Wie sieht es mit der Erhebung von durch die DSGVO geschützter personenbezogener Daten während der Pandemie aus? Christian Köhler, Leiter Datenschutz bei fly-tech, gibt Antworten auf die wichtigsten Fragen.
Ob nach Feierabend im Restaurant oder während der Arbeitszeit im Unternehmen: Um die Infektionsketten zu unterbrechen, werden von Privatpersonen und Mitarbeitern zunehmend personenbezogene Daten erfasst. Doch ist dies im Hinblick auf die Corona-Epidemie überhaupt zulässig? Christian Köhler, Datenschutzexperte bei fly-tech, beantwortet die wichtigsten Fragen.
Denn: Wo bisher der Gesetzgeber auf Basis der DSGVO das Recht auf den Schutz persönlicher Daten – etwa Angaben zum Aufenthaltsort im Urlaub – streng geschützt hat, ist es nun tatsächlich erlaubt solche Daten zu erheben.
Woraus leitet sich die Erhebungserlaubnis ab?
Die Übertragung von COVID-19 stellt aktuell eine objektiv gegebene Gefahrenlage dar. Die Weltgesundheitsorganisation WHO hat eine weltweite Pandemie ausgerufen. Die Berechtigung zur Datenverarbeitung ergibt sich für Dienstherrn und öffentlich-rechtliche Arbeitgeber aus Art. 6 Abs. 1 Buchst. e DSGVO. Für Arbeitgeber im nichtöffentlichen Bereich aus Art. 6 Abs. 1 Buchst. f DSGVO.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) schreibt hierzu:
„Sowohl die gesetzliche Berechtigung (Buchst. e) als auch das überwiegende Interesse (Buchst. f) ergeben sich dabei als konkrete Maßnahme der jeweils normierten Fürsorgepflicht des Arbeitgebers bzw. des Dienstherrn gegenüber seinen Angestellten (§ 618 BGB) bzw. Bediensteten (§ 78 BBG). Danach haben der Arbeitgeber bzw. der Dienstherr die Pflicht, u. a. auch den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Hierzu zählt auch die angemessene Reaktion auf die pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und im Fall der Nachverfolgbarkeit (also im Grunde einer nachgelagerten Vorsorge gegenüber den Kontaktpersonen) dient.“
Heißt im Klartext: Der Schutz vieler geht über die Datenschutzinteressen des Einzelnen. Ein Arbeitgeber hat schließlich Verantwortung dafür, dass seine gesamte Belegschaft sicher arbeiten kann und keine Angst vor Ansteckung haben muss.
Dürfen auch besondere Kategorien von Daten während der Pandemie erhoben werden?
Ja, auch für besondere Kategorien von Daten, wie z. B. Gesundheitsdaten, kann eine Rechtsgrundlage bestehen.
Die Verarbeitungsbefugnis für Unternehmen ergibt sich aus der sog. Fürsorgepflicht, welche sich aus dem Arbeitsrecht ableitet. Bei einem öffentlich-rechtlichen Arbeitgeber kann zusätzlich auch von einer Erhebung in einem wichtigen öffentlichen Interesse, nämlich dem Erhalt der Funktionsfähigkeit der öffentlichen Verwaltung, ausgegangen werden.
Welche Daten dürfen im Zusammenhang mit der Pandemie erhoben werden?
Die Frage lässt sich nicht abschließend beantworten. Wie bei jeder Datenverarbeitung müssen auch im Zusammenhang mit COVID-19 weiterhin folgende Grundsätze eingehalten werden:
- die Erforderlichkeit
- die Zweckbindung
- die Datenminimierung
Als unbedenklich wird üblicherweise die Verarbeitung folgender Daten von Angestellten und Bediensteten, aber auch Besuchern eines Unternehmens oder einer öffentlichen Verwaltung angesehen:
- Name,
- aktuelle Kontaktinformationen,
- wahrgenommene persönliche Kontakte innerhalb der Stelle,
- vorangegangener oder beabsichtigter Aufenthalt in einem Risikogebiet,
- vorangehende Kontakte zu vermeintlich erkrankten Personen und
- eigene Symptomfreiheit.
Wann müssen die während der Pandemie erhobenen Daten laut DSGVO wieder gelöscht werden?
Die Daten – wie bei jeder Verarbeitung – sind zu löschen, wenn der zugrundeliegende Verarbeitungszweck weggefallen ist. Heißt beispielsweise, die Daten von Besuchern müssen nach maximal 4 Wochen wieder gelöscht werden, wenn keine Ansteckungsfälle bekannt geworden sind.