20.05.2020

Datenschutz in der Krise: Die COVID-19-Pandemie und ihre Herausforderungen

Keyfacts

Deutsche Aufsichtsbehörden stellen an Datenverarbeitungen zum Umgang mit der COVID-19-Pandemie hohe Anforderungen.

Krisenspezifische Fragestellungen (z.B. Nachverfolgung von Verdachtsfällen) sollten berücksichtigt werden.

Homeoffice und (ungeprüfte) Nutzung von Videokonferenzsystemen bergen zusätzliche Risiken.

Für jedwede Verarbeitung ist auch im aktuellen Kontext eine datenschutzrechtliche Legitimationsgrundlage erforderlich.

Datenschutzrechtliche Sanktionsmöglichkeiten bestehen insoweit auch in Krisenzeiten fort.

Hintergrund

Auch in Zeiten der COVID-19-Pandemie stellen sich datenschutzrechtliche Fragen, die von Unternehmen nicht vernachlässigt werden sollten. So gilt es, die derzeit ohnehin schon bestehenden wirtschaftlichen Herausforderungen nicht durch die erheblichen Bußgeldrisiken der Datenschutz-Grundverordnung (DS-GVO) zu verschärfen. Ein unverzügliches Handeln erscheint daher gerade im Zusammenhang mit den COVID-19-spezifischen Datenverarbeitungen unerlässlich. Derzeit reichen solche Verarbeitungen von Besucherbögen mit Gesundheitsfragen über das Auswerten von mitarbeiterbezogenen Bewegungsdaten bis hin zum Fiebermessen am Arbeitsplatz. Hinzu kommen risikogeneigte Verarbeitungen, die aus der aktuellen Situation resultieren, wie insbesondere die ungeprüfte Nutzung von Videokonferenzsystemen durch Mitarbeiter.

Aktuelle Situation

Die Entwicklungen aufgrund des sich rasant verbreitenden Coronavirus zeigen weltweit gravierende Auswirkungen und stellen Bevölkerung, Gesundheitssysteme und Wirtschaft vor grundsätzliche Herausforderungen. So ergreifen Staaten einschneidende und freiheitsbeschränkende Maßnahmen, um die Ausbreitung von COVID-19 zu verlangsamen. Diese umfassen Kontakt- und Ausgangssperren sowie Quarantänemaßnahmen.

Resultierende Herausforderungen

Dies stellt Unternehmen vor wirtschaftliche und auch datenschutzrechtliche Herausforderungen. Letztere betreffen etwa die Fragen, ob und wie Infektionen mit COVID-19 und/oder entsprechende Verdachtsfälle unternehmens- oder konzernintern erkannt werden können und/oder gemeldet werden dürfen und welche Maßnahmen umsetzbar sind, um Infektionsrisiken für Mitarbeiter zu minimieren, Infektionsketten zu durchbrechen und zeitgleich den Geschäftsbetrieb so gut wie möglich aufrechtzuerhalten. Das kann von einer Arbeitsverlagerung ins Homeoffice über bloße Mitarbeiter- oder Besucherbefragungen bis hin zu Auswertungen von betriebsbezogenen Mobilfunkgeräten zwecks Analyse von Bewegungsprofilen reichen. Eine ganz aktuelle Fragestellung ist, ob Mitarbeiter sog. Corona-Apps auf dienstlichen Endgeräten installieren dürfen oder der Arbeitgeber dies sogar anweisen darf.

Datenschutz ist zu beachten

Ob der zeitlichen Herausforderungen lassen sich die einzuhaltenden datenschutzrechtlichen Anforderungen dabei nicht immer priorisiert berücksichtigen. Dennoch sind diese nach dem Verständnis der datenschutzrechtlichen Aufsichtsbehörden sowie häufig auch der Betriebsräte zu beachten. Dies um Betroffene, wie insbesondere Beschäftigte, vor Risiken, die aus entsprechenden Verarbeitungen ihrer Daten resultieren können, zu schützen. Aufsichtsbehörden nennen exemplarisch das Risiko der Stigmatisierung von Mitarbeitern, die an COVID-19 erkrankt sind.

Verarbeitung von Gesundheitsdaten

Aus diesem Grunde ist bei der Verarbeitung entsprechender Daten von Mitarbeitern, Kunden und Geschäftspartnern auf ein datenschutzkonformes Vorgehen zu achten. Dabei ist zu berücksichtigen, dass bei Verarbeitungen im Zusammenhang mit COVID19-Fällen regelmäßig und insbesondere, wenn Angaben zu Symptomen betroffen sind, Gesundheitsdaten in Frage stehen. Diese stehen unter einem besonderen gesetzlichen Schutz und deren Verarbeitung bedarf stets einer speziellen Legitimation; insbesondere kann für die Verarbeitung solcher Daten keine allgemeine Interessenabwägung herangezogen werden.

Datenschutzrechtliche Legitimationsmöglichkeiten

Dennoch kommen verschiedene Möglichkeiten der datenschutzrechtlichen Legitimierung entsprechender Verarbeitungen (z.B. Meldungen und Koordination von Verdachtsfällen) in Betracht. Für die Verarbeitung von Mitarbeiterdaten kann sich eine solche aus der arbeitsrechtlichen Fürsorgepflicht ableiten, zu der Aufsichtsbehörden auch eine angemessene Reaktion auf die pandemische Verbreitung von COVID-19 sowie die Nachverfolgung von entsprechenden (Verdachts-)Fällen zählen. Für Nichtmitarbeiter (z.B. Besucher oder Lieferanten) kann eine Verarbeitung aus Gründen des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren zulässig sein. Sollten keine Gesundheitsdaten (und keine anderen sensitiven Daten) betroffen sein, kann indes eine einfache Interessenabwägung als Legitimationsgrundlage in Betracht kommen. Dies gilt grundsätzlich auch für einen datenschutzkonformen Einsatz von Videokonferenzsystemen.

Einwilligungen nur eingeschränkt geeignet, Betriebsvereinbarungen i.d.R. vorrangig in Betracht zu ziehen

Einwilligungen als Legitimationsgrundlage für COVID-19-bezogene Datenverarbeitungen heranzuziehen, erscheint dagegen i.d.R. nicht zweckmäßig. So sind Einwilligungen vor allem freiwillig und informiert einzuholen. Die Freiwilligkeit setzt dabei voraus, dass es möglich ist, die Erteilung der Einwilligung ohne Nachteile zu verweigern und diese künftig zu widerrufen. Es muss somit eine echte Wahl bestehen, was sich häufig nicht umsetzen lässt oder jedenfalls die geplante Verarbeitung konterkarieren kann. Allerdings kommen Betriebsvereinbarungen als datenschutzrechtliche Legitimationsgrundlage in Bezug auf Mitarbeiterdaten in Betracht, dies wenn sie bestimmten inhaltlichen Anforderungen genügen (Art. 88 Abs. 2 DSGVO; § 26 Abs. 4 Satz 2 BDSG). Da Betriebsräte derzeit ohnehin dazu tendieren, im Kontext der aktuellen Situation spezifische Betriebsvereinbarungen vorzuschlagen, sollte dieser Themenkomplex zweckmäßigerweise berücksichtigt werden. Dies empfiehlt sich nicht zuletzt vor dem Hintergrund, dass die Pandemie Deutschland und die Welt noch länger begleiten könnte und einer zuverlässigen Rechtsgrundlage für dahingehende Datenverarbeitungen deshalb eine besondere Bedeutung zukommt.

Sanktionsrisiko Datenschutz am Beispiel von Videokonferenzsystemen

Zwar liegt es gerade zu Beginn der Krise nahe, dass datenschutzrechtliche Aufsichtsbehörden COVID-19-bezogene Datenverarbeitungen wohlwollend bewerten. Mit dem Voranschreiten der Zeit ist allerdings zu erwarten, dass auch von dieser Seite ein strengerer Maßstab angesetzt wird. Je länger die Krise dauert, umso wahrscheinlicher erscheinen daher Bußgeldrisiken, sollte das Thema Datenschutz insoweit vernachlässigt werden. Ein praktisches Beispiel stellen dabei Videokonferenzsysteme von Drittanbietern dar, die aufgrund der stark angestiegenen Arbeit aus dem Homeoffice heraus häufig ohne jedwede Datenschutz- oder Sicherheitsprüfung von Mitarbeitern für den fachlich-inhaltlichen Austausch mit Kunden oder Kollegen verwendet werden. Anlässlich der Corona-Krise hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 14.04.2020 sein „Kompendium Videokonferenzsysteme“ vorgestellt, das aufzeigt, welche umfassenden Sicherheitsanforderungen solche Systeme erfüllen müssen. Werden diese ignoriert, steht der sicherzustellende technisch-organisatorische Datenschutz und überdies der Geheimnisschutz des Unternehmens in Frage.

Bußgelder können gerade in der Krise Existenzgefährdungen auslösen

Mit Blick auf die aktuell ohnehin bereits bestehenden wirtschaftlichen Herausforderungen gilt es, resultierende Bußgeldrisiken unbedingt zu vermeiden. Dies gilt nicht nur, weil ein ordnungsgemäßer Datenschutz auch in Krisenzeiten zu einer zeitgemäßen Compliance-Kultur gehört, sondern vor allem auch mit Blick darauf, dass datenschutzrechtliche Bußgelder schon außerhalb einer Krise existenzgefährdend wirken können. So sind Bußgelder von bis zu € 20 Mio. oder von bis zu 4 % des gesamten weltweit von dem jeweiligen Unternehmen bzw. der jeweiligen Unternehmensgruppe erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs möglich, je nachdem, welcher der Beträge höher ist. So wurden in jüngster Zeit auch in Deutschland wegen vergleichsweise gering erscheinender Datenschutzverletzungen zweistellige Millionenbußgelder verhängt. Derartige Risiken gilt es gerade in wirtschaftlich herausfordernden Zeiten unbedingt zu vermeiden. Der betriebliche Datenschutzbeauftragte sollte daher, wie ohnehin gesetzlich vorgesehen, frühzeitig in entsprechende Fragestellungen eingebunden und es sollte der Abschluss spezifischer Betriebsvereinbarungen in Betracht gezogen werden. Selbstverständlich steht das Datenschutzteam der WTS bei Bedarf mit seiner langjährigen Erfahrung als Datenschutzbeauftragter und Datenschutzberater deutscher und internationaler Unternehmen zur Verfügung.

Prof. Dr. Thorsten Behling

Geschäftsführer

Partner, Rechtsanwalt

Datenschutzbeauftragter

Köln

Beitrag erschienen in

WTS Journal 2/2020

Zur Publikation

WTS Journal

Unsere WTS Experten und Gastautoren informieren regelmäßig über aktuelle Themen aus den Bereichen Tax, Legal und Financial Advisory.

Jetzt anmelden

Artikel, die Sie interessieren könnten

Schnelles Handeln des Arbeitgebers ist erforderlich, damit das Kurzarbeitergeld zeitnah und in voller Höhe gewährt wird

Anpassung des Kurzarbeitergeldes als Reaktion auf die COVID-19-Pandemie

Durch die aktuelle Corona-Krise ergeben sich zwingende Handlungserfordernisse aber auch erhebliche Möglichkeiten für die konzerninterne Verrechnungspreisgestaltung