Datenschutz in Zeiten von Covid- 19

Datenschutz in Zeiten von Covid- 19

27.11.2020 Covid-19

Letzter Stand: 27. April 2022

Auswirkungen der Pandemie auf die Datenschutzaufsicht

Um die Auswirkungen der Coronavirus-Epidemie für das Personal zu begrenzen und einen geregelten Dienstbetrieb aufrechtzuerhalten, befinden sich die Beschäftigten überwiegend im Homeoffice. Wann eine Rückkehr zur regulären Büroarbeit wieder erfolgen kann, ist derzeit nicht vorhersagbar. Beratungen erfolgen daher bis auf Weiteres nur nach vorheriger Terminvereinbarung. Bitte prüfen Sie aber, ob eine persönliche Beratung unbedingt nötig ist und nehmen Sie bitte von spontanen persönlichen Besuchen Abstand. Unsere Behörde ist weiterhin – wie gewohnt – über E-Mail () und Telefon (040/42854-4040) erreichbar.

Die Handlungsfähigkeit des HmbBfDI wird dadurch aufrechterhalten, dass die Mitarbeiterinnen und Mitarbeiter des HmbBfDI fast ausschließlich im Homeoffice arbeiten. Dadurch, dass wenig Vorbereitungszeit für diese Ausnahmesituation vorhanden war, können jedoch nicht alle Funktionen mit der vorherigen Effizienz bedient werden. Entsprechendes Verständnis haben wir grundsätzlich, wenn dies auch bei den durch uns kontrollierten Stellen der Fall ist. Von uns gesetzte Fristen für Antworten an uns werden während der Zeit der Pandemie großzügiger bemessen. Darüber hinaus geht der HmbBfDI derzeit mit begründeten Anträgen auf Fristverlängerung wohlwollend um.

Gesetzliche Fristen der DSGVO gelten unverändert weiter. So haben Betroffene zum Beispiel auch in Krisenzeiten das Recht, von jedem Verantwortlichen binnen eines Monats Auskunft über die zu ihrer Person gespeicherten Daten zu erhalten. Eine Verlängerung nach Art. 12 Abs. 3 S. 2 DSGVO ist weiterhin nur ausnahmsweise möglich, wenn dies aufgrund der Komplexität und der Anzahl von Anträgen erforderlich ist.

Im Zuge des Einschreitensermessens kann es im Einzelfall jedoch geboten sein, dass der HmbBfDI Verstöße nicht verfolgt, in denen die gesetzliche Frist überschritten wird, weil die Arbeitsfähigkeit des Verantwortlichen pandemiebedingt stark eingeschränkt ist. Bei der Beurteilung wird es entscheidend auf die Länge der Überschreitung sowie die Unternehmensgröße und die damit verbundene berechtigte Erwartung an die Professionalität des Verantwortlichen ankommen.

Die Meldung einer Verletzung des Schutzes personenbezogener Daten nach Art. 33 Abs. 1 DSGVO hat „unverzüglich und möglichst binnen 72 Stunden“ zu erfolgen. Die gesetzliche Formulierung ist hier weiter als bei Art. 12 Abs. 3 DSGVO, sodass pandemiebedingte Einschränkungen der Arbeitsfähigkeit hier gegebenenfalls Berücksichtigung finden können. Wichtig ist jedoch, dass Sicherheitslücken sofort geschlossen werden, damit z.B. Kriminelle die aktuelle Ausnahmesituation nicht für ihre Zwecke missbrauchen können, und dass die Meldung an die Aufsichtsbehörde nicht unnötig verzögert wird.

Uns erreichen neben zahlreiche Beratungsanfragen von Gastronomen oder Friseursalons auch viele Bürgerbeschwerden über konkrete Einrichtungen. Diesen gehen wir in jedem Einzelfall nach und sorgen für eine datenschutzgerechte Umsetzung. Wir führen keine Gesamtstatistik über Covid-19-bezogene Datenschutzverstöße, registrieren jedoch die einzelnen uns gemeldeten Fälle. Im Rahmen einer Stichprobenaktion (vgl. Pressemitteilung vom 24.06.2020) haben wir zudem aktiv Einrichtungen aufgesucht.


Kontaktlose Kommunikation

Folgende technische Fragen sollte man sich oder dem Betreiber einer Software stellen, um zu entscheiden, ob dieser Dienst unter datenschutzrechtlichen Gesichtspunkten zur Kommunikation genutzt werden kann. Hierbei spielt vor allem eine Rolle, ob die Nutzerinnen und Nutzer der Software über bestimmte Kriterien informiert werden oder für den Einsatz zustimmen muss (Liste nicht abschließend).

Wird ein Konto benötigt oder stehen Gastzugänge zur Verfügung?

  • Setzt die Videokonferenzsoftware eine Registrierung eines jeden Teilnehmenden voraus?
  • Lässt sich die Registrierung durch eine Anbindung an die bereits bestehende Infrastruktur, wie LDAP oder ActiveDirectory, automatisieren?
  • Können Nutzer*innen als Gast ohne eine Registrierung teilnehmen? Ein Konto kann erforderlich werden, wenn beispielsweise Zugriffsrechte auf geteilte Daten oder administrative Funktionen für bestimmte Nutzerinnen und Nutzer gewährt werden sollen. Beim Einsatz von Ende-zu-Ende-Verschlüsselung mit Authentifizierung kann ein Nutzerinnen- und Nutzerkonto notwendig sein, um Nutzerinnen- und Nutzeridentitäten verifizieren zu können.

Auch sollte das Löschen oder Sperren eines Nutzerinnen- und Nutzerkonto bedacht werden, um Konten den weiteren Zugang zu verwehren.

Wird Analytics eingesetzt, wertet der Betreiber des Dienstes die Daten der Nutzerinnen und Nutzer aus und verwendet sie kommerziell?

Dies betrifft die gesammelten Daten über die Nutzerinnen und Nutzer selbst, wie beispielsweise durch Hochladen der Adressbücher und die Auswertung der bei der Kommunikation ausgetauschten Daten. Betroffen sind Inhaltdaten wie Video- und Audioströme sowie Metadaten wie Nutzungszeiten, Kontakte und Aufenthaltsorte der Nutzerinnen und Nutzer.

Welche Kosten entstehen bei der Verwendung?

Ein Kommunikationstool kann frei von direkten betrieblichen Kosten durch einen Anbieter zur Verfügung gestellt werden. Ein mögliches Geschäftsmodell ist die kommerzielle Nutzung von Metadaten, die auch über Nutzer*innen-Tracking erhoben werden können.

Andere Betreiber bieten ihren Dienst gegen Bezahlung an. Der Preis bestimmt in der Regel, in welchem Umfang die Software genutzt werden kann. So lassen sich bestimmte Funktionen der Software oder die zulässige maximale Nutzerinnen- und Nutzeranzahl durch den Betrag skalieren.

Als dritte Alternative steht der eigene Betrieb eines Dienstes. Neben möglichen Lizenzkosten für die Software entstehen in der Regel auch Aufwände beim Betrieb der Infrastruktur, die zum Einsatz der Software benötigt wird.

Ist die eingesetzte Software quelloffen und/oder frei?

Beim Einsatz von proprietären Konferenzdiensten ist der Anwender auf die Angaben von Betreiber und Hersteller des Dienstes angewiesen. Eine Kontrolle der Aussagen ist in der Regel nicht möglich. Quelloffene Software lässt sich einfacher überprüfen. Zur Transparenz gehört auch die Offenlegung der Konfiguration des Dienstes durch den Betreiber.

Ein Hinweis muss der partiellen Öffnung von Diensten gelten; bei einigen Herstellern ist die Client-Software zur Teilnahme quelloffen, das Backend bleibt aber eine Blackbox und erlaubt keine Verifikation der Herstelleraussagen.

Wird verschlüsselt kommuniziert?

  • Welche Grundeinstellungen gelten für jede Konferenzsitzung?
  • Muss eine Verschlüsselung manuell aktiviert werden?
  • Wird eine Transportverschlüsselung verwendet oder ist eine Auswertung durch Dritte möglich?
  • Kommt eine Ende-zu-Ende-Verschlüsselung zum Einsatz oder ist der Betreiber in der Lage, die Inhalte der Kommunikation einsehen zu können?
  • Text-Chat-Kommunikation anders behandelt als Video- und Audiodaten?

Oftmals sind die Herstellerangaben unspezifisch. Daher sollten diese Fragen mit den Betreibenden des Dienstes geklärt werden.

Wird der Dienst auf Servern in der EU betrieben?

Bei der Wahl des Dienstes bestimmt in der Regel der Dienst-Anbieter, auf welcher Infrastruktur und an welchen Standorten der Dienst betrieben wird. Zu hinterfragen ist, ob Standorte in Staaten genutzt werden, die nicht dem Datenschutzniveau des europäischen Standards entsprechen. Hier kann auch von Relevanz sein, wenn einzelne Komponenten des Dienstes über Ländergrenzen hinweg verteilt sind. Es ist ratsam den Betreiber nach dem entstehenden Datenfluss zu fragen. Legt der Betreiber den entstehenden Datenfluss offen?

Bietet der Dienst alle Funktionen für meine Nutzerinnen- und Nutzergruppengröße?

Manche Dienste schränken die Anzahl der gleichzeitig genutzten Funktionen ein, zum Beispiel eine maximale Anzahl von gleichzeitig sendenden Videostreams oder die maximale Nutzeranzahl einer Ende-zu-Ende verschlüsselten Konferenz.

Gibt es einen Web- oder dedizierten Client?

Unter der Voraussetzung der Verwendung von aktuellen Browsern ist die Installation einer dedizierten Client-Software nicht zwingend. In der Regel erkauft man bei Web-Clienten sich relative Unabhängigkeit von Geräten und Betriebssystemen sowie der Notwendigkeit der stetigen Aktualisierung.

Soll das Tool nur zur Zeit der Corona-Pandemie genutzt werden oder ist ein Dauerbetrieb geplant?

Für den Fall eines Dauerbetriebs sollten nur Verfahren in den Auswahlprozess einbezogen werden, die die erforderlichen technischen Maßnahmen zur Gewährleistung der Sicherheit- und Vertraulichkeit der verarbeiteten personenbezogenen Daten erfüllen. Der Stand der Technik ist hierbei einzuhalten.

Unter der Situation der Covid-19-Pandemie herrschen besonderen Umstände der Verarbeitung, die bei der Abwägung der Nutzung zu berücksichtigen sind. Insbesondere besteht ein besonderes Interesse am Schutz der Beschäftigten und der Aufrechterhaltung des Dienstbetriebs. Die Auswirkungen, etwa eine Befristung der Vertragsdauer mit einem Dienstleister, sind daher zu berücksichtigen.

In der kommenden Woche werden wir hierzu weiterführende Informationen liefern. Zum einen wird demonstriert, wie anhand der vorliegend dargestellten (teilweise abstrakten) Kriterien Kommunikationstools selbst bewertet werden können. Zum anderen wird anhand spezifischer Kommunikationssoftware dieses Vorgehen demonstrieren und mögliche offene Fragestellungen diskutiert.

Tools, die im Schulzusammenhang genutzt werden sollen, müssen zum Schutz der personenbezogenen Daten der Schülerinnen und Schüler die Anforderungen aus Art. 32 DSGVO an die Datensicherheit erfüllen. Insbesondere sind in diesem Kontext die Vertraulichkeit und Integrität der Daten zu gewährleisten.

Diese Gewährleistungsziele können auf vielfältig Art und Weise sichergestellt werden. Eine Möglichkeit stellt der eigenverantwortliche Betrieb von Lernplattformen dar. Vor diesem Hintergrund rentieren sich die Anstrengungen, die Hamburg während der letzten Jahre unternommen hat, um mit der flächendeckenden schulischen Anbindung an das Portal EduPort eine Basis für die datenschutzkonforme Kommunikation und Zusammenarbeit zwischen Lehrkräften und perspektivisch auch mit Schülerinnen und Schülern zu ermöglichen. Über EduPort, das vom städtischen IT-Dienstleister Dataport gehostet und administriert wird, können Lehrkräfte auch aus dem Homeoffice Dokumente in der schulischen Cloud ablegen, Materialien mit Kolleginnen und Kollegen teilen und gemeinsam bearbeiten, Schultermine planen und veröffentlichen und auf weitere schulische IT-Systeme zugreifen. Sämtliche Daten liegen so an einer zentralen Stelle im Verantwortungsbereich der FHH. Hamburg steht mit EduPort eine datenschutzkonforme Realisierungsmöglichkeit zur Verfügung, sodass der HmbBfDI davon ausgeht, dass dieses in den Schulen verwendet wird.

Bei anderen Services kann nicht mit Sicherheit gesagt werden, welche Informationen für die verschiedenen Anbieter einsehbar sind. So könnten prinzipiell Metadaten (PDF) der einzelnen Nutzerinnen und Nutzer eingesehen und mit weitergehenden Telemetrie-Funktionen Aussagen darüber getroffen werden, welche Nutzerin und welcher Nutzer zu welcher Zeit bestimmte Dokumente bearbeitet und ggf. geteilt hat. Auch Aspekte wie verschlüsselte Dateihaltung und Kommunikation sowie Speicherort und Zugriffsrechte auf die (personenbezogenen) Daten müssen immer individuell betrachtet werden.

Sollte eine Nutzung von weiteren Tools zur Bereitstellung eines (digitalen) Unterrichtsangebots für zuhause erwogen wird, darf die alternative Möglichkeit des Postversands von Unterrichtsmaterialien nicht außer Acht gelassen werden. Denn auf diesem Wege kann gewährleistet werden, dass jeder Schüler und jede Schülerin gleichermaßen die Möglichkeit hat, am Unterricht teilzunehmen (Teilhabegerechtigkeit). Dies gilt auch in Hinblick auf die Erforderlichkeit der Verarbeitung und den Grundsatz der Datenminimierung von personenbezogenen Daten.

Es ist datenschutzrechtlich grundsätzlich möglich, angesichts der gegebenen Umstände nicht die gleichen Anforderungen an technische und organisatorische Maßnahmen zu stellen, wie unter normalen Bedingungen. Dennoch sollte die aktuelle Situation keine Beschaffung von langfristig einzusetzender IT rechtfertigen, deren Nutzung im Nachgang der Corona-Krise als nicht datenschutzkonform zu bewerten wäre. Gerade der Einsatz in Schulen, über den sich zunächst die Schulbehörde mit den Schulen zu verständigen hat und nicht der Hamburgische Beauftragten für Datenschutz und Informationsfreiheit eine Grundsatz- und Auswahlentscheidung treffen kann, muss sich daran orientieren. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit steht hier beratend zur Verfügung und muss im Übrigen im Beschwerdefall tätig werden. Die Entscheidung für oder gegen ein bestimmtes digitales Kommunikationstool, ist in erheblicher Weise insbesondere von der Zahl der Teilnehmer, dem Inhalt der Kommunikation und der Zeit der Nutzungsdauer abhängig und sollte daher für jeden Einsatzbereich individuell entschieden werden.


Verarbeitung personenbezogener Covid-19-Daten durch infizierte Personen, Gesundheitseinrichtungen und Gesundheitsbehörden

Nach Art. 4 Nr. 15 Datenschutz-Grundverordnung (DSGVO) stellen personenbezogene Daten dann Gesundheitsdaten dar, wenn sie sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen beziehen und aus ihnen Informationen über den Gesundheitszustand der betroffenen Person hervorgehen.

Angaben, die über Patienten, Bewohner, Klienten etc. erhoben werden, um das Risiko einer bestehenden COVID-19-Infektion zu ermitteln, sind daher dann Gesundheitsdaten, wenn sie Informationen zu bestehenden Symptomen enthalten oder aber die Einstufung des Betroffenen als Kontaktperson und daher einen begründeten Infektionsverdacht nach sich ziehen. Negativauskünfte, wie die Verneinung von Symptomen, relevanten Kontakten oder Reisen stellen demgegenüber keine Gesundheitsdaten dar. Da allerdings bei der Abfrage entsprechender Informationen unklar ist, ob sämtliche relevanten Fragen verneint oder aber bejaht werden, muss die Erhebung und Verarbeitung durch einen Erlaubnistatbestand des Art. 9 Abs. 2 DSGVO gedeckt sein und in technischer und von Gesundheitsdaten genügen.

Wer als erkrankte Person, Arzt, Therapeut oder Institution des Gesundheitswesens aufgrund gesetzlicher Meldepflichten im Zusammenhang mit Covid-19-Erkrankungen zur Mitteilung personenbezogener Daten Dritter verpflichtet ist, kann die entsprechende Datenübermittlung im Umfang der Meldepflicht auf Art. 6 Abs. 1 lit. c, 9 Abs. 2 lit. i DSGVO in Verbindung mit den einschlägigen nationalen Regelung als Rechtsgrundlage stützen.

Erkrankte Personen sind nach § 25 Abs. 3 Infektionsschutzgesetz (IfSG) in Verbindung mit § 16 Abs. 2 Satz 3 IfSG verpflichtet, auf Verlangen die für die Ermittlungen des Gesundheitsamtes zur Art, Ursache, Ansteckungsquelle und Ausbreitung der Krankheit notwendigen Auskünfte zu erteilen. In diesem Rahmen ist auch die namentliche Benennung relevanter Kontaktpersonen, die unter Umständen eine von der DSGVO und dem BDSG erfasste Datenverarbeitung darstellen kann, gemäß Art. 6 Abs. 1 lit. c, 9 Abs. 2 lit. i DSGVO in Verbindung mit den genannten Vorschriften des IfSG zulässig.

Zur namentlichen Meldung bei einer COVID-19-Infektion, einem begründeten Infektionsverdacht oder dem Tod im Zusammenhang mit der Infektion an das zuständige Gesundheitsamt sind

  • der feststellende Arzt sowie in Einrichtungen nach § 23 Abs. 5 Satz 1 IfSG zusätzlich der leitende Arzt, in Krankenhäusern mit mehreren selbständigen Abteilungen der leitende Abteilungsarzt, in Einrichtungen ohne leitenden Arzt der behandelnde Arzt
  • Angehörige eines anderen Heil- oder Pflegeberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung oder Anerkennung erfordert,
  • Leiter von Einrichtungen nach § 36 Abs. 1 Nr. 1 bis 6 IfSG und
  • Heilpraktiker

verpflichtet.

Gemäß der Verordnung über die Ausdehnung der Meldepflicht nach § 6 Abs. 1 Satz 1 Nr. 1 und § 7 Abs. 1 Satz 1 des Infektionsschutzgesetzes auf Infektionen mit dem erstmals im Dezember 2019 in Wuhan/Volksrepublik China aufgetretenen neuartigen Coronavirus (“2019-nCoV”) sind nicht nur bestätigte Infektionen, sondern auch der begründete Verdacht einer Erkrankung sowie der Tod in Bezug auf eine Infektion zu melden.

Die namentliche Meldung muss in Bezug auf die erkrankten, infektionsverdächtigen oder verstorbenen Personen – soweit vorliegend – folgende Angaben enthalten:

  • Name und Vorname,
  • Geschlecht,
  • Geburtsdatum,
  • Anschrift der Hauptwohnung oder des gewöhnlichen Aufenthaltsortes und, falls abweichend: Anschrift des derzeitigen Aufenthaltsortes,
  • weitere Kontaktdaten,
  • Tätigkeit in Einrichtungen und Unternehmen nach § 23 Abs. 3 Satz 1 oder nach § 36 Abs. 1 und 2 mit Namen, Anschrift und weiteren Kontaktdaten der Einrichtung oder des Unternehmens,
  • Betreuung oder Unterbringung in Einrichtungen nach § 23 Abs. 5 Satz 1 oder § 36 Abs. 1 Nr 1 bis 6 mit Namen, Anschrift und weiteren Kontaktdaten der Einrichtung,
  • Diagnose oder Verdachtsdiagnose,
  • Tag der Erkrankung, Tag der Diagnose, gegebenenfalls Tag des Todes und wahrscheinlicher Zeitpunkt oder Zeitraum der Infektion,
  • wahrscheinliche Infektionsquelle, einschließlich der zugrunde liegenden Tatsachen,
  • in Deutschland: Landkreis oder kreisfreie Stadt, in dem oder in der die Infektion wahrscheinlich erworben worden ist, ansonsten Staat, in dem die Infektion wahrscheinlich erworben worden ist,
  • Überweisung, Aufnahme und Entlassung aus einer Einrichtung nach § 23 Abs. 5 Satz 1 IfSG, gegebenenfalls intensivmedizinische Behandlung und deren Dauer,
  • Spender für eine Blut-, Organ-, Gewebe- oder Zellspende in den letzten sechs Monaten,
  • Zugehörigkeit zu den in § 70 Abs. 1 Nr. 1 bis 3 IfSG genannten Personengruppen.

Liegen den meldepflichtigen Personen nicht alle der vorgenannten Angaben vor und sind diese für die Behandlung, Pflege oder Betreuung nicht erforderlich, so muss und darf nicht allein zu dem Zweck der Meldung eine Erhebung erfolgen.

Die Abfrage von Symptomen und Risikofaktoren einer COVID-19-Infektion im Vorwege eines Praxisbesuchs dient dem Zweck, die Patienten und Beschäftigten der Praxis bzw. Gesundheitseinrichtung dadurch bestmöglich zu schützen, dass Patienten in begründeten Verdachtsfällen nicht ungeschützt mit anderen Patienten oder medizinischem Personal in Kontakt kommen. Die entsprechende Datenverarbeitung kann somit hinsichtlich der anfallenden Gesundheitsdaten auf Art. 9 Abs. 2 lit. i DSGVO i. V. m. den einschlägigen infektionshygienischen Vorschriften und angesichts einschlägiger Nebenpflichten des Behandlungsvertrags auf Art. 9 Abs. 2 lit. h DSGVO als Rechtsgrundlage gestützt werden.

Um dem Grundsatz der Datenminimierung zu genügen und lediglich die für die Risikoeinschätzung erforderlichen Daten zu erheben,

  • ist statt konkreter Reiseziele nur abzufragen, ob innerhalb der letzten 14 Tage ein Aufenthalt in einem der vom Robert Koch-Institut (RKI) benannten Risikogebieten stattgefunden hat;
  • muss kein konkreter Reisezeitraum abgefragt werden, sondern nur, ob die Reiserückkehr aus einem vom RKI benannten Risikogebiet mindestens 14 Tage zurückliegt;
  • sind die auf eine COVID-19-Infektion hinweisenden Symptome nicht einzeln, sondern gebündelt abzufragen.

Grundsätzlich sollte die Abfrage telefonisch oder elektronisch über einen verschlüsselten Kanal erfolgen. Zum Übersenden eines ausgefüllten Fragebogens mittels unverschlüsselte E-Mail oder Fax darf aus Gründen der Datensicherheit hingegen nur dann aufgefordert werden, wenn eine telefonische Abfrage der relevanten Angaben aufgrund des Patientenandrangs mit den verfügbaren Kapazitäten nicht mehr zu leisten ist und solange ein verschlüsselten Kanal noch nicht realisiert werden konnte.

Zwar erfolgt die Übermittlung der personenbezogenen Daten bei der Erhebung der Fragebogenantworten mittels E-Mail oder Fax durch die Betroffenen selbst. Allerdings muss der Verantwortliche, also die Praxis oder Einrichtung, bei der Auswahl der für die Verarbeitung eingesetzten Mittel bzw. bereitgestellten Erhebungskanäle Art. 25 Abs. 1 DSGVO berücksichtigen. Da es sich bei den Angaben der Patienten um Gesundheitsdaten und damit personenbezogene Daten mit hohem Schutzbedarf handeln kann, würde eine gezielte unverschlüsselte elektronische Erhebung unter „normalen“ Bedingungen nicht dem in technischer Hinsicht zu gewährleistenden hohen Schutzniveau genügen.

Auch im Rahmen von Art. 25 Abs. 1 DSGVO sind allerdings die Umstände der Verarbeitung zu berücksichtigen. Zu den Umständen der Verarbeitung gehört auch die besondere Situation einer Pandemie, die ausnahmsweise eine gezielte unverschlüsselte elektronische Erhebung rechtfertigen kann, solange keine sichereren Erhebungskanäle zur Verfügung stehen, die eine kontaktlose und schnelle Übermittlung ermöglichen.

Ein verschlüsselter Kanal lässt sich beispielsweise durch ein Web-Formular mit Transportverschlüsselung (https, TLS) umsetzen und so eine angemessene Vertraulichkeit der Kommunikation sicherstellen.

Sofern eine Fernbehandlung berufsrechtlich zulässig ist, muss bei der Auswahl des Kommunikationsmediums stets auf eine ausreichende Verschlüsselung und einen Serverstandort in der EU oder einem sicheren Drittland geachtet werden. Die Gewährleistung eines ausreichenden Datenschutzniveaus ist regelmäßig bei gemäß § 5 Abs. 2 der Anlage 31b zum BMV-Ä zertifizierten Videodienstanbietern gegeben.

Generell ist von einer Speicherung berufsbezogener und ggf. einer berufsrechtlichen Verschwiegenheitspflicht unterliegenden personenbezogenen Daten auf dem Privatgerät abzusehen.

Der Zugang zu personenbezogenen Daten auf den Endgräten muss z.B. durch ein Pin oder ein Passwort vor Dritten geschützt und die Daten müssen auf dem Datenträger verschlüsselt gespeichert werden.

Der Schutz der Allgemeinheit vor übertragbaren Krankheiten ist ein überragend wichtiges Gemeinschaftsgut. Hierzu kann es geboten sein, auch digitale Technologien unter Nutzung personenbezogener Daten einzusetzen. Die grundlegenden Prinzipien des Datenschutzes sind dabei zu beachten: Die Verarbeitung personenbezogener Daten muss geeignet, erforderlich und verhältnismäßig sein. Das gilt in besonderer Weise für eine umfassende Überwachung von Personen zum Schutz der Allgemeinheit vor gefährlichen Infektionskrankheiten, denn diese greift tief in deren Privatsphäre ein. In Deutschland gibt es derzeit weder eine hinreichende Rechtsgrundlage für ein Tracking der Standortdaten von Personen zur Ermittlung von möglichen Kontaktpersonen noch für ein Handy-Tracking in Echtzeit zur Feststellung von Verstößen gegen Quarantäne- oder Kontaktbeschränkungsbestimmungen. Eine solche Rechtsgrundlage kann der Bundesgesetzgeber schaffen. Er muss dabei die verfassungsrechtlichen Prinzipien, insbesondere die Verhältnismäßigkeit, wahren.

Anders liegt die Sache bei der Weitergabe von anonymisierten Handydaten zur statistischen Auswertung von Gruppenverhalten durch Mobilfunknetzbetreiber. Soweit es sich um wirksam anonymisierte Daten handelt, stehen die Regelungen des Datenschutz- bzw. Telekommunikationsgesetzes nicht dagegen. Das ist der Fall, wenn die Daten so aggregiert sind, dass sie nicht ohne Weiteres auf bestimmte Personen zurückgeführt werden können. Sie sind in dieser Form geeignet, um Informationen über die Wirksamkeit von Maßnahmen gegen die Ausbreitung des Virus zu liefern. Für die Überwachung, ob es sich hierbei um anonymisierte Daten handelt, ist der BfDI zuständig. Hinsichtlich der Anonymisierung der eigenen Mobilfunkdaten durch den Mobilfunkanbieter steht Betroffenen ein Widerspruchsrecht gemäß Art. 21 Abs. 1 DSGVO zu. Teilweise bieten die Netzbetreiber auch einfache und datensparsame Abmeldemöglichkeiten, um die eigenen Daten von der anonymen Nutzung auszuschließen (vgl. Portale bei Telefonica und der Telekom).

Die Bundesregierung hat, auch nach Kritik von Seiten des Datenschutzes, bislang auf die geplante gesetzliche Möglichkeit verzichtet, Kontaktpersonen von Infizierten per Handyortung zu ermitteln.

Die Hamburger Gesundheitsämter unterliegen als bezirkliche Einrichtungen den Bestimmungen der DSGVO und des Hamburgischen Landesdatenschutzgesetzes (HmbDSG) sowie den bereichsspezifischen Datenschutzregelungen des IfSG.

Danach dürfen Gesundheitsämter neben den ihnen zu meldenden Angabe (s. dazu oben) weitere im Zusammenhang mit der Bekämpfung des Coronavirus erforderliche Informationen, insbesondere über die Erkrankung, die Ursachen, Behandlung Ansteckungsquellen und Kontaktpersonen, ggf. die Tätigkeit des Erkrankten, seine Betreuung, Unterbringung oder Behandlung in einer Gesundheits- oder Gemeinschaftseinrichtung, eigene Untersuchungsdaten erheben und verarbeiten.

Wird das RKI auf Ersuchen einer oder mehrerer Landesgesundheitsbehörde im Wege der Amtshilfe zur Bekämpfung von schwerwiegenden übertragbaren Krankheiten tätig, darf es die für die Amtshilfe erforderlichen personenbezogenen Daten verarbeiten.


Verarbeitung personenbezogener Covid-19-Daten durch den stationären Handel und Unternehmen mit Publikumsverkehr

Seit 05.02.2022 ist die Pflicht weggefallen, Namen und Kontaktdaten der Gäste von Restaurants, Veranstaltungen und anderen Einrichtungen zu erfassen. Mit dem Wegfall der Rechtspflicht dürfen diese Daten auch nicht mehr erhoben werden. Dies gilt sowohl für die Erfassung auf Papierbögen als auch für die Aufforderung, sich durch Abscannen eines QR-Codes (z.B. der Luca-App) zu registrieren.

Lediglich wenn die betroffenen Gäste dies ausdrücklich wünschen, dürfen Kontaktdaten zur Warnung von Infektionskontakten erfasst werden. In dem Fall ist jeweils eine Einwilligung einzuholen und zu dokumentieren. Wenn Gäste sich freiwillig entscheiden, ihre Kontaktdaten zu hinterlassen, weil sie im Fall eines Infektionskontakts später von der Einrichtungsleitung kontaktiert werden möchten, dann steht der Datenschutz dem nicht entgegen. Die Einrichtungen sind jedoch nicht verpflichtet, einen solchen Service anzubieten. Kundinnen und Kunden, die dies nicht ausdrücklich wünschen, sind von einer solchen fakultativen Erhebung auszunehmen.

Mit dem Wegfall der Pflicht zur Kontaktdatenerfassung hat auch die alternative Erfassung über die Luca-App ihre rechtliche Grundlage verloren. Sie erfüllt auch keinen praktischen Nutzen mehr, da die Gesundheitsämter die Checkin-Daten nicht mehr auswerten.

Das Personal der besuchten Einrichtungen darf daher nicht mehr verlangen, dass sich Gäste mit der Luca-App einchecken. Die QR-Code-Aufkleber sollten entfernt werden, um nicht den Anschein zu erwecken, die Einrichtung würde zur Nutzung auffordern. Sie können gegebenenfalls durch QR-Codes der Corona-WarnApp ersetzt werden (s.u.).

Möchten Nutzer:innen die Luca-App nicht mehr nutzen und von ihrem Smartphone entfernen, sollten zuvor ihren Account löschen. Dadurch ist sichergestellt, dass ihre Registrierungsdaten auch vom Server des Betreibers entfernt werden. Um den Account zu löschen, klickt man in der App unten rechts auf „Account“ und in der danach erscheinenden Ansicht ganz unten auf „Account löschen“.

Die datenschutzfreundliche Corona-WarnApp kann auch nach Wegfall der Pflicht zur Kontaktdatenerfassung weiterhin auf freiwilliger Basis genutzt werden. Sie erfüllt weiterhin ihren Zweck, weil alle durch die App ermittelten Kontakte infizierter Personen weiterhin gewarnt werden. Dass die Konktaktnachverfolgung durch die Gesundheitsämter nur noch in Ausnahmefällen erfolgt, hat darauf keine Auswirkungen.

Gastronom:innen sowie Leitungen anderer Einrichtungen können QR-Codes der Corona-WarnApp aushängen. Deren Nutzung durch ihre Gäste ist jedoch freiwillig.

Teilweise werden Personen Erleichterungen von den Corona-Maßnahmen gewährt, die vollständig gegen das Coronavirus geimpft bzw. genesen sind oder über einen aktuellen negativen Coronatest verfügen. Dies ergibt sich aus der HmbSARS-CoV-2-EindämmungsVO und der COVID-19-Schutzmaßnahmen-Ausnahmenverordnung des Bundes und betrifft insbesondere Konzerte und andere Veranstaltungen in geschlossenen Räumen, Innengastronomie, Fitnessstudios sowie Körperpflege- und Friseurdienstleistungen. Die entsprechenden Leistungen dürfen nur bei Vorlage des Testergebnisses, Impf- oder Genesenennachweis erbracht werden. Daher sind die Dienstleisterinnen und Dienstleister verpflichtet und berechtigt, die betreffenden Bescheinigungen einzusehen. Eine Kopie ist nicht anzufertigen und auch ansonsten keine Dokumentation darüber anzufertigen, welcher persönliche Befreiungsgrund vorliegt. Auch ist durch die Organisation vor Ort darauf zu achten, dass andere Gäste keine Kenntnis davon erhalten, ob eine Person geimpft, genesen oder getestet ist.

Die Betriebsinhaberin oder der Betriebsinhaber sind für die Einhaltung des Datenschutzes gemäß Art. 4 Nr. 7 DSGVO selbst verantwortlich. Führt die Betriebsinhaberin oder der Betriebsinhaber einer Gaststätte die Kontaktdaten der Gäste auf einer Liste und lässt diese offen für alle sichtbar ausliegen (z.B. am Eingang/ Tresen oder an der Theke), so stellt dies einen Verstoß gegen die DSGVO dar, insbesondere als unzulässige Offenlegung und als Verstoß gegen die Datensicherheit. Denn die verantwortlichen Stellen, das sind die Betriebsinhaberin oder der Betriebsinhaber, müssen die Daten vor dem Zugriff Unberechtigter schützen und sicher aufbewahren.

Die technikgestützte Kontrolle ist grundsätzlich erlaubt, weil § 10j Abs. 1 Satz 2 HmbSARS-CoV-2-EindämmungsVO die Verwendung einer Anwendungssoftware explizit empfiehlt. Insbesondere nennt die Rechtsverordnung die CovPassCheck App des RKI. Da die CovPassCheck grundsätzlich als datenschutzfreundlich eingestuft werden kann (siehe unten), hat der Hamburgische Verordnungsgeber die Öffnungsklausel des Art. 6 Abs. 3 DSGVO in zulässiger Weise genutzt.

Stellen, die zur Kontrolle des 2G-Status ihrer Kundinnen und Kunden verpflichtet sind „sollen in der Regel“ eine geeignete Anwendungssoftware dafür benutzen (§ 10j Abs. 1 Satz 2 HmbSARS-CoV-2-EindämmungsVO). Die technikgestützte Kontrolle ist damit nicht zwingend. Jedoch verpflichtet die Verordnung die betreffenden Einrichtungen dazu, sowohl eine solche Software als auch ein entsprechendes Endgerät bereitzuhalten (§ 10j Abs. 1 Satz 2).

Beim Abscannen des QR-Codes überprüft die App, ob es sich um ein gültiges Zertifikat handelt. Die kontrollierende Person bekommt dann durch ein Bildsymbol angezeigt, ob es gültig oder nicht gültig ist. Darüber hinaus werden Name und Geburtsdatum angezeigt, damit diese Daten mit dem Lichtbildausweis abgeglichen werden können.

Es findet keine Datenübertragung, keine dauerhafte Speicherung und keine statistische Erfassung o.ä. statt. Die eingelesenen Daten werden nur solange in der App angezeigt, bis sie nach der Sichtkontrolle weggeklickt werden oder der nächste Scanvorgang erfolgt. Danach sind keine Daten zu dem Prüfvorgang mehr vorhanden. Der Abgleich erfolgt vollständig innerhalb der App, die direkt Zugriff auf die Kamera des Smartphones nimmt. Ein Auslesen der Inhalte durch das Betriebssystem ist nicht möglich. Die Software ist quelloffen und nachvollziehbar dokumentiert. Nähere Informationen sind unter digitaler-impfnachweis-app.de/technische-details/ zu finden.

Nein. Bei der Kontrolle des 2G/3G-Status von Kundinnen und Kunden dürfen keine Kopien angefertigt werden. Auch die teilweise von Vereinen erbetene Zusendung des 2G/3G-Nachweises per E-Mail vor Betreten der Vereinsräume stellt eine unzulässige Datenerhebung dar.

Die Erfassung von Impf-, Genesenen- oder Testnachweisen darf nur erfolgen, soweit dies in der betreffenden Einrichtung nach der HmbSARS-CoV-2-Eindämmungsverordnung oder anderen Gesetzen vorgesehen ist. Es handelt sich um eine besonders eingriffsintensive Maßnahme, die in der Regel nicht auf Grundlage der allgemeinen Interessenabwägung des Art. 6 Abs. 1 lit. f DSGVO zu rechtfertigen ist. Insbesondere genügt das Hausrecht nicht, da es für sich genommen keine datenschutzrechtliche Rechtsgrundlage darstellt und im Rahmen einer Abwägung nicht zur erzwungenen Preisgabe von Gesundheitsdaten legitimiert.

Dies gilt jedoch nur, soweit der Anwendungsbereich der DSGVO eröffnet ist. Dieser setzt eine automatisierte bzw. strukturiert dokumentierte Datenverarbeitung voraus, die nicht der sogenannten Haushaltsausnahme des Art. 2 Abs. 2 lit. c DSGVO unterfällt. Privatpersonen dürfen sich daher dafür entscheiden, lediglich solche Freunde und Bekannte bei sich empfangen, die ihren 2G- bzw. 3G-Status offenlegen.

Die in der Hamburgischen SARS-CoV-2-Eindämmungsverordnung (HmbSARS-CoV-2-EindämmungsVO) enthaltenen Regelungen sind mit einem einheitlichen Katalog an Ordnungswidrigkeitsverstößen (vgl. § 62 Abs. 1 HmbSARS-CoV-2-EindämmungsVO, gültig ab dem 27.05.2020) und entsprechenden Bußgeldregelsätzen (vgl. § 62 Abs. 2 HmbSARS-CoV-2-EindämmungsVO) versehen worden. Diese Verstöße stellen Ordnungswidrigkeiten nach § 73 Abs. 1a Nr. 24 i. V. m. § 32 IfSG dar und werden von der zuständigen Behörde (Gesundheitsbehörde) geahndet. Wenn die sachlich zuständige Behörde nicht handeln kann (beispielsweise am Wochenende oder weil nicht genug Außendienstpersonal vorhanden ist), ist die Polizei zuständig.

Gaststätten und Kantinen dürfen, soweit ihr Betrieb nicht ohnehin untersagt ist, nur dann geöffnet werden, wenn sie ihre Pflicht aus § 15 Abs. 4 Nr. 2 HmbSARS-CoV-2-EindämmungsVO nicht nachkommen. Danach sind zum Zweck der Nachverfolgung von Infektionsketten die Kontaktdaten der Gäste unter Angabe des Datums zu erfassen, die Aufzeichnungen sind vier Wochen aufzubewahren und der zuständigen Behörde auf Verlangen vorzulegen und die Daten nach Ablauf der Aufbewahrungsfrist zu löschen. Öffnet eine Gaststätte ohne diese Vorkehrungen, ist dies bußgeldbewährt.

Aufgabe des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) als Datenschutzaufsichtsbehörde ist es, die Einhaltung der Gesetze zum Datenschutz zu kontrollieren und bei Nichteinhaltung mit entsprechenden Sanktionen zu reagieren. Im Zusammenhang mit der HmbSARS-CoV-2-EindämmungsVO und dem InfSG kontrolliert der HmbBfDI daher ausschließlich, ob sich die Betriebsinhaberin oder der Betriebsinhaber einer Gaststätte an die „Regeln des Datenschutzrechts“ halten. Bislang wurden in Fällen, in denen Verstöße gemeldet wurden, die verantwortlichen Stellen binnen kürzester Zeit kontaktiert und angewiesen, die Namen vor der Einsichtnahme unbefugter dritter Personen zu schützen.

Die wichtigsten Regeln zur rechtskonformen Speicherung und Verarbeitung personenbezogener Daten (z.B. bei Erhebung, Speicherung, Übermittlung, Löschung etc.) finden sich in der Datenschutz-Grundverordnung (DSGVO) wieder, insbesondere in Art. 5 DSGVO. Im Einzelnen ist sicherzustellen, ob es eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten gibt (Rechtmäßigkeit der Verarbeitung), ob die Verarbeitung dem Zweck angemessen sowie auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt ist (sog. Datensparsamkeit), ob die Daten für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden (sog. Zweckbindung), ob die Datensicherheit gewährleistet ist und ob die Datenverarbeitung transparent ist (Ausfluss des Transparenzgebotes ist die Datenschutzerklärung gem. Art. 13 DSGVO).

Nein. Die bis Ende Juni 2020 gültige HmbSARS-CoV-2-EindämmungsVO enthielt noch eine missverständliche Formulierung, in die manche eine solche Pflicht hineingelesen haben. Die Bestimmung wurde in der Fassung vom 30.06.2020 entfernt. Gastronomen sind nur noch verpflichtet, ihre Tische so anzuordnen, dass das Abstandsgebot von allen Gästen eingehalten werden kann, die ihm gegenseitig unterfallen.

Die Befragung von Kunden oder Besuchern von Ladenlokalen nach Krankheitssymptomen ist unzulässig. Die Einrichtungen sind auch nach der Hamburgischen SARS-CoV-2-Eindämmungsverordnung lediglich gehalten, anwesende Personen durch schriftliche oder bildliche Hinweise aufzufordern, die Verkaufsfläche im Fall des Auftretens von Symptomen einer akuten Atemwegserkrankung nicht zu betreten. Eine Zugangsverwehrung ist gesetzlich hingegen nur dann gefordert, wenn Personen entgegen ihrer Verpflichtung beim Betreten der Verkaufsfläche keine Mund-Nasen-Bedeckung tragen. Daneben ist allenfalls die Frage (nicht aber die Dokumentation), ob eine tatsächliche Covid-19-Infektion besteht, mit der Folge einer Zugangsverweigerung möglich, da diese Personen ohnehin keine öffentlichen Orte betreten dürfen.

Eingangsscreening auf Risikoexposition und/oder Symptome, um das Risiko einer Übertragung und großer bzw. schwerer Folgeausbrüche zu verringern, sind zur Zeit nicht erfolgversprechend, da es nach den bisherigen Erkenntnissen keine spezifischen Krankheitszeichen gibt, mit denen Träger des Covid-19-Virus frühzeitig erkannt werden können. Fragen nach Krankheitssymptomen wie Fieber, Husten, Schnupfen oder Halsschmerzen lassen also nicht verlässlich erkennen, ob eine Infektion vorliegt. Trotz respiratorischer Symptome ließen sich bei bisher untersuchten Personen ebenso auch keine Infektionen nachweisen.

Eingangsscreenings mit symptom- und/oder kontaktbasierten Fragen an die Besucher/Kunden können Infizierte somit nicht wirklich identifizieren. Im Übrigen handelt es sich um Gesundheitsdaten, deren Verarbeitung gem. Art. 9 DSGVO nur in streng geregelten Fällen erlaubt ist. Von den Ausnahmetatbeständen kommt nur die Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO in Betracht. Diese muss freiwillig geschehen, es darf also nicht der Zugang von ihr abhängig gemacht werden.

Dasselbe gilt auch für Messungen der Körpertemperatur von Kundinnen und Kunden. Weder der Einsatz von Wärmebildkameras noch von digitalen Fiberthermometern zur Feststellung von Krankheitssymptomen ist zulässig bzw. kann allenfalls als freiwilliger Service angeboten werden.

Von daher sind statt dieser Maßnahmen die Besucher/Kunden wie gesetzlich gefordert bereits im Eingangsbereich durch Aufstellen oder Aushändigung von Hinweisschildern/-blättern darauf hinzuweisen, dass sie bei Vorliegen von akuten respiratorischen Symptomen aufgefordert werden, das Unternehmen aus Gründen der Sicherheit für die Mitarbeiter und anderen Besucher/Kunden nicht zu betreten.


Covid-19 im Beschäftigtenverhältnis

Seit dem 20 März 2022 entfällt die „3G-Nachweispflicht“ am Arbeitsplatz. Grund hierfür ist eine Änderung des Infektionsschutzgesetzes und der Wegfall des §28b IfSG a.F. Dies bedeutet, dass Arbeitgeber:innen keine 3G Daten mehr von Ihren Beschäftigten abfragen dürfen.

Mit dem Wegfall der Rechtsgrundlage stellt sich zudem die Frage, welche Auswirkungen diese Änderungen auf bereits erhobene Gesundheitsdaten im Zuge der damaligen Datenerhebungen haben. Grundsätzlich gilt, dass die personenbezogenen Daten zu löschen sind, wenn Sie zur weiteren Aufgabenerfüllung nicht mehr benötigt werden und keine gesetzlichen Speicherungs- oder Aufbewahrungsfristen entgegenstehen. Es gelten hierbei die datenschutzrechtlichen Grundsätze der Zweckbindung, Erforderlichkeit und Datenminimierung gem. Art. 5 Abs. 1 lit. b, c, e DSGVO.

Nach der inzwischen entfallenen Regelung waren die erhobenen Daten spätestens nach 6 Monaten zu löschen. Nach Wegfall des § 28b IfSG a.F. sieht der HmbBfDI keine grundsätzlich einschlägigen Rechtsgrundlagen für die weitere Speicherung. Im Grundsatz bedeutet das, dass solche personenbezogenen Daten, die bis zum Ablauf des 19. März 2022 verarbeitet wurden, unverzüglich zu löschen sind. Die Löschung muss hierbei datenschutzkonform durchgeführt und dokumentiert werden.

Beschäftigte unterliegen grundsätzlich keiner Pflicht, Ihrem Arbeitgeber Diagnosen oder Krankheitssymptome zu offenbaren. Im Fall einer allgegenwärtigen Pandemie sind davon Ausnahmen denkbar. Die Fürsorgepflicht des Arbeitgebers gebietet es, Maßnahmen zu treffen, um Mitarbeiterinnen und Mitarbeiter vor Infektionen zu schützen. Um Kontakte mit potentiell infektiösen Kolleginnen und Kollegen zu vermeiden, ist es in der aktuellen Pandemiesituation nicht zu beanstanden, wenn vor Betreten des Arbeitsplatzes erfragt wird, ob die betroffene Person

  • selbst mit dem Covid-19-Virus infiziert ist sind oder im Kontakt mit einer nachweislich infizierten Person stand oder
  • sie sich im relevanten Zeitraum in einem vom Robert Koch Institut als Risikogebiet eingestuften Gebiet aufgehalten hat.

Nicht erlaubt ist beispielsweise die offen gestellte Frage, in welchem Land eine Urlaubsabwesenheit verbracht wurde oder mit welchen Personen der Betroffene in Kontakt stand. Eine Negativauskunft des Betroffenen, dass die oben genannten Punkte auf ihn nicht zutreffen, ist ausreichend. Alternativ zur individuellen Abfrage kann auch verlangt werden, dass Beschäftigte sich aktiv melden, wenn sie einen der oben genannten Punkte erfüllen.

Es handelt sich um eine Abfrage von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO. Diese ist, wenn aufgrund der Ausgestaltung des Arbeitsplatzes mit Ansteckungen zu rechnen ist, gerechtfertigt nach § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b DSGVO.

In Arbeitsumfeldern mit besonders engem Kontakt ist in der derzeitigen Lage auch ausnahmsweise die Messung der Körpertemperatur oder das Erfragen von Covid-19- sypzifischen Symptomen denkbar. Dasselbe gilt für Mitarbeiterinnen und Mitarbeitern in Einrichtungen, die für die akute Versorgung der Bevölkerung unverzichtbar sind, etwa Krankenhäuser oder Medizinproduktehersteller. In diesen Fällen sind nicht die konkret erfragten Informationen wie Krankheitssymptome oder die Körpertemperatur zu speichern, sondern lediglich die Information, dass aufgrund des Eingangs-Checks der Betroffene aufgefordert wurde, sich für einen definierten Zeitpunkt nicht an die Arbeitsstätte zu begeben.

Die Identitäten positiv auf Covid-19 getesteter Kolleginnen und Kollegen sind vertraulich zu behandeln, soweit dies ohne Gesundheitsgefahren für andere möglich ist. Die Tatsache, dass ein Betroffener Träger des Virus ist, kann sehr stigmatisierende Wirkung haben. Daher ist die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen erforderlich ist.

Dabei ist je nach Empfängerkreis der Information differenziert vorzugehen. Je nach Unternehmensgröße wird es in der Regel für die meisten Kolleginnen und Kollegen sowie gegebenenfalls für Externe ausreichend sein, zu wissen, dass eine unbenannte Person aus einer konkreten Abteilung positiv getestet wurde. Gegebenenfalls sind Zusatzinformationen sinnvoll, etwa an welchen Tagen die Person anwesend war, an welchen Meetings sie teilgenommen hat und welche Gemeinschaftseinrichtungen (z.B. Kantine, Bibliothek) sie genutzt hat. Innerhalb der Abteilung wird je nach Abteilungsgröße eine weitere Differenzierung nach untergeordneten Organisationseinheiten möglich sein. Bei Personen, die direkten Kontakt hatten, kann die zielgerichtete Offenlegung der Identität erforderlich sein. Dies betrifft beispielsweise Personen, die sich ein Bürozimmer teilen oder solche, bei denen es wahrscheinlich ist, dass ein Händedruck stattgefunden hat. Die Zulässigkeit folgt dann aus § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b DSGVO.

Beschäftigte sind auch in der aktuellen Situation in der Regel nicht verpflichtet, dem Arbeitgeber ihre private Telefonnummer oder E-Mail-Adresse mitzuteilen. Aufgrund der derzeitigen betrieblichen Planungsunsicherheiten kann es jedoch vielfach im Interesse der Beschäftigten sein, kurzfristig auf diesen Kanälen über Beschränkungen am Folgetag informiert zu werden. Daher ist es zulässig, wenn Arbeitgeber von denjenigen Kolleginnen und Kollegen, die dies wünschen, auf Einwilligungsbasis Telefonnummern und E-Mail-Adressen einholen und diese nur für die Dauer der Pandemiesituation abspeichern. Wichtig ist, dass die Teilnahme freiwillig geschieht und diskriminierungsfrei erfolgt. Eine Weigerung muss also möglich sein, ohne dass berufliche Nachteile drohen. Wer seine privaten Kontaktdaten nicht offenbaren möchte, darf nicht vom Informationsfluss abgeschnitten sein. Es ist dann aber nachvollziehbar, dass dann die Information erst später an den Betroffenen gelangt. Dies kann geschehen, indem der Betroffene sich aktiv telefonisch oder im Internet erkundigt oder zum Beispiel am folgenden Arbeitstag durch einen Aushang am Firmeneingang über Einschränkungen, eine temporäre Betriebsschließung oder andere Maßnahmen informiert wird. Die Freiwilligkeit der Einwilligung folgt abhängig von den konkreten Umständen aus § 26 Abs. 2 S. 2 BDSG, wenn die Arbeitnehmerin oder der Arbeitnehmer durch die Abgabe der Einwilligung einen zeitlichen Vorteil erzielen möchte. Wichtig ist, dass der Zweck der Erhebung klar kommuniziert wird und die Kontaktdaten dann auch nur zu dem Zweck verwendet werden. Zudem muss die Einwilligung jederzeit ohne Angabe von Gründen und ohne diskriminierende Folgen widerruflich sein. Dann sind die auf diese Weise erhobenen Kontaktdaten durch den Arbeitgeber zu löschen.

Wie oben bereits ausgeführt, unterliegen Beschäftigte grundsätzlich keiner Pflicht, Ihrem Arbeitgeber Diagnosen oder Krankheitssymptome zu offenbaren. Auch wenn das Interesse des Arbeitgebers nachvollziehbar ist, herauszufinden welche Beschäftigten (beispielsweise aufgrund bestimmter Vorerkrankungen) zu einer Risikogruppe gehören und damit besonderer Schutzmaßnahmen bedürfen, rechtfertigt dies keine allgemeine Abweichung vom obigen Grundsatz. Vielmehr bleibt es dabei, dass der Arbeitgeber die Preisgabe sensibler Gesundheitsdaten über spezifische Anfälligkeiten grundsätzlich nicht verlangen kann. Etwas anderes gilt jedoch, soweit Beschäftigte von sich aus auf Vorerkrankungen hinweisen, um besondere Schutzmaßnahmen wie bevorzugte Home-Office-Gewährung zu erlangen. In diesem Fall darf der Arbeitgeber die entsprechenden Daten verarbeiten, hat sie aber nach § 26 Abs. 3 S. 3 BDSG i.V.m. § 22 Abs. 2 BDSG angemessen zu schützen. Diese Regelungen zeigen, dass es in der eigenen Verantwortung des jeweiligen mündigen Beschäftigten liegt, darüber zu entscheiden, ob eine Preisgabe der Daten für ihn sinnvoll erscheint oder nicht.


Googles Android-Update zur Funktion 'Benachrichtigung zu möglicher Begegnung mit COVID-19-Infizierten'

Nein. Google hat ein Update der Google Play Dienste herausgebracht, das eine Schnittstelle (ein sogenanntes Application Programming Interface – kurz „API“) für zukünftige Software (Apps) bereitstellt. Die Google Play Dienste sind ein Software-Paket, das diverse Google-Dienste unterstützt.

Auch Apple hat mit seinem Update auf die Version 13.5 die technische Grundlage für die sog. „Corona-App“ gelegt. Über solche Schnittstellen können Apps auf Funktionen des Smartphone-Betriebssystems zugreifen. Smartphone-Betriebssysteme haben eine Vielzahl von Schnittstellen, die Apps für sich nutzen können, beispielsweise der Zugriff auf Bluetooth, die Abfrage von GPS-Standortdaten, die Nutzung der Kamera oder des Mikrofons.

Die nunmehr im Zusammenhang mit der Pandemie hinzugefügte Schnittstelle hat das sog. „Exposure Notification Framework“ umgesetzt. Wie andere Schnittstellen auf Ihrem Smartphone auch, soll diese Funktion nur durch installierte Apps nutzbar sein. Damit es zum Austausch von Daten kommt und die Schnittstelle wirklich aktiv wird, muss eine entsprechende „Corona-App“ heruntergeladen und installiert werden. Allerdings haben Google und Apple den Zugriff auf die neue Schnittstelle zum Exposure Notification Framework beschränkt, sodass nur staatlich zertifizierte Apps auf die Schnittstelle zugreifen dürfen. In Deutschland wird es die „Corona-App“ sein, die im Auftrag des Gesundheitsministeriums von der deutschen Telekom und dem Software-Konzern SAP entwickelt wird. Nähere Informationen finden Sie auf https://www.coronawarn.app/de/

Nein. Jedenfalls nicht durch die neue Schnittstelle für „Corona-Apps“. Die neue Schnittstelle kann – anders als andere wie z.B. die zur Kamera, zum Mikrofon oder zur Positionsortung – nicht durch jede beliebige installierte App genutzt werden. Stattdessen können nur speziell zertifizierte Apps diese Schnittstelle nutzen. Dies dient gerade dazu sicherzustellen, dass nur die staatlich entwickelten Apps die Funktion nutzen können und Zugriff auf die Daten haben.

Sofern Sie die „Corona-App“ installiert haben und diese verwenden, werden mit anderen Geräten in Ihrer Nähe IDs ausgetauscht. Diese IDs werden in regelmäßigen Abständen neu erzeugt und enthalten darüber hinaus keine Informationen zu Ihrer Person, wie Ihren Namen oder Ihre Telefonnummer, die eine Identifizierung leicht ermöglichen würden.

Auf dem Android-Betriebssystem wurde die Schnittstelle durch ein Update der Google Play Dienste installiert, nicht durch ein generelles Update des Android-Betriebssystems. Dieser Weg wurde gewählt, da für Android eine Vielzahl von Smartphone- und Tablet-Hersteller und entsprechend viele verschiedene Betriebssystemversionen – teils sehr veraltet – in der Praxis genutzt werden. Ein Update des Betriebssystems selbst hätte zur Folge, dass viele Nutzerinnen und Nutzer die Funktion gar nicht oder nur sehr verspätet erhalten würden. Der Weg über die Play Dienste führt zu einer besseren Verbreitung der Funktion. Die Play Dienste werden in der Regel auf jedem Gerät automatisch aktualisiert, gleiches gilt häufig auch für Apps. Es bleibt nach unserer Kenntnis dabei, dass die Schnittstelle nicht aktiv ist, solange keine entsprechende App installiert ist.

Google selbst hat, wie auch Apple, Informationen zum Update bereitgestellt und die Funktionsweise der Schnittstelle offengelegt. Denn nur durch eine offene Kommunikation und Transparenz kann ein Vertrauen in die Funktionsweise erreicht werden. Aktuelle Informationen finden Sie in der Android-Hilfe von Google.

Auf Apple-Geräten wird hingegen die Schnittstelle mit dem iOS-Update Version 13.5 installiert. Da hier nicht das Problem der Vielzahl unterschiedlicher Hersteller besteht, ist dieser Weg für iOS möglich.

Nein. Jedenfalls nicht durch die neue Schnittstelle für „Corona-Apps“. Die neue Schnittstelle kann nicht durch jede beliebige installierte App genutzt werden. Stattdessen können nur speziell zertifizierte Apps diese Schnittstelle nutzen. Dies dient gerade dazu sicherzustellen, dass nur die staatlich entwickelten Apps die Funktion nutzen können und Zugriff auf die Daten haben.

Alle Daten, die über die Schnittstelle zum Erfassen möglicher Kontakte von Ihrem Gerät und den Geräten anderer Menschen gesammelt werden, werden nicht mit Google oder Apple geteilt. Ein Datenaustausch findet ausschließlich mit den staatlich betriebenen Servern statt, die zur Unterstützung der „Corona-Apps“ eingerichtet werden. Von diesen erhält Ihr Gerät die Information, ob eine Person, zu der Sie aufgrund der räumlichen Nähe möglicherweise einen ansteckungsgefährlichen Kontakt hatten, mit Covid-19 infiziert ist. Diese Information wird von der entsprechenden App auf Ihrem Gerät generiert und verlässt dieses nicht. Sie können infolge der Benachrichtigung selbstständig entscheiden, sich in eine Quarantäne zu begeben, um möglichst auszuschließen, dass Sie weitere Personen infizieren.

Dass eine Software-Schnittstelle durch Google und Apple bereitgestellt wird, führt zu einer schnellen Verfügbarkeit für alle Menschen, die diese Funktion nutzen wollen. Da nahezu jedes genutzte Telefon oder Tablet entweder mit iOS oder Android läuft, ist so eine maximale Erreichbarkeit möglich. Die weiteren App-Entwicklungen oder das Betreiben der unterstützenden App-Server liegen nicht mehr in den Händen von Google oder Apple. Um Kompatibilität zwischen Geräten mit iOS und Android zu gewährleisten war zudem eine Zusammenarbeit zwischen Apple und Google nötig. Ohne diese hätte einem Projekt wie der deutschen „Corona-App“ die technische Grundlage gefehlt.

Um Missbrauch auszuschließen, kann nicht jede beliebige Person dem App-Server eine Infektion melden. Die Meldung erfolgt auf freiwilliger Basis aus der App heraus mit einer einmalig nutzbaren Transaktionsnummer (TAN), die mit dem Test ausgetellt wird. Die Meldung an den App-Server entbindet zudem nicht von der amtlichen Meldepflicht der Erkrankung gemäß § 6 (1) Nr. 1 t) Infektionsschutzgesetz. Sie trägt aber dazu bei, andere Menschen vor einer möglichen Infektion zu warnen und kann damit potentiell die unkontrollierte erneute Verbreitung von Infektionen verhindern.

Weitere Informationen zur Corona-App in Deutschland wird der BfDI im Pressebereich seiner Website am Montag, den 15.06.2020, als Pressemitteilung veröffentlichen.


Weitere Hilfestellungen

Am 30. April 2022 läuft die Hotspot-Regelung in Hamburg aus. Viele gesetzliche Maßnahmen zur Eindämmung des Coronavirus finden damit in Hamburg ein Ende. Auch zahlreiche Befugnisse und Pflichten zur Erfassung personenbezogener Daten sind mit der schrittweisen Aufhebung der Corona-Verordnungen weggefallen. Diese neue Phase der Pandemie sollten alle Unternehmen und öffentlichen Stellen daher zum Anlass für eine Inventur ihrer „Corona-Datenbestände“ nehmen. Soweit noch nicht geschehen, sind die pandemiebedingten Datenerhebungen jetzt einzustellen. Vorhandene Datenbestände müssen nun überprüft und nicht mehr erforderliche Daten umgehend gelöscht werden.

Weitere Informationen:

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat am 13. März 2020 Informationen für Arbeitgeber und Dienstherren zum Umgang mit dem Datenschutz im Zusammenhang mit der Corona-Pandemie veröffentlicht. Die Datenschutzaufsichtsbehörden stellen darin klar, dass der Schutz personenbezogener Daten und Maßnahmen zur Bekämpfung der Infektion sich nicht entgegenstehen.

Die DSK-Hinweise können auf der Website des Bundesbeauftragten für Datenschutz und Informationsfreiheit heruntergeladen werden.

Der Europäische Datenschutzausschuss (EDSA bzw. EDPB) hat außerdem Informationen und ein offizielles Statement zum Datenschutz und Covid-19 auf ihrer Website veröffentlicht. Eine deutsche Übersetzung ist in Arbeit.

FAQ zum Thema Corona aus Baden-Württemberg (PDF)

Hinweise aus Schleswig-Holstein

Hinweise aus Bayern

Informationen der Kolleginnen und Kollegen aus Rheinland-Pfalz