Covid-19-Infizierungen - Welche datenschutzrechtlichen Aspekte müssen UnternehmerInnen bei der Verarbeitung von Gesundheitsdaten berücksichtigen?

Übersicht

Fragen und Antworten:

Kann ein Unternehmen Daten über eine (potentielle) Infektion mit Covid-19 erheben?

Sowohl bei der Information über einen Verdachtsfall als auch im Bestätigungsfall werden besondere Kategorien personenbezogener Daten verarbeitet. Ob ein Unternehmen diese Gesundheitsdaten daher von Arbeitnehmern, Kunden, Lieferanten oder sonstige Dritten verarbeiten darf, richtet sich ausschließlich nach Art 9 DSGVO. Da eine konkrete gesetzliche Grundlage fehlt, kommen in der Praxis regelmäßig nur (i) eine ausdrückliche Einwilligung des Betroffenen (Art 9 Abs 2 lit a DSGVO) oder (ii) die Einhaltung arbeits- und sozialrechtlicher Pflichten (Art 9 Abs 2 lit b DSGVO) in Frage. Sofern also ein Betroffener selbst freiwillig mitteilt, dass er Symptome hat oder gar ein bestätigter Corona-Fall vorliegt, kann die Information im Sinne der Fürsorgepflicht des Arbeitgebers zum Schutz der mit dieser Person in Kontakt gewesenen Arbeitnehmer grundsätzlich verarbeitet werden.

Sofern die Gesundheitsdaten im Unternehmen an andere Arbeitnehmer weitergegeben werden sollen, ist der Datenminimierungsgrundsatz zu berücksichtigen. So kann es in einem ersten Schritt regelmäßig ausreichend sein, die Arbeitnehmer pauschal über das Vorliegen eines Verdachts- bzw Infektionsfalles in einer bestimmten Abteilung, an einem Standort oder Stockwerk zu informieren. Dabei sollte der Betroffene noch anonym behandelt werden. Erst in einem zweiten Schritt kann der Name sodann an die Arbeitnehmer offengelegt werden, die innerhalb der Inkubationszeit auch mit dem Infizierten in Kontakt waren. Eine Weitergabe an Dritte – zB Kunden oder Lieferanten – hat dementsprechend stets ohne Personenbezug zu erfolgen.

Alternativ kann eine ausdrückliche, freiwillige Einwilligung des erkrankten Betroffenen eingeholt werden. Ist dies nicht möglich, weil der Betroffene körperlich oder rechtlich außer Stande ist, eine Einwilligung zu erteilen, kann im Einzelfall auch Art 9 Abs 2 lit c DSGVO greifen. So kann die Verarbeitung zum Schutz lebenswichtiger Interessen der Betroffenen bzw anderer natürlicher Personen im Einzelfall erforderlich sein.

Im Gegenteil dazu ist das bloße Fiebermessen im Eingangsbereich im Rahmen einer Zutrittskontrolle datenschutzrechtlich idR unproblematisch, solange es dabei zu keiner strukturierte Datenverarbeitung kommt (auch nicht durch eine etwaige Videoüberwachung des Kontrollbereichs). Bei solchen Echtzeit-Kontrollen greift die DSGVO schlichtweg nicht.

Darf ein Unternehmen Daten über infizierte Betroffene an eine Behörde weitergeben?

Die nach dem Epidemiegesetz zuständigen Behörden (zB Bezirksverwaltungsbehörden) dürfen Gesundheitsdaten nach § 4 ff Epidemiegesetz iVm Art 9 Abs 2 lit i DSGVO aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit verarbeiten. Auf Anfrage der Behörde ist eine Datenübermittlung an diese zulässig. Parallel wurde in den §§ 2 ff Härtefallfondsgesetz auch eine Rechtsgrundlage zur Datenübermittlung in Zusammenhang mit Förderungsanträgen für Härtefälle von KMU geschaffen.

Wie lange dürfen die Daten über Covid-19 Infektionen aufbewahrt werden?

Da weder das Epidemiegesetz noch die DSGVO konkrete Aufbewahrungspflichten in Zusammenhang mit meldepflichtigen Krankheiten für private Unternehmen vorsehen, greift die allgemeine Daten- sowie Speicherminimierungspflicht, sofern nichts Abweichendes geregelt ist (zB vier Wochen Aufbewahrungsdauer durch die Gastronomie): Die Daten dürfen lediglich zur Zweckerfüllung aufbewahrt werden. In der Praxis müssen die Daten über infizierte Betroffene also dann gelöscht bzw irreversibel anonymisiert werden, wenn (i) eine Identifikation von potentiell angesteckten, weiteren Betroffenen abgeschlossen, (ii) keine Behördenanfragen mehr anhängig sind oder (iii) die Daten nicht zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind.

Sind besondere Sicherheitsvorkehrungen erforderlich?

Im Umgang mit sensiblen Gesundheitsdaten ist stets ein besonderes Augenmerk auf das need-to-know Prinzip zu legen. So muss gerade in diesem heiklen Bereich sichergestellt sein, dass nur solche Personen im Unternehmen Zugriff auf die Klardaten erhalten, die diesen auch tatsächlich im Rahmen der Zweckerfüllung benötigen. Darüber hinaus sind generell bei sensiblen Daten höhere Sicherheitsstandards zu implementieren (zB Verschlüsselung). Bei der Etablierung der dafür erforderlichen Prozesse ist in der Praxis ein Blick über den Tellerrand gefordert, insbesondere wenn parallel auf Home Office umgestellt wird. So sind auch dort die erforderlichen Maßnahmen durch effektive Berechtigungskonzepte, Zugriffsbeschränkungen und der Einrichtung sicherer Kommunikationskanäle sicherzustellen.

Für Gesundheitsdiensteanbieter wurde im Gesundheitstelematikgesetz ("GTelG") eine sinnvolle, vorläufige Erleichterung für den Zeitraum der Corona-Krise geschaffen: In den §§ 26 und 27 GTelG wird die Übermittlung von Gesundheitsdaten sowie genetischen Daten explizit auch per Fax und E-Mail als zulässig erklärt. Parallel wurden auch die sonst strengen Identifikationsmaßstäbe herabgesetzt und sind dort Name und SVN zwischenzeitlich ausreichend. Dies dient dem auserkorenen Ziel, die Bevölkerung davor zu bewahren, nur für Arzneimittelverschreibungen Ärzte und Apotheken aufsuchen zu müssen und sich dann erst recht anzustecken.

Muss ein Unternehmen die Betroffenen proaktiv informieren?

Da eine Information der Arbeitnehmer, Kunden, Lieferanten oder Dritte idR weder unmöglich noch mit unverhältnismäßigem Aufwand verbunden ist, sind die bestehenden Datenschutzhinweise gemäß Art 13 und 14 DSGVO entsprechend um den neuen Verarbeitungszweck zu ergänzen. Dies kann aber auch pragmatisch im Rahmen etwaiger ohnedies ausgesendeten, allgemeinen Information an die Betroffenen erfolgen.

Welche Maßnahmen sind aus datenschutzrechtlicher Sicht darüber hinaus umzusetzen?

Zusätzlich zu den ausgeführten Hot Topics sind freilich auch die sonstigen DSGVO-Pflichten nicht zu vernachlässigen: Da es sich bei der Verarbeitung und Übermittlung von COVID-19 Verdachtsfällen um eine neue Datenverarbeitung handelt, ist eine Ergänzung des Verarbeitungsverzeichnisses erforderlich. Zudem wird idR eine Datenschutzfolgenabschätzung verpflichtend sein, da sensible Gesundheitsdaten von besonders schutzwürdigen Betroffenen verarbeitet werden (Arbeitnehmer, Patienten etc). Unabhängig davon sind auch entsprechende Vorkehrungen zur Aufrechterhaltung der etablierten Prozesse und Berichtswege für Datenschutzvorfälle zu treffen. So gilt die 72-Stunden-Frist weiterhin und ist – auch aufgrund des erhöhten Einsatzes von Home Office – die entsprechende Mitarbeiter-Awareness während der Krise besonders wichtig.

Nach Abklingen der aktuellen Krisensituation ist zudem mit einer erhöhten Anzahl an Auskunfts- und Löschbegehren sowie Beschwerden bei der Datenschutzbehörde durch die betroffenen Infizierten zu rechnen. Dementsprechend sind die dafür etablierten Prozesse im Unternehmen zu evaluieren, damit es nicht im Nachgang zu Engpässen oder Fristversäumnissen kommt.

Home Office und Datenschutz

Bei der Umstellung im Unternehmen auf Home Office oder Teleworking sind die damit verbundenen Risiken entsprechend zu bewerten und zu mitigieren: Wenn aufgrund der Krise mehr Arbeitnehmer als üblicherweise – oder gar alle – von außerhalb des Unternehmens auf Daten zugreifen, geht damit de facto eine allgemeine Risikoerhöhung einher, die bei der Ausgestaltung der technischen und organisatorischen Maßnahmen ausreichend zu berücksichtigen sind. So muss sichergestellt sein, dass der Arbeitnehmer auch Zuhause das Datengeheimnis sowie Betriebs- und Geschäftsgeheimnisse bewahrt. Dies beginnt in der Praxis bei der Geheimhaltung der Passwörter und geht bis hin zum sensiblen Umgang bei Telefonaten und Videokonferenzen.

Parallel muss auch sichergestellt sein, dass die dafür eingesetzten Systeme hinsichtlich Kapazität und Verfügbarkeit auf die bis zur Krise nicht vorgesehenen Anzahl der externen Zugriffe auf solide Beine gestellt sind. In vielen Unternehmen wird derzeit aufgrund fehlender Verfügbarkeit oder Ausstattung von Telefonkonferenzanbietern mitunter auch auf kostenlose Internet-basierende Alternativen zurückgegriffen. Das kann für nicht sensible Bereiche, wie etwa zur abstrakten Abstimmung innerhalb von Abteilungen zur aktuellen Arbeitsauslastung, internen Terminkoordination oder generell zum Kontakthalten unter den Mitarbeitern sinnvoll und zulässig sein. Von einer Weitergabe (i) personenbezogener Mitarbeiter- und Kundendaten sowie (ii) dem Betriebs- und Geschäftsgeheimnis unterliegenden Informationen ist auf solchen Kanälen allerdings dringend abzuraten. Sowohl aus DSGVO- als auch IT-Security Sicht erfüllen diese Services idR nicht die erforderlichen rechtlichen sowie technischen Erfordernisse. Auch zielen diese Services grundsätzlich auf einen Einsatz zwischen Privaten ab. Die  AGB und Lizenzbestimmungen sind nicht darauf ausgelegt, Datenverarbeitungen von Unternehmen abzuwickeln. Die in der DSGVO für personenbezogene Daten und dem UWG für Geschäftsgeheimnisse vorgesehenen angemessenen Schutzmaßnahmen sind damit zumeist nicht erfüllt.

Exkurs für Mobilfunkanbieter: Was ist im Rahmen des öffentlichen Warnsystems zu beachten?

Mit dem neu geschaffenen § 98a TKG können Mobilfunkanbieter bis Ende 2020 formlos – und bei Nichtbefolgung durch Bescheid – direkt von der Bundesregierung verpflichtet werden, Endnutzern über SMS öffentliche Warnungen vor drohenden oder sich ausbreitenden größeren Notfällen und Katastrophen zu übermitteln. Dafür wurde auch die erforderliche gesetzliche Grundlage iSd Art 6 Abs 1 lit c DSGVO geschaffen. Das umfasst auch die Verarbeitung der entsprechenden Stammdaten.