dieser Einweisung wird empfohlen.

Ansprechpartner für Datenschutz müssen klar benannt sein, so dass Mitarbeiter Fragen zeitnah ausräumen oder Sicherheitsvorfälle unverzüglich mitteilen können.

Zur räumlichen Sicherheit:

Geräte und Daten sind sicher aufzubewahren und sorgfältig zu nutzen.

Dies gilt etwa für Computer, Tablet, Handy, USB-Stick, Ausdrucke auf Papier etc.

Gleichzeitig muss sichergestellt werden, dass andere Personen im gleichen Haushalt (wie z.B. (Ehe-) Partner, Kinder, sonstige Mitbewohner oder Gäste und Dienstleister) keine Kenntnis von den zu verarbeitenden personenbezogenen Daten erlangen können.

Dies kann je nach Schutzbedürftigkeit der Daten erfordern, dass die Bearbeitung der Daten in einem abschließbaren Zimmer erfolgt. Ist dies nicht möglich, sind (auch bei nur kurzzeitigem Verlassen des Arbeitsplatzes) der Bildschirm des Computers zu sperren (Screen-Lock), papierne Arbeitsunterlagen zu verschließen.

Vertrauliche Telefonate sind ohne unbefugte Mithörer zu führen, also z.B. nicht bei geöffneten Fenstern, im Garten oder in Anwesenheit unberechtigter Dritter.

Zur technischen Sicherheit von Computer, Handy und Co.:

Besonders schützenswerte personenbezogene Daten sollten ganz grundsätzlich nur mittels vom Arbeitgeber bereitgestellter oder genehmigter Hard- und Software verarbeitet werden. Der Arbeitgeber trägt die Verantwortung für die Verarbeitung und wird die dazu erforderlichen Schutzmaßnahmen (z.B. die Einschränkung von Software-Installationsrechten) bei Einsatz privater Endgeräte in der Regel nicht effektiv gewährleisten können.

Anmeldeinformationen (wie Benutzernamen und deren zugehörige Passwörter) sind besonders zu schützen. Sie müssen geheim gehalten werden und dürfen nicht für Dritte einsehbar im Homeoffice ‚herumliegen‘.

Zur Sicherheit des Datentransports:

Ausdrucke, Akten, Datenträger etc. sollten möglichst in verschließbaren Behältern verpackt und zur Vermeidung von Diebstahl und Verlust auf möglichst direktem Weg zum Homeoffice transportiert werden. Benötigte Daten sollten grundsätzlich nicht auf privaten Speichermedien sondern nur auf dienstlich zur Verfügung gestellten Datenträgern verschlüsselt übertragen werden.

Gehen sensible personenbezogene Daten auf unverschlüsselten, am Ende gar privaten USB-Sticks verloren, stellt dies eine grobe Fahrlässigkeit des Verantwortlichen mit entsprechenden Konsequenzen dar. Auf die Pflicht zur Meldung einer solchen Datenpanne nach Artikel 33 DSGVO sei hingewiesen.

Zur Aufrechterhaltung der Kommunikation ist der Zugang zur dienstlichen E-Mail von Bedeutung. Stand der Technik ist in dieser Hinsicht, dass ein Arbeitgeber den sicheren Zugang zur E-Mail mit Hilfe eines Web-Browsers bereitstellt. Private E-Mail-Adressen sind für die dienstliche Verarbeitung sensibler personenbezogener Daten im Homeoffice grundsätzlich unzulässig. Ebenso problematisch wäre eine generelle Umleitung aller dienstlichen E-Mails auf private Postfächer.

Soll aus dem Homeoffice auf entfernte Daten oder Systeme beim Arbeitgeber zugegriffen werden, sind zwei prinzipielle Anforderungen geeignet umzusetzen: Erstens der Zugang ausschließlich für Befugte und zweitens die sichere Übertragung der Daten.

Die Gewährleistung des ‚Zugangs nur für Befugte‘ wird klassisch über die Abfrage eines Benutzernamens und des zugehörigen Passwortes sichergestellt. In Abhängigkeit von der eingangs bereits genannten Risikobetrachtung kann es jedoch erforderlich sein, weitergehende technische Maßnahmen für die Zugangserteilung umzusetzen (wie z.B. eine Zwei-Faktor-Authentifizierung).

Um Daten sicher übertragen zu können, muss die dazu erforderliche Netzwerkverbindung – in der Regel über das Internet – ausreichend geschützt werden. Je nach Art des in der Ferne zu erreichenden IT-Systems können dies u.a. nach dem Stand der Technik transportverschlüsselte HTTPS- oder VPN-Verbindungen sein.

Weitergehende Informationen:

Zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen in Bezug auf Tele-Heimarbeit / Homeoffice werden auch die nachfolgenden Publikationen von Datenschutz- und Informationssicherheitsbehörden empfohlen:

Faltblatt des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI): Telearbeit und Mobiles Arbeiten, Stand Januar 2019, 20 Seiten: https://www.bfdi.bund.de/SharedDocs/Publikationen/Faltblaetter/Telearbeit.html

Merkblatt des Bundesamts für Sicherheit in der Informationstechnik (BSI): Home-Office? – Aber sicher!, Stand März 2020, 4 Seiten: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/empfehlung_home_office.html

Laufend aktualiserte Informationen der European Union Agency for Cybersecurity (ENISA): Top Tips for Cybersecurity when Working Remotely, (nur in englischer Sprache verfügbar): https://www.enisa.europa.eu/news/executive-news/top-tips-for-cybersecurity-when-working-remotely