Menu
  • Standorte
  • Services
  • Experten
  • Hot Topics
  • News & Knowledge
  • Karriere
  • Über uns
  • Suche
  • Presse
  • Veranstaltungen & Webinare
  • Kontakt
  • Sprache
  • Berlin
  • Düsseldorf
  • Erlangen
  • Frankfurt
  • Hamburg
  • Hannover
  • Kolbermoor
  • Köln
  • München
  • Nürnberg
  • Regensburg
  • Rosenheim
  • Stuttgart
  • Tax
  • Legal
  • Advisory
  • Industries
  • Digital
  • DAC 7
  • ESG
  • FISG
  • Pillar Two
  • Steuer IKS
  • Broschüren
  • News
  • Podcast
  • Tax Weekly
  • WTS Journal
  • Newsletter Übersicht
  • Newsletter Anmeldung
  • Webinar Anmeldung
  • #pioneeroftoday
  • Wer wir sind
  • Was Dich bei uns erwartet
  • Was uns ausmacht
  • Du bei WTS
  • TALENTnetzwerk
  • Jobbörse
  • Was uns besonders macht
  • Unsere Mandanten
  • Unsere Mitarbeiter:innen
  • Auszeichnungen & Awards
  • Corporate Responsibility
  • Unser Management Team
  • Unsere Partner
  • Unsere Geschichte
  • Unsere Standorte
  • Digital Partnering
  • Transitional CbCR Safe Harbour Simulation
  • Übersicht
  • HR Taxes
  • Transfer Pricing
  • Umwelt
  • Soziales Engagement
  • Mitarbeiterverantwortung
  • Diversity
  • Kulturelles Engagement
  • Partner München
  • Partner Berlin
  • Partner Düsseldorf
  • Partner Erlangen
  • Partner Frankfurt
  • Partner Hamburg
  • Partner Hannover
  • Partner Köln
  • Partner Kolbermoor
  • Partner Nürnberg
  • Partner Regensburg
  • Partner Rosenheim
  • Partner Stuttgart
  • NOW@WTS
  • Presse
  • Veranstaltungen & Webinare
  • Kontakt
Deutsch
  • Deutsch
WTS weltweit
  • WTS Global
  • Albania
  • Angola
  • Argentina
  • Armenien
  • Australia
  • Austria
  • Bangladesh
  • Belarus
  • Belgium
  • Benin
  • Bolivia
  • Bosnien und Herzegowina
  • Brazil
  • Bulgaria
  • Burkina Faso
  • Burundi
  • Cambodia
  • Cameroon
  • Canada
  • Chile
  • China
  • Colombia
  • Costa Rica
  • Croatia
  • Cyprus
  • Czech Republic
  • Denmark
  • Dominican Republic
  • Ecuador
  • Egypt
  • El Salvador
  • Estonia
  • Finland
  • Frankreich
  • Georgia
  • Germany
  • Ghana
  • Gibraltar
  • Greece
  • Guatemala
  • Guinea
  • Honduras
  • Hong Kong
  • Hungary
  • Iceland
  • India
  • Indonesia
  • Iran
  • Iraq
  • Ireland
  • Israel
  • Italy
  • Ivory Coast
  • Japan
  • Kazakhstan
  • Kenya
  • Korea
  • Kyrgyzstan
  • Laos
  • Latvia
  • Lithuania
  • Luxembourg
  • Macao
  • Macedonia
  • Madagascar
  • Malaysia
  • Mali
  • Malta
  • Mauritius
  • Mexico
  • Moldova
  • Mongolia
  • Montenegro
  • Morocco
  • Mozambique
  • Myanmar
  • Nepal
  • Netherlands
  • New Zealand
  • Niger
  • Nigeria
  • Norway
  • Pakistan
  • Panama
  • Paraguay
  • Peru
  • Philippines
  • Poland
  • Portugal
  • Puerto Rico
  • Romania
  • Russia
  • Rwanda
  • Saudi Arabia
  • Senegal
  • Serbia
  • Singapore
  • Slovakia
  • Slovenia
  • South Africa
  • Spain
  • Sri Lanka
  • Sweden
  • Switzerland
  • Taiwan
  • Tanzania
  • Thailand
  • Togo
  • Trinidad and Tobago
  • Tunisia
  • Turkey
  • Turkmenistan
  • Uganda
  • Ukraine
  • United Arab Emirates
  • United Kingdom
  • Uruguay
  • USA
  • Uzbekistan
  • Venezuela
  • Vietnam
  • Zambia
  • Services
    Services

    Erfahren Sie hier mehr über unsere umfassenden Services in der Steuerberatung mit angrenzender Rechtsberatung sowie Financial & Deal Advisory.

    Mehr lesen
    Tax Legal Advisory Industries Digital
  • Experten
    Experten

    Unsere Mitarbeiterstruktur vereint das Know-how aus Industrie, Beratung, Finanzverwaltung und IT in ganz besonderer Weise. Erfahren Sie mehr über unsere Experten.

    Mehr lesen
  • Hot Topics
    Hot Topics

    Überblick über die aktuellen "Hot Topics" der Steuerbranche und wie wir bei individuellen Fragen unterstützen können

    Mehr lesen
    DAC 7 ESG FISG Pillar Two Steuer IKS
  • News & Knowledge
    News & Knowledge

    Hier finden Sie aktuelle Nachrichten und Themenspecials rund um die Bereiche Steuern, Digitalisierung sowie Financial & Deal Advisory.

    Mehr lesen
    Broschüren News Podcast Tax Weekly WTS Journal
    Newsletter Übersicht Newsletter Anmeldung Webinar Anmeldung #pioneeroftoday
  • Karriere
    Karriere

    Hier findest Du einen Überblick über unsere Entwicklungs- und Qualifizierungsangebote sowie Mitarbeiterangebote und offene Stellen. Wir freuen uns, Dich kennenzulernen.

    Mehr lesen
    Wer wir sind Was Dich bei uns erwartet Was uns ausmacht Du bei WTS TALENTnetzwerk
    Jobbörse
  • Über uns
    Über uns

    Hier finden Sie allgemeine Informationen über die Aufstellung, Besonderheiten und Geschichte der WTS.

    Mehr lesen
    Was uns besonders macht Unsere Mandanten Unsere Mitarbeiter:innen Auszeichnungen & Awards Corporate Responsibility
    Unser Management Team Unsere Partner Unsere Geschichte Unsere Standorte
  • Suche
20.05.2020

Datenschutz in der Krise: Die COVID-19-Pandemie und ihre Herausforderungen

Keyfacts
Deutsche Aufsichtsbehörden stellen an Datenverarbeitungen zum Umgang mit der COVID-19-Pandemie hohe Anforderungen.
Krisenspezifische Fragestellungen (z.B. Nachverfolgung von Verdachtsfällen) sollten berücksichtigt werden.
Homeoffice und (ungeprüfte) Nutzung von Videokonferenzsystemen bergen zusätzliche Risiken.
Für jedwede Verarbeitung ist auch im aktuellen Kontext eine datenschutzrechtliche Legitimationsgrundlage erforderlich.
Datenschutzrechtliche Sanktionsmöglichkeiten bestehen insoweit auch in Krisenzeiten fort.

Hintergrund

Auch in Zeiten der COVID-19-Pandemie stellen sich datenschutzrechtliche Fragen, die von Unternehmen nicht vernachlässigt werden sollten. So gilt es, die derzeit ohnehin schon bestehenden wirtschaftlichen Herausforderungen nicht durch die erheblichen Bußgeldrisiken der Datenschutz-Grundverordnung (DS-GVO) zu verschärfen. Ein unverzügliches Handeln erscheint daher gerade im Zusammenhang mit den COVID-19-spezifischen Datenverarbeitungen unerlässlich. Derzeit reichen solche Verarbeitungen von Besucherbögen mit Gesundheitsfragen über das Auswerten von mitarbeiterbezogenen Bewegungsdaten bis hin zum Fiebermessen am Arbeitsplatz. Hinzu kommen risikogeneigte Verarbeitungen, die aus der aktuellen Situation resultieren, wie insbesondere die ungeprüfte Nutzung von Videokonferenzsystemen durch Mitarbeiter.

Aktuelle Situation

Die Entwicklungen aufgrund des sich rasant verbreitenden Coronavirus zeigen weltweit gravierende Auswirkungen und stellen Bevölkerung, Gesundheitssysteme und Wirtschaft vor grundsätzliche Herausforderungen. So ergreifen Staaten einschneidende und freiheitsbeschränkende Maßnahmen, um die Ausbreitung von COVID-19 zu verlangsamen. Diese umfassen Kontakt- und Ausgangssperren sowie Quarantänemaßnahmen.

Resultierende Herausforderungen

Dies stellt Unternehmen vor wirtschaftliche und auch datenschutzrechtliche Herausforderungen. Letztere betreffen etwa die Fragen, ob und wie Infektionen mit COVID-19 und/oder entsprechende Verdachtsfälle unternehmens- oder konzernintern erkannt werden können und/oder gemeldet werden dürfen und welche Maßnahmen umsetzbar sind, um Infektionsrisiken für Mitarbeiter zu minimieren, Infektionsketten zu durchbrechen und zeitgleich den Geschäftsbetrieb so gut wie möglich aufrechtzuerhalten. Das kann von einer Arbeitsverlagerung ins Homeoffice über bloße Mitarbeiter- oder Besucherbefragungen bis hin zu Auswertungen von betriebsbezogenen Mobilfunkgeräten zwecks Analyse von Bewegungsprofilen reichen. Eine ganz aktuelle Fragestellung ist, ob Mitarbeiter sog. Corona-Apps auf dienstlichen Endgeräten installieren dürfen oder der Arbeitgeber dies sogar anweisen darf.

Datenschutz ist zu beachten

Ob der zeitlichen Herausforderungen lassen sich die einzuhaltenden datenschutzrechtlichen Anforderungen dabei nicht immer priorisiert berücksichtigen. Dennoch sind diese nach dem Verständnis der datenschutzrechtlichen Aufsichtsbehörden sowie häufig auch der Betriebsräte zu beachten. Dies um Betroffene, wie insbesondere Beschäftigte, vor Risiken, die aus entsprechenden Verarbeitungen ihrer Daten resultieren können, zu schützen. Aufsichtsbehörden nennen exemplarisch das Risiko der Stigmatisierung von Mitarbeitern, die an COVID-19 erkrankt sind.

Verarbeitung von Gesundheitsdaten

Aus diesem Grunde ist bei der Verarbeitung entsprechender Daten von Mitarbeitern, Kunden und Geschäftspartnern auf ein datenschutzkonformes Vorgehen zu achten. Dabei ist zu berücksichtigen, dass bei Verarbeitungen im Zusammenhang mit COVID19-Fällen regelmäßig und insbesondere, wenn Angaben zu Symptomen betroffen sind, Gesundheitsdaten in Frage stehen. Diese stehen unter einem besonderen gesetzlichen Schutz und deren Verarbeitung bedarf stets einer speziellen Legitimation; insbesondere kann für die Verarbeitung solcher Daten keine allgemeine Interessenabwägung herangezogen werden.

Datenschutzrechtliche Legitimationsmöglichkeiten

Dennoch kommen verschiedene Möglichkeiten der datenschutzrechtlichen Legitimierung entsprechender Verarbeitungen (z.B. Meldungen und Koordination von Verdachtsfällen) in Betracht. Für die Verarbeitung von Mitarbeiterdaten kann sich eine solche aus der arbeitsrechtlichen Fürsorgepflicht ableiten, zu der Aufsichtsbehörden auch eine angemessene Reaktion auf die pandemische Verbreitung von COVID-19 sowie die Nachverfolgung von entsprechenden (Verdachts-)Fällen zählen. Für Nichtmitarbeiter (z.B. Besucher oder Lieferanten) kann eine Verarbeitung aus Gründen des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren zulässig sein. Sollten keine Gesundheitsdaten (und keine anderen sensitiven Daten) betroffen sein, kann indes eine einfache Interessenabwägung als Legitimationsgrundlage in Betracht kommen. Dies gilt grundsätzlich auch für einen datenschutzkonformen Einsatz von Videokonferenzsystemen.

Einwilligungen nur eingeschränkt geeignet, Betriebsvereinbarungen i.d.R. vorrangig in Betracht zu ziehen

Einwilligungen als Legitimationsgrundlage für COVID-19-bezogene Datenverarbeitungen heranzuziehen, erscheint dagegen i.d.R. nicht zweckmäßig. So sind Einwilligungen vor allem freiwillig und informiert einzuholen. Die Freiwilligkeit setzt dabei voraus, dass es möglich ist, die Erteilung der Einwilligung ohne Nachteile zu verweigern und diese künftig zu widerrufen. Es muss somit eine echte Wahl bestehen, was sich häufig nicht umsetzen lässt oder jedenfalls die geplante Verarbeitung konterkarieren kann. Allerdings kommen Betriebsvereinbarungen als datenschutzrechtliche Legitimationsgrundlage in Bezug auf Mitarbeiterdaten in Betracht, dies wenn sie bestimmten inhaltlichen Anforderungen genügen (Art. 88 Abs. 2 DSGVO; § 26 Abs. 4 Satz 2 BDSG). Da Betriebsräte derzeit ohnehin dazu tendieren, im Kontext der aktuellen Situation spezifische Betriebsvereinbarungen vorzuschlagen, sollte dieser Themenkomplex zweckmäßigerweise berücksichtigt werden. Dies empfiehlt sich nicht zuletzt vor dem Hintergrund, dass die Pandemie Deutschland und die Welt noch länger begleiten könnte und einer zuverlässigen Rechtsgrundlage für dahingehende Datenverarbeitungen deshalb eine besondere Bedeutung zukommt.

Sanktionsrisiko Datenschutz am Beispiel von Videokonferenzsystemen

Zwar liegt es gerade zu Beginn der Krise nahe, dass datenschutzrechtliche Aufsichtsbehörden COVID-19-bezogene Datenverarbeitungen wohlwollend bewerten. Mit dem Voranschreiten der Zeit ist allerdings zu erwarten, dass auch von dieser Seite ein strengerer Maßstab angesetzt wird. Je länger die Krise dauert, umso wahrscheinlicher erscheinen daher Bußgeldrisiken, sollte das Thema Datenschutz insoweit vernachlässigt werden. Ein praktisches Beispiel stellen dabei Videokonferenzsysteme von Drittanbietern dar, die aufgrund der stark angestiegenen Arbeit aus dem Homeoffice heraus häufig ohne jedwede Datenschutz- oder Sicherheitsprüfung von Mitarbeitern für den fachlich-inhaltlichen Austausch mit Kunden oder Kollegen verwendet werden. Anlässlich der Corona-Krise hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 14.04.2020 sein „Kompendium Videokonferenzsysteme“ vorgestellt, das aufzeigt, welche umfassenden Sicherheitsanforderungen solche Systeme erfüllen müssen. Werden diese ignoriert, steht der sicherzustellende technisch-organisatorische Datenschutz und überdies der Geheimnisschutz des Unternehmens in Frage.

Bußgelder können gerade in der Krise Existenzgefährdungen auslösen

Mit Blick auf die aktuell ohnehin bereits bestehenden wirtschaftlichen Herausforderungen gilt es, resultierende Bußgeldrisiken unbedingt zu vermeiden. Dies gilt nicht nur, weil ein ordnungsgemäßer Datenschutz auch in Krisenzeiten zu einer zeitgemäßen Compliance-Kultur gehört, sondern vor allem auch mit Blick darauf, dass datenschutzrechtliche Bußgelder schon außerhalb einer Krise existenzgefährdend wirken können. So sind Bußgelder von bis zu € 20 Mio. oder von bis zu 4 % des gesamten weltweit von dem jeweiligen Unternehmen bzw. der jeweiligen Unternehmensgruppe erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs möglich, je nachdem, welcher der Beträge höher ist. So wurden in jüngster Zeit auch in Deutschland wegen vergleichsweise gering erscheinender Datenschutzverletzungen zweistellige Millionenbußgelder verhängt. Derartige Risiken gilt es gerade in wirtschaftlich herausfordernden Zeiten unbedingt zu vermeiden. Der betriebliche Datenschutzbeauftragte sollte daher, wie ohnehin gesetzlich vorgesehen, frühzeitig in entsprechende Fragestellungen eingebunden und es sollte der Abschluss spezifischer Betriebsvereinbarungen in Betracht gezogen werden. Selbstverständlich steht das Datenschutzteam der WTS bei Bedarf mit seiner langjährigen Erfahrung als Datenschutzbeauftragter und Datenschutzberater deutscher und internationaler Unternehmen zur Verfügung.

Prof. Dr. Thorsten Behling
Partner
Rechtsanwalt
Datenschutzbeauftragter
Köln
Beitrag erschienen in
WTS Journal 2/2020
Zur Publikation
WTS Journal

Unsere WTS Experten und Gastautoren informieren regelmäßig über aktuelle Themen aus den Bereichen Tax, Legal und Financial Advisory.

Jetzt anmelden
Artikel, die Sie interessieren könnten

Schnelles Handeln des Arbeitgebers ist erforderlich, damit das Kurzarbeitergeld zeitnah und in voller Höhe gewährt wird

Anpassung des Kurzarbeitergeldes als Reaktion auf die COVID-19-Pandemie
Mehr lesen

Durch die aktuelle Corona-Krise ergeben sich zwingende Handlungserfordernisse aber auch erhebliche Möglichkeiten für die konzerninterne Verrechnungspreisgestaltung

Verrechnungspreisüberlegungen im Lichte der Corona-Krise
Mehr lesen

Der Beschluss des Richtlinienentwurfs soll im schriftlichen Verfahren gefasst werden

EU-Kommission: Richtlinienentwurf zu dreimonatigem Moratorium für die Pflicht zur Mitteilung von grenzüberschreitenden Steuergestaltungen (DAC 6)
Mehr lesen
WTS Services
Service
Data Privacy & IT Law

Kontaktieren Sie uns noch heute

Sie haben Fragen zu unseren Services oder der WTS? Lassen Sie es uns wissen. Schreiben Sie uns einfach eine E-Mail oder rufen Sie uns direkt an.

Kontakt
Services
  • Tax
  • Legal
  • Advisory
  • Industries
  • Digital
Hot Topics
  • Sustainability Services
  • Pillar Two
  • DAC 6
  • Base Erosion and Profit Shifting (BEPS)
  • FISG
Karriere
  • Jobbörse
  • Was Dich bei uns erwartet
  • Was uns ausmacht
  • Du bei WTS
  • TALENTnetzwerk
News & Knowledge
  • Tax Weekly
  • Newsletter Übersicht
  • Podcast
  • WTS Journal
  • Newsletter Anmeldung
Über WTS
  • Was uns besonders macht
  • Unsere Mandanten
  • Corporate Responsibility
  • Auszeichnungen & Awards
  • Experten
© 2023 WTS Unternehmensangaben Disclaimer Datenschutzerklärung Hinweisgebersystem