Bewegte Zeiten, die wir grade erleben. Einer vergleichbaren Situation sind wohl nur die allerwenigsten, wenn überhaupt, unter uns in ihrem Leben je gegenübergestanden. Dinge verändern sich, viele, viele Dinge. Prioritäten verschieben sich, temporär, vielleicht auch auf lange Sicht. Wir sind mit einer Einschränkung persönlicher Freiheiten konfrontiert, die sich in ihrem Ausmaß schwerlich vorstellen ließ. Im Sinne der Allgemeinheit, wohlgemerkt.

Wir nehmen diese Einschnitte und damit den Verlust gewisser Rechte in Kauf, aufgrund gesetzlicher Regelungen oder freiwillig, weil wir das als gerechtfertigt empfinden – um Verfahren und Maßnahmen zu vereinfachen und beschleunigen, zum Beispiel, zu unserem eigenen Besten und dem anderer. Dazu gehören naturgemäß auch Bestimmungen im Bereich Datenschutz, mit denen wir unter Umständen etwas freizügiger umgehen, damit Prozesse abgekürzt werden. Verständlich, punktuell gegebenenfalls sinnvoll. Aber das darf unter dem Deckmantel der Krise nicht ausgenutzt werden, grundsätzlich einen laschen Umgang mit personenbezogenen Daten zu pflegen oder gar Schindluder damit zu treiben.

Corona, SARS-CoV-2, COVID-19 – Gesundheitsdaten als heiße Ware

Denn genau bei der Thematik, die diese gegenwärtige Situation ausgelöst hat, beherrscht und formt, sind wir in einem Bereich, bei dem es schnell heikel werden kann, für jeden und jede EinzelneN. Gesundheitsdaten sind Informationen, die eine ganz besonders sorgfältige und umsichtige Behandlung erfordern. Viele Menschen reagieren zu Recht ausgesprochen sensibel darauf, wenn über sie diesbezügliche Details in Umlauf kommen, die sie nicht selbst in dieser Form preisgegeben haben. Umso mehr ist Achtsamkeit geboten, für Verarbeiter von Daten und Betroffene, das Datenschutzrecht sieht hier deshalb einen besonderen Schutz vor.

Ein paar Besonderheiten mit spezieller Relevanz momentan:

  • ArbeitgeberInnen trifft eine Sorgfaltspflicht ihren ArbeitnehmerInnen gegenüber, insbesondere hinsichtlich deren Gesundheit. Zulässig ist daher
    • zum einen die Erhebung persönlicher Kontaktdaten, um die Belegschaft über etwaige Vorkommnisse oder betriebliche Maßnahmen schnellstmöglich informieren zu können, also Verdachtsfälle, die Umstellung auf Home Office oder Ähnliches.
      Dies hat allerdings auf freiwilliger Basis zu geschehen, die Einwilligung der betroffenen Personen unter Angabe des Zwecks der Verarbeitung ist also jeweils einzuholen. Da gerade die DSGVO auf Praktikabilität in ihrer Umsetzung abstellt, kann das notfalls auf relativ unbürokratischem Weg erfolgen.
      Der Informationspflicht ist allerdings nachzukommen, und die Speicherung darf nur temporär erfolgen, nach Ende der Pandemie sind diese Daten unverzüglich zu löschen. Ohne nochmalige Nachfrage. Einige Persönlichkeitsrechte gelten schon noch.
    • zum anderen die Erhebung von Gesundheitsdaten, die mit der Pandemie in Verbindung stehen, z.B. über einen Aufenthalt in einem der Risikogebiete in der jüngeren Vergangenheit (dazu zählen etwa die Provinz Hobei in China, die italienische Lombardei, aber auch die jetzt unter Quarantäne stehenden Gebiete in Österreich), zum Kontakt mit Infizierten oder hinsichtlich einer eigenen Infektion. Aus mehreren Gründen ist hier keine Zustimmung vonnöten:
      • eben aufgrund der Fürsorge als Erfüllung einer rechtlichen Verpflichtung,
      • auf gleicher Basis im Sinne des öffentlichen Interesses, besonders der öffentlichen Gesundheit – nach dem Epidemiegesetz besteht die Pflicht zur Weitergabe dieser Daten an die Gesundheitsbehörde,
      • und zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person, wie der MitarbeiterInnen.
      • Die Wahrung der eigenen berechtigten Interessen des Arbeitgebers/der Arbeitgeberin ist angesichts all dieser Aspekte wohl ebenfalls leicht zu argumentieren, aber gar nicht mehr nötig…
      • Das Einholen einer Einwilligung könnte hier in der Folge zu rechtlichen Problemen führen, es ist also sogar tunlichst davon abzuraten. Die Verarbeitung dieser Daten ist aber natürlich nur in einem eng begrenzten Maß zulässig und zu anderen Zwecken als der Gesundheitsvorsorge, der Eindämmung des Virus und der Heilbehandlung nicht erlaubt. Auch diesfalls sind die Daten sofort zu löschen, wenn sie nicht mehr benötigt werden.
  • Bei einem Verdachtsfall während der Arbeit im Unternehmen sind auf jeden Fall die Behörden zu unterrichten (Tel. 1450) und dafür zu sorgen, dass nach Möglichkeit kein weiterer Kontakt anderer mit dieser Person stattfindet. Danach ist auf den Amtsarzt zu warten, und natürlich sollte man die Belegschaft informieren.
  • Eine Weitergabe der Daten kann nicht nur an die entsprechenden Behörden, sondern bei Notwendigkeit ebenso innerhalb des Unternehmens erfolgen. Zum Beispiel bei einem Verdachtsfall oder einer tatsächlichen Infektion, um die mit der betroffenen Person in Kontakt gestandenen Menschen zu eruieren und über deren eigene Gefährdung zu informieren. Allerdings immer nur im geringstnotwendigen Ausmaß! Unter Umständen reicht die Bekanntgabe, dass ein Fall im Unternehmen auftrat, nötigenfalls ist diese Information um weitere Details zu ergänzen – Abteilung, Stockwerk, konkrete Besprechung. Die Mitteilung, um welche Person es sich genau handelt, mag ein interessantes Thema für Gespräche untereinander sein, ist aber in der Regel nicht notwendig und daher zu unterlassen. Größtmögliche Vertraulichkeit ist oberstes Gebot.
  • Ähnlich verhält es sich bei Registrierung des Zugangs zum Unternehmen und eventuellen diesbezüglichen Kontrollen. Erstere ist grundsätzlich zulässig, weil ein berechtigtes Interesse besteht zu erfahren, wer sich zu welchem Zweck und eventuell zusätzlich im Zusammenhang mit welcher Person im Betrieb aufhält. Unter den jetzigen Umständen kommt hier auch noch die erwähnte Sorgfaltspflicht hinzu, um die eigenen ArbeitnehmerInnen vor Ansteckungsgefahr zu schützen (plus öffentliche Gesundheit etc.). Das begründet eine Erhebung von Gesundheitsdaten im Verdachtsfall bzw. die Kontrolle auf Verdachtsmerkmale. Dies beinhaltet Aufenthalt in Risikogebieten und Kontakt zu Verdachtsfällen oder Erkrankten, aber auch den Gesundheitszustand, also etwa Husten oder Fiebermessen. Werden die Daten hierbei nicht erhoben, also notiert oder sonstig gespeichert, ist dem Datenschutz (Verschwiegenheit der Überprüfenden vorausgesetzt) ohnehin bereits Genüge getan. Ansonsten ist auf die Informationspflicht zu achten. Sowie natürlich die Löschfrist. Eine Erhebung und Speicherung von Kontaktdaten der BesucherInnen zur Nachverfolgung und eventuellen Benachrichtigung kann nur auf Freiwilligkeit basieren.
  • Nachdem es jetzt vermehrt zum Einsatz von Home Office und anderer Arbeit über Remotezugriff kommt, auch noch ein paar Hinweise in dieser Sache: Hardware wie Laptops und Handys ist sicher aufzubewahren, der Zugang dazu mit starken Passwörtern oder Ähnlichem zu schützen. Gleiches gilt für mobile Datenträger, diese sind außerdem zu verschlüsseln. Achten Sie auf eine gut geschützte WLAN-Verbindung, besser noch wäre ein Zugang über ein verschlüsseltes VPN. Legen Sie besonderes Augenmerk auf Phishing-Versuche, diese können grade jetzt vermehrt unter Tarnung als Corona-Virus-bezogene Information auftauchen. Auch E-Mails sollten verschlüsselt werden, vorzuziehen sind interne Kommunikationssysteme. Schützen Sie personenbezogene Daten natürlicher Personen so gut als möglich vor unbefugtem Zugriff, Verlust, Schädigung und Zerstörung. Backups nicht vergessen.
Coronavirus und Datenschutz - Blogbeitrag Giefing web | media
Coronavirus und Datenschutz - Blogbeitrag Giefing web | media

Und vor allem: Passen Sie auf sich auf. Für sich und andere.
Wir wünschen Ihnen gute Gesundheit!

Wir sind alle im Homeoffice und erreichbar: Kontakt

Grundlegende Quellen: DSB (https://www.dsb.gv.at/)

Dataprotect (https://www.dataprotect.at/, diverse Beiträge)