Wird durch die Covid-19 Pandemie mein Recht auf Datenschutz eingeschränkt oder außerkraftgesetzt?
Durch die derzeitige Krisensituation wird geltendes Datenschutzrecht, einschließlich dem Grundrecht auf Datenschutz, nicht ausgehebelt. In welchem Rahmen Datenverarbeitungen zur Eindämmung der weiteren Verbreitung von Covid-19 zulässig sind, wird vielmehr von den einschlägigen gesetzlichen Bestimmungen (wie insbesondere der Datenschutz- Grundverordnung, dem Datenschutzgesetz und dem Epidemiegesetz) klar abgesteckt. So gibt es beispielsweise eindeutige Regelungen wann, in welchem Umfang und zu welchen Zwecken Gesundheitsdaten verarbeitet werden dürfen.
In welchem Rahmen dürfen meine Gesundheitsdaten verarbeitet oder sogar weitergegeben werden?
Unter dem Begriff „Gesundheitsdaten“ werden grundsätzlich Daten über Erkrankungen, Infektionen aber auch bloße Verdachtsfälle verstanden. Die Verarbeitung solcher Daten unterliegt nach der DSGVO besonders strenger Vorschriften. In der Praxis kommen regelmäßig nur zwei Rechtfertigungsgründe in Betracht und zwar muss entweder die ausdrückliche Zustimmung der betroffenen Person vorliegen oder die Datenverarbeitung muss notwendig sein, um die Verbreitung des Viruserregers einzudämmen und Personen in weiterer Folge vor Ansteckung zu schützen.
Im Arbeitsbereich ist zum Beispiel der Dienstgeber dazu verpflichtet potentielle Gesundheitsrisiken für seine Mitarbeiter zu minimieren. Er ist deshalb dazu berechtigt, die dafür erforderlichen Daten zu erheben und zu diesem Zweck zu verarbeiten. Dienstgeber dürfen daher etwa ihre Mitarbeiter danach fragen, ob sich diese in einem Risikogebiet aufgehalten haben, um die Belegschaft vor einem erhöhten Ansteckungsrisiko zu schützen. Selbst die Weitergabe der Tatsache, dass sich ein Mitarbeiter mit Covid-19 infiziert hat, kann unter Umständen gerechtfertigt sein. Hier gilt es aber im Einzelfall zu berücksichtigen, ob die Nennung einer konkreten Person tatsächlich erforderlich ist, um die notwendigen Vorsorgemaßnahmen zu treffen.
Ferner ist die Weitergabe von Informationen über Verdachtsfälle und Infektionen an die Gesundheitsbehörde eigens gesetzlich geregelt und somit jedenfalls zulässig, um die Ausbreitung des Virus einzuschränken oder Personen vor Ansteckung zu schützen.
Welche meiner Daten dürfen Gesundheitsbehörden bei Infizierungsverdacht verarbeiten?
Grundsätzlich dürfen Gesundheitsbehörden alle Daten verarbeiten, die notwendig sind, um die Verbreitung des Viruserregers einzudämmen oder Personen vor Ansteckung zu schützen. Das Epidemiegesetz konkretisiert welche Daten in diesem Zusammenhang jedenfalls verarbeitet werden dürfen:
- Daten zur Identifikation von Erkrankten (Name, Geschlecht, Geburtsdatum, Sozialversicherungsnummer und bereichsspezifisches Personenkennzeichen);
- Daten, welche für die Krankheit klinisch relevant sind (Vorgeschichte, Krankheitsverlauf und Labordaten);
- Daten zum Umfeld des Erkrankten;
- Daten zu besuchten Veranstaltungen;
- Daten zu den getroffenen Vorkehrungsmaßnahmen.
Welche Formen der Big-Data-Analyse sind zulässig, um die Verbreitung von Covid- 19 einzudämmen? Ist das Erstellen von Bewegungsprofilen anhand meiner Mobiltelefonnutzung datenschutzrechtlich erlaubt?
Wesensmerkmal von Big-Data-Analysen ist, dass ihr eine Vielzahl unterschiedlicher Daten zugrunde liegen und durch deren Verknüpfung bestimmte Aussagen mit einer gewissen Wahrscheinlichkeit getroffen werden können. Diese Daten müssen dabei nicht zwingend einen Personenbezug aufweisen.
Aufgrund der unterschiedlichsten Ausprägungen von Big-Data-Analysen sind Eingriffe in das Grundrecht auf Datenschutz in vielerlei Hinsicht denkbar. Als Grundregel gilt dabei jedoch, dass bei mehreren zur Verfügung stehenden Eingriffsmöglichkeiten stets die gelindeste Form der Beeinträchtigung zu wählen ist, widrigenfalls der jeweilige Eingriff als potentiell rechtswidrig anzusehen ist. Denn im Rahmen einer Interessensabwägung (nämlich das Recht auf Datenschutz im Verhältnis zur Eindämmung von Covid-19) wäre dann regelmäßig der datenschutzrechtliche Aspekt schwerer zu gewichten.
Dementsprechend ist das Erstellen von anonymen Bewegungsprofilen anhand von Mobilfunkdaten jedenfalls zulässig, sofern keine Rückschlussmöglichkeit auf einzelne Personen besteht. Ferner werden bereits von einigen Unternehmen datenschutzfreundliche Lösungen zur Berechnung und Nachverfolgung des Abstandes bei bzw. der Dauer von sozialen Interaktionen entwickelt. Dabei wird auf die Speicherung dieser sensiblen Daten auf den Endgeräten des jeweiligen Nutzers gesetzt. Auf diese Weise wird die Verknüpfung bzw. die Rückführbarkeit dieser hochsensiblen Daten in Form einer zentralen Datenbank vermieden.
Welche Maßnahmen zur Datensicherheit sollte ich im Homeoffice beachten?
Um die Datensicherheit auch im Homeoffice zu gewährleisten, sollten insbesondere folgende Punkte berücksichtigt werden:
- Sichere Aufbewahrung der Dienstgeräte und entsprechender Zugriffsschutz, etwa durch passwortgeschützte Anmeldung;
- Verwendung einer geschützten Internetverbindung, bestenfalls über eine verschlüsselte VPN-Verbindung;
- Trennung von beruflichen und privaten Geräten bzw. Daten;
- Vermeidung von privaten Kommunikationsmitteln für den beruflichen Informationsverkehr, wie insbesondere Social Media Plattformen;
- Einhaltung von Löschfristen bzw. entsprechende Vernichtung von beruflichen Dokumenten.
Was muss ich im Hinblick auf Videokonferenzen berücksichtigen?
Auch hinsichtlich Videokonferenzen gilt es die erforderlichen Maßnahmen zur Datensicherheit einzuhalten. Vor diesem Hintergrund sollte mit dem beruflichen Informationsaustausch nicht sorglos umgegangen, sondern vielmehr eine Kommunikationsplattform gewählt werden, die ausreichend Schutzvorkehrungen für die Privatsphäre ihrer Nutzer getroffen hat. Das Hauptaugenmerk ist dabei jedenfalls auf eine verschlüsselte Datenübertragung zu richten. Zudem sollte ein Anbieter gewählt werden, der selbst datenschutzkonform agiert. Problematisch wäre hier zum Beispiel die automatische Datenübermittlung an Social Media Plattformen (etwa bei Anmeldung mittels Software Development Kit).
Da bei jeder Videokonferenz Daten übermittelt werden, ist ebenso darauf Bedacht zu nehmen, von wo aus der jeweilige Kommunikationsanbieter seine Dienste betreibt. Werden in diesem Zuge Daten in ein sogenanntes Drittland (außerhalb des Europäischen Wirtschaftsraums) übertragen, ist in einem nächsten Schritt festzustellen, ob das jeweilige Land oder der Anbieter ein angemessenes Schutzniveau zur Verfügung stellt. Dies ist unter anderem der Fall, wenn ein
Angemessenheitsbeschluss der Europäischen Kommission besteht, das Unternehmen eine US Privacy Shield Zertifizierung hat oder sonstige geeignete Garantien wie beispielsweise Binding Corporate Rules vorliegen.
Wenn Kommunikationsdienstleister im Auftrag bzw. auf Weisung des Verantwortlichen agieren, ist schließlich in der Regel eine Auftragsverarbeitervereinbarung gemäß Art 28 DSGVO, zwischen dem Kommunikationsdienstleister (als Auftragsverarbeiter) und dem Unternehmen, das das Programm für berufliche Zwecke nutzen möchte (als Verantwortlicher), abzuschließen.
Zur Autorin:
Mag. Katharina Raabe-Stuppnig, Rechtsanwältin, Managing Partner und Head of TMT bei LANSKY, GANZGER + partner
Zum Autor:
Christoph Auer, juristischer Mitarbeiter bei LANSKY, GANZGER + partner
Zum Originalartikel
(Bild: © InspirationGP) 
Wird durch die Covid-19 Pandemie mein Recht auf Datenschutz eingeschränkt oder außerkraftgesetzt?
Durch die derzeitige Krisensituation wird geltendes Datenschutzrecht, einschließlich dem Grundrecht auf Datenschutz, nicht ausgehebelt. In welchem Rahmen Datenverarbeitungen zur Eindämmung der weiteren Verbreitung von Covid-19 zulässig sind, wird vielmehr von den einschlägigen gesetzlichen Bestimmungen (wie insbesondere der Datenschutz- Grundverordnung, dem Datenschutzgesetz und dem Epidemiegesetz) klar abgesteckt. So gibt es beispielsweise eindeutige Regelungen wann, in welchem Umfang und zu welchen Zwecken Gesundheitsdaten verarbeitet werden dürfen.
In welchem Rahmen dürfen meine Gesundheitsdaten verarbeitet oder sogar weitergegeben werden?
Unter dem Begriff „Gesundheitsdaten“ werden grundsätzlich Daten über Erkrankungen, Infektionen aber auch bloße Verdachtsfälle verstanden. Die Verarbeitung solcher Daten unterliegt nach der DSGVO besonders strenger Vorschriften. In der Praxis kommen regelmäßig nur zwei Rechtfertigungsgründe in Betracht und zwar muss entweder die ausdrückliche Zustimmung der betroffenen Person vorliegen oder die Datenverarbeitung muss notwendig sein, um die Verbreitung des Viruserregers einzudämmen und Personen in weiterer Folge vor Ansteckung zu schützen.
Im Arbeitsbereich ist zum Beispiel der Dienstgeber dazu verpflichtet potentielle Gesundheitsrisiken für seine Mitarbeiter zu minimieren. Er ist deshalb dazu berechtigt, die dafür erforderlichen Daten zu erheben und zu diesem Zweck zu verarbeiten. Dienstgeber dürfen daher etwa ihre Mitarbeiter danach fragen, ob sich diese in einem Risikogebiet aufgehalten haben, um die Belegschaft vor einem erhöhten Ansteckungsrisiko zu schützen. Selbst die Weitergabe der Tatsache, dass sich ein Mitarbeiter mit Covid-19 infiziert hat, kann unter Umständen gerechtfertigt sein. Hier gilt es aber im Einzelfall zu berücksichtigen, ob die Nennung einer konkreten Person tatsächlich erforderlich ist, um die notwendigen Vorsorgemaßnahmen zu treffen.
Ferner ist die Weitergabe von Informationen über Verdachtsfälle und Infektionen an die Gesundheitsbehörde eigens gesetzlich geregelt und somit jedenfalls zulässig, um die Ausbreitung des Virus einzuschränken oder Personen vor Ansteckung zu schützen.
Welche meiner Daten dürfen Gesundheitsbehörden bei Infizierungsverdacht verarbeiten?
Grundsätzlich dürfen Gesundheitsbehörden alle Daten verarbeiten, die notwendig sind, um die Verbreitung des Viruserregers einzudämmen oder Personen vor Ansteckung zu schützen. Das Epidemiegesetz konkretisiert welche Daten in diesem Zusammenhang jedenfalls verarbeitet werden dürfen:
Welche Formen der Big-Data-Analyse sind zulässig, um die Verbreitung von Covid- 19 einzudämmen? Ist das Erstellen von Bewegungsprofilen anhand meiner Mobiltelefonnutzung datenschutzrechtlich erlaubt?
Wesensmerkmal von Big-Data-Analysen ist, dass ihr eine Vielzahl unterschiedlicher Daten zugrunde liegen und durch deren Verknüpfung bestimmte Aussagen mit einer gewissen Wahrscheinlichkeit getroffen werden können. Diese Daten müssen dabei nicht zwingend einen Personenbezug aufweisen.
Aufgrund der unterschiedlichsten Ausprägungen von Big-Data-Analysen sind Eingriffe in das Grundrecht auf Datenschutz in vielerlei Hinsicht denkbar. Als Grundregel gilt dabei jedoch, dass bei mehreren zur Verfügung stehenden Eingriffsmöglichkeiten stets die gelindeste Form der Beeinträchtigung zu wählen ist, widrigenfalls der jeweilige Eingriff als potentiell rechtswidrig anzusehen ist. Denn im Rahmen einer Interessensabwägung (nämlich das Recht auf Datenschutz im Verhältnis zur Eindämmung von Covid-19) wäre dann regelmäßig der datenschutzrechtliche Aspekt schwerer zu gewichten.
Dementsprechend ist das Erstellen von anonymen Bewegungsprofilen anhand von Mobilfunkdaten jedenfalls zulässig, sofern keine Rückschlussmöglichkeit auf einzelne Personen besteht. Ferner werden bereits von einigen Unternehmen datenschutzfreundliche Lösungen zur Berechnung und Nachverfolgung des Abstandes bei bzw. der Dauer von sozialen Interaktionen entwickelt. Dabei wird auf die Speicherung dieser sensiblen Daten auf den Endgeräten des jeweiligen Nutzers gesetzt. Auf diese Weise wird die Verknüpfung bzw. die Rückführbarkeit dieser hochsensiblen Daten in Form einer zentralen Datenbank vermieden.
Welche Maßnahmen zur Datensicherheit sollte ich im Homeoffice beachten?
Um die Datensicherheit auch im Homeoffice zu gewährleisten, sollten insbesondere folgende Punkte berücksichtigt werden:
Was muss ich im Hinblick auf Videokonferenzen berücksichtigen?
Auch hinsichtlich Videokonferenzen gilt es die erforderlichen Maßnahmen zur Datensicherheit einzuhalten. Vor diesem Hintergrund sollte mit dem beruflichen Informationsaustausch nicht sorglos umgegangen, sondern vielmehr eine Kommunikationsplattform gewählt werden, die ausreichend Schutzvorkehrungen für die Privatsphäre ihrer Nutzer getroffen hat. Das Hauptaugenmerk ist dabei jedenfalls auf eine verschlüsselte Datenübertragung zu richten. Zudem sollte ein Anbieter gewählt werden, der selbst datenschutzkonform agiert. Problematisch wäre hier zum Beispiel die automatische Datenübermittlung an Social Media Plattformen (etwa bei Anmeldung mittels Software Development Kit).
Da bei jeder Videokonferenz Daten übermittelt werden, ist ebenso darauf Bedacht zu nehmen, von wo aus der jeweilige Kommunikationsanbieter seine Dienste betreibt. Werden in diesem Zuge Daten in ein sogenanntes Drittland (außerhalb des Europäischen Wirtschaftsraums) übertragen, ist in einem nächsten Schritt festzustellen, ob das jeweilige Land oder der Anbieter ein angemessenes Schutzniveau zur Verfügung stellt. Dies ist unter anderem der Fall, wenn ein
Angemessenheitsbeschluss der Europäischen Kommission besteht, das Unternehmen eine US Privacy Shield Zertifizierung hat oder sonstige geeignete Garantien wie beispielsweise Binding Corporate Rules vorliegen.
Wenn Kommunikationsdienstleister im Auftrag bzw. auf Weisung des Verantwortlichen agieren, ist schließlich in der Regel eine Auftragsverarbeitervereinbarung gemäß Art 28 DSGVO, zwischen dem Kommunikationsdienstleister (als Auftragsverarbeiter) und dem Unternehmen, das das Programm für berufliche Zwecke nutzen möchte (als Verantwortlicher), abzuschließen.
Zur Autorin:
Mag. Katharina Raabe-Stuppnig, Rechtsanwältin, Managing Partner und Head of TMT bei LANSKY, GANZGER + partner
Zum Autor:
Christoph Auer, juristischer Mitarbeiter bei LANSKY, GANZGER + partner
Zum Originalartikel