Welche Daten dürfen im Zusammenhang mit der Corona-Epidemie verarbeitet werden? Welche besonderen Anforderungen werden an den Datenschutz gestellt? Der Bundesdatenschutzbeauftragte hat sich aufgrund der aktuellen Situation kürzlich zu Fragen datenschutzrechtlichen Fragen im Arbeits-und Beamtenrecht geäußert.

Grundsätze der Datenverarbeitung

• Allgemeine Prinzipien: Maßstab jeder Datenverarbeitung ist ihre Erforderlichkeit. Im Zusammenhang mit Corona sind insoweit die Zwecke des Gesundheitsschutzes der Angestellten und Bediensteten und die Erfüllung gesetzlicher Meldepflichten sowie die Orientierung am Grundsatz der Datenminimierung (Artikel 5 Absatz 1 Buchstabe c DSGVO) zu beachten. Wegen der Pandemie kann auch die Verarbeitung von solchen personenbezogenen Daten erforderlich sein, die mit den üblicherweise verarbeiteten Daten des Verantwortlichen nichts zu tun hat – wie zum Beispiel die Bitte um Angabe einer Handynummer.

• Die Befugnis zur Datenverarbeitung: Diese ergibt sich für Dienstherrn und öffentlich-rechtliche Arbeitgeber aus Art. 6 Absatz 1 Buchst. e DSGVO. Für Arbeitgeber im nichtöffentlichen Bereich ist dies in Art. 6 Absatz 1 Buchst. f DSGVO geregelt. Dabei müssen die konkreten Maßnahmen entweder nach Buchstabe e) im öffentlichen Interesse liegen oder nach Buchstabe f) den berechtigten Interessen des Verantwortlichen entsprechen. Anknüpfungspunkte sind insoweit die jeweiligen Fürsorgepflicht des Arbeitgebers/Dienstherrn gegenüber den  Mitarbeitern. Somit müssen Arbeitgeber und Dienstherr auch den Gesundheitsschutz ihrer Beschäftigten sicherstellen. Umfasst hiervon sind auch Maßnahmen zur Verhinderung der Verbreitung von meldepflichtigen Krankheiten oder zur Sicherstellung der Nachverfolgbarkeit von Kontaktpersonen.

• Personenbezogene Daten: Auch die Verarbeitung von personenbezogenen Daten, die mit den üblicherweise verarbeiteten Daten des Verantwortlichen nichts zu tun haben, kann aus Anlass von COVID-19 erforderlich sein. Der Bundesdatenschutzbeauftragte beurteilt derzeit beispielsweise die Verarbeitung von folgenden Daten von Arbeitnehmern, Bediensteten aber auch von Besuchern eines Arbeitgebers oder Dienstherrn als unbedenklich:

        - Name,
        - aktuelle Kontaktinformationen einschließlich Handynummer,
        - wahrgenommene persönliche Kontakte innerhalb der Stelle,
        - vorangegangener oder beabsichtigter Aufenthalt in einem Risikogebiet,
        - vorangehende Kontakte zu vermeintlich erkrankten Personen und
        - eigene Symptomfreiheit.

• Besondere Kategorien personenbezogener Daten: Auch für besondere Kategorien von personenbezogenen Daten, wie vor allem insbesondere Gesundheitsdaten, kann eine Rechtsgrundlage bestehen. Die Verarbeitungsbefugnis ergibt sich aus Artikel 9 Absatz 2 Buchstabe b und g DSGVO, da sich die Fürsorgepflicht aus dem Arbeits- und Dienstrecht ergibt. Im europäischen Recht umfasst der Begriff des Arbeitsrechts auch das deutsche Beamtenrecht.

• Löschung der Daten: Die Daten sind zu löschen, wenn der zugrundeliegende Verarbeitungszweck weggefallen ist. Beispielsweise können die Daten von Besuchern nach 1-3 Monaten wieder gelöscht werden, wenn beim Arbeitgeber oder Dienstherrn keine Ansteckungsfälle bekannt geworden sind.

Quelle: FAQ des Bundesbeauftragten für Datenschutz und Informationsfreiheit

PinG Privacy in Germany Wo Datenschützer ihre Nase reinstecken Herausgeber: Prof. Niko Härting PinG Privacy in Germany – Die Zeitschrift für alle, die mit Datenschutz in Unternehmen zu tun haben und bei der regelkonformen Umsetzung stets auf der sicheren Seite sein wollen: Privacy Topics – Spezialthemen und richtungweisende Beiträge aus dem In- und Ausland, Privacy News – prägnante Artikel zu aktuellen rechtspolitischen Themen, Privacy Compliance – Antworten auf alle drängenden Fragen aus dem betrieblichen Alltag. AKTUELL: PinG-Podcast „Corona im Rechtsstaat“ Prof. Niko Härting nimmt Grund- und Bürgerrechte in Zeiten von Corona mit seinen spannenden Gästen in den Blick.

(ESV/cw)