:quality(80)/p7i.vogel.de/wcms/0b/94/0b94922e642ca94c57d2b96f0adc3e64/0111587687.jpeg "Die Produkte der dänischen Design-Marke Dbramante1928 gibt es jetzt auch bei Brodos. (Bild: dbramante1928)")
:quality(80)/p7i.vogel.de/wcms/ef/db/efdbf5ec4c28b466c75c934ab57920c1/0111652411.jpeg "Um auf potenzielle Cyber-Bedrohungen vorbereitet zu sein, lohnt sich die Investition in Security Awarness Trainings für die Mitarbeitenden. (Bild: Richelle - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/c9/d6c9c51486f54acf13b522ae59a800b5/0111654137.jpeg "Mit dem GfK-Konsumlikma geht es verhalten bergauf. (Bild: fotomek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/60/a4604840542b15d381f821ff50399adf/0111080645.jpeg "Der Wunsch nach modernen Technologien ist auch bei Sicherheitsverantwortlichen im Immobilienbereich sehr hoch. (Bild: Brivo)")
:quality(80)/p7i.vogel.de/wcms/2d/f5/2df5841df41988d68f3e9f1ececd79cf/0107622743.jpeg "Hybrid Work bringt Unternehmen Wettbewerbsvorteile. (Bild: © Maria Vonotna - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/a7/eba7fda9b8b3585d1bb04f8bc73cc81f/0111651548.jpeg "Die Unigrid Foundation will 10.000 europäische Rechenzentren mittels der Blockchain vernetzen. (Bild: frei lizenziert Gerd Altmann - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/e5/bd/e5bd1b6532d0e25591b37a11cee8a8ce/0111184647.jpeg "Das mit AIOps weiterentwickelte HPE Aruba Networking Central sowie Agile NaaS sollen eine effektivere Verwaltung komplexer Betriebsprozesse ermöglichen. (Bild: Hewlett Packard Enterprise)")
:quality(80)/p7i.vogel.de/wcms/6a/b0/6ab0c1232523d680ed1368fed355b780/0111210369.jpeg "Trotz aller Krisen bleibt die Digitalisierung eine der drängendsten wirtschaftlichen Herausforderungen – denn weder der internationale Wettbewerb noch die Entwicklung der Hyperscaler schlafen. (Bild: fran_kie - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/ee/0ceea15bbc5fbb8387aea9aacf2b87ae/0111651504.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/22/1c/221c5c6fbbb8447e2ad11981a645b6d0/0111649999.jpeg "(Bild: ALSO)")
:quality(80)/p7i.vogel.de/wcms/58/60/58608be66bae2377bdebaff647a6fbc3/0111649973.jpeg "(Bild: Adin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/9b/259b053d61129f828e719043bffdf764/0111176792.jpeg "(Bild: Everphone)")
Neues zum Beschäftigtendatenschutz Richtiger Umgang mit Mitarbeiterdaten in Pandemie-Zeiten
Wenn es um Datenschutz während der Corona-Pandemie geht, dreht sich vieles um Homeoffice und mögliche Cyberattacken. Doch auch der Umgang mit den Beschäftigtendaten muss stimmen. Die Aufsichtsbehörden geben Hinweise, welche Vorgaben für den Schutz der Mitarbeiterdaten besser beachtet werden müssen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/91900/91921/65.jpg "logo_axis_color_rgb.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133400/133405/65.png "DataCore Logo.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Hat der Datenschutz 70.000 Todesfälle verursacht? Diesem Vorwurf stellte sich der Hessische Beauftragte für Datenschutz und Informationsfreiheit. Seine Antwort ist eindeutig: Der Datenschutz hat weder Todesfälle verursacht noch ist er in der Coronakrise als einziges Grundrecht ohne Einschränkung geblieben.
In Wirklichkeit erlaubt das Datenschutzrecht die Datenverarbeitung zur Pandemiebekämpfung, so der Landesbeauftragte Prof. Dr. Alexander Roßnagel. Sie ist nach der Datenschutz-Grundverordnung zulässig, wenn sie erforderlich ist, um „lebenswichtige Interessen“ zu schützen. Als ein Beispiel für ein solches Interesse nennt die Datenschutz-Grundverordnung ausdrücklich die „Überwachung von Epidemien“. Wenn Impfen, Testen und Kontaktverfolgung nicht wie gewünscht funktionieren, ist dies also nicht die Schuld des Datenschutzes.
Prof. Dr. Alexander Roßnagel hierzu: „Wir benötigen kein Zurückschrauben des Datenschutzrechts. Im Gegenteil – die Einschränkung des Grundrechts auf Datenschutz wäre kontraproduktiv. In der Krise hat der Datenschutz Flexibilität und Schutzwirkung gleichzeitig erwiesen.“
Offensichtlich sind also datenschutzgerechtes Impfen, Testen und eine Kontaktverfolgung möglich, im Rahmen der DSGVO. Doch worauf muss man achten, damit es datenschutzkonform ist? Diese Frage sollten sich Unternehmen nicht nur im Umgang mit Kundendaten stellen, wenn zum Beispiel in Geschäften und Restaurants Kontaktdaten hinterlegt werden müssen. Auch für den Beschäftigtendatenschutz, also für die Daten der Mitarbeiter, gibt es einiges zu beachten.
Aufsichtsbehörden beziehen Stellung
Nun lassen die Aufsichtsbehörden die Unternehmen mit ihren Fragen nicht alleine, sondern sie haben sich bereits mehrfach zum Datenschutz in Corona-Zeiten geäußert. Aus ihren Hinweisen kann man auch einiges für den Beschäftigtendatenschutz ableiten, der sich ja auf die neue Situation Homeoffice, Remote Work, Testen, Impfen und Kontaktverfolgung einstellen muss.
So erreichen die Datenschutzaufsichtsbehörden fortlaufend Beratungsanfragen von Arbeitgebern, die Gesundheitsdaten wie die Körpertemperatur oder den Impfstatus von Beschäftigten erheben und verarbeiten wollen.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) weist darauf hin, dass die Verarbeitung von Gesundheitsdaten zu privatwirtschaftlichen Zwecken (sei es im allgemeinen Wirtschaftsbereich oder im Beschäftigungsbereich) den Anforderungen der europäischen Datenschutz-Grundverordnung (DSGVO) genügen muss.
Informationen über den Impfstatus einer Person sind ebenso Gesundheitsdaten wie das Ergebnis eines Coronatests oder der Nachweis einer überstandenen Infektion. Gesundheitsdaten stehen unter dem besonders strengen Schutz der DSGVO und dürfen nur unter eng zu verstehenden Ausnahmen verarbeitet werden.
In aller Regel geboten sind konkrete gesetzliche Regelungen, die eine Verarbeitung solcher Gesundheitsdaten ausdrücklich zulassen, wie es etwa nach § 20 Infektionsschutzgesetz bei der Masernschutzimpfung im Bereich von Kindertageseinrichtungen der Fall ist.
Fehlt eine gesetzliche Grundlage, bedarf es somit in der Regel einer Einwilligung der Arbeitnehmer in die Erhebung und Verarbeitung ihrer Gesundheitsdaten, wobei vor allem im Beschäftigungsbereich die Freiwilligkeit der Einwilligung regelmäßig problematisch ist.
Ohne eine gesetzliche Regelung muss stets im Einzelfall geprüft werden, inwieweit die Verarbeitung von Daten über den Impfstatus oder im Rahmen einer Testung datenschutzrechtlich zulässig ist. Diese Einzelfallbetrachtung ist aufgrund der anzustellenden komplexen juristischen Abwägungen für alle Beteiligten mit großem Aufwand und rechtlichen Unsicherheiten verbunden.
Grundsätze für die Datenverarbeitung in Pandemie-Zeiten
Da die rechtliche Situation für die Unternehmen komplex werden kann, sind zweifellos Grundsätze hilfreich, an denen man sich orientieren kann. Auch hierzu haben sich die Aufsichtsbehörden geäußert. Zentrale Punkte sind dabei:
Krisenzeiten ändern nichts daran, dass die Verarbeitung personenbezogener Daten stets auf einer gesetzlichen Grundlage zu erfolgen hat. Das bedingt insbesondere, dass die mit einer Verarbeitung verfolgten Zwecke möglichst genau bezeichnet werden. Für Beschäftigtendaten gilt nach dem neuen Bundesdatenschutzgesetz insbesondere: „Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“
Die geplanten Maßnahmen müssen zudem kritisch auf ihre Eignung überprüft werden, um etwa Infektionen zu erfassen, infizierte Personen zu behandeln oder Neuinfektionen zu verhindern.
Die geplanten Maßnahmen müssen auch erforderlich sein. Stehen ebenfalls geeignete Maßnahmen zur Zweckerreichung zur Verfügung, die weniger, oder – wie eine vorherige Anonymisierung – sogar gar nicht in die Rechte der Menschen eingreifen, müssen diese vorrangig umgesetzt werden.
Zur verhältnismäßigen Ausgestaltung der Verarbeitung von sensiblen Daten gehört es schließlich, dass die speziell zur Bewältigung der Corona-Pandemie getroffenen Maßnahmen umkehrbar in dem Sinne gestaltet werden, dass sie nach Krisenende wieder zurückgenommen werden können und, wenn sie dann unverhältnismäßig sind, sogar müssen. So sind nicht mehr für die benannten Zwecke benötigte personenbezogene Daten unverzüglich zu löschen. Generell sollten zudem alle Maßnahmen befristet werden.
Technisch-organisatorische Maßnahmen zum Schutz der Integrität und Vertraulichkeit von Gesundheitsdaten sind nicht nur rechtlich geboten, sondern auch notwendig, um eine missbräuchliche Verwendung von Daten zu verhindern und Fehlern in der Verarbeitung entgegenzuwirken.
Wichtig ist es auch, im Sinne des Datenschutz-Grundsatzes der Transparenz die betroffenen Personen in verständlicher Weise über die Verarbeitung ihrer Daten zu informieren.
Die Aufsichtsbehörden machen aber auch deutlich: Auch wenn eine Verarbeitung von Gesundheitsdaten grundsätzlich nur restriktiv möglich ist, können für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeitern datenschutzkonform Daten erhoben und verwendet werden. Dabei ist der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage stets zu beachten.
Beispielsweise können die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie als datenschutzrechtlich legitimiert betrachtet werden:
- Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen.
- Hierzu zählen insbesondere Informationen zu den Fällen:
in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
- Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.
Die Fürsorgepflicht der Arbeitgeber bzw. der Dienstherren verpflichtet diese den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Hierzu zählt nach Ansicht der unabhängigen Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und im Fall der Fälle der Nachverfolgbarkeit (also im Grunde nachgelagerte Vorsorge gegenüber den Kontaktpersonen) dient.
Datenschutz und Mund-Nasen-Schutz
Die Aufsichtsbehörden haben auch zu ganz konkreten Fragestellungen Stellung bezogen: So gaben sie auch Hinweise zur Befreiung von der Pflicht zum Tragen von Mund-Nasen-Bedeckungen. Soweit Betroffene den Nachweis der Befreiungsvoraussetzung durch Vorlage einer ärztlichen Bescheinigung erbringen wollen, ist auf die Vermeidung der Offenbarung von besonders geschützten Gesundheitsinformationen zu achten.
Ob eine gesundheitliche Beeinträchtigung oder Erkrankung der Verwendung einer Maske entgegensteht, ist als medizinische Frage in die Bewertung des Arztes gestellt. Entgegen der Auffassung einiger gerichtlicher Entscheidungen ist das Anfordern von näheren Begründungen oder gar Diagnosen im Rahmen der Vorlage eines ärztlichen Attests in der Regel weder geeignet noch erforderlich und verstößt somit gegen europarechtliche Vorgaben (Grundsatz der Datenminimierung).
Ergänzend wurde von den Aufsichtsbehörden darauf hingewiesen, dass die Anfertigung und Speicherung von Kopien von ärztlichen Bescheinigungen bzw. die Speicherung von Originalen in der Regel nicht erforderlich und damit unzulässig ist. Zu Dokumentationszwecken reicht ein Vermerk aus, dass die Ausnahme durch ärztliche Bescheinigung glaubhaft gemacht wurde.
Personaldaten und die Cloud
Abschließend noch der Hinweis: Die vermehrte Arbeit im Homeoffice hat zudem dazu geführt, dass Mitarbeiterdaten zunehmend in Cloud-Diensten verarbeitet werden: Der Wechsel auf cloudbasierte Plattformen für die Personalarbeit (HR, Human Resources) hat sich während der Pandemie deutlich beschleunigt, so eine Studie der Information Services Group (ISG). Zugleich erwarten die Unternehmen auch für die kommenden Jahre eine Verstärkung dieses Trends.
Wichtig ist dabei natürlich, an alle Vorgaben aus dem Cloud-Datenschutz zu denken und insbesondere auch an das Ende der Gültigkeit von Privacy Shield.
(ID:47464294)
:quality(80)/images.vogel.de/vogelonline/bdb/1965700/1965718/original.jpg "Direktwerbung ist nach DSGVO nicht grundsätzlich verboten, auch wenn man in der Datenschutz-Grundverordnung keine spezifischen Vorgaben zum Thema Werbung findet. (Production Perig - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1929800/1929830/original.jpg "Der Datenschutz ist nicht verhandelbar, auf die Sicherheit der Verarbeitung kann nicht verzichtet werden. Sie kann auch nicht auf Wunsch vermindert werden. Denn Betroffene sind sich oft möglichen Folgen nicht bewusst. (peterschreiber.media - stock.adobe.com)")