Header graphic for print

Datenschutz

News & Trends

Rubrik: Datenschutz Allgemein

COVID-19 – Herausforderungen für den Datenschutz

Datenschutzbestimmungen (wie die DSGVO) hindern nicht, dass geeignete und erforderliche Maßnahmen im Kampf gegen die COVID-19 Pandemie ergriffen werden. Jedoch muss der Verantwortliche auch in diesen außergewöhnlichen Zeiten den Schutz der personenbezogenen Daten der betroffenen Personen gewährleisten.

Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder („DSK“) haben in ihrer Stellungnahme vom 13. März 2020 betont, dass für verschiedene Maßnahmen zur Eindämmung der COVID-19 Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern datenschutzkonform (Gesundheits-) Daten erhoben und verarbeitet werden dürfen, soweit die gesetzlichen Bestimmungen beachtet werden.

 

 

  1. Darf der Arbeitgeber personenbezogene Daten von Mitarbeitern im Zusammenhang mit COVID-19 erheben (z.B. sog. Corona-Fragebögen)?

Kurz zusammengefasst: Unter bestimmten Voraussetzungen können solche „Corona-Fragebögen“ gegenüber Mitarbeitern datenschutzrechtlich rechtmäßig durchgeführt werden.

Die Einwilligung der betroffenen Personen ist als Rechtsgrundlage eher ungeeignet, da die Freiwilligkeit der Einwilligung im Arbeitsverhältnis besonders zweifelhaft ist.

Arbeitgeber sind verpflichtet, die erforderlichen Maßnahmen zu treffen, um die betriebliche Sicherheit und Gesundheit der Mitarbeiterinnen und Mitarbeiter zu gewährleisten. Der Arbeitgeber kann die erforderlichen personenbezogenen Daten zum Zweck der arbeitsmedizinischen Vorsorge verarbeiten, soweit eine solche Verarbeitung erforderlich ist.

  1. Darf der Arbeitgeber personenbezogene Daten von externen Besuchern im Zusammenhang mit COVID-19 erheben (z.B. sog. Corona-Fragebögen)?

Kurz zusammengefasst: Unter bestimmten Voraussetzungen können solche „Corona-Fragebögen“ gegenüber externen Besuchern datenschutzrechtlich rechtmäßig durchgeführt werden.

Auch hier ist fraglich, ob die Einwilligung freiwillig erteilt werden kann. Dies ist nur der Fall, wenn der Besucher eine echte Wahl hat. Dies kann angenommen werden, wenn dem Besucher gangbare Alternativen zur Verfügung stehen und das Formularerfordernis schon vor Reiseantritt kommuniziert wird.

Für eine Verarbeitung kann auch der Schutz der öffentlichen Gesundheit als Rechtsgrundlage herangezogen werden.

  1. Darf ein Arbeitgeber eigenständig Gesundheitschecks (z.B. Fiebermessung) durchführen?

Kurz zusammengefasst: Unter bestimmten Voraussetzungen können solche Gesundheitschecks datenschutzrechtlich rechtmäßig durchgeführt werden.

Da es sich um Gesundheitsdaten handelt, gelten besondere Bestimmungen. Die Maßnahme muss jedoch insgesamt auch in arbeitsrechtlichen Bereichen verhältnismäßig und erforderlich sein. Solche Gesundheitschecks sind in der Regel wohl kritisch zu beurteilen, da eine Geeignetheit der Maßnahme nicht mit Sicherheit angenommen werden kann, weil erhöhte Temperatur nur ein mögliches Symptom des COVID-19 ist, aber abhängig von der Beurteilung des Einzelfalles und der weiteren Entwicklung der Pandemie, können diese datenschutzkonform durchgeführt werden.

  1. Kann der Arbeitgeber bei einer Krankschreibung danach fragen, ob eine Infektion mit dem COVID-19 die Ursache ist oder ein Verdachtsfall besteht?

Die allgemeine Fürsorgepflicht des Arbeitgebers kann grundsätzlich die Erhebung von Gesundheitsdaten im Zusammenhang mit COVID-19 rechtfertigen, da der Arbeitgeber sicherstellen muss, dass sich die anderen Arbeitnehmer seines Betriebes nicht mit COVID-19 angesteckt haben könnten. Allerdings muss die Frage zum Schutz der anderen Arbeitnehmer auch erforderlich sein. Dies ist wohl nur der Fall, wenn die Krankschreibung des Mitarbeiters Anlass zur Annahme gibt, er habe sich wegen der Infizierung mit COVID-19 krankschreiben lassen.

  1. Darf der Arbeitgeber die Identität von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen offenlegen?

Die Offenlegung der Namen von nachweislich mit COVID-19 infizierten oder unter Infektionsverdacht stehenden Personen sollen der Information und gleichzeitig dem Schutz potentieller Kontaktpersonen der betroffenen Person dienen.

Die Weitergabe dieser Daten kann zu einer Stigmatisierung der betroffenen Person führen. Auch wenn die allgemeine Fürsorgepflicht des Arbeitgebers nicht nur gegenüber der jeweils betroffenen Person, sondern auch gegenüber allen anderen Mitarbeitern besteht, ist jede Verarbeitung personenbezogener Daten am Verhältnismäßigkeitsgrundsatz zu messen. Eine namentliche Nennung kann daher nur ausnahmsweise zulässig sein, wenn die Kenntnis der Identität der betroffenen Person für Vorsorgemaßnahmen zwingend erforderlich ist.

  1. Darf der Arbeitgeber von infizierten Mitarbeitern Informationen über deren Kontaktpersonen erheben/verarbeiten?

Ein infizierter Mitarbeiter muss seinen Arbeitgeber grundsätzlich über das Vorliegen einer Infektion zu informieren, wenn dies zum Schutz hochrangiger Rechtsgüter von Dritten erforderlich ist. Zur Wahrung berechtigter Interessen potentieller Kontaktpersonen eines infizierten Mitarbeiters kann daher auch die Offenlegung personenbezogener Daten von Dritten gerechtfertigt sein.

  1. Darf der Arbeitgeber Daten über erkrankte Beschäftigte, über Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten an die Behörden übermitteln?

Für eine Übermittlung personenbezogener Daten von Beschäftigten, die sich in Risikogebieten einer Infektion mit COVID-19 aufgehalten haben oder Kontakt zu Infizierten hatten, an Behörden besteht ohne eine entsprechende Aufforderung der jeweiligen Behörde wohl in aller Regel keine Rechtsgrundlage. Entsprechende behördliche Anordnungen sind aber auf Grundlage des Infektionsschutzgesetzes (IfSG) sowie länderspezifischer Regelungen denkbar.

  1. Darf der Arbeitgeber private Kontaktdaten von Beschäftigten für Notfälle erheben und speichern?

Eine temporäre Speicherung privater Kontaktdaten zur kurzfristigen Warnung/Kontaktaufnahme ist mit Einverständnis des Beschäftigten wohl zulässig. Die Angabe der Daten wird regelmäßig auch im eigenen Interesse der Mitarbeiter liegen.

Allerdings wird man daraus wohl keine Pflicht der Beschäftigten ableiten können, ihre Kontaktdaten auch tatsächlich anzugeben. Im Hinblick auf die Rechtmäßigkeit der Datenverarbeitung ist besonders das „Recht auf Vergessenwerden“ zu beachten, da diese Daten eindeutig zweckgebunden – nämlich zur Verringerung der Infektionsgefährdung – erhoben werden.

 

 

 

Links zu offiziellen Mitteilungen der Datenschutzbehörden:

Datenschutzkonferenz (DSK): Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie, 13. März 2020

European Data Protection Board, Statement by the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak, 16 March 2020

 

 

 

 

Rubrik: Datenschutz Allgemein, Datensicherheit, DSGVO

LfDI Baden-Württemberg verhängt erstes Bußgeld nach der DS-GVO

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) hat am 21. November 2018 gegen den Betreiber einer Chat Community („Unternehmen“) eine Geldbuße in Höhe von 20.000 Euro wegen einer Verletzung der Pflichten bei der Verarbeitung personenbezogener Daten gemäß Art. 32 Datenschutz-Grundverordnung („DS-GVO“) verhängt. Ein höheres Bußgeld konnte vor allem durch eine sehr gute Zusammenarbeit des Unternehmens mit dem LfDI vermieden werden. Lesen Sie mehr »

Rubrik: Arbeitsrecht, Beschäftigtendatenschutz, Datenübermittlungen, DSGVO, EU-Datenschutz-Grundverordnung, EU-Standardvertragsklauseln

Beschäftigtendatenschutzrechtliche Anforderungen an Matrix-Strukturen im Konzern

Matrix-Strukturen sind ein in der Praxis häufig genutztes Organisationsmodell für erfolgreiche und effiziente personelle Zusammenarbeit in Unternehmensgruppen und Konzernen. Um diese Strukturen effektiv nutzen zu können, ist der Austausch von personenbezogenen Daten zwischen einzelnen Gesellschaften des Konzerns erforderlich. Hierbei müssen Unternehmen im Konzern die Anforderungen des Beschäftigtendatenschutzes beachten. Der vorliegende dritte Beitrag aus unserer Reihe zu rechtlichen Besonderheiten bei Matrix-Strukturen in Konzernen gibt einen Überblick über wesentliche datenschutzrechtliche Fragen zu diesem Thema. Lesen Sie mehr »

Rubrik: Compliance, Datenschutz Allgemein, Datenschutz im Internet, DSGVO, Kundendatenschutz

Website Compliance: Haftung für Social Plugins – Vorlagefragen an EuGH

Das von der Verbraucherzentrale NRW gegen die direkte Einbindung des Facebook „Like-Buttons“ geführte Klageverfahren geht in die nächste Runde: Mittlerweile beschäftigt sich das Oberlandesgericht (OLG) Düsseldorf im Berufungsverfahren mit der Rechtmäßigkeit der direkten Einbindung von Social Plugins wie des „Like-Buttons“. Durch Beschluss vom 19. Januar 2017 (Az. I-20 U 40/16) hat das Gericht das Verfahren jedoch ausgesetzt und sich mit mehreren Vorlagefragen an den Europäischen Gerichtshof gewendet. Dieser muss nun grundsätzlich klären, ob Website-Betreiber für die Einbindung des „Like-Buttons“ rechtlich verantwortlich sind. Lesen Sie mehr »

Rubrik: Datenschutz Allgemein, Datenschutz International, DSGVO, EU-Standardvertragsklauseln

Hebelt US-Präsident Trump’s Executive Order den EU-US Privacy Shield aus?

Die jüngsten Amtshandlungen von US-Präsident Trump bestimmen momentan nicht nur die täglichen Nachrichten, sondern sind auch Gegenstand aktueller Diskussionen der Europäischen Datenschützer: Konkret geht es um eine von US-Präsident Trump am 25. Januar 2017 unterzeichnete präsidiale Anordnung „zur Verbesserung der öffentlichen Sicherheit“. Einigen Stimmen zufolge unterlaufe diese Anordnung die Zusicherungen der Obama-Administration, auf denen der EU-US Privacy Shield beruht, wodurch der EU-US Privacy Shield keine ausreichende rechtliche Absicherung für Datentransfers in die USA mehr darstelle. Tatsächlich stellt sich dies nach der gegenwärtigen Sach- und Rechtslage jedoch nicht so dar, so dass sich betroffene Unternehmen durch den Fluss der aktuellen Diskussion nicht zu übereilten Entscheidungen hinreißen lassen sollten. Lesen Sie mehr »

Rubrik: Compliance, Datenschutz Allgemein, Datenschutz im Internet, Datenschutz International, Datensicherheit

Umsetzung der NIS-Richtlinie: Neue Pflichten für Anbieter digitaler Dienste

Cyberangriffe stellen eine zunehmende Bedrohung für eine Vielzahl von Unternehmen und die Allgemeinheit dar, wie zuletzt das BSI wieder festgestellt hat. Nun hat die Bundesregierung am 25. Januar 2017 einen ersten Gesetzesentwurf zur Umsetzung der NIS-Richtlinie auf den Weg gebracht, der insbesondere Anbietern von Online Markplätzen, Online-Suchmaschinen und Cloud-Computing-Services neue – bußgeldbewährte – Pflichten zur Wahrung der Sicherheit ihrer IT-Systeme auferlegt. Bundesweit sollen zwischen 500 und 1500 Unternehmen betroffen sein. Wir geben einen ersten Überblick über den Entwurf.

Lesen Sie mehr »

Rubrik: Datenübermittlungen, Datenschutz Allgemein, Datenschutz im Internet

Digitaler Binnenmarkt: EU Kommission veröffentlicht Paket zum digitalen Datenverkehr

Am 10. Januar 2017 hat die Europäische Kommission ihr lang ersehntes Gesetzespaket zur Verwirklichung des digitalen Binnenmarktes auch im Bereich des elektronischen Datenverkehrs der Öffentlichkeit vorgestellt (Pressemitteilung). Die aktuelle Initiative umfasst erneut ein ambitioniertes Paket an Verordnungsentwürfen, Kommissionsmitteilungen und begleitenden Dokumenten. Man kann mit Fug und Recht von einem weiteren „Meilenstein“ in der Umsetzung der grundlegenden Binnenmarktstrategie (Digital Single Market – DSM) der Kommission vom Mai 2015 sprechen. Dem jetzigen Paket vorausgegangen ist eine Reihe von Konsultationen, die der breiten Öffentlichkeit 2016 die Möglichkeit zur Stellungnahme gegebenen haben, wie auch ein vertieftes Impact Assessment durch die Kommission. Lesen Sie mehr »

Rubrik: Arbeitsrecht, Beschäftigtendatenschutz, Compliance, Datenschutz Allgemein

Beschäftigtendatenschutz: BAG zur Verwertbarkeit von Zufallsfunden aus heimlicher Überwachung

Tim Wybitul & Dr. Wolf-Tassilo Böhm

Das BAG präzisiert in einer aktuellen Entscheidung, welche Vorgaben Unternehmen bei der Aufklärung von Straftaten, Compliance-Verstößen und sonstigen schwerwiegenden Pflichtverletzungen beachten müssen

Das Bundesarbeitsgericht (BAG) hat am 22. September 2016 ein wichtiges Urteil gefällt und kürzlich die Entscheidungsgründe veröffentlicht. Darin geben die Richter Antworten auf wesentliche Fragen des Beschäftigtendatenschutzes. Die Entscheidung (Az.: 2 AZR 848/15) können Sie hier abrufen. Sie zeigt, unter welchen Voraussetzungen Ermittlungs- oder Kontrollmaßnahmen des Arbeitgebers ohne Kenntnis der davon betroffenen Arbeitnehmer  zulässig sind. Ebenso zeigt die Entscheidung, dass und unter welchen Voraussetzungen Arbeitsgerichte sogar unstreitige Tatsachen unbeachtet lassen, wenn der Arbeitgeber diese datenschutzrechtswidrig erhoben hat. Damit hat sie auch  erhebliche Bedeutung für interne Ermittlungen und Compliance-Kontrollen. Viele der vom BAG aufgestellten Anforderungen lassen sich  beispielsweise auch auf die Auswertung von Email-Korrespondenz zur Aufdeckung konkret vermuteter Pflichtverletzungen oder ähnliche Aufklärungsmaßnahmen übertragen. Der vorliegende Überblick zeigt die Anforderungen des BAG und gibt Arbeitgebern Empfehlungen, wie sie diese effektiv und rechtssicher umsetzen können. Lesen Sie mehr »

Diese Webseite verwendet Cookies. Wenn Sie diese Webseite nutzen, akzeptieren Sie die Verwendung von Cookies. Mehr erfahren

Ich stimme zu