Corona und die Daten
Die Pandemie hat einiges relativiert. Aktuell stehen gesundheitliche und wirtschaftliche Interessen im Vordergrund. Aber auch das Thema Datenschutz bleibt für Unternehmen nicht nur relevant, sondern existenziell.
Viele Menschen arbeiten jetzt im Homeoffice. Jedes Unternehmen, das dies ermöglicht, sollte eine Nutzungsrichtlinie haben, um den datenschutzrechtlichen Anforderungen zu genügen, entsprechende sicherheitstechnische Voraussetzungen zur Vertraulichkeit zu gewährleisten und die Verfügbarkeit sicherzustellen. Die Regeln müssen definiert, dokumentiert und kommuniziert werden.
Vor allem an Folgendes ist zu denken:
- Hard- und Software sollten vom Unternehmen gestellt und vorbereitet sein.
- Zugriffe auf Unternehmensdaten finden nur über eine gesicherte VPN-Verbindung statt.
- Daten werden möglichst nicht lokal gespeichert.
- Ausdrucke oder Papierdokumente werden vermieden. Wenn das unmöglich ist, Dokumente verschließen, ansonsten auf sichere Entsorgung durch Schreddern achten – spätestens nach Transport ins Büro.
- Unbefugte wie Familienangehörige, dürfen unternehmensrelevante Unterlagen nicht einsehen. Das gilt besonders für personenbezogene Daten. Bildschirm entsprechend positionieren!
- Beim Verlassen des Arbeitsplatzes wird der Rechner gesperrt.
- Bei Telefonaten sollten Dritte die Inhalte nicht mithören können.
- Der Umgang mit Datenschutzvorfällen muss geregelt sein.
- Erforderlichenfalls Zutrittsrecht des Arbeitgebers vereinbaren.
- Auch die vielfältigen Meeting-Technologien sollten vor einer Nutzung datenschutzrechtlich genau unter die Lupe genommen werden.
Wer darf noch in die Firma?
Wenn weiter vor Ort im Unternehmen gearbeitet wird, stellt sich die Frage: Sollen noch Besucher und Gäste empfangen werden? Am besten gibt und unterschreibt, wer immer sich ankündigt, eine Selbstauskunft. Mit der Erhebung und Verarbeitung dieser personenbezogenen Daten kann festgestellt werden, ob ein potenzieller Besucher sich im relevanten Zeitraum in einem Risikogebiet aufgehalten hat, in Kontakt mit einer nachweislich oder möglicherweise infizierten Person stand oder sogar selbst infiziert sein könnte. Sollte eins davon zutreffen, steht der Besuch selbstverständlich nicht zur Debatte. Werden eine Infizierung oder ein Zusammentreffen mit einer infizierten Person in den 14 Tagen nach dem Unternehmensbesuch festgestellt, sind das besuchte Unternehmen und die Kontaktpersonen unverzüglich zu informieren.
Mit der Selbstauskunft sollte der Verantwortliche festhalten, wer mit dem Besucher zu tun hatte. Da eine Inkubationszeit von bis zu 14 Tagen angenommen wird, sollten Selbstauskünfte nach vier Wochen vernichtet werden, spätestens aber nach Ende der Pandemie. Die Rückseite des Dokuments eignet sich, um dort den Informationspflichten gemäß Art. 13 DSGVO gerecht zu werden. Natürlich gehört das Verfahren der Selbstauskunft von Besuchern und Gästen in das Verzeichnis von Verarbeitungstätigkeiten (VVT).
Will man Gesundheitsdaten zum Schutz der eigenen Mitarbeiter erheben, zum Beispiel Fiebermessungen beim Zutritt zu Unternehmen oder gewissen Bereichen, ist auch hier der Datenschutz zu beachten. Verarbeitet das Unternehmen Corona-Informationen von seinen Beschäftigten, gehört auch dieses Verfahren in das VVT, es sei denn es ist unter dem Thema „Personaldatenverarbeitung“ zusammengefasst beziehungsweise integriert.
DSGVO: Drohen jetzt hohe Bußgelder?
Nach Andeutungen verschiedener Aufsichtsbehörden drohte Anfang des Jahres das Ende der Schonfrist in Sachen Datenschutzgrundverordnung (DSGVO). Dann kam Corona.
Zu Zeiten des alten Bundesdatenschutzgesetzes (BDSG) hatte der Discounter Lidl mit 1,46 Millionen Euro die höchste Strafe in Deutschland erhalten. Inzwischen wurde gegenüber der Deutschen Wohnen eine Strafe von 14,5 Millionen Euro ausgesprochen, also fast das Zehnfache. Britischen Unternehmen kamen Verstöße am teuersten zu stehen: Zwei Fälle mit je über 100 Millionen Euro sind belegt.
Die Grundsätze unserer Verfassung sind immer der Maßstab. Auch das informationelle Selbstbestimmungsrecht, das seit dem Urteil von 1983 Grundpfeiler des Datenschutzes ist, basiert auf den Artikeln 1 und 2 unseres Grundgesetzes. „Ernsthaftigkeit, Klarheit und Transparenz sind in diesen Zeiten sehr wichtig“, sagte Finanzminister Olaf Scholz kürzlich in einer Talkrunde. Das gilt für alle Bereiche, auch für den Datenschutz. Vermutlich werden hier Bußgelder – soweit sie überhaupt in den kommenden Monaten ausgesprochen werden – niedrig sein. Es ist in dieser sehr speziellen Situation eher zu erwarten, dass die Aufsichtsbehörden bei Verstößen gegen die DSGVO eindringliche Hinweise aussprechen werden, die mit einer Nachbesserungspflicht verbunden sind.
Autor:
Manfred Schlitt
Telefon: 06104 9808 18
manfred.schlitt@cas-datenschutz.de
www.cas-datenschutz.de
Kontakt
Dipl.-Math. Manfred Schlitt
externer Datenschutzbeauftragter
Datenschutz-Auditor (TÜV)
Karola Spatz
externe Datenschutzbeauftragte
Pietro Militello, LL.M
externer Datenschutzbeauftragter
CAS Datenschutz GmbH & Co. KG
Bürgermeister-Mahr-Str. 14
63179 Obertshausen
Tel.: 06104-9808-0
Fax.: 06104-9808-30
E-Mail: info@cas-datenschutz.de