Hinweise des Bundesdatenschutzbeauftragten zur Datenverarbeitung während der Corona-Epidemie
Grundsätze der Datenverarbeitung
- Allgemeine Prinzipien: Maßstab jeder Datenverarbeitung ist ihre Erforderlichkeit. Im Zusammenhang mit Corona sind insoweit die Zwecke des Gesundheitsschutzes der Angestellten und Bediensteten und die Erfüllung gesetzlicher Meldepflichten sowie die Orientierung am Grundsatz der Datenminimierung (Artikel 5 Absatz 1 Buchstabe c DSGVO) zu beachten. Wegen der Pandemie kann auch die Verarbeitung von solchen personenbezogenen Daten erforderlich sein, die mit den üblicherweise verarbeiteten Daten des Verantwortlichen nichts zu tun hat – wie zum Beispiel die Bitte um Angabe einer Handynummer.
- Die Befugnis zur Datenverarbeitung: Diese ergibt sich für Dienstherrn und öffentlich-rechtliche Arbeitgeber aus Art. 6 Absatz 1 Buchst. e DSGVO. Für Arbeitgeber im nichtöffentlichen Bereich ist dies in Art. 6 Absatz 1 Buchst. f DSGVO geregelt. Dabei müssen die konkreten Maßnahmen entweder nach Buchstabe e) im öffentlichen Interesse liegen oder nach Buchstabe f) den berechtigten Interessen des Verantwortlichen entsprechen. Anknüpfungspunkte sind insoweit die jeweiligen Fürsorgepflicht des Arbeitgebers/Dienstherrn gegenüber den Mitarbeitern. Somit müssen Arbeitgeber und Dienstherr auch den Gesundheitsschutz ihrer Beschäftigten sicherstellen. Umfasst hiervon sind auch Maßnahmen zur Verhinderung der Verbreitung von meldepflichtigen Krankheiten oder zur Sicherstellung der Nachverfolgbarkeit von Kontaktpersonen.
- Personenbezogene Daten: Auch die Verarbeitung von personenbezogenen Daten, die mit den üblicherweise verarbeiteten Daten des Verantwortlichen nichts zu tun haben, kann aus Anlass von COVID-19 erforderlich sein. Der Bundesdatenschutzbeauftragte beurteilt derzeit beispielsweise die Verarbeitung von folgenden Daten von Arbeitnehmern, Bediensteten aber auch von Besuchern eines Arbeitgebers oder Dienstherrn als unbedenklich:
- aktuelle Kontaktinformationen einschließlich Handynummer,
- wahrgenommene persönliche Kontakte innerhalb der Stelle,
- vorangegangener oder beabsichtigter Aufenthalt in einem Risikogebiet,
- vorangehende Kontakte zu vermeintlich erkrankten Personen und
- eigene Symptomfreiheit.
- Besondere Kategorien personenbezogener Daten: Auch für besondere Kategorien von personenbezogenen Daten, wie vor allem insbesondere Gesundheitsdaten, kann eine Rechtsgrundlage bestehen. Die Verarbeitungsbefugnis ergibt sich aus Artikel 9 Absatz 2 Buchstabe b und g DSGVO, da sich die Fürsorgepflicht aus dem Arbeits- und Dienstrecht ergibt. Im europäischen Recht umfasst der Begriff des Arbeitsrechts auch das deutsche Beamtenrecht.
- Löschung der Daten: Die Daten sind zu löschen, wenn der zugrundeliegende Verarbeitungszweck weggefallen ist. Beispielsweise können die Daten von Besuchern nach 1-3 Monaten wieder gelöscht werden, wenn beim Arbeitgeber oder Dienstherrn keine Ansteckungsfälle bekannt geworden sind.
Quelle: FAQ des Bundesbeauftragten für Datenschutz und Informationsfreiheit
PinG Privacy in GermanyWo Datenschützer ihre Nase reinsteckenHerausgeber: Prof. Niko Härting PinG Privacy in Germany – Die Zeitschrift für alle, die mit Datenschutz in Unternehmen zu tun haben und bei der regelkonformen Umsetzung stets auf der sicheren Seite sein wollen:
Prof. Niko Härting nimmt Grund- und Bürgerrechte in Zeiten von Corona mit seinen spannenden Gästen in den Blick. |
(ESV/cw)
Programmbereich: Wirtschaftsrecht