UPDATE: ABFRAGE DES IMPFSTATUS VON BESCHÄFTIGTEN DURCH DEN ARBEITGEBER

Mit dem Einzug des Herbstes wird auch die anhaltende Covid-19-Pandemie wieder zunehmender zum Thema in der Gesellschaft. Damit einhergehen gleichfalls zahlreiche datenschutzrechtliche Fragestellungen. Über die grundlegende Problematik der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber haben wir bereits berichtet. Aufgrund zahlreicher Praxisfälle sowie einer Reihe von Änderungen des Infektionsschutzgesetzes (IfSG) haben nunmehr ergänzend zu den bisherigen Mitteilungen noch die Landesdatenschutzbeauftragten aus Baden-Württemberg, Sachsen und Sachsen-Anhalt zu einigen Problempunkten Stellung bezogen. Die Rechtsansichten der Aufsichtsbehörden zur praxisrelevanten Thematik des bestehen des Fragerechtes des Arbeitgebers nach Impf- bzw. Genesenenstatus sollen Gegenstand des nachfolgenden Beitrages sein.


LOHNFORTZAHLUNG IM QUARANTÄNEFALL

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) beschäftigt sich in seiner Veröffentlichung der Frage nach einem Auskunftsanspruchs des Arbeitgebers gegenüber Beschäftigten im Rahmen der Lohnfortzahlung bei behördlicher angeordneter Quarantäne oder des Eingreifens anderweitiger Absonderungspflichten. In den vorbezeichneten Fällen ist der Arbeitgeber regelmäßig nach § 56 Abs. 1, Abs. 3,
Abs. 5 IfSG zur Verdienstausfallentschädigung für den Zeitraum von sechs Wochen verpflichtet. Der Arbeitgeber wiederrum kann von der zuständigen Behörde Erstattung verlangen, § 56 Abs. 5 Satz 3 IfSG. Ausgeschlossen ist die Ausfallentschädigung gemäß § 56 Abs. 1 Satz 4 und 5 IfSG jedoch in den Fällen, in denen der Beschäftigte durch Inanspruchnahme einer Schutzimpfung oder durch Nichtantritt einer vermeidbaren Reise in ein Risikogebiet diese Quarantäne hätte vermeiden können. In diesem Zusammenhang stellt sich trefflich die Frage, ob und bejahendenfalls in welchem Umfang der Arbeitgeber zu Geltendmachung der Erstattungsansprüche gegenüber der zuständigen Behörde, den Impfstatus der betroffenen Beschäftigten erfragen darf. Der LfDI kommt zu dem Ergebnis, dass der Arbeitgeber aufgrund der Entschädigung i.R.d. § 56 IfSG den Impfstatus der Beschäftigten erheben darf, diese allerdings nicht zur Offenbarung verpflichtet sind.  Dies ist dem Umstand geschuldet, dass das IfSG keine ausdrückliche Bestimmung zur Auskunftspflicht vorsieht, um den Vorgaben des Vorbehaltes des Gesetzes gerecht zu werden. Allerdings geht der LfDI wohl zutreffender Weise von einer entsprechenden Obliegenheit des Beschäftigten gegenüber dem Arbeitgeber aus:

„Er kann zwar frei entscheiden, ob er dem Arbeitgeber die persönlichen Informationen zur Geltendmachung des Erstattungsanspruchs nach § 56 Abs. 5 Satz 3 IfSG beisteuern will, läuft insofern jedoch das Risiko, mangels Mitwirkung Nachteile zu erleiden. Sollte der Arbeitgeber etwa nicht bereits aus § 616 BGB zur Fortzahlung des Lohns verpflichtet sein oder dem Beschäftigten kein Anspruch auf Entgeltfortzahlung im Krankheitsfall zustehen, könnte der Beschäftigte sich Ansprüchen des Arbeitgebers auf Rückzahlung des Lohns für die Zeit der Quarantäne ausgesetzt sehen bzw. keinen Lohn erhalten.“

Zusammengefasst: Sofern der Beschäftigte die Angaben verweigert, kann er mangels Mitwirkung auch Nachteile erleiden, also keine Lohnfortzahlung erhalten bzw. Rückzahlungsansprüche des Arbeitgebers ausgesetzt sein. Bemerkenswert ist, dass der LfDI im Zusammenhang mit § 56 Abs. 5 Satz 3 IfSG die Einwilligung als einschlägige Rechtsgrundlage und das Merkmal der Freiwilligkeit bereits in dem Moment als erfüllt ansieht, wenn „der Arbeitgeber dem Beschäftigten jederzeit die Wahl lässt, die erforderlichen Angaben ihm gegenüber zu machen oder nicht.“ Dies dürfte nach Auffassung des LfDI stringent sein, da dem Beschäftigten die Möglichkeit verbleibt gemäß § 56 Abs. 5 Satz 4 IfSG die Entschädigung selbst bei der zuständigen Behörde zu beantragen, ohne dass der Arbeitgeber in diesen Fällen den Impfstatus erfahren würde. 


FRAGERECHT DES ARBEITGEBERS IM RAHMEN DES SOGENANNTEN 2G-OPTIONSMODELLS?

Der Sächsische Datenschutzbeauftragte (SächsDSB) befasst sich in einer Stellungnahme mit der Frage, ob Arbeitgeber im Rahmen des sog. 2G-Optionsmodells der Sächsischen Corona-Schutz-Verordnung (SächsCoronaSchVO). Bei dem 2G-Optionsmodell können gemäß § 6a SächsCoronaSchVO in bestimmten Bereichen Angebote für geimpfte oder genesenen Personen ohne Pflicht zum Tragen einer Mund-Nasen-Bedeckung, ohne Pflicht zur Einhaltung des Abstandgebotes und ohne Beschränkung hinsichtlich der Auslastung der Höchstkapazität ermöglicht werden. Im Zusammenhang mit dem 2G-Optionsmodell sich unter Berücksichtigung der Voraussetzung, dass alle Anwesenden Personen über einen Impf- oder Genesenennachweis verfügen müssen, sogleich die Frage, ob der Arbeitgeber die Offenbarung des Impf- und Genesenenstatus oder die Offenbarung des Ergebnisses eines Tests (§ 6a Abs. 1 Satz 2 SächsCoronaSchVO sieht Ausnahmen für Beschäftigte vom Impf- oder Genesenennachweis vor, sofern diese über einen Testnachweis verfügen und einen medizinische Mund-Nasen-Bedeckung tragen) auf das Nichtvorliegen einer Infektion mit SARS-CoV-2 von seinen Beschäftigten verlangen darf.

Der SächsDSB lehnt ein entsprechendes Fragerecht des Arbeitgebers ab. Abgesehen von den Ausnahmebereichen der §§ 23a Satz 1, 23 Abs. 3 und § 36 Abs. 3 IfSG sieht die Aufsichtsbehörde keine einschlägige belastbare gesetzliche Rechtsgrundlage. Eine Negierung der Anspruchsgrundlage erfolgt ebenfalls für die Abfrage mittels Einwilligung des Beschäftigten, wobei hier nur ein pauschaler Hinweis auf das häufige Fehlen des Tatbestandsmerkmales der Freiwilligkeit ergeht, und keine vertiefte Auseinandersetzung erfolgt. Gleiches gilt für die Verarbeitung aufgrund von Kollektivvereinbarungen. Die streitgegenständliche Norm § 6a SächsCoronaSchVO scheitert im Ergebnis gleichermaßen, hier jedoch aufgrund der fehlenden Regelungskompetenz des sächsischen Verordnungsgebers für eine Rechtsgrundlage zur Abfrage des Impf- oder Genesenenstatus nach § 32 Satz 1 i. V. m. § 28 Absatz 1 Satz 1 und 2, § 28a Absatz 1, Abs. 2 Satz 1, Abs. 3 und Abs. 6 IfSG. Darüber hinaus sei der Arbeitgeber ebenfalls nicht berechtigt das Ergebnis eines Corona-Testes auf das Nichtvorliegen einer Infektion mit SARS-Cov2 von seinen Beschäftigten zu verarbeiten. Die Begründung hierfür wird Wortlaut der Norm bzw. der Systematik der SächsCoronaSchVO festgemacht: § 6a SächsCoronaSchVO sieht lediglich vor, dass der Beschäftigte über einen Testnachweis verfügen muss, eine Pflicht zur Vorlage wurde (beispielsweise abweichend zur Testpflicht für Urlaubsrückkehrer), explizit nicht geregelt.


DOKUMENTATION DES IMPFSTATUS BEI „FREIWILLIGER“ MITTEILUNG DER BESCHÄFTIGTEN

Auch der Landesbeauftragte für den Datenschutz Sachsen-Anhalt hat sich zur Thematik der Abfrage des Impfstatus durch den Arbeitgeber entsprechend geäußert. Zunächst wird herausgesellt, dass ein Zugang des Arbeitgebers zu den Daten über den Impfstatus von Beschäftigten nur sehr begrenzt, gegeben sein wird (z.B. § 24 Abs. 2 Gesetz über den öffentlichen Gesundheitsdienst und die Berufsausbildung im Gesundheitswesen im Land Sachsen-Anhalt). Neben diesen spezialgesetzlichen Normen und dem Verweis auf die bekannten Regelungen aus dem IfSG werden die übrigen Rechtsgrundlagen aus § 26 Abs. 3 BDSG (bzw. § 84 Beamtengesetz des Landes Sachsen-Anhalt), Arbeitsschutzgesetz, SARS-CoV-2-Arbeitsschutzverordnung sowie § 2a Abs. 3, 4 und 14 SARS-Cov2 Eindämmungsverordnung abgelehnt. Zur Begründung wird u.a. angeführt, dass neben der Abfrage des Status der Beschäftigten andere mildere technische und organisatorische Maßnahmen wie bspw. Umsetzung der AHA+L-Regeln, Ablauforganisation, Hygienekonzepte, Homeoffice etc. zur Verfügung stehen und daher im Zweifel keine Erforderlichkeit der Datenverarbeitung anzunehmen sei. Dies gilt auch da durch die Antwort des Beschäftigten auf die Abfrage Rückschlüsse auf dessen Stellung zur (Coronaschutz-)Impfung möglich sind und so Stigmatisierung und sozialer Druck die Folge sein können.

Gleichfalls schließt die Aufsichtsbehörde die Abfrage auf Basis einer Einwilligung des Beschäftigten in den meisten Fällen aufgrund der wohl fehlenden Freiwilligkeit aus. Wiederrum wird aber die Möglichkeit bejaht, dass der Arbeitgeber den Impfstatus verarbeiten darf (Speichern zur Dokumentation, nicht erfragen), wenn dieser von Beschäftigten freiwillig angegeben wird, z.B. um sich von einer Testpflicht zu befreien. In dieser Richtung äußerten sich bereits schon der Hessische Datenschutzbeauftragte in seiner Handreichung sowie das Bayrische Landesamt für Datenschutzaufsicht in einer entsprechenden Mitteilung. Dieses Ergebnis in den Fällen der „aufgedrängten Verarbeitung“ dürfte insbesondere mit Blick auf die derzeitige Praxis interessengerecht sein.


FAZIT

Zusammenfassend lässt sich festhalten, dass ein Fragerecht des Arbeitgebers nach dem Impf- bzw. dem Genesenenstatus weiterhin nur aufgrund einer ausdrücklichen gesetzlichen Normierung gestattet werden kann. Zwar lassen die Aufsichtsbehörden die Einwilligungserklärung prinzipiell offen, diese dürfte jedoch in den meisten Fällen am Tatbestandsmerkmal der Freiwilligkeit scheitern. Etwas anderes gilt nach nunmehr klarerer Tendenz unter den Aufsichtsbehörden lediglich für die Fälle, in denen die Beschäftigten dem Arbeitgeber ihren Impfstatus freiwillig mitteilen, ohne dass dem eine Abfrage seitens des Arbeitgebers vorangegangen wäre.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Corona-Pandemie
  • Einwilligung
  • Gesundheitsdaten
  • Impfstatus
Lesen

ABFRAGE DES IMPFSTATUS VON BESCHÄFTIGTEN DURCH DEN ARBEITGEBER

Im Zusammenhang mit der COVID-19-Pandemie ergeben sich immer mehr und stetig neue rechtliche Fragestellungen, so auch in datenschutzrechtlicher Hinsicht. Hierrüber haben wir in der Vergangenheit bereits berichtet. Mediale Aufmerksamkeit erlangt derzeit insbesondere die umstrittene Frage nach der Zulässigkeit der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber. Jüngst äußerte sich auch der Bundesbeauftrage für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber und rät für Rechtsklarheit zu einer bundeseinheitlichen Regelung. Der folgende Beitrag befasst sich mit den wesentlichen Punkten der Rechtsfrage, wobei hier insbesondere auf die im August 2021 veröffentlichte Handreichung der Hessischen Beauftragten für Datenschutz und Informationsfreiheit Bezug genommen wird.             


WO BEGINNT DAS PROBLEM?

Ausgangspunkt der rechtlichen Betrachtung ist der Umstand, dass es sich bei den Daten zum Impfstatus um Gesundheitsdaten im Sinne des (i.S.d.) Art. 4 Nr. 15 DS-GVO und mithin um besondere Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DS-GVO handelt. Gleichwohl ist die Verarbeitung dieser Kategorien personenbezogener Daten grundsätzlich untersagt, es sei denn es ergibt sich aus Art. 9 Abs. 2, Abs. 3 DS-GVO etwas anderes.  Genau an diesem Punkt knüpfen auch die tatsächlichen Schwierigkeiten an: Es gelten für geimpfte und genesene Personen nach § 28c Infektionsschutzgesetz (IfSG) in Verbindung mit (i.V.m.) der Verordnung zur Regelung von Erleichterung und Ausnahmen von Schutzmaßnahmen zur Verhinderung der Verbreitung von COVID-19 (COVID-19-Schutzmaßnahmen-Ausnahmenverordnung – SchAusnahmV) einige Ausnahmen wie bspw. von der Beschränkung privater Zusammenkünfte (§ 4), von der Beschränkung des Aufenthalts außerhalb einer Wohnung oder einer Unterkunft (§ 5) oder von der Absonderungspflicht (§ 10). Diese Gesamtschau lässt erkennen, dass auch der Arbeitgeber ein gewisses Interesse an der Abfrage des Impf- bzw. Genesenenstatus seiner Beschäftigten haben kann. Die einfache, wie zutreffende Frage ist: Darf er das?


WELCHE RECHTSGRUNDLAGEN KOMMEN IN BETRACHT?

Als belastbare Rechtsgrundlagen werden seitens der Datenschutz-Aufsichtsbehörden in den allermeisten Stellungnahmen bzw. Mitteilungen häufig Art. 9 Abs. 2 lit. h) bzw. lit. i) DS-GVO i.V.m. §§ 23a Satz 1, 23 Abs. 3 IfSG, Art. 9 Abs. 2 lit. b) DS-GVO i.V.m. dem Arbeitsschutzgesetz, der SARS-CoV-2-Arbeitsschutzverordnung, der Coronavirus-Schutzverordnung oder der Verordnung zur arbeitsmedizinischen Vorsorge herangezogen. Sämtlich scheitern diese Grundlagen jedoch (in den meisten Fällen) bereitsauf Tatbestandebene, da keine ausdrücklich normierte gesetzliche Rechtsgrundlage zur Verarbeitung des Impfstatus der Beschäftigten besteht. Ausnahmen bestehen hier für die in § 23 Abs. 3 IfSG genannten Arbeitgeber. Diese scheint deshalb zwingend, da insofern derzeit auch keine allgemeine gesetzlich normierte Impfpflicht hinsichtlich des Coronavirus besteht. Gegenwärtig gibt es keine gesicherten Erkenntnisse darüber, über welchen Zeitraum eine geimpfte Person vor einer COVID-19-Erkrankung geschützt ist, d. h. wie lange der Impfschutz besteht.

Abgestellt wird zudem häufig auf Art. 9 Abs. 2 lit. b) DS-GVO i.V.m. § 26 Abs. 3 BDSG. Hier kann man sich – wie in der Handreichung der Hessischen Datenschutzbeauftragten dargelegt – trefflich darüber streiten, ob § 26 Abs. 3 BDSG eine gesetzliche Grundlage voraussetzt oder aber ob hiernach etwa eine rechtliche Pflicht aus dem Arbeitsvertrag die Verarbeitung rechtfertigen kann. Unabhängig davon wird in der Regel keine rechtliche Pflicht aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und Sozialrecht einschlägig sein. Die Erforderlichkeit richtet sich nach Ansicht der Landesbeauftragen für Datenschutz und Informationsfreiheit Nordrhein-Westfalen jedenfalls wohl nicht nach der Fürsorge- und Schutzpflicht des Arbeitgebers vor potentiellen Ansteckungsrisiken der Beschäftigten oder der Kundschaft.


KANN DER BESCHÄFTIGTE NICHT EINWILLIGEN?

In der Praxis wird häufig als naheliegende Lösungsmöglichkeit die Einwilligung des Betroffenen, hier also der Beschäftigten in Betracht gezogen. Dieser Ansatz ist jedoch nicht immer zutreffend und die Einwilligung nicht die „ultimative“ Rechtsgrundlage für die sie gehalten wird. Im Normgenese des Art. 9 Abs. 2 DS-GVO wird hingegen unter lit. a) die ausdrückliche Einwilligung als Ausnahmetatbestand des Art. 9 Abs. 1 DS-GVO normiert. Im Beschäftigtenverhältnis sind über dies gemäß Art. 88 Abs. 1 DS-GVO in Verbindung mit § 26 Abs. 2 Satz 1 BDSG gesonderte Anforderungen zu berücksichtigen: Das Hauptaugenmerk liegt hier unstreitig auf dem sog. Freiwilligkeitsvorbehalt. Im Beschäftigtenverhältnis ergibt sich die besondere Situation eines Über-/Unterordnungsverhältnis zwischen Arbeitgeber und Beschäftigten, weshalb die Beschäftigten in einem Abhängigkeitsverhältnis zu ihrem Arbeitgeber stehen und daher bei der Abgabe einer Erklärung nur selten frei von Drucksituationen bzw. Zwängen sein können. Die Freiwilligkeit kann gemäß § 26 Abs. 2 Satz 2 BDSG insbesondere dann angenommen werden, wenn für die beschäftigten Personen ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz äußerte sich diesbezüglich, Abfragen des Impfstatus durch Arbeitgeber – und sei es auch nur durch freiwillige Angabe der Beschäftigten – als Teil eines Hygienekonzepts, aufgrund des dadurch für die Beschäftigten entstehenden sozialen Drucks und die Angst vor Repressalien dazu führen, dass ein indirekter Impfzwang entsteht. As diesem Grunde könne eine Einwilligung nicht als Grundlage für eine solche Datenerhebung herangezogen werden.

Die Hessische Datenschutzbeauftragte geht in ihrer Handreichung davon aus, dass die Verarbeitung des Impfstatus durch den Arbeitgeber auf Basis einer Einwilligung etwa dann möglich ist, wenn dies im Zusammenhang mit einem Anreizprogramm für die Beschäftigten erfolgt da der Arbeitgeber insoweit ein wirtschaftliches Interesse haben kann, dass krankheits- oder quarantänebedingte Ausfälle verhindert werden und so gleichfalls Anreize für die Impfung zu setzen. Beispiele für derartige Anreize sind demnach eine Freistellung von der Arbeit für eine Schutzimpfung durch den Betriebsarzt, Sachgeschenk oder finanzielle Anreize („Impf-Bonus“). Zudem wird die Freiwilligkeit nach der Handreichung für die Fälle angenommen, in denen eine Testpflicht besteht und er der Beschäftigt sich der Beschäftigte von dieser Testpflicht durch die Mitteilung befreien kann. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)  merkt in diesem Zusammenhang an, dass allerdings keine Verpflichtung der Beschäftigten besteht, den Impfstatus anzugeben. Entscheiden sich Beschäftigte, den Impfstatus nicht anzugeben, müssen sie sich stattdessen testen lassen.

Für das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) kommt laut entsprechender Mitteilung auf der Basis einer Einwilligung eine Abfrage des Impfstatus grundsätzlich nicht in Betracht. Einwilligungen müssten den Anforderungen des Art. 7 und der Erwägungsgründe 32, 42 und 43 DS-GVO genügen (insbes. Freiwilligkeit). Dies ist infolge der Abhängigkeiten im Beschäftigungsverhältnis in der Regel nicht gegeben (Ausnahmen im Sinne des § 26 Abs. 2 BDSG dürften in der Regel nicht vorliegen). Unabhängig davon ist ein Arbeitgeber aber befugt, den Impfstatus zumindest zu erheben bzw. zur Kenntnis zu nehmen, wenn er vom Beschäftigten freiwillig angegeben wird, um sich gemäß geltenden landesrechtlichen Vorschriften zur Pandemieeindämmung von einer gesetzlich geregelten Pflicht zur Testung zu befreien.


FAZIT

Im „rechtlichen“ Ergebnis wird es wohl derweil darauf hinauslaufen, dass im Detail zu unterscheiden sein wird, zwischen der „Abfrage“ seitens des Arbeitgebers und der „aufgedrängten“ Information durch die Beschäftigten durch die freiwillige Bekanntgabe des Impfstatus. Die Hessische Datenschutzbeauftragte weist im Zusammenhang mit der Einwilligung noch darauf hin, dass die Einwilligung des Beschäftigten in die Verarbeitung nicht automatisch auch die dauerhafte Speicherung des Impfstatus oder die Verarbeitung zusätzlicher Daten rechtfertigt. Der HmbBfDI teilt in seinen FAQ mit, dass soweit der Arbeitgeber den Impfstatus der Beschäftigten verarbeitet, zu beachten ist, dass lediglich ein Vermerk über das Vorliegen des Impfnachweises und den bestehenden Impfschutz in die Personalakte aufgenommen wird. Eine Kopie des Impfausweises ist nicht erforderlich und folglich datenschutzrechtlich unzulässig. In eine ähnliche Richtung ist die Aussage des BayLDA zu verstehen, dass eine Befugnis zur Speicherung der vorgelegten Nachweise in den bislang existierenden Vorschriften (Anm.: landesrechtlichen Vorschriften) dieser Art nicht geregelt ist und sich somit daraus nicht ableiten lässt. Mit Spannung wird daher zu erwarten sein, ob es zu der vom BfDI geforderten einheitlichen Regelung zur Abfrage des Impf- bzw. Genesenenstatus kommen der der Flickenteppich an Rechtsgrundlagen entstehen wird.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Corona-Pandemie
  • Einwilligung
  • Gesundheitsdaten
  • Impfstatus
Lesen

DATENSCHUTZ IN DER CORONA-PANDEMIE

Seit Beginn der Corona-Pandemie ergeben sich in zahlreichen Lebenslagen neue rechtlichen Problemstellungen. Neben sicherheitsrechtlichen Aspekten wie beispielsweise gezielten Phishing-Angriffen, die einen Bezug zur Covid-19-Pandiemie aufwiesen, kommt es auch im Datenschutzrecht immer wieder zu Fragen rund um das Arbeiten im „Homeoffice“, den Einsatz von Videokonferenzsystemen, die Durchführung von Kontaktdatenerfassung, die Durch- und Nachweisführung von Corona-Test und dergleichen. Der Sächsische Datenschutzbeauftragte widmete sich in seinem aktuellen Tätigkeitsbericht sowie Veröffentlichungen auf der Webseite ebenfalls an einigen Stellen dem Datenschutz in Zeiten der Coronavirus-Pandemie. Mit dem nachfolgenden Beitrag greifen wir – auch mit Blick auf die derzeit erneut steigenden Corona-Infektionszahlen – einige im Zusammenhang mit der in Sachsen aktuell geltenden Corona-Schutz-Verordnung (Sächsische Corona-Schutz-Verordnung – SächsCoronaSchVO) stehende datenschutzrechtliche Fragestellungen auf.


WELCHE DATEN WERDE BEI EINEM CORONA-TEST VERARBEITET?

Bei Covid-19 handelt es sich um eine meldepflichtige Krankheit im Sinne des § 6 Infektionsschutzgesetz (IfSG), vgl. § 6 Abs. 1 Nr. 1 lit. t) IfSG. Sollte ein Arzt feststellen, dass der Patient daran erkrankt ist, hat er dies nach § 8 Abs. 1 Nr. 1 IfSG an das zuständige Gesundheitsamt zu melden. Gleiches gilt für ein beauftragtes Labor gemäß § 8 Abs. 1 Nr. 2 IfSG. Bei den entnommenen Proben handelt es sich nach Auffassung des Sächsischen Datenschutzbeauftragten erst dann um personenbezogene Daten i.S.v. Art. 4 Nr. 1 DS-GVO, wenn die Proben analysiert und den Patienten betreffende Informationen verarbeitet werden. Welche Daten bei der Feststellung einer Covid-19-Infektion zu melden sind folgen aus § 9 IfSG. Hierunter fallen u.a. Name und Vorname, Adresse sowie Kontaktdaten. Die Datenverarbeitung erfolgt in diesen Fällen gemäß Art. 6 Abs. 1 Satz 1 lit. c) und e), Abs. 3 DS-GVO in Verbindung mit den einschlägigen Normen des IfSG. Soweit Gesundheitsdaten verarbeitet werden, so ist dies nach Art. 9 Abs. 2 lit. g) und i), Abs. 3 DS-GVO zulässig.


DÜRFEN GESUNDHEITSDATEN VON BESCHÄFTIGTEN VERARBEITET WERDEN?

Der konkrete Sachverhalt im Tätigkeitsbericht bezog sich auf die Abfrage von Gesundheitsdaten in Bezug auf chronische Vorerkrankungen von Beschäftigten und auch von Angehörigen, die mit ihnen im Haushalt zusammenleben, die auf ein Risiko einer Covid-19-Erkrankung hindeuten.

Personenbezogene Daten von Beschäftigten dürfen gemäß Art. 88 Abs. 1 DS-GVO in Verbindung mit § 26 Abs. 1 BDSG bzw. § 11 Abs. 1 Sächsisches Datenschutzdurchführungsgesetz (SächsDSG) verarbeitet werden, soweit dies zur Durchführung des Beschäftigten- bzw. Dienst- oder Arbeitsverhältnisses (oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes erforderlich ist). Im Rahmen der Erforderlichkeitsprüfung sind die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen. Es sind dabei die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem Ausgleich zu bringen, so dass möglichst beide Interessen so weit wie möglich berücksichtigt werden. Erhebliche Zweifel bestehen daher bereits an pauschalen Abfragen seitens der Arbeitgeber beziehungsweise Dienstherren zu chronischen Vorerkrankungen der Beschäftigten.

Weiter führt die Aufsichtsbehörde aus, dass die Verarbeitung von Gesundheitsdaten mittels Einwilligung nach Art. 9 Abs. 2 lit. a) DS-GVO nur dann wirksam erteilt werden kann, wenn die betroffene Person in die Verarbeitung der Gesundheitsdaten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt hat und die Voraussetzungen von Art. 4 Nr. 11 und Art. 7 DS-GVO erfüllt, sind. Außerdem wird im Rahmen von Beschäftigtenverhältnissen häufig das Tatbestandmerkmal der Freiwilligkeit der Einwilligungserklärung in Frage zu stellen sein. Aufgrund der bestehenden Abhängigkeiten im Beschäftigungsverhältnis sind besondere Anforderungen im Hinblick auf die Beurteilung der Freiwilligkeit zu stellen. Dies gilt laut Sächsischer Aufsichtsbehörde insbesondere im Hinblick auf die Umstände, unter denen die Einwilligung erteilt worden ist und dass es sich um besonders sensible Daten (Gesundheitsdaten) handelt.


WELCHE DATEN DÜRFEN IM RAHMEN DER KONTAKTNACHVERFOLGUNG VERARBEITET WERDEN?

Mit den Allgemeinverfügungen zum Vollzug des Infektionsschutzgesetzes des Sächsischen Staatsministeriums für Soziales und Gesellschaftlichen Zusammenhalt wurden als Schutzmaßnahmen unter anderem Kontaktnachverfolgungen normiert. Ziel soll die Rückverfolgung von Infektionsketten sein. Mit dieser Maßnahme sollen dann die Infektionsketten unterbrochen und damit auch weitere Infektionen vermieden werden.  Ziel dieser Kontaktdatenerhebung ist der Gesundheitsschutz der Bevölkerung sowie der Beschäftigten. Diese Form der Datenverarbeitung ist gemäß Art. 6 Abs. 1 Satz 1 lit. c), Abs. 3 DS-GVO i.V.m. § 32 i.V.m. § 28 Abs. 1 Satz 1 und 2 IfSG i.V.m. SächsCoronaSchVO und Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO gerechtfertigt.

In der aktuellen Fassung der Sächsischen Corona-Schutz-Verordnung bildet § 6a SächsCoronaSchVO die zentrale Regelung zur Art und Weise der Kontakteerfassung. Umfasst wird die Erfassung mittels digitaler Systeme (insbesondere die Corona-Warn-App). Zusätzlich ist eine analoge Form der Kontakterfassung (Name, Telefonnummer oder E-Mail-Adresse und Anschrift) vorzusehen. Bei der Kontakteerfassung ist sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist. Die Daten dürfen nur zum Zweck der Aushändigung an die für die Kontaktnachverfolgung zuständigen Behörden verarbeitet werden und sind vier Wochen nach der Erhebung zu löschen.

In welchen konkreten Fällen die Kontakteerfassung erforderlich ist, regelt die Verordnung an verschiedenen Stellen: vgl. § 10 Abs. 2, § 11 Abs. 2, § 12 Abs. 2, § 13 Abs. 2, § 14 Abs. 2 SächsCoronaSchVO uvm.


WELCHE DOKUMENTATIONEN VERLANGT § 9 ABS. 1a SÄCHSCORONASCHVO?

Gemäß § 9 Abs. 1a SächsCoronaSchVO müssen Beschäftigte, die mindestens fünf Werktage hintereinander aufgrund von Urlaub und vergleichbaren Dienst- oder Arbeitsbefreiungen nicht gearbeitet haben, am ersten Arbeitstag nach dieser Arbeitsunterbrechung dem Arbeitgeber einen tagesaktuellen Test vorlegen oder im Verlauf des ersten Arbeitstages einen dokumentierten beaufsichtigten Test durchführen. Erfolgt die Arbeitsaufnahme im Homeoffice, gilt die Verpflichtung für den ersten Tag, an dem die Arbeit im Betrieb oder an sonstigen Einsatzorten außerhalb der eigenen Häuslichkeit stattfindet.

Für Arbeitgeber stellt sich hier die Frage in welchem Umfang sie zur Kontrolle und gegebenenfalls Dokumentation der Testpflicht angehalten sind. Der Sächsische Datenschutzbeauftragte geht in einer diesbezüglich veröffentlichten Mitteilung davon aus, dass die Ergebnisse der Tests oder Kontrollen ohne Personenbezug zu dokumentieren sind. „Stattdessen können Arbeitgeber lediglich dokumentieren, dass sie einen Prozess zur Durchführung derartiger Kontrollen eingeführt haben.“ Dies sei deshalb ausreichend, da in § 9 Abs. 1a SächsCoronaSchVO eine Vorlagepflicht der Beschäftigten, jedoch keine weitergehende Dokumentation des Arbeitgebers geregelt wird.


FAZIT

Einigen zentralen datenschutzrechtlichen Themen, welche im Zuge der Corona-Pandemie an Bedeutung erlangt haben, wird aufgrund der steigenden Fallzahlen demnächst wieder mehr Bedeutung zuzumessen sein. Dies betrifft mit Sicherheit die Nachweispflichten zu Impf-, Genesenen- und Teststatus (§§ 8, 9 SächsCoronaSchVO), insbesondere in Verbindung mit der Covid-19-Schutzmaßnahmen-Ausnahmenverordnung (SchAusnahmV) zum Nachweis von Impfungen und Genesungen, welche gleichwohl digital als auch in verkörperter Form möglich sein sollen, §§ 2 Nr. 3, 5, 7 SchAusnahmV. Auch die Kontaktdatenerfassung sowie die Verarbeitung von Gesundheitsdaten der Beschäftigten wird wieder in den Vordergrund rutschen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Corona-Pandemie
  • Kontaktnachverfolgung
  • Sächsischer Datenschutzbeauftragter
  • Testpflicht
Lesen

DREI JAHRE DATENSCHUTZ-GRUNDVERORDNUNG

Am 25. Mai 2021 jährt sich das Datum zur Anwendbarkeit der Datenschutz-Grundverordnung (DS-GVO) bereits zum dritten Mal. Bestanden in den ersten beiden Jahren die Herausforderungen insbesondere in der Bewältigung des Überraschungsmomentes sowie der Ergründung, medialen Aufbereitung und Beseitigung von Datenschutz-Mythen und Rechtsunsicherheiten, waren die vergangenen zwölf Monate hauptsächlich durch pandemiebedingte Fragestellungen geprägt. Home-Office, Kontaktnachverfolgung und Videokonferenzen – selbstverständlich inklusive der stets mitschwingenden Datenübermittlung in Drittländer – bestimmten in dieser Zeit die Arbeit aller Datenschützenden. Anlass genug für eine kurze Betrachtung des datenschutzrechtlichen Ist-Zustandes.


EVALUATION DER DS-GVO IM JAHR 2020

Gemäß Art. 97 Abs. 1 S. 1 DS-GVO hatte die Kommission bis zum 25. Mai 2020 dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung der DS-GVO vorzulegen. Dieser wurde mit rund einem Monat Verspätung am 24. Juni 2020 veröffentlicht. Gegenstand dieses Berichts können gemäß Art. 97 Abs. 2 DS-GVO insbesondere die Anwendung und Wirkweise des Kapitels V der DS-GVO über die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen sowie des Kapitels VII bezüglich der Zusammenarbeit und Kohärenz der Aufsichtsbehörden sein. Die Kommission hat dabei die Möglichkeit unter Berücksichtigung der Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft geeignete Vorschläge zur Änderung der Verordnung vorzulegen.

In ihrem Bericht zieht die Kommission eine überwiegend positive Bilanz, greift in den Ausführungen aber insbesondere hinsichtlich der Zusammenarbeit der Aufsichtsbehörden untereinander zu kurz. Zwar ist hervorzuheben, dass die (personelle) Ausstattung der Aufsichtsbehörden zur Sicherstellung ihrer Aufgaben und Befugnisse gemäß Artt. 57, 58 DS-GVO nicht den aktuellen Anforderungen entspricht, jedoch stellt dies nur ein Teil des wesentlichen Problems dar. Im Speziellen am Beispiel der irischen Datenschutzaufsichtsbehörde wird deutlich, dass das sogenannte „One-Stop-Shop-Prinzip“ Potenzial zu Nachbesserungen bietet: Von 197 bei der irischen Aufsichtsbehörde anhängigen Verfahren, liegen gerade einmal zu vier Verfahren Entscheidungen vor.


DAS PROBLEM MIT DER DRITTLANDÜBERMITTLUNG

Mit Urteil vom 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) in der „Schrems II“-Entscheidung das sogenannte „EU-US-Privacy Shield“ für unzulässig erklärt. Die Begründung liegt darin, dass innerhalb der USA insbesondere aufgrund der Zugriffsmöglichkeiten von Geheimdiensten Datenverarbeitungen keinem gleichwertigen Datenschutzniveau unterliegen. Zwar sind Datenübermittlungen in die USA weiterhin möglich, beispielsweise unter Nutzung der Standardvertragsklauseln, jedoch sind hierbei technische und organisatorische Maßnahmen zu treffen, um einen möglichen Zugriff seitens der US-Behörden grundsätzlich auszuschließen.

Speziell im Bereich von Internetseiten, z.B. bei der Implementierung von US-amerikanischen Videodiensten, stellt sich immer wieder die Frage, auf welche Rechtsgrundlage nach Kapitel V der DS-GVO  die Datenverarbeitung gestützt werden kann. Insbesondere unter Berücksichtigung der Rechtsprechung des EuGH und BGH zur Cookie-Thematik drängt sich hierbei oftmals die ausdrückliche Einwilligung der betroffenen Person gemäß Art. 49 Abs. 1 S. 1 lit. a DS-GVO auf. Strittig ist dabei jedoch, ob die „Ausnahmen für bestimmte Fälle“ nach Art. 49 DS-GVO überhaupt im Rahmen von Internetseiten und den damit einhergehenden regelmäßigen Datenverarbeitungen und einer Vielzahl von Anwendungsfällen herangezogen werden dürfen. Wird dies verneint – eine nicht selten vertretene Meinung – führt das zwangsläufig zum Ausschluss derartiger Inhalte mit datenschutzrechtlichem Drittlandbezug. An dieser Stelle tritt bei Seitenbetreibern vor allem bei Diensten mit fehlenden gleichwertigen Alternativen innerhalb der EU schnell Ernüchterung ein. Es muss somit die Frage erlaubt sein, ob sich der internationale Datenschutz mit der DS-GVO in der Sackgasse befindet.


HERAUSFORDERUNGEN IN DER PANDEMIE

Im Rahmen der Pandemiebekämpfung wurden vermehrt Stimmen nach einer Lockerung des Datenschutzes beziehungsweise zu einer größeren Flexibilität in der Anwendung datenschutzrechtlicher Regelungen laut. Hierbei wird oft vergessen, dass es sich bei dem Recht auf informationelle Selbstbestimmung um ein aus den Grundrechten hergeleitetes Recht eines jeden Einzelnen handelt. Datenschutz ist somit Grundrechtsschutz.

Auch die Behauptung, der Datenschutz habe 70.000 Todesfälle verursacht, entbehrt jeglicher Grundlage. Ein exakter Blick auf die Normen der DS-GVO ergibt schnell: Datenverarbeitungen zum Schutz „lebenswichtiger Interessen“ (Art. 6 Abs. 1 S. 1 lit. d DS-GVO) sind ebenso ausdrücklich vorgesehen und zulässig wie Datenverarbeitungen „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren“ (Art. 9 Abs. 2 lit. i DS-GVO). Auch ein Blick in andere Länder zeigt, dass Datenschutz und ein erfolgreiches Pandemiemanagement einander nicht widersprechen müssen. Das in diesem Zusammenhang oftmals positiv vorangestellte Land Israel hat bereits im Jahr 2011 ein den europäischen Regelungen gleichwertiges Datenschutzniveau attestiert bekommen. Und auch in anderen Bereichen scheinen die rechtlichen Gegebenheiten nicht sonderlich von den hiesigen abzuweichen.

Oft in Vergessenheit gerät zudem, dass durch den Datenschutz und die Aufsichtsbehörden im Rahmen der Pandemiebekämpfung zahlreiche Maßnahmen mitgetragen werden. Seien es die vielfältigen Listen zur Kontaktnachverfolgung in Restaurants, Geschäften sowie im Rahmen körpernaher Dienstleistungen, die Realisierung von (nicht immer ganz datenschutzkonformen) Homeoffice-Lösungen oder die Nutzung von Videokonferenzsystemen mit Drittlandbezug. Letztgenanntes ist insbesondere im Zusammenhang mit Homeschooling ein viel diskutiertes Thema. Aber hat sich tatsächlich der Datenschutz die Defizite in diesem Bereich zuzuschreiben?


DER SCHLECHTE RUF DES DATENSCHUTZES

Vielfach steht der Datenschutz im Fokus diverser und kontroverser Diskussionen. Diese haben dabei häufig eines gemeinsam: Der Datenschutz verhindere ein bestimmtes Vorgehen oder verbaue Chancen und Möglichkeiten. Leider wird im Hinblick auf solche Debatten zu selten der tatsächliche Wahrheitsgehalt derartiger Behauptungen überprüft. Damit soll nun keine absolut konträre Darstellung erfolgen, grundsätzlich sei alles möglich. Durch die datenschutzrechtlichen Regelungen werden jedoch viel eher Rahmenbedingungen festgelegt, die datenverarbeitende Stellen zu achten und durch technische und organisatorische Maßnahmen sicherzustellen haben. Abstrakt betrachtet gilt Gleiches für eine Vielzahl weiterer Rechtsgebiete.

Dem Datenschutz fehlt es eindeutig an gutem Marketing. Hier gilt es in den nächsten Jahren große Arbeit zu leisten. Denn durch die zunehmende Digitalisierung werden auch die datenschutzrechtlichen Themen weiterhin an Bedeutung, aber auch an Komplexität gewinnen. Großes Potenzial bietet hierzulande die Verbesserung von Koordination und Kommunikation der datenschutzrechtlichen Aufsichtsbehörden untereinander. Deutschland bietet mit seinen 16 Bundesländern ein beachtliches Ausmaß von 17 Landesdatenschutzbeauftragten, ergänzt durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Im Zweifelsfall ergibt sich somit ein Konvolut an datenschutzrechtlichen Auffassungen zu identischen Sachverhalten in Deutschland. Dem Laien kann es in diesem Fall nur an Verständnis fehlen, wenn die DS-GVO auf eine europaweite Vereinheitlichung des Datenschutzrechts abzielt, dann aber Sachverhalte in Berlin und Potsdam jeweils kaum unterschiedlicher bewertet werden könnten. Ein mögliches Instrument besteht hierbei in Form der sogenannten „Datenschutzkonferenz“ (DSK) bereits.

Dass die DS-GVO grundsätzlich ein großes Potenzial bietet und einen Schritt in die richtige Richtung geht, ist kaum zu bestreiten. Das zeigen auch die zahlreichen „Nachahmungen“ der DS-GVO in anderen Ländern und Regionen, wie z.B. Brasilien oder Kalifornien. Nur bedarf es einer stetigen Beobachtung der technischen und rechtlichen Rahmenbedingungen sowie eine damit einhergehende Weiterentwicklung der datenschutzrechtlichen Normierungen. Zukünftige Evaluationen sollten diesen Anforderungen in ausreichendem Umfang Rechnung tragen. In diesem Sinne können wir nur gespannt darauf warten, welche Herausforderungen uns das vierte Jahr der DS-GVO bieten wird.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Corona-Pandemie
  • Datenschutz-Grundverordnung
  • Datenschutzkonferenz
  • Drittlandübermittlung
  • Evaluation
Lesen

DER DATENSCHUTZ-JAHRESRÜCKBLICK

Das Jahr 2020 wird uns allen wohl noch lange in Erinnerung bleiben. Die Corona-Pandemie hat unser Leben in vielen Bereichen auf den Kopf gestellt. Mit Sicherheit gibt es in den Augen vieler – so auch einiger Politiker – „wichtigere“ Rechte deren Einhaltung derzeit geboten ist als das Recht auf Datenschutz. Wir dürfen jedoch nicht vergessen, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein Grundrecht ist und auch als solches behandelt werden muss. In diesem außergewöhnlichen Jahr haben uns insbesondere folgende datenschutzrechtliche Fragestellungen bzw. Aspekte begleitet: 


WELCHE AUSWIRKUNGEN HAT DIE CORONA-PANDEMIE AUF DEN DATENSCHUTZ?

Die zweite Welle der Corona-Pandemie rollt derzeit über Deutschland hinweg. In diesem Zuge werden erneut immer wieder kurzfristig Regelungen und neue Maßnahmen zur Bekämpfung des Corona-Virus (SARS-CoV-2) getroffen. Die Verordnung sehen hierbei auch Regelungen zur Verarbeitung personenbezogener Daten vor. Die Grundsätze des Datenschutzes sind bei der Bewältigung der Corona-Pandemie ohne Frage nicht außer Acht zu lassen.

Mittlerweile haben sie die meisten Datenschutz-Aufsichtsbehörden zum Datenschutzrecht in der Corona-Pandemie positioniert. Die Hinweise des Sächsischen Datenschutzbeauftragten sind hier abrufbar. Hilfreich hierzu sind ebenfalls die „FAQs“ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg sowie die Informationen des Unabhängigen Landeszentraum für den Datenschutz Schleswig-Holstein.

Besondere Bedeutung erlangt in diesem Zusammenhang ebenfalls die Corona-Warn-App (CWA). Nach einer beachtenswerten medienöffentlichen Diskussion ist die Funktionsweise der CWA wohl als datenschutzkonform einzustufen. Selbstverständlich muss die Nutzung der CWA stets auf freiwilliger Basis erfolgen und darf auf keinen Fall zweckentfremdet werden.


WELCHE DATENSCHUTZRECHTLICHEN REGELUNGEN GELTEN IM HOMEOFFICE?

Unternehmen, Behörden und sonstige Organisationen schicken wann auch immer es möglich ist ihre Beschäftigten aktuell wieder ins Homeoffice, sofern diese von dort überhaupt zurückgekehrt sein sollten. Der Arbeitgeber seinerseits bleibt auch bei der Verlagerung des Arbeitsplatzes Verantwortlicher im Sinne des Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO). Selbstredend müssen Beschäftigte auch bei dem Arbeiten von Zuhause die datenschutzrechtlichen Vorgaben beachten. Aus Sicht des Arbeitgebers ist es daher dringend anzuraten entsprechende, dem Risiko angemessene und wirksame technische und organisatorische Maßnahmen zu treffen, um die Arbeit von zu Hause datenschutzkonform gestalten zu können.

Eine Hilfestellung zum Datenschutz im Homeoffice bietet u.a. die Landesbeauftragte für den Datenschutz Niedersachsen. Hilfreich sind zudem die Informationen aus dem Best-Practice-Ansatz des Bayrischen Landesamtes für Datenschutzaufsicht.  


WAS IST BEIM EINSATZ VON VIDEOKONFERENZSYSTEMEN ZU BEACHTEN?

Und noch ein datenschutzrechtliches Themengebiet, welches im Zusammenhang mit der Corona-Pandemie offen zu Tage getreten ist. Welche grundlegenden Voraussetzungen an einen datenschutzkonformen Einsatz eines Videokonferenzsystems geknüpft sind, haben wir ebenso bereits in einem Beitrag dargestellt wie eine Auseinandersetzung, mit der die zu diesem Thema veröffentlichte Orientierungshilfe der Datenschutzkonferenz.  


ZWEI JAHRE DS-GVO: WO STEHEN WIR?

Die DS-GVO sieht in Art. 97 vor, dass sie zwei Jahre nach dem Wirkungsbeginn 2018 und danach alle vier Jahre einer Evaluierung durch die EU-Kommission unterzogen wird. In ihrem Bericht zieht die Kommission eine vorwiegend positive Bilanz, da die Datenschutz-Grundverordnung insbesondere als zeitgemäß gilt und die Rechte der Bürgerinnen und Bürger stärkt. 


IST DER EINSATZ VON COOKIES NOCH ZULÄSSIG?

Dieser Frage beschäftigte seit dem Urteil des Bundesgerichtshof (BGH) im sog. „Cookie-II-Urteil“ (BGH, Urt. V. 28.05.2020 – I ZR 7/16) die Webseitenbetreiber sowie Marketingverantwortlichen. Dem Grunde nach konnte das Urteil des BGH allerdings aufgrund der vorangegangenen Entscheidung des Europäischen Gerichtshof (EuGH) in der Rechtssache Planet 49 (EuGH, Urt. V. 01.10.2019 – C-673/17) erwartet werden. Die größere Verwunderung führte der BGH mit seinem Weg zur Urteilsfindung und einer sehr abenteuerlichen Auslegung des § 15 Abs. 3 Telemediengesetz (TMG) herbei. Wahrscheinlich auch, um dem Gesetzgeber den Wink zur Notwendigkeit einer gesetzlichen Neuregelung zu geben.

Selbstverständlich bleibt der Einsatz von Cookies bzw. die Einbindung vergleichbarer Drittanbieterdienste (bspw. Analyse-, Marketing-, Tracking-, Karten-, Video-, Push-Nachrichten- und Umfrage-Dienste) zulässig, jedoch nur unter bestimmten Voraussetzungen. In einer Vielzahl von Fällen wird es erforderlich eine datenschutzrechtliche Einwilligung der Nutzerinnen und Nutzer einzuholen. Die Landesbeauftragte für den Datenschutz Niedersachsen hat diesbezüglich eine hilfreiche Handreichung veröffentlicht. 


DATENSCHUTZ-AUFSICHTSBEHÖRDE VS: MICROSOFT: KANN ES EINEN GEWINNER GEBEN?

Aufhänger des öffentlichen Diskurses zwischen der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBfDI) und Microsoft war die Veröffentlichung einer „Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen“ im Mai 2020 durch die BlnBfDI, in welcher vor dem Einsatz verschiedener Videokonferenzsysteme – darunter Microsoft Teams und Skype – warnt (die ursprüngliche Mitteilung ist mittlerweile nicht mehr verfügbar, da Microsoft die BlnBfDI für das Veröffentlichen unrichtiger Informationen abgemahnt hatte). Es folgte eine Pressemitteilung sowie eine Überarbeitung der Checkliste durch die Aufsichtsbehörde. Die Warnung vor dem Einsatz von Microsoft-Produkten wird aber aufrechterhalten.

Nachdem der Europäische Datenschutzbeauftragte in einem Gutachten vom 02. Juli 2020 sich ebenfalls zum Einsatz von Microsoft-Produkten geäußert hatte, konkretisierte die BlnBfDI in einem Schreiben an Microsoft ihre rechtliche Bewertung. Microsoft passte im weiteren Verlauf seine Stellungnahme an.

Mittlerweile hat sich die Datenschutzkonferenz zu Microsoft Office 365 im Allgemeinen geäußert. Das Unternehmen hat seine Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft Onlinedienste (Data Processing Addendum / DPA) mehrfach angepasst und neuerdings eine Ergänzung zu den Standardvertragsklauseln veröffentlicht.

Beendet ist nach alledem die Auseinandersetzung zwischen der BlnBfDI und Microsoft mit Sicherheit noch nicht. Auch die generelle Bewertung der Datenschutzkonformität von Microsoft-Produkten wird uns noch eine Wiele begleiten.


SIND DATENÜBERMITTLUNGEN IN DRITTLÄNDER NOCH MÖGLICH?

Im Juli dieses Jahres ließ der EuGH die nächste datenschutzrechtliche Bombe platzen, obwohl man hier, wenn man ehrlich ist, das Ende auch bereits längere Zeit kommen sehen konnte. Mit Urteil vom 16. Juli 2020 (Az.: C-311/18) – sog. „Schrems II“-Entscheidung erklärte der EuGH den sog. „EU-US-Privacy-Shield“ für unzulässig und stellte somit die Datenübermittlung in die USA auf den Kopf. Gleichzeitig formulierte der Gerichtshof die zukünftig einzuhaltenden Voraussetzungen einer Datenübermittlung in Drittländer. Eine Zusammenfassung zum Urteil haben wir bereits gegeben. Seit dem Urteilsspruch ringen Organisationen mit den Fragen der Legitimierung eines solchen Drittstaatentransfers sowie der Einhaltung der vom EuGH aufgestellten Voraussetzungen. Daher muss die Frage erlaubt sein, ob sich der internationale Datenschutz mit der DS-GVO in der Sackgasse befindet.


WAS ERWARTET UNS 2021?

Auch im kommenden Jahr werden uns Datenschützer wohl allem voran die Probleme im Zusammenhang mit der Übermittlung personenbezogener Daten in Drittländer beschäftigten. Dies gilt umso mehr, als dass das Vereinigte Königreich ab 01.01.2021 ebenfalls als ein solches Drittland zu qualifizieren sein wird.

In diesem Zusammenhang wird mit Sicherheit der weitere Werdegang von Microsoft und anderer US-Dienstleister sowie die künftige datenschutzrechtliche Ausgestaltung vertraglicher, technischer sowie organisatorischer Maßnahmen einiges an Spannungen bereithalten.  

Alle Arbeitgeber und im Homeoffice tätigen Arbeitnehmer sollten insbesondere die weitere Entwicklung des aktuellen Referentenentwurfes eines Gesetzes zur mobilen Arbeit (Mobile Arbeit-Gesetz – MAG) beobachten. 

Ansonsten bleibt abzuwarten, was das Jahr 2021 sonst für uns bereithalten wird. In diesem Sinne wünschen wir unseren Blog-Lesern besinnliche Weihnachtsfeiertage, einen ruhigen Jahresausklang sowie einen gesunden Start in das neue Jahr!

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Cookie
  • Corona-Pandemie
  • Drittstaaten
  • DS-GVO
  • Homeoffice
  • Jahresrückblick
  • Videokonferenzen
Lesen