Datenschutz in Zeiten von Corona – unsichere Zeiten auch für Daten?

Wir sind mitten im Kampf ums Überleben. Gesundheitliche und wirtschaftliche Ängste verdrängen alles andere. Trotzdem ist eine gewisse Disziplin auch in anderen Bereichen, insbesondere im Datenschutz nicht zu vernachlässigen, wenn wir vor weiteren Gefahren abgesichert sein wollen. Nach aktuellen Angaben Darmstädter Behörden nehmen Cyberangriffe zu. Insbesondere Phishing-Attacken – die mit der Angst vieler Bürger in diesen Corona-Zeiten spielen – kommen vermehrt vor.

Datenschutz ist scheinbar nach hinten verdrängt. Trotzdem ist es wichtig, auch eine entsprechende Daten-Hygiene in dieser unbestimmten Zeit an den Tag zu legen.
Wir denken hier nicht an entsprechende Dokumentationsanforderungen wie ein Verzeichnis von Verarbeitungstätigkeiten oder die Verträge zur Auftragsverarbeitung, die jedes Unternehmen mit seinen Dienstleistern, die personenbezogene Daten verarbeiten, abgeschlossen haben muss. Diese sollten bei allen Unternehmen bereits vorhanden sein.
Wir denken eher an Regelungen im Homeoffice, wie mit den Daten datenschutzkonform umgegangen werden muss. Wer sich hierüber aufgrund erhöhten Handlungsdruck noch keine Gedanken gemacht hat, sollte zumindest seinen Datenschutzbeauftragten (DSB) daraufhin ansprechen. Ein guter DSB, der sich um seine Kunden kümmert, dürfte dies ohnehin schon gemacht haben. In einem nachfolgenden Artikel gehen wir näher auf die Inhalte einer solchen Regelung ein.

Wenn aber trotzdem noch im Unternehmen selbst – und nicht nur im Homeoffice – gearbeitet wird, so denken viele Firmen aktuell darüber nach, soweit überhaupt noch Besucher und Gäste empfangen werden, sich hier von diesen Besuchern und Gästen eine Selbstauskunft ausfüllen und unterschreiben zu lassen. Zweck der Erhebung und Verarbeitung dieser personenbezogenen Daten von Besuchern und Gästen ist es insbesondere festzustellen, ob diese sich im relevanten Zeitraum in einem vom RKI (Robert-Koch-Institut) als Risikogebiet eingestuften Gebiet aufgehalten haben, in Kontakt mit einer nachweislich oder zumindest möglich infizierten Person standen oder sogar selbst infiziert sein könnten. Ist dies der Fall, werden weitere Kontakte in den nächsten Wochen mit diesen Besuchern vom verantwortlichen Unternehmen natürlich abgelehnt.

Mit der Selbstauskunft sollte der Verantwortliche selbst festhalten, wer mit dem Besucher Kontakt hatte.

Stellt sich eine Infizierung oder ein Kontakt mit einer nachweislich infizierten Person in den kommenden 14 Tagen ein, so ist das besuchte Unternehmen unverzüglich zu informieren, um somit auch die dortigen Personen, die mit dem Besucher in Kontakt waren, zu schützen bzw. anschließend – soweit noch keine Krankheitssymptome aufgetreten sind und ein Test auf Corona aus aktueller medizinischer Sicht noch nicht gerechtfertigt wäre – zumindest unmittelbar in häusliche Quarantäne geschickt werden sollten.
Da die Inkubationszeit bekanntlich ca. 14 Tage beträgt, sind die von den Besuchern ausgefüllten Selbstverpflichtungserklärungen unserer Meinung nach spätestens nach 4 Wochen zu vernichten, maximal aber nach Aussage des BfDI spätestens am Ende der Pandemie. Bei der Erhebung der Daten von den Besuchern ist selbstverständlich auch zur Erhöhung der Transparenz und Erfüllung der gesetzlichen Anforderungen an die Informationspflichten gemäß Art. 13 DSGVO zu denken; diese platziert man idealerweise auf der Rückseite der Selbstverpflichtungsformulars. Natürlich ist das Verfahren der Selbstauskunft von Besuchern und Gästen auch in das Verzeichnis von Verarbeitungstätigkeiten (VVT) aufzunehmen.

Über die rechtlichen Grundlagen kann man näheres in einer Veröffentlichung des BfDI nachlesen (https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html?nn=5216976). In manchen Betrieben werden sogar Gesundheitsdaten erfasst. Will man Gesundheitsdaten zum Schutz der eigenen Mitarbeiter erheben, z.B. Fiebermessungen beim Zutritt zu Unternehmen oder gewissen Bereichen wie Schulen etc. so hat man natürlich weitere Dinge zu beachten. An der Geeignetheit der Körpertemperatur zur Corona-Bestimmung ist allerdings zu zweifeln. (siehe hierzu auch https://www.datenschutz.rlp.de/de/themenfelder-themen/beschaeftigtendatenschutz-corona/)
Verarbeitet das Unternehmen Corona-Informationen von seinen Beschäftigten, so sind auch diese Verfahren in das VVT aufzunehmen; es sei denn sie sind allgemein unter dem Thema „Personaldatenverarbeitung“ zusammengefasst bzw. dort integriert.
Natürlich ist es am besten, wenn soweit möglich persönliche Kontakte vermieden werden und jeder aus gesundheitlichen Gründen idealerweise Zuhause bleibt, zumindest bis die Spitze überschritten ist. Bleiben Sie gesund und bleiben Sie geschützt bzw. schützen Sie sich soweit es geht. In allen Belangen!

Autor: Manfred Schlitt