Datenschutz in Zeiten von Covid- 19

Datenschutz in Zeiten von Covid- 19

27.11.2020 Covid-19

Letzter Stand: 27. November 2020

Unter der derzeitigen Situation der Corona-Krise und den dadurch bewirkten Kontakteinschränkungen kommt der Kommunikation über soziale Medien eine ganz neue besondere Bedeutung. Gleichzeitig stellen sich für viele Menschen und Unternehmen Fragen bei der Umgestaltung ihrer Arbeitsplätze auf ein HomeOffice. Dieses alles berührt auch den Datenschutz und den Schutz der Privatsphäre. Das gilt nicht zuletzt für den Umgang mit Gesundheitsdaten von Personen, die mit dem Virus in Kontakt gekommen sind. Vieles in der Normalität des täglichen Lebens hat sich durch die Corona Pandemie verändert und wirft neue Fragen gerade für den Schutz der Privatsphäre auf. Auf dieser Seite wollen wir zeitnah aktuelle Informationen zu Fragestellungen bereitstellen, die uns derzeit gehäuft durch Anfragen von Bürgerinnen und Bürgern erreichen. Gerade in Zeiten von hoher Unsicherheit gegenüber bevorstehenden sozialen, ökonomischen und kulturellen Umbrüchen gilt: Der Schutz der Daten muss eine verlässliche Konstante im Leben von uns allen bleiben. Individuelle Rechte und Freiheiten mögen sich in einer neuen Weise im Lichte der gegenwärtigen Krise darstellen, sie sind jedoch nach wie vor wirksam und können nach wie vor durch die Betroffenen geltend gemacht werden.

Prof. Dr . Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

Auswirkungen der Pandemie auf die Datenschutzaufsicht

Um die Auswirkungen der Coronavirus-Epidemie für das Personal zu begrenzen und einen geregelten Dienstbetrieb aufrechtzuerhalten, hat der Hamburgische Beauftragte seit dem 13. März Home Office eingeführt. Zwischenzeitlich wurden von der Hamburgischen Gesundheitsbehörde Allgemeinverfügungen erlassen, die darauf abzielen, vermeidbare physische Begegnungen und Kontakt von Menschen auf engem Raum zu unterbinden. Wann eine Rückkehr zur regulären Büroarbeit wieder erfolgen kann, ist derzeit nicht vorhersagbar. Beratungen erfolgen daher bis auf Weiteres nur nach vorheriger Terminvereinbarung. Bitte prüfen Sie aber, ob eine persönliche Beratung unbedingt nötig ist und nehmen Sie bitte von spontanen persönlichen Besuchen Abstand. Unsere Behörde ist weiterhin – wie gewohnt – über E-Mail () und Telefon (040/42854-4040) erreichbar.

Die Handlungsfähigkeit des HmbBfDI wird dadurch aufrechterhalten, dass die Mitarbeiterinnen und Mitarbeiter des HmbBfDI fast ausschließlich im Homeoffice arbeiten. Dadurch, dass wenig Vorbereitungszeit für diese Ausnahmesituation vorhanden war, können jedoch nicht alle Funktionen mit der vorherigen Effizienz bedient werden. Entsprechendes Verständnis haben wir grundsätzlich, wenn dies auch bei den durch uns kontrollierten Stellen der Fall ist. Von uns gesetzte Fristen für Antworten an uns werden während der Zeit der Pandemie großzügiger bemessen. Darüber hinaus geht der HmbBfDI derzeit mit begründeten Anträgen auf Fristverlängerung wohlwollend um.

Gesetzliche Fristen der DSGVO gelten unverändert weiter. So haben Betroffene zum Beispiel auch in Krisenzeiten das Recht, von jedem Verantwortlichen binnen eines Monats Auskunft über die zu ihrer Person gespeicherten Daten zu erhalten. Eine Verlängerung nach Art. 12 Abs. 3 S. 2 DSGVO ist weiterhin nur ausnahmsweise möglich, wenn dies aufgrund der Komplexität und der Anzahl von Anträgen erforderlich ist.

Im Zuge des Einschreitensermessens kann es im Einzelfall jedoch geboten sein, dass der HmbBfDI Verstöße nicht verfolgt, in denen die gesetzliche Frist überschritten wird, weil die Arbeitsfähigkeit des Verantwortlichen pandemiebedingt stark eingeschränkt ist. Bei der Beurteilung wird es entscheidend auf die Länge der Überschreitung sowie die Unternehmensgröße und die damit verbundene berechtigte Erwartung an die Professionalität des Verantwortlichen ankommen.

Die Meldung einer Verletzung des Schutzes personenbezogener Daten nach Art. 33 Abs. 1 DSGVO hat „unverzüglich und möglichst binnen 72 Stunden“ zu erfolgen. Die gesetzliche Formulierung ist hier weiter als bei Art. 12 Abs. 3 DSGVO, sodass pandemiebedingte Einschränkungen der Arbeitsfähigkeit hier gegebenenfalls Berücksichtigung finden können. Wichtig ist jedoch, dass Sicherheitslücken sofort geschlossen werden, damit z.B. Kriminelle die aktuelle Ausnahmesituation nicht für ihre Zwecke missbrauchen können, und dass die Meldung an die Aufsichtsbehörde nicht unnötig verzögert wird.

Uns erreichen neben zahlreiche Beratungsanfragen von Gastronomen oder Friseursalons auch viele Bürgerbeschwerden über konkrete Einrichtungen. Diesen gehen wir in jedem Einzelfall nach und sorgen für eine datenschutzgerechte Umsetzung. Wir führen keine Gesamtstatistik über Covid-19-bezogene Datenschutzverstöße, registrieren jedoch die einzelnen uns gemeldeten Fälle. Im Rahmen einer Stichprobenaktion (vgl. Pressemitteilung vom 24.06.2020) haben wir zudem aktiv Einrichtungen aufgesucht.


Kontaktlose Kommunikation

Folgende technische Fragen sollte man sich oder dem Betreiber einer Software stellen, um zu entscheiden, ob dieser Dienst unter datenschutzrechtlichen Gesichtspunkten zur Kommunikation genutzt werden kann. Hierbei spielt vor allem eine Rolle, ob die Nutzerinnen und Nutzer der Software über bestimmte Kriterien informiert werden oder für den Einsatz zustimmen muss (Liste nicht abschließend).

Wird ein Konto benötigt oder stehen Gastzugänge zur Verfügung?

  • Setzt die Videokonferenzsoftware eine Registrierung eines jeden Teilnehmenden voraus?
  • Lässt sich die Registrierung durch eine Anbindung an die bereits bestehende Infrastruktur, wie LDAP oder ActiveDirectory, automatisieren?
  • Können Nutzer*innen als Gast ohne eine Registrierung teilnehmen? Ein Konto kann erforderlich werden, wenn beispielsweise Zugriffsrechte auf geteilte Daten oder administrative Funktionen für bestimmte Nutzerinnen und Nutzer gewährt werden sollen. Beim Einsatz von Ende-zu-Ende-Verschlüsselung mit Authentifizierung kann ein Nutzerinnen- und Nutzerkonto notwendig sein, um Nutzerinnen- und Nutzeridentitäten verifizieren zu können.

Auch sollte das Löschen oder Sperren eines Nutzerinnen- und Nutzerkonto bedacht werden, um Konten den weiteren Zugang zu verwehren.

Wird Analytics eingesetzt, wertet der Betreiber des Dienstes die Daten der Nutzerinnen und Nutzer aus und verwendet sie kommerziell?

Dies betrifft die gesammelten Daten über die Nutzerinnen und Nutzer selbst, wie beispielsweise durch Hochladen der Adressbücher und die Auswertung der bei der Kommunikation ausgetauschten Daten. Betroffen sind Inhaltdaten wie Video- und Audioströme sowie Metadaten wie Nutzungszeiten, Kontakte und Aufenthaltsorte der Nutzerinnen und Nutzer.

Welche Kosten entstehen bei der Verwendung?

Ein Kommunikationstool kann frei von direkten betrieblichen Kosten durch einen Anbieter zur Verfügung gestellt werden. Ein mögliches Geschäftsmodell ist die kommerzielle Nutzung von Metadaten, die auch über Nutzer*innen-Tracking erhoben werden können.

Andere Betreiber bieten ihren Dienst gegen Bezahlung an. Der Preis bestimmt in der Regel, in welchem Umfang die Software genutzt werden kann. So lassen sich bestimmte Funktionen der Software oder die zulässige maximale Nutzerinnen- und Nutzeranzahl durch den Betrag skalieren.

Als dritte Alternative steht der eigene Betrieb eines Dienstes. Neben möglichen Lizenzkosten für die Software entstehen in der Regel auch Aufwände beim Betrieb der Infrastruktur, die zum Einsatz der Software benötigt wird.

Ist die eingesetzte Software quelloffen und/oder frei?

Beim Einsatz von proprietären Konferenzdiensten ist der Anwender auf die Angaben von Betreiber und Hersteller des Dienstes angewiesen. Eine Kontrolle der Aussagen ist in der Regel nicht möglich. Quelloffene Software lässt sich einfacher überprüfen. Zur Transparenz gehört auch die Offenlegung der Konfiguration des Dienstes durch den Betreiber.

Ein Hinweis muss der partiellen Öffnung von Diensten gelten; bei einigen Herstellern ist die Client-Software zur Teilnahme quelloffen, das Backend bleibt aber eine Blackbox und erlaubt keine Verifikation der Herstelleraussagen.

Wird verschlüsselt kommuniziert?

  • Welche Grundeinstellungen gelten für jede Konferenzsitzung?
  • Muss eine Verschlüsselung manuell aktiviert werden?
  • Wird eine Transportverschlüsselung verwendet oder ist eine Auswertung durch Dritte möglich?
  • Kommt eine Ende-zu-Ende-Verschlüsselung zum Einsatz oder ist der Betreiber in der Lage, die Inhalte der Kommunikation einsehen zu können?
  • Text-Chat-Kommunikation anders behandelt als Video- und Audiodaten?

Oftmals sind die Herstellerangaben unspezifisch. Daher sollten diese Fragen mit den Betreibenden des Dienstes geklärt werden.

Wird der Dienst auf Servern in der EU betrieben?

Bei der Wahl des Dienstes bestimmt in der Regel der Dienst-Anbieter, auf welcher Infrastruktur und an welchen Standorten der Dienst betrieben wird. Zu hinterfragen ist, ob Standorte in Staaten genutzt werden, die nicht dem Datenschutzniveau des europäischen Standards entsprechen. Hier kann auch von Relevanz sein, wenn einzelne Komponenten des Dienstes über Ländergrenzen hinweg verteilt sind. Es ist ratsam den Betreiber nach dem entstehenden Datenfluss zu fragen. Legt der Betreiber den entstehenden Datenfluss offen?

Bietet der Dienst alle Funktionen für meine Nutzerinnen- und Nutzergruppengröße?

Manche Dienste schränken die Anzahl der gleichzeitig genutzten Funktionen ein, zum Beispiel eine maximale Anzahl von gleichzeitig sendenden Videostreams oder die maximale Nutzeranzahl einer Ende-zu-Ende verschlüsselten Konferenz.

Gibt es einen Web- oder dedizierten Client?

Unter der Voraussetzung der Verwendung von aktuellen Browsern ist die Installation einer dedizierten Client-Software nicht zwingend. In der Regel erkauft man bei Web-Clienten sich relative Unabhängigkeit von Geräten und Betriebssystemen sowie der Notwendigkeit der stetigen Aktualisierung.

Soll das Tool nur zur Zeit der Corona-Pandemie genutzt werden oder ist ein Dauerbetrieb geplant?

Für den Fall eines Dauerbetriebs sollten nur Verfahren in den Auswahlprozess einbezogen werden, die die erforderlichen technischen Maßnahmen zur Gewährleistung der Sicherheit- und Vertraulichkeit der verarbeiteten personenbezogenen Daten erfüllen. Der Stand der Technik ist hierbei einzuhalten.

Unter der Situation der Covid-19-Pandemie herrschen besonderen Umstände der Verarbeitung, die bei der Abwägung der Nutzung zu berücksichtigen sind. Insbesondere besteht ein besonderes Interesse am Schutz der Beschäftigten und der Aufrechterhaltung des Dienstbetriebs. Die Auswirkungen, etwa eine Befristung der Vertragsdauer mit einem Dienstleister, sind daher zu berücksichtigen.

In der kommenden Woche werden wir hierzu weiterführende Informationen liefern. Zum einen wird demonstriert, wie anhand der vorliegend dargestellten (teilweise abstrakten) Kriterien Kommunikationstools selbst bewertet werden können. Zum anderen wird anhand spezifischer Kommunikationssoftware dieses Vorgehen demonstrieren und mögliche offene Fragestellungen diskutiert.

Tools, die im Schulzusammenhang genutzt werden sollen, müssen zum Schutz der personenbezogenen Daten der Schülerinnen und Schüler die Anforderungen aus Art. 32 DSGVO an die Datensicherheit erfüllen. Insbesondere sind in diesem Kontext die Vertraulichkeit und Integrität der Daten zu gewährleisten.

Diese Gewährleistungsziele können auf vielfältig Art und Weise sichergestellt werden. Eine Möglichkeit stellt der eigenverantwortliche Betrieb von Lernplattformen dar. Vor diesem Hintergrund rentieren sich die Anstrengungen, die Hamburg während der letzten Jahre unternommen hat, um mit der flächendeckenden schulischen Anbindung an das Portal EduPort eine Basis für die datenschutzkonforme Kommunikation und Zusammenarbeit zwischen Lehrkräften und perspektivisch auch mit Schülerinnen und Schülern zu ermöglichen. Über EduPort, das vom städtischen IT-Dienstleister Dataport gehostet und administriert wird, können Lehrkräfte auch aus dem Homeoffice Dokumente in der schulischen Cloud ablegen, Materialien mit Kolleginnen und Kollegen teilen und gemeinsam bearbeiten, Schultermine planen und veröffentlichen und auf weitere schulische IT-Systeme zugreifen. Sämtliche Daten liegen so an einer zentralen Stelle im Verantwortungsbereich der FHH. Hamburg steht mit EduPort eine datenschutzkonforme Realisierungsmöglichkeit zur Verfügung, sodass der HmbBfDI davon ausgeht, dass dieses in den Schulen verwendet wird.

Bei anderen Services kann nicht mit Sicherheit gesagt werden, welche Informationen für die verschiedenen Anbieter einsehbar sind. So könnten prinzipiell Metadaten (PDF) der einzelnen Nutzerinnen und Nutzer eingesehen und mit weitergehenden Telemetrie-Funktionen Aussagen darüber getroffen werden, welche Nutzerin und welcher Nutzer zu welcher Zeit bestimmte Dokumente bearbeitet und ggf. geteilt hat. Auch Aspekte wie verschlüsselte Dateihaltung und Kommunikation sowie Speicherort und Zugriffsrechte auf die (personenbezogenen) Daten müssen immer individuell betrachtet werden.

Sollte eine Nutzung von weiteren Tools zur Bereitstellung eines (digitalen) Unterrichtsangebots für zuhause erwogen wird, darf die alternative Möglichkeit des Postversands von Unterrichtsmaterialien nicht außer Acht gelassen werden. Denn auf diesem Wege kann gewährleistet werden, dass jeder Schüler und jede Schülerin gleichermaßen die Möglichkeit hat, am Unterricht teilzunehmen (Teilhabegerechtigkeit). Dies gilt auch in Hinblick auf die Erforderlichkeit der Verarbeitung und den Grundsatz der Datenminimierung von personenbezogenen Daten.

Es ist datenschutzrechtlich grundsätzlich möglich, angesichts der gegebenen Umstände nicht die gleichen Anforderungen an technische und organisatorische Maßnahmen zu stellen, wie unter normalen Bedingungen. Dennoch sollte die aktuelle Situation keine Beschaffung von langfristig einzusetzender IT rechtfertigen, deren Nutzung im Nachgang der Corona-Krise als nicht datenschutzkonform zu bewerten wäre. Gerade der Einsatz in Schulen, über den sich zunächst die Schulbehörde mit den Schulen zu verständigen hat und nicht der Hamburgische Beauftragten für Datenschutz und Informationsfreiheit eine Grundsatz- und Auswahlentscheidung treffen kann, muss sich daran orientieren. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit steht hier beratend zur Verfügung und muss im Übrigen im Beschwerdefall tätig werden. Die Entscheidung für oder gegen ein bestimmtes digitales Kommunikationstool, ist in erheblicher Weise insbesondere von der Zahl der Teilnehmer, dem Inhalt der Kommunikation und der Zeit der Nutzungsdauer abhängig und sollte daher für jeden Einsatzbereich individuell entschieden werden.


Verarbeitung personenbezogener Covid-19-Daten durch infizierte Personen, Gesundheitseinrichtungen und Gesundheitsbehörden

Nach Art. 4 Nr. 15 Datenschutz-Grundverordnung (DSGVO) stellen personenbezogene Daten dann Gesundheitsdaten dar, wenn sie sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen beziehen und aus ihnen Informationen über den Gesundheitszustand der betroffenen Person hervorgehen.

Angaben, die über Patienten, Bewohner, Klienten etc. erhoben werden, um das Risiko einer bestehenden COVID-19-Infektion zu ermitteln, sind daher dann Gesundheitsdaten, wenn sie Informationen zu bestehenden Symptomen enthalten oder aber die Einstufung des Betroffenen als Kontaktperson und daher einen begründeten Infektionsverdacht nach sich ziehen. Negativauskünfte, wie die Verneinung von Symptomen, relevanten Kontakten oder Reisen stellen demgegenüber keine Gesundheitsdaten dar. Da allerdings bei der Abfrage entsprechender Informationen unklar ist, ob sämtliche relevanten Fragen verneint oder aber bejaht werden, muss die Erhebung und Verarbeitung durch einen Erlaubnistatbestand des Art. 9 Abs. 2 DSGVO gedeckt sein und in technischer und von Gesundheitsdaten genügen.

Wer als erkrankte Person, Arzt, Therapeut oder Institution des Gesundheitswesens aufgrund gesetzlicher Meldepflichten im Zusammenhang mit Covid-19-Erkrankungen zur Mitteilung personenbezogener Daten Dritter verpflichtet ist, kann die entsprechende Datenübermittlung im Umfang der Meldepflicht auf Art. 6 Abs. 1 lit. c, 9 Abs. 2 lit. i DSGVO in Verbindung mit den einschlägigen nationalen Regelung als Rechtsgrundlage stützen.

Erkrankte Personen sind nach § 25 Abs. 3 Infektionsschutzgesetz (IfSG) in Verbindung mit § 16 Abs. 2 Satz 3 IfSG verpflichtet, auf Verlangen die für die Ermittlungen des Gesundheitsamtes zur Art, Ursache, Ansteckungsquelle und Ausbreitung der Krankheit notwendigen Auskünfte zu erteilen. In diesem Rahmen ist auch die namentliche Benennung relevanter Kontaktpersonen, die unter Umständen eine von der DSGVO und dem BDSG erfasste Datenverarbeitung darstellen kann, gemäß Art. 6 Abs. 1 lit. c, 9 Abs. 2 lit. i DSGVO in Verbindung mit den genannten Vorschriften des IfSG zulässig.

Zur namentlichen Meldung bei einer COVID-19-Infektion, einem begründeten Infektionsverdacht oder dem Tod im Zusammenhang mit der Infektion an das zuständige Gesundheitsamt sind

  • der feststellende Arzt sowie in Einrichtungen nach § 23 Abs. 5 Satz 1 IfSG zusätzlich der leitende Arzt, in Krankenhäusern mit mehreren selbständigen Abteilungen der leitende Abteilungsarzt, in Einrichtungen ohne leitenden Arzt der behandelnde Arzt
  • Angehörige eines anderen Heil- oder Pflegeberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung oder Anerkennung erfordert,
  • Leiter von Einrichtungen nach § 36 Abs. 1 Nr. 1 bis 6 IfSG und
  • Heilpraktiker

verpflichtet.

Gemäß der Verordnung über die Ausdehnung der Meldepflicht nach § 6 Abs. 1 Satz 1 Nr. 1 und § 7 Abs. 1 Satz 1 des Infektionsschutzgesetzes auf Infektionen mit dem erstmals im Dezember 2019 in Wuhan/Volksrepublik China aufgetretenen neuartigen Coronavirus (“2019-nCoV”) sind nicht nur bestätigte Infektionen, sondern auch der begründete Verdacht einer Erkrankung sowie der Tod in Bezug auf eine Infektion zu melden.

Die namentliche Meldung muss in Bezug auf die erkrankten, infektionsverdächtigen oder verstorbenen Personen – soweit vorliegend – folgende Angaben enthalten:

  • Name und Vorname,
  • Geschlecht,
  • Geburtsdatum,
  • Anschrift der Hauptwohnung oder des gewöhnlichen Aufenthaltsortes und, falls abweichend: Anschrift des derzeitigen Aufenthaltsortes,
  • weitere Kontaktdaten,
  • Tätigkeit in Einrichtungen und Unternehmen nach § 23 Abs. 3 Satz 1 oder nach § 36 Abs. 1 und 2 mit Namen, Anschrift und weiteren Kontaktdaten der Einrichtung oder des Unternehmens,
  • Betreuung oder Unterbringung in Einrichtungen nach § 23 Abs. 5 Satz 1 oder § 36 Abs. 1 Nr 1 bis 6 mit Namen, Anschrift und weiteren Kontaktdaten der Einrichtung,
  • Diagnose oder Verdachtsdiagnose,
  • Tag der Erkrankung, Tag der Diagnose, gegebenenfalls Tag des Todes und wahrscheinlicher Zeitpunkt oder Zeitraum der Infektion,
  • wahrscheinliche Infektionsquelle, einschließlich der zugrunde liegenden Tatsachen,
  • in Deutschland: Landkreis oder kreisfreie Stadt, in dem oder in der die Infektion wahrscheinlich erworben worden ist, ansonsten Staat, in dem die Infektion wahrscheinlich erworben worden ist,
  • Überweisung, Aufnahme und Entlassung aus einer Einrichtung nach § 23 Abs. 5 Satz 1 IfSG, gegebenenfalls intensivmedizinische Behandlung und deren Dauer,
  • Spender für eine Blut-, Organ-, Gewebe- oder Zellspende in den letzten sechs Monaten,
  • Zugehörigkeit zu den in § 70 Abs. 1 Nr. 1 bis 3 IfSG genannten Personengruppen.

Liegen den meldepflichtigen Personen nicht alle der vorgenannten Angaben vor und sind diese für die Behandlung, Pflege oder Betreuung nicht erforderlich, so muss und darf nicht allein zu dem Zweck der Meldung eine Erhebung erfolgen.

Die Abfrage von Symptomen und Risikofaktoren einer COVID-19-Infektion im Vorwege eines Praxisbesuchs dient dem Zweck, die Patienten und Beschäftigten der Praxis bzw. Gesundheitseinrichtung dadurch bestmöglich zu schützen, dass Patienten in begründeten Verdachtsfällen nicht ungeschützt mit anderen Patienten oder medizinischem Personal in Kontakt kommen. Die entsprechende Datenverarbeitung kann somit hinsichtlich der anfallenden Gesundheitsdaten auf Art. 9 Abs. 2 lit. i DSGVO i. V. m. den einschlägigen infektionshygienischen Vorschriften und angesichts einschlägiger Nebenpflichten des Behandlungsvertrags auf Art. 9 Abs. 2 lit. h DSGVO als Rechtsgrundlage gestützt werden.

Um dem Grundsatz der Datenminimierung zu genügen und lediglich die für die Risikoeinschätzung erforderlichen Daten zu erheben,

  • ist statt konkreter Reiseziele nur abzufragen, ob innerhalb der letzten 14 Tage ein Aufenthalt in einem der vom Robert Koch-Institut (RKI) benannten Risikogebieten stattgefunden hat;
  • muss kein konkreter Reisezeitraum abgefragt werden, sondern nur, ob die Reiserückkehr aus einem vom RKI benannten Risikogebiet mindestens 14 Tage zurückliegt;
  • sind die auf eine COVID-19-Infektion hinweisenden Symptome nicht einzeln, sondern gebündelt abzufragen.

Grundsätzlich sollte die Abfrage telefonisch oder elektronisch über einen verschlüsselten Kanal erfolgen. Zum Übersenden eines ausgefüllten Fragebogens mittels unverschlüsselte E-Mail oder Fax darf aus Gründen der Datensicherheit hingegen nur dann aufgefordert werden, wenn eine telefonische Abfrage der relevanten Angaben aufgrund des Patientenandrangs mit den verfügbaren Kapazitäten nicht mehr zu leisten ist und solange ein verschlüsselten Kanal noch nicht realisiert werden konnte.

Zwar erfolgt die Übermittlung der personenbezogenen Daten bei der Erhebung der Fragebogenantworten mittels E-Mail oder Fax durch die Betroffenen selbst. Allerdings muss der Verantwortliche, also die Praxis oder Einrichtung, bei der Auswahl der für die Verarbeitung eingesetzten Mittel bzw. bereitgestellten Erhebungskanäle Art. 25 Abs. 1 DSGVO berücksichtigen. Da es sich bei den Angaben der Patienten um Gesundheitsdaten und damit personenbezogene Daten mit hohem Schutzbedarf handeln kann, würde eine gezielte unverschlüsselte elektronische Erhebung unter „normalen“ Bedingungen nicht dem in technischer Hinsicht zu gewährleistenden hohen Schutzniveau genügen.

Auch im Rahmen von Art. 25 Abs. 1 DSGVO sind allerdings die Umstände der Verarbeitung zu berücksichtigen. Zu den Umständen der Verarbeitung gehört auch die besondere Situation einer Pandemie, die ausnahmsweise eine gezielte unverschlüsselte elektronische Erhebung rechtfertigen kann, solange keine sichereren Erhebungskanäle zur Verfügung stehen, die eine kontaktlose und schnelle Übermittlung ermöglichen.

Ein verschlüsselter Kanal lässt sich beispielsweise durch ein Web-Formular mit Transportverschlüsselung (https, TLS) umsetzen und so eine angemessene Vertraulichkeit der Kommunikation sicherstellen.

Sofern eine Fernbehandlung berufsrechtlich zulässig ist, muss bei der Auswahl des Kommunikationsmediums stets auf eine ausreichende Verschlüsselung und einen Serverstandort in der EU oder einem sicheren Drittland geachtet werden. Die Gewährleistung eines ausreichenden Datenschutzniveaus ist regelmäßig bei gemäß § 5 Abs. 2 der Anlage 31b zum BMV-Ä zertifizierten Videodienstanbietern gegeben.

Generell ist von einer Speicherung berufsbezogener und ggf. einer berufsrechtlichen Verschwiegenheitspflicht unterliegenden personenbezogenen Daten auf dem Privatgerät abzusehen.

Der Zugang zu personenbezogenen Daten auf den Endgräten muss z.B. durch ein Pin oder ein Passwort vor Dritten geschützt und die Daten müssen auf dem Datenträger verschlüsselt gespeichert werden.

Der Schutz der Allgemeinheit vor übertragbaren Krankheiten ist ein überragend wichtiges Gemeinschaftsgut. Hierzu kann es geboten sein, auch digitale Technologien unter Nutzung personenbezogener Daten einzusetzen. Die grundlegenden Prinzipien des Datenschutzes sind dabei zu beachten: Die Verarbeitung personenbezogener Daten muss geeignet, erforderlich und verhältnismäßig sein. Das gilt in besonderer Weise für eine umfassende Überwachung von Personen zum Schutz der Allgemeinheit vor gefährlichen Infektionskrankheiten, denn diese greift tief in deren Privatsphäre ein. In Deutschland gibt es derzeit weder eine hinreichende Rechtsgrundlage für ein Tracking der Standortdaten von Personen zur Ermittlung von möglichen Kontaktpersonen noch für ein Handy-Tracking in Echtzeit zur Feststellung von Verstößen gegen Quarantäne- oder Kontaktbeschränkungsbestimmungen. Eine solche Rechtsgrundlage kann der Bundesgesetzgeber schaffen. Er muss dabei die verfassungsrechtlichen Prinzipien, insbesondere die Verhältnismäßigkeit, wahren.

Anders liegt die Sache bei der Weitergabe von anonymisierten Handydaten zur statistischen Auswertung von Gruppenverhalten durch Mobilfunknetzbetreiber. Soweit es sich um wirksam anonymisierte Daten handelt, stehen die Regelungen des Datenschutz- bzw. Telekommunikationsgesetzes nicht dagegen. Das ist der Fall, wenn die Daten so aggregiert sind, dass sie nicht ohne Weiteres auf bestimmte Personen zurückgeführt werden können. Sie sind in dieser Form geeignet, um Informationen über die Wirksamkeit von Maßnahmen gegen die Ausbreitung des Virus zu liefern. Für die Überwachung, ob es sich hierbei um anonymisierte Daten handelt, ist der BfDI zuständig. Hinsichtlich der Anonymisierung der eigenen Mobilfunkdaten durch den Mobilfunkanbieter steht Betroffenen ein Widerspruchsrecht gemäß Art. 21 Abs. 1 DSGVO zu. Teilweise bieten die Netzbetreiber auch einfache und datensparsame Abmeldemöglichkeiten, um die eigenen Daten von der anonymen Nutzung auszuschließen (vgl. Portale bei Telefonica und der Telekom).

Die Bundesregierung hat, auch nach Kritik von Seiten des Datenschutzes, bislang auf die geplante gesetzliche Möglichkeit verzichtet, Kontaktpersonen von Infizierten per Handyortung zu ermitteln.

Die Hamburger Gesundheitsämter unterliegen als bezirkliche Einrichtungen den Bestimmungen der DSGVO und des Hamburgischen Landesdatenschutzgesetzes (HmbDSG) sowie den bereichsspezifischen Datenschutzregelungen des IfSG.

Danach dürfen Gesundheitsämter neben den ihnen zu meldenden Angabe (s. dazu oben) weitere im Zusammenhang mit der Bekämpfung des Coronavirus erforderliche Informationen, insbesondere über die Erkrankung, die Ursachen, Behandlung Ansteckungsquellen und Kontaktpersonen, ggf. die Tätigkeit des Erkrankten, seine Betreuung, Unterbringung oder Behandlung in einer Gesundheits- oder Gemeinschaftseinrichtung, eigene Untersuchungsdaten erheben und verarbeiten.

Wird das RKI auf Ersuchen einer oder mehrerer Landesgesundheitsbehörde im Wege der Amtshilfe zur Bekämpfung von schwerwiegenden übertragbaren Krankheiten tätig, darf es die für die Amtshilfe erforderlichen personenbezogenen Daten verarbeiten.


Verarbeitung personenbezogener Covid-19-Daten durch den stationären Handel und Unternehmen mit Publikumsverkehr

Seit dem 13.05.2020 gibt es in mehreren Branchen die Verpflichtung der Betriebsinhaber, die Namen und Kontaktdaten aller Gäste zu erfassen. Dies folgt aus der HmbSARS-CoV-2-EindämmungsVO in Verbindung mit § 28a Abs. 1 Nr. 17 des InfSG und betrifft – soweit sie öffnen dürfen – die Bereiche

  • Veranstalungen
  • gesetzlich vorgeschriebene Versammlungen
  • Bestattungen und Trauerfeiern
  • bei Dienstleistungen mit engem Körperkontakt
  • Gaststätten und Kantinen
  • Übernachtungsangebote
  • Bildungsangebote
  • Sportanlangen
  • Rehabilitationssport
  • Kinder- und Jugendarbeit
  • Besuch in Krankenhäusern, Rehabilitationseinrichtungen usw.
  • Besuch in Pflegeeinrichtungen
  • Einrichtungen der Eingliederungshilfe
  • Tagespflege

In diesen Bereichen besteht – soweit sie derzeit geöffnet werden dürfen – eine Verpflichtung und damit gemäß Art. 6 Abs. 1 lit. c DSGVO auch die Berechtigung, Kontaktdaten und Zeitpunkt des Aufenthalts schriftlich zu dokumentieren und vier Wochen lang aufzubewahren.

Die Kontaktdaten sind seit 30.6.2020 konkret definiert als Name, Wohnanschrift und einer Telefonnummer. Die vorherige Mitteilung an dieser Stelle, wonach der Betroffene entscheiden kann, welche Kontaktwege er angibt, ist mit der Neufassung der HmbSARS-CoV-2-EindämmungsVO nicht mehr gültig. Unser Musterformular (PDF) haben wir entsprechend angepasst.

In Bereichen, die nicht oben aufgezählt sind, ist die Erhebung von Namen und Kontaktdaten allenfalls zulässig in Konstellationen, die ein besonders hohes Infektionsrisiko bergen. Nach Einschätzung des Robert Koch Instituts wird eine namentliche Registrierung empfohlen für Kontaktpersonen, die z.B. ohne Sicherheitsabstand ein mindestens 15-minütiges Gespräch „face-to-face“ führen oder die mit Körperflüssigkeiten in direkte Berührung kommen. Viele dieser Dienstleistungen sind derzeit ohnehin durch Rechtsverordnung untersagt. Tätigkeiten, die noch ausgeübt werden dürfen, etwa ärztliche Behandlungen oder Beratungstermine in Kreditinstituten, sind in der Regel ohnehin nicht anonym und werden umfassend dokumentiert. Wo dies nicht der Fall ist, kann eine Registrierung nach den Empfehlungen des Robert-Koch-Instituts aufgrund der hohen individuellen Ansteckungsgefahr auch ohne wirksame Einwilligung zulässig sein nach Art. 6 Abs. 1 lit. f DSGVO.

Keine Befugnis zur Erhebung der Kontaktdaten besteht in Konstellationen ohne Rechtspflicht und ohne längere Gespräche und ohne Kontakt zu Körperflüssigkeiten. Eine Kundenregistrierung im Einzelhandel scheidet damit aus. Gleiches gilt für den öffentlichen Nahverkehr, in dem Fahrgäste zwar gegebenenfalls nebeneinander sitzen, jedoch regelmäßig kein Austausch erfolgt.

Unbenommen ist es den Inhabern derartiger Angebote jedoch, eine freiwillige Registrierung denjenigen anzubieten, die daran teilnehmen möchten. Rechtsgrundlage ist dann die Einwilligung nach Art. 6 Abs. 1 lit a DSGVO. Für die Wirksamkeit der Einwilligung ist es erforderlich, dass diese diskriminierungsfrei abgelehnt werden kann. Die Besucherin oder der Besucher muss also dennoch das Angebot des Geschäfts nutzen können.

In jedem Fall müssen entsprechende Datenschutzhinweise, insbesondere gemäß Art. 13 DSGVO, vor Erhebung der Daten an den Kunden/Besucher erfolgen. Die Daten müssen vor dem Zugriff Unberechtigter sowie sicher aufbewahrt werden und die Speicherung darf nur kurzfristig erfolgen. Deshalb dürfen Listen, in denen solche Daten geführt werden, nicht offen herumliegen und für jedermann zugänglich sein. Oftmals ist es besser, die Daten zu jedem erfassten Besucher/Kunden auf einem gesonderten Blatt zu führen und danach sicher wegzuschließen, wenn sie nicht elektronisch geführt werden. Alternativ bietet es sich vielfach an, die Daten schon bei der Terminvereinbarung abzufragen. In gastronomischen Einrichtungen kann eine gemeinsame Liste pro Gästegruppe genutzt werden. Diese tragen sich dann alle auf die Liste ein, die auf dem gemeinsam genutzten Tisch liegt und das Personal entfernt sie, bevor die nachfolgende Gästegruppe den Tisch einnimmt.

Die Betriebsinhaberin oder der Betriebsinhaber sind für die Einhaltung des Datenschutzes gemäß Art. 4 Nr. 7 DSGVO selbst verantwortlich. Führt die Betriebsinhaberin oder der Betriebsinhaber einer Gaststätte die Kontaktdaten der Gäste auf einer Liste und lässt diese offen für alle sichtbar ausliegen (z.B. am Eingang/ Tresen oder an der Theke), so stellt dies einen Verstoß gegen die DSGVO dar, insbesondere als unzulässige Offenlegung und als Verstoß gegen die Datensicherheit. Denn die verantwortlichen Stellen, das sind die Betriebsinhaberin oder der Betriebsinhaber, müssen die Daten vor dem Zugriff Unberechtigter schützen und sicher aufbewahren.

Die in der Hamburgischen SARS-CoV-2-Eindämmungsverordnung (HmbSARS-CoV-2-EindämmungsVO) enthaltenen Regelungen sind mit einem einheitlichen Katalog an Ordnungswidrigkeitsverstößen (vgl. § 62 Abs. 1 HmbSARS-CoV-2-EindämmungsVO, gültig ab dem 27.05.2020) und entsprechenden Bußgeldregelsätzen (vgl. § 62 Abs. 2 HmbSARS-CoV-2-EindämmungsVO) versehen worden. Diese Verstöße stellen Ordnungswidrigkeiten nach § 73 Abs. 1a Nr. 24 i. V. m. § 32 IfSG dar und werden von der zuständigen Behörde (Gesundheitsbehörde) geahndet. Wenn die sachlich zuständige Behörde nicht handeln kann (beispielsweise am Wochenende oder weil nicht genug Außendienstpersonal vorhanden ist), ist die Polizei zuständig.

Gaststätten und Kantinen dürfen, soweit ihr Betrieb nicht ohnehin untersagt ist, nur dann geöffnet werden, wenn sie ihre Pflicht aus § 15 Abs. 4 Nr. 2 HmbSARS-CoV-2-EindämmungsVO nicht nachkommen. Danach sind zum Zweck der Nachverfolgung von Infektionsketten die Kontaktdaten der Gäste unter Angabe des Datums zu erfassen, die Aufzeichnungen sind vier Wochen aufzubewahren und der zuständigen Behörde auf Verlangen vorzulegen und die Daten nach Ablauf der Aufbewahrungsfrist zu löschen. Öffnet eine Gaststätte ohne diese Vorkehrungen, ist dies bußgeldbewährt.

Aufgabe des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) als Datenschutzaufsichtsbehörde ist es, die Einhaltung der Gesetze zum Datenschutz zu kontrollieren und bei Nichteinhaltung mit entsprechenden Sanktionen zu reagieren. Im Zusammenhang mit der HmbSARS-CoV-2-EindämmungsVO und dem InfSG kontrolliert der HmbBfDI daher ausschließlich, ob sich die Betriebsinhaberin oder der Betriebsinhaber einer Gaststätte an die „Regeln des Datenschutzrechts“ halten. Bislang wurden in Fällen, in denen Verstöße gemeldet wurden, die verantwortlichen Stellen binnen kürzester Zeit kontaktiert und angewiesen, die Namen vor der Einsichtnahme unbefugter dritter Personen zu schützen.

Die wichtigsten Regeln zur rechtskonformen Speicherung und Verarbeitung personenbezogener Daten (z.B. bei Erhebung, Speicherung, Übermittlung, Löschung etc.) finden sich in der Datenschutz-Grundverordnung (DSGVO) wieder, insbesondere in Art. 5 DSGVO. Im Einzelnen ist sicherzustellen, ob es eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten gibt (Rechtmäßigkeit der Verarbeitung), ob die Verarbeitung dem Zweck angemessen sowie auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt ist (sog. Datensparsamkeit), ob die Daten für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden (sog. Zweckbindung), ob die Datensicherheit gewährleistet ist und ob die Datenverarbeitung transparent ist (Ausfluss des Transparenzgebotes ist die Datenschutzerklärung gem. Art. 13 DSGVO).

Die Daten müssen vor dem Zugriff Unberechtigter sowie sicher aufbewahrt werden und die Speicherung darf nur kurzfristig erfolgen. Deshalb dürfen Listen, in denen solche Daten geführt werden, nicht offen herumliegen und nicht für jedermann zugänglich sein. Oftmals ist es besser, die Daten zu jedem erfassten Besucher/Kunden auf einem gesonderten Blatt zu führen und danach sicher wegzuschließen, wenn sie nicht elektronisch geführt werden. Alternativ bietet es sich vielfach an, die Daten schon bei der Terminvereinbarung abzufragen. In gastronomischen Einrichtungen kann eine gemeinsame Liste pro Gästegruppe genutzt werden. Diese tragen sich dann alle auf die Liste ein, die auf dem gemeinsam genutzten Tisch liegt, und das Personal entfernt sie, bevor die nachfolgende Gästegruppe den Tisch einnimmt. Eine Mustervorlage zur Erfassung von Kontaktdaten der Kunden nach der Hamburgische SARS-CoV-2-Eindämmungsverordnung kann hier (PDF) eingesehen werden

Für Gastronomen, Friseurbetriebe und andere Einrichtungen, die Kontaktdaten den Kundinnen und Kunden erfassen müssen, stellen wir ein Musterformular (PDF) bereit. Bitte beachten Sie, dass es in dieser Form nur in Hamburg verwendet werden kann. In anderen Bundesländern gelten im Detail abweichende Regelungen, zum Beispiel hinsichtlich der Speicherfrist. Das Dokument ist auf die tatsächlich stattfindende Verarbeitungssituation in der jeweiligen Einrichtung anzupassen. Außerdem sind betriebsspezifische Eintragungen und Ergänzungen im Text vorzunehmen, wo dies erforderlich ist (z.B. Kontaktdaten der oder des Datenschutzbeauftragten). Die Datenschutzinformationen auf Seite 2 müssen nicht jedem Kunden individuell ausgehändigt werden. Es genügt, dass diese einmalig in der Einrichtung ausliegen oder aushängen.

Es ist nicht verpflichtend, dieses Formular zu verwenden. Der Registrierungspflicht unterliegende Einrichtungen können auch einen selbst formulierten Text verwenden oder zum etwa eine Vorlage ihres Berufsverbands. Dabei ist jedoch darauf zu achten, dass es auch den Besonderheiten der Hamburgischen SARS-CoV-2-EindämmungsVO Rechnung trägt (siehe obige Frage). Wichtig ist, dass keine offen ausliegenden Listen verwendet werde, auf denen die Kundinnen und Kunden die Kontaktdaten vorheriger Besucherinnen und Besucher einsehen können.

Nein. Die bis Ende Juni 2020 gültige HmbSARS-CoV-2-EindämmungsVO enthielt noch eine missverständliche Formulierung, in die manche eine solche Pflicht hineingelesen haben. Die Bestimmung wurde in der Fassung vom 30.06.2020 entfernt. Gastronomen sind nur noch verpflichtet, ihre Tische so anzuordnen, dass das Abstandsgebot von allen Gästen eingehalten werden kann, die ihm gegenseitig unterfallen.

Die Befragung von Kunden oder Besuchern von Ladenlokalen nach Krankheitssymptomen ist unzulässig. Die Einrichtungen sind auch nach der Hamburgischen SARS-CoV-2-Eindämmungsverordnung lediglich gehalten, anwesende Personen durch schriftliche oder bildliche Hinweise aufzufordern, die Verkaufsfläche im Fall des Auftretens von Symptomen einer akuten Atemwegserkrankung nicht zu betreten. Eine Zugangsverwehrung ist gesetzlich hingegen nur dann gefordert, wenn Personen entgegen ihrer Verpflichtung beim Betreten der Verkaufsfläche keine Mund-Nasen-Bedeckung tragen. Daneben ist allenfalls die Frage (nicht aber die Dokumentation), ob eine tatsächliche Covid-19-Infektion besteht, mit der Folge einer Zugangsverweigerung möglich, da diese Personen ohnehin keine öffentlichen Orte betreten dürfen.

Eingangsscreening auf Risikoexposition und/oder Symptome, um das Risiko einer Übertragung und großer bzw. schwerer Folgeausbrüche zu verringern, sind zur Zeit nicht erfolgversprechend, da es nach den bisherigen Erkenntnissen keine spezifischen Krankheitszeichen gibt, mit denen Träger des Covid-19-Virus frühzeitig erkannt werden können. Fragen nach Krankheitssymptomen wie Fieber, Husten, Schnupfen oder Halsschmerzen lassen also nicht verlässlich erkennen, ob eine Infektion vorliegt. Trotz respiratorischer Symptome ließen sich bei bisher untersuchten Personen ebenso auch keine Infektionen nachweisen.

Eingangsscreenings mit symptom- und/oder kontaktbasierten Fragen an die Besucher/Kunden können Infizierte somit nicht wirklich identifizieren. Im Übrigen handelt es sich um Gesundheitsdaten, deren Verarbeitung gem. Art. 9 DSGVO nur in streng geregelten Fällen erlaubt ist. Von den Ausnahmetatbeständen kommt nur die Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO in Betracht. Diese muss freiwillig geschehen, es darf also nicht der Zugang von ihr abhängig gemacht werden.

Dasselbe gilt auch für Messungen der Körpertemperatur von Kundinnen und Kunden. Weder der Einsatz von Wärmebildkameras noch von digitalen Fiberthermometern zur Feststellung von Krankheitssymptomen ist zulässig bzw. kann allenfalls als freiwilliger Service angeboten werden.

Von daher sind statt dieser Maßnahmen die Besucher/Kunden wie gesetzlich gefordert bereits im Eingangsbereich durch Aufstellen oder Aushändigung von Hinweisschildern/-blättern darauf hinzuweisen, dass sie bei Vorliegen von akuten respiratorischen Symptomen aufgefordert werden, das Unternehmen aus Gründen der Sicherheit für die Mitarbeiter und anderen Besucher/Kunden nicht zu betreten.

Seit Beginn war es unser Ziel, Schrittweise und mit Augenmaß auf mögliche Datenschutzverstöße bei der Erfassung von Kontaktdaten durch Gastwirte und andere Gewerbetreibende zu reagieren. Die betroffenen Gastwirte und andere Gewerbetreibende, die immer noch erheblich unter den Auswirkungen der Pandemie zu leiden haben, haben wir beraten und für die datenschutzrechtlichen Belange sensibilisiert. Dabei haben wir uns stets vorbehalten, die Situation jederzeit neu zu bewerten und entsprechen zu handeln.

Auch wenn eine flächendeckende Kontrolle aufgrund der beschränkten personellen Ausstattung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit weiterhin nicht möglich ist, dürfen die datenschutzrechtlichen Vorkehrungen durch die jeweiligen Gewerbetriebe nicht außer Acht gelassen werden. Daher haben wir in verschiedenen Stadtteilen auch unangekündigte Stichprobenkontrollen durchgeführt. Unsere daraufhin durchgeführte Nachkontrolle hat erwiesen, dass in einigen Gaststätten eine Umsetzung der Vorgaben entgegen unserer Anordnung nicht erfolgt ist, so dass eine Verhängung von weitergehenden Maßnahmen zur Durchsetzung der Datenschutzvorgaben angezeigt war. In drei Fällen wurden schließlich Bußgelder in Höhe von 50 bis 100 Euro verhängt.


Covid-19 im Beschäftigtenverhältnis

Beschäftigte unterliegen grundsätzlich keiner Pflicht, Ihrem Arbeitgeber Diagnosen oder Krankheitssymptome zu offenbaren. Im Fall einer allgegenwärtigen Pandemie sind davon Ausnahmen denkbar. Die Fürsorgepflicht des Arbeitgebers gebietet es, Maßnahmen zu treffen, um Mitarbeiterinnen und Mitarbeiter vor Infektionen zu schützen. Um Kontakte mit potentiell infektiösen Kolleginnen und Kollegen zu vermeiden, ist es in der aktuellen Pandemiesituation nicht zu beanstanden, wenn vor Betreten des Arbeitsplatzes erfragt wird, ob die betroffene Person

  • selbst mit dem Covid-19-Virus infiziert ist sind oder im Kontakt mit einer nachweislich infizierten Person stand oder
  • sie sich im relevanten Zeitraum in einem vom Robert Koch Institut als Risikogebiet eingestuften Gebiet aufgehalten hat.

Nicht erlaubt ist beispielsweise die offen gestellte Frage, in welchem Land eine Urlaubsabwesenheit verbracht wurde oder mit welchen Personen der Betroffene in Kontakt stand. Eine Negativauskunft des Betroffenen, dass die oben genannten Punkte auf ihn nicht zutreffen, ist ausreichend. Alternativ zur individuellen Abfrage kann auch verlangt werden, dass Beschäftigte sich aktiv melden, wenn sie einen der oben genannten Punkte erfüllen.

Es handelt sich um eine Abfrage von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO. Diese ist, wenn aufgrund der Ausgestaltung des Arbeitsplatzes mit Ansteckungen zu rechnen ist, gerechtfertigt nach § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b DSGVO.

In Arbeitsumfeldern mit besonders engem Kontakt ist in der derzeitigen Lage auch ausnahmsweise die Messung der Körpertemperatur oder das Erfragen von Covid-19- sypzifischen Symptomen denkbar. Dasselbe gilt für Mitarbeiterinnen und Mitarbeitern in Einrichtungen, die für die akute Versorgung der Bevölkerung unverzichtbar sind, etwa Krankenhäuser oder Medizinproduktehersteller. In diesen Fällen sind nicht die konkret erfragten Informationen wie Krankheitssymptome oder die Körpertemperatur zu speichern, sondern lediglich die Information, dass aufgrund des Eingangs-Checks der Betroffene aufgefordert wurde, sich für einen definierten Zeitpunkt nicht an die Arbeitsstätte zu begeben.

Die Identitäten positiv auf Covid-19 getesteter Kolleginnen und Kollegen sind vertraulich zu behandeln, soweit dies ohne Gesundheitsgefahren für andere möglich ist. Die Tatsache, dass ein Betroffener Träger des Virus ist, kann sehr stigmatisierende Wirkung haben. Daher ist die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen erforderlich ist.

Dabei ist je nach Empfängerkreis der Information differenziert vorzugehen. Je nach Unternehmensgröße wird es in der Regel für die meisten Kolleginnen und Kollegen sowie gegebenenfalls für Externe ausreichend sein, zu wissen, dass eine unbenannte Person aus einer konkreten Abteilung positiv getestet wurde. Gegebenenfalls sind Zusatzinformationen sinnvoll, etwa an welchen Tagen die Person anwesend war, an welchen Meetings sie teilgenommen hat und welche Gemeinschaftseinrichtungen (z.B. Kantine, Bibliothek) sie genutzt hat. Innerhalb der Abteilung wird je nach Abteilungsgröße eine weitere Differenzierung nach untergeordneten Organisationseinheiten möglich sein. Bei Personen, die direkten Kontakt hatten, kann die zielgerichtete Offenlegung der Identität erforderlich sein. Dies betrifft beispielsweise Personen, die sich ein Bürozimmer teilen oder solche, bei denen es wahrscheinlich ist, dass ein Händedruck stattgefunden hat. Die Zulässigkeit folgt dann aus § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b DSGVO.

Beschäftigte sind auch in der aktuellen Situation in der Regel nicht verpflichtet, dem Arbeitgeber ihre private Telefonnummer oder E-Mail-Adresse mitzuteilen. Aufgrund der derzeitigen betrieblichen Planungsunsicherheiten kann es jedoch vielfach im Interesse der Beschäftigten sein, kurzfristig auf diesen Kanälen über Beschränkungen am Folgetag informiert zu werden. Daher ist es zulässig, wenn Arbeitgeber von denjenigen Kolleginnen und Kollegen, die dies wünschen, auf Einwilligungsbasis Telefonnummern und E-Mail-Adressen einholen und diese nur für die Dauer der Pandemiesituation abspeichern. Wichtig ist, dass die Teilnahme freiwillig geschieht und diskriminierungsfrei erfolgt. Eine Weigerung muss also möglich sein, ohne dass berufliche Nachteile drohen. Wer seine privaten Kontaktdaten nicht offenbaren möchte, darf nicht vom Informationsfluss abgeschnitten sein. Es ist dann aber nachvollziehbar, dass dann die Information erst später an den Betroffenen gelangt. Dies kann geschehen, indem der Betroffene sich aktiv telefonisch oder im Internet erkundigt oder zum Beispiel am folgenden Arbeitstag durch einen Aushang am Firmeneingang über Einschränkungen, eine temporäre Betriebsschließung oder andere Maßnahmen informiert wird. Die Freiwilligkeit der Einwilligung folgt abhängig von den konkreten Umständen aus § 26 Abs. 2 S. 2 BDSG, wenn die Arbeitnehmerin oder der Arbeitnehmer durch die Abgabe der Einwilligung einen zeitlichen Vorteil erzielen möchte. Wichtig ist, dass der Zweck der Erhebung klar kommuniziert wird und die Kontaktdaten dann auch nur zu dem Zweck verwendet werden. Zudem muss die Einwilligung jederzeit ohne Angabe von Gründen und ohne diskriminierende Folgen widerruflich sein. Dann sind die auf diese Weise erhobenen Kontaktdaten durch den Arbeitgeber zu löschen.

Wie oben bereits ausgeführt, unterliegen Beschäftigte grundsätzlich keiner Pflicht, Ihrem Arbeitgeber Diagnosen oder Krankheitssymptome zu offenbaren. Auch wenn das Interesse des Arbeitgebers nachvollziehbar ist, herauszufinden welche Beschäftigten (beispielsweise aufgrund bestimmter Vorerkrankungen) zu einer Risikogruppe gehören und damit besonderer Schutzmaßnahmen bedürfen, rechtfertigt dies keine allgemeine Abweichung vom obigen Grundsatz. Vielmehr bleibt es dabei, dass der Arbeitgeber die Preisgabe sensibler Gesundheitsdaten über spezifische Anfälligkeiten grundsätzlich nicht verlangen kann. Etwas anderes gilt jedoch, soweit Beschäftigte von sich aus auf Vorerkrankungen hinweisen, um besondere Schutzmaßnahmen wie bevorzugte Home-Office-Gewährung zu erlangen. In diesem Fall darf der Arbeitgeber die entsprechenden Daten verarbeiten, hat sie aber nach § 26 Abs. 3 S. 3 BDSG i.V.m. § 22 Abs. 2 BDSG angemessen zu schützen. Diese Regelungen zeigen, dass es in der eigenen Verantwortung des jeweiligen mündigen Beschäftigten liegt, darüber zu entscheiden, ob eine Preisgabe der Daten für ihn sinnvoll erscheint oder nicht.


Googles Android-Update zur Funktion 'Benachrichtigung zu möglicher Begegnung mit COVID-19-Infizierten'

Nein. Google hat ein Update der Google Play Dienste herausgebracht, das eine Schnittstelle (ein sogenanntes Application Programming Interface – kurz „API“) für zukünftige Software (Apps) bereitstellt. Die Google Play Dienste sind ein Software-Paket, das diverse Google-Dienste unterstützt.

Auch Apple hat mit seinem Update auf die Version 13.5 die technische Grundlage für die sog. „Corona-App“ gelegt. Über solche Schnittstellen können Apps auf Funktionen des Smartphone-Betriebssystems zugreifen. Smartphone-Betriebssysteme haben eine Vielzahl von Schnittstellen, die Apps für sich nutzen können, beispielsweise der Zugriff auf Bluetooth, die Abfrage von GPS-Standortdaten, die Nutzung der Kamera oder des Mikrofons.

Die nunmehr im Zusammenhang mit der Pandemie hinzugefügte Schnittstelle hat das sog. „Exposure Notification Framework“ umgesetzt. Wie andere Schnittstellen auf Ihrem Smartphone auch, soll diese Funktion nur durch installierte Apps nutzbar sein. Damit es zum Austausch von Daten kommt und die Schnittstelle wirklich aktiv wird, muss eine entsprechende „Corona-App“ heruntergeladen und installiert werden. Allerdings haben Google und Apple den Zugriff auf die neue Schnittstelle zum Exposure Notification Framework beschränkt, sodass nur staatlich zertifizierte Apps auf die Schnittstelle zugreifen dürfen. In Deutschland wird es die „Corona-App“ sein, die im Auftrag des Gesundheitsministeriums von der deutschen Telekom und dem Software-Konzern SAP entwickelt wird. Nähere Informationen finden Sie auf https://www.coronawarn.app/de/

Nein. Jedenfalls nicht durch die neue Schnittstelle für „Corona-Apps“. Die neue Schnittstelle kann – anders als andere wie z.B. die zur Kamera, zum Mikrofon oder zur Positionsortung – nicht durch jede beliebige installierte App genutzt werden. Stattdessen können nur speziell zertifizierte Apps diese Schnittstelle nutzen. Dies dient gerade dazu sicherzustellen, dass nur die staatlich entwickelten Apps die Funktion nutzen können und Zugriff auf die Daten haben.

Sofern Sie die „Corona-App“ installiert haben und diese verwenden, werden mit anderen Geräten in Ihrer Nähe IDs ausgetauscht. Diese IDs werden in regelmäßigen Abständen neu erzeugt und enthalten darüber hinaus keine Informationen zu Ihrer Person, wie Ihren Namen oder Ihre Telefonnummer, die eine Identifizierung leicht ermöglichen würden.

Auf dem Android-Betriebssystem wurde die Schnittstelle durch ein Update der Google Play Dienste installiert, nicht durch ein generelles Update des Android-Betriebssystems. Dieser Weg wurde gewählt, da für Android eine Vielzahl von Smartphone- und Tablet-Hersteller und entsprechend viele verschiedene Betriebssystemversionen – teils sehr veraltet – in der Praxis genutzt werden. Ein Update des Betriebssystems selbst hätte zur Folge, dass viele Nutzerinnen und Nutzer die Funktion gar nicht oder nur sehr verspätet erhalten würden. Der Weg über die Play Dienste führt zu einer besseren Verbreitung der Funktion. Die Play Dienste werden in der Regel auf jedem Gerät automatisch aktualisiert, gleiches gilt häufig auch für Apps. Es bleibt nach unserer Kenntnis dabei, dass die Schnittstelle nicht aktiv ist, solange keine entsprechende App installiert ist.

Google selbst hat, wie auch Apple, Informationen zum Update bereitgestellt und die Funktionsweise der Schnittstelle offengelegt. Denn nur durch eine offene Kommunikation und Transparenz kann ein Vertrauen in die Funktionsweise erreicht werden. Aktuelle Informationen finden Sie in der Android-Hilfe von Google.

Auf Apple-Geräten wird hingegen die Schnittstelle mit dem iOS-Update Version 13.5 installiert. Da hier nicht das Problem der Vielzahl unterschiedlicher Hersteller besteht, ist dieser Weg für iOS möglich.

Nein. Jedenfalls nicht durch die neue Schnittstelle für „Corona-Apps“. Die neue Schnittstelle kann nicht durch jede beliebige installierte App genutzt werden. Stattdessen können nur speziell zertifizierte Apps diese Schnittstelle nutzen. Dies dient gerade dazu sicherzustellen, dass nur die staatlich entwickelten Apps die Funktion nutzen können und Zugriff auf die Daten haben.

Alle Daten, die über die Schnittstelle zum Erfassen möglicher Kontakte von Ihrem Gerät und den Geräten anderer Menschen gesammelt werden, werden nicht mit Google oder Apple geteilt. Ein Datenaustausch findet ausschließlich mit den staatlich betriebenen Servern statt, die zur Unterstützung der „Corona-Apps“ eingerichtet werden. Von diesen erhält Ihr Gerät die Information, ob eine Person, zu der Sie aufgrund der räumlichen Nähe möglicherweise einen ansteckungsgefährlichen Kontakt hatten, mit Covid-19 infiziert ist. Diese Information wird von der entsprechenden App auf Ihrem Gerät generiert und verlässt dieses nicht. Sie können infolge der Benachrichtigung selbstständig entscheiden, sich in eine Quarantäne zu begeben, um möglichst auszuschließen, dass Sie weitere Personen infizieren.

Dass eine Software-Schnittstelle durch Google und Apple bereitgestellt wird, führt zu einer schnellen Verfügbarkeit für alle Menschen, die diese Funktion nutzen wollen. Da nahezu jedes genutzte Telefon oder Tablet entweder mit iOS oder Android läuft, ist so eine maximale Erreichbarkeit möglich. Die weiteren App-Entwicklungen oder das Betreiben der unterstützenden App-Server liegen nicht mehr in den Händen von Google oder Apple. Um Kompatibilität zwischen Geräten mit iOS und Android zu gewährleisten war zudem eine Zusammenarbeit zwischen Apple und Google nötig. Ohne diese hätte einem Projekt wie der deutschen „Corona-App“ die technische Grundlage gefehlt.

Um Missbrauch auszuschließen, kann nicht jede beliebige Person dem App-Server eine Infektion melden. Die Meldung erfolgt auf freiwilliger Basis aus der App heraus mit einer einmalig nutzbaren Transaktionsnummer (TAN), die mit dem Test ausgetellt wird. Die Meldung an den App-Server entbindet zudem nicht von der amtlichen Meldepflicht der Erkrankung gemäß § 6 (1) Nr. 1 t) Infektionsschutzgesetz. Sie trägt aber dazu bei, andere Menschen vor einer möglichen Infektion zu warnen und kann damit potentiell die unkontrollierte erneute Verbreitung von Infektionen verhindern.

Weitere Informationen zur Corona-App in Deutschland wird der BfDI im Pressebereich seiner Website am Montag, den 15.06.2020, als Pressemitteilung veröffentlichen.


Weitere Hilfestellungen

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat am 13. März 2020 Informationen für Arbeitgeber und Dienstherren zum Umgang mit dem Datenschutz im Zusammenhang mit der Corona-Pandemie veröffentlicht. Die Datenschutzaufsichtsbehörden stellen darin klar, dass der Schutz personenbezogener Daten und Maßnahmen zur Bekämpfung der Infektion sich nicht entgegenstehen.

Die DSK-Hinweise können auf der Website des Bundesbeauftragten für Datenschutz und Informationsfreiheit heruntergeladen werden.

Der Europäische Datenschutzausschuss (EDSA bzw. EDPB) hat außerdem Informationen und ein offizielles Statement zum Datenschutz und Covid-19 auf ihrer Website veröffentlicht. Eine deutsche Übersetzung ist in Arbeit.

FAQ zum Thema Corona aus Baden-Württemberg (PDF)

Hinweise aus Schleswig-Holstein

Hinweise aus Bayern

Informationen der Kolleginnen und Kollegen aus Rheinland-Pfalz