Datenschutz in Zeiten von Corona – unsichere Zeiten auch für Daten?
Wir sind mitten im Kampf ums Überleben. Gesundheitliche und wirtschaftliche Ängste verdrängen alles andere. Trotzdem ist eine gewisse Disziplin auch in anderen Bereichen, insbesondere im Datenschutz nicht zu vernachlässigen, wenn wir vor weiteren Gefahren abgesichert sein wollen. Nach aktuellen Angaben Darmstädter Behörden nehmen Cyberangriffe zu. Insbesondere Phishing-Attacken – die mit der Angst vieler Bürger in diesen Corona-Zeiten spielen – kommen vermehrt vor.
Datenschutz ist scheinbar nach hinten verdrängt. Trotzdem ist es wichtig, auch eine entsprechende
Daten-Hygiene in dieser unbestimmten Zeit an den Tag zu legen.
Wir denken hier nicht an entsprechende Dokumentationsanforderungen wie ein Verzeichnis von
Verarbeitungstätigkeiten oder die Verträge zur Auftragsverarbeitung, die jedes Unternehmen mit
seinen Dienstleistern, die personenbezogene Daten verarbeiten, abgeschlossen haben muss. Diese
sollten bei allen Unternehmen bereits vorhanden sein.
Wir denken eher an Regelungen im Homeoffice, wie mit den Daten datenschutzkonform umgegangen
werden muss. Wer sich hierüber aufgrund erhöhten Handlungsdruck noch keine Gedanken gemacht hat,
sollte zumindest seinen Datenschutzbeauftragten (DSB) daraufhin ansprechen. Ein guter DSB, der
sich um seine Kunden kümmert, dürfte dies ohnehin schon gemacht haben. In einem nachfolgenden
Artikel gehen wir näher auf die Inhalte einer solchen Regelung ein.
Wenn aber trotzdem noch im Unternehmen selbst – und nicht nur im Homeoffice – gearbeitet wird, so denken viele Firmen aktuell darüber nach, soweit überhaupt noch Besucher und Gäste empfangen werden, sich hier von diesen Besuchern und Gästen eine Selbstauskunft ausfüllen und unterschreiben zu lassen. Zweck der Erhebung und Verarbeitung dieser personenbezogenen Daten von Besuchern und Gästen ist es insbesondere festzustellen, ob diese sich im relevanten Zeitraum in einem vom RKI (Robert-Koch-Institut) als Risikogebiet eingestuften Gebiet aufgehalten haben, in Kontakt mit einer nachweislich oder zumindest möglich infizierten Person standen oder sogar selbst infiziert sein könnten. Ist dies der Fall, werden weitere Kontakte in den nächsten Wochen mit diesen Besuchern vom verantwortlichen Unternehmen natürlich abgelehnt.
Mit der Selbstauskunft sollte der Verantwortliche selbst festhalten, wer mit dem Besucher Kontakt hatte.
Stellt sich eine Infizierung oder ein Kontakt mit einer nachweislich infizierten Person in den
kommenden 14 Tagen ein, so ist das besuchte Unternehmen unverzüglich zu informieren, um somit
auch die dortigen Personen, die mit dem Besucher in Kontakt waren, zu schützen bzw. anschließend
– soweit noch keine Krankheitssymptome aufgetreten sind und ein Test auf Corona aus aktueller
medizinischer Sicht noch nicht gerechtfertigt wäre – zumindest unmittelbar in häusliche
Quarantäne geschickt werden sollten.
Da die Inkubationszeit bekanntlich ca. 14 Tage beträgt, sind die von den Besuchern ausgefüllten
Selbstverpflichtungserklärungen unserer Meinung nach spätestens nach 4 Wochen zu vernichten,
maximal aber nach Aussage des BfDI spätestens am Ende der Pandemie. Bei der Erhebung der Daten
von den Besuchern ist selbstverständlich auch zur Erhöhung der Transparenz und Erfüllung der
gesetzlichen Anforderungen an die Informationspflichten gemäß Art. 13 DSGVO zu denken; diese
platziert man idealerweise auf der Rückseite der Selbstverpflichtungsformulars. Natürlich ist
das Verfahren der Selbstauskunft von Besuchern und Gästen auch in das Verzeichnis von
Verarbeitungstätigkeiten (VVT) aufzunehmen.
Über die rechtlichen Grundlagen kann man näheres in einer Veröffentlichung des BfDI nachlesen (https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html?nn=5216976). In manchen Betrieben werden sogar Gesundheitsdaten erfasst. Will man Gesundheitsdaten zum Schutz der eigenen Mitarbeiter erheben, z.B. Fiebermessungen beim Zutritt zu Unternehmen oder gewissen Bereichen wie Schulen etc. so hat man natürlich weitere Dinge zu beachten. An der Geeignetheit der Körpertemperatur zur Corona-Bestimmung ist allerdings zu zweifeln. (siehe hierzu auch https://www.datenschutz.rlp.de/de/themenfelder-themen/beschaeftigtendatenschutz-corona/) Verarbeitet das Unternehmen Corona-Informationen von seinen Beschäftigten, so sind auch diese Verfahren in das VVT aufzunehmen; es sei denn sie sind allgemein unter dem Thema „Personaldatenverarbeitung“ zusammengefasst bzw. dort integriert. Natürlich ist es am besten, wenn soweit möglich persönliche Kontakte vermieden werden und jeder aus gesundheitlichen Gründen idealerweise Zuhause bleibt, zumindest bis die Spitze überschritten ist. Bleiben Sie gesund und bleiben Sie geschützt bzw. schützen Sie sich soweit es geht. In allen Belangen!
Autor: Manfred Schlitt
ZurückKontakt
Dipl.-Math. Manfred Schlitt
externer Datenschutzbeauftragter
Datenschutz-Auditor (TÜV)
Karola Spatz
externe Datenschutzbeauftragte
Pietro Militello, LL.M
externer Datenschutzbeauftragter
CAS Datenschutz GmbH & Co. KG
Bürgermeister-Mahr-Str. 14
63179 Obertshausen
Tel.: 06104-9808-0
Fax.: 06104-9808-30
E-Mail: info@cas-datenschutz.de