15.05.2020

Empfehlungen zum Datenschutz in der Corona-Krise

Wie wichtig Datenschutz auch und gerade in Krisenzeiten ist, zeigt die Fülle an Veröffentlichungen und Empfehlungen der deutschen Aufsichtsbehörden für den Datenschutz zur Corona-Krise. Verschaffen Sie sich hier einen Überblick.

Corona Datenschutz
© petovarga /​ iStock /​ Getty Images

2 x FAQ zum datenschutzgerechten Umgang mit Corona-Fällen

„Fragen des Datenschutzes stehen aktuell sicherlich nicht im Zentrum, sind aber auch in Notsituationen in die Überlegungen einzubeziehen und erleichtern letztendlich die Bewältigung der Krise, vor der wir stehen“, sagte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Dr. Stefan Brink.

Seine Behörde veröffentlichte FAQ zum datenschutzgerechten Umgang mit Corona-Fällen. Sie beantworten zum Beispiel folgende Fragen:

  • Dürfen Arbeitgeber aktuelle private Handynummern oder andere Kontaktdaten von der Belegschaft erheben, um die Beschäftigten im Falle einer Schließung des Betriebs oder in ähnlichen Fällen kurzfristig warnen oder auffordern zu können, zu Hause zu bleiben?
  • Dürfen Arbeitgeber Informationen darüber erheben und weiterverarbeiten, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte?

Zur Frage des Datenschutzes in Zeiten von Corona sagte Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit:

„Gerade in Zeiten von hoher Unsicherheit gegenüber bevorstehenden sozialen, ökonomischen und kulturellen Umbrüchen ist festzustellen: Der Schutz der Daten muss eine verlässliche Konstante im Leben von uns allen bleiben. Individuelle Rechte und Freiheiten mögen sich in einer neuen Weise im Lichte der gegenwärtigen Krise darstellen, sie sind jedoch nach wie vor zu beachten und können durch die Betroffenen geltend gemacht werden.“

Auch seine Aufsichtsbehörde veröffentlichte ein Corona-FAQ.

Datenschutz-Informationen für Arbeitgeber und Dienstherren

Die Datenschutzkonferenz (DSK) veröffentlichte Informationen für Arbeitgeber und Dienstherren zum Umgang mit dem Datenschutz im Zusammenhang mit der Corona-Pandemie.

Die DSK ist das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder.

Die Datenschützer stellen klar, dass der Schutz personenbezogener Daten und Maßnahmen zur Bekämpfung der Infektion sich nicht entgegenstehen.

Dazu sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber:

„Uns haben Fragen erreicht, wie der Datenschutz in dieser besonderen Situation rechtssicher umgesetzt werden kann. Ich bin froh, dass die Datenschutzaufsichtsbehörden jetzt eine gemeinsame Empfehlung hierzu aussprechen können.“

„Informationen zur Gesundheit sind sehr sensible Daten. Wer solche Daten erhebt oder verarbeitet, muss sich der besonderen Verantwortung bewusst sein.“, so der Landesbeauftragte für den Datenschutz, Prof. Dr. Dieter Kugelmann.

„Solange die Maßnahmen der Arbeitgeber und Dienstherren verhältnismäßig sind, steht der Datenschutz der Infektionsbekämpfung nicht im Weg. Denn die Gesundheit der Bürgerinnen und Bürger steht jetzt im Mittelpunkt.“

Datenschutz-Fragen zu Registrierungspflichten wegen des Corona-Virus

Grundsätzliche Überlegungen und Hinweise im Zusammenhang mit der Erhebung personenbezogener Daten im Gastronomiebereich oder der Registrierungspflichten für Handwerker und Dienstleister finden sich auf der Webseite des Unabhängigen Landeszentrums für Datenschutz (ULD).

Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, kommentierte dies so:

„Wir leben in einer besonderen Situation, in der das Infektionsrisiko zum Schutz von Menschen und Gesellschaft ein schnelles und zugleich umsichtiges Handeln erfordert. Die datenschutzrechtlichen Vorgaben stehen dem nicht entgegen. Selbstverständlich darf der Schutz personenbezogener Daten aber nicht auf der Strecke bleiben. Bei allen Maßnahmen muss bedacht werden, wie auch in dieser Sondersituation ein sorgsamer Umgang mit sensiblen Daten sichergestellt wird.“

Schulunterricht in der Corona-Krise

Aus Rheinland-Pfalz kommt ein Flyer zum schulischen Datenschutz. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz äußert sich hier zur auch Nutzung außereuropäischer Software-Produkte.

Danach muss sichergestellt sein, dass die Vertraulichkeit gegenüber Dritten gewährleistet ist. Unabhängig von der technischen Ausgestaltung eines Dienstes im Einzelnen (z.B. durch Ende-zu-Ende-Verschlüsselung), lässt sich das unter anderem dadurch erreichen, möglichst weitgehend auf einen Personenbezug zu verzichten.

So lassen sich für Chaträume etwa Pseudonyme vereinbaren. Und als Ersatz für den Frontalunterricht reicht möglicherweise der Stream einer Präsentation mit Audiokommentar aus, ohne dass Schülerinnen und Schüler oder das Lehrpersonal zu sehen sein müssen.

Lehr- und Lernmaterial ohne Personenbezug über öffentlich verfügbare Dienste (z.B. eine Homepage) bereitzustellen, begegnet keinen Bedenken.

Die Aufsichtsbehörden haben auch mehrere Missverständnisse und Falschmeldungen klargestellt.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) stellt fest: Es hat weder ein Skype-Verbot noch eine Untersagung des Unterrichts via Skype oder eines anderen Messenger-Dienstes durch ihn persönlich oder durch seine Mitarbeiterinnen und Mitarbeiter gegeben.

Der Hamburgische Datenschutzbeauftragte sieht gleichwohl – wie seine Kolleginnen und Kollegen in anderen Bundesländern – die Nutzung von kommerziellen Kommunikations-Plattformen für schulische Zwecke unter datenschutzrechtlichen Aspekten grundsätzlich kritisch.

IT-Sicherheit im Gesundheitswesen

Angriffe auf die IT-Systeme von Krankenhäusern und andere Einrichtungen wie Universitäten und Stadtverwaltungen haben die Risiken von Cyberattacken auf Strukturen des Gesundheitswesens deutlich vor Augen geführt. Das gilt auch in der gegenwärtigen Phase der Corona-Pandemie.

„Eine angemessene IT-Sicherheit ist gerade in Krisenzeiten von Bedeutung, dann zahlt es sich aus, wenn man bereits in ruhigeren Zeiten gut aufgestellt ist“, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann.

Seine Aufsichtsbehörde informiert entsprechend zu IT-Sicherheit und Datenschutz im Krankenhaus.

Datenschutz-Fragen zur Tracking-App

Angesichts der weiteren Ausbreitung des Corona-Virus werden derzeit an vielen Stellen Tracking-Lösungen zur Bekämpfung der Corona-Pandemie diskutiert.

„Vieles hängt hier an der konkreten Ausgestaltung“, so Prof. Dr. Dieter Kugelmann, „aber eine solche App ist möglich und auch datenschutzkonform gestaltbar. Dazu machen sich gerade viele Leute Gedanken und ich hoffe, dass man dabei die Bedeutung unserer Freiheitsrechte nicht aus den Augen verliert.

Für mich sind dabei folgende Kriterien entscheidend: die Freiwilligkeit zur Entscheidung über die Nutzung, eine enge Zweckbindung, die Pseudonymisierung der Daten sowie eine Löschung, wenn eine Infektionsgefahr nicht mehr gegeben ist. Für mich ist der Kern der Sache, dass wir nicht vorschnell Freiheit aufgeben, wenn es dem effektiven Gesundheitsschutz gar nicht dient.

Es besteht kein Zweifel, dass die Bekämpfung der Pandemie Priorität genießt, aber bitte im rechtsstaatlichen Rahmen, sonst erodiert die staatliche Ordnung“.

Zu den Tracking-Apps hat die Datenschutzaufsicht von Rheinland-Pfalz eine Information veröffentlicht.

Home-Office in Krisenzeiten

Aufgrund der Corona-Pandemie sollen alle Menschen ihre direkten Kontakte einschränken. Das bedeutet auch, dass die meisten nun zu Hause bleiben. Wann immer es geht, schicken Unternehmen und Behörden ihre Mitarbeiterinnen und Mitarbeiter ins Homeoffice.

Worauf ist zu achten, um auch zu Hause die Datenschutz-Anforderungen zu erfüllen?

Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, berichtet von zahlreichen Anfragen zum Thema Home-Office: „Für viele Mitarbeiterinnen und Mitarbeiter heißt es gerade: Ab sofort Homeoffice! Viele Unternehmen und Behörden kannten dies bisher gar nicht oder nur in Ausnahmefällen. Deswegen wird vielerorts gerade improvisiert, um den Betrieb am Laufen zu halten und dabei die Bedürfnisse aller Beschäftigten möglichst gut zu erfüllen.“

Aus diesem Grund veröffentlichte Hansens Dienststelle, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), die wichtigsten Regeln und Maßnahmen für das Arbeiten im Home-Office auf der Webseite:

Datenschutz: Plötzlich im Homeoffice – was nun?

Auftragsverarbeitung in Zeiten der Corona-Krise

Die Datenschutz-Grundverordnung (DSGVO) brachte für öffentliche Einrichtungen, Unternehmen, Vereine oder Kommunen einige neue Herausforderungen.

Nun stellt die Corona-bedingte Ausnahme-Situation vielerorts die frisch etablierten Verwaltungs-Prozesse zum Datenschutz auf die Probe.

Viele Datenschutzbeauftragte stehen damit erneut vor Fragen zur Rechtmäßigkeit von Datenverarbeitung – etwa wenn es um Aufträge an Firmen außerhalb Deutschlands geht, personenbezogene Daten zu verarbeiten.

Um unkompliziert Rechtssicherheit zu schaffen, stellt der LfDI Baden-Württemberg ein Vertragsmuster zur Auftragsverarbeitung innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) zur Verfügung.

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)