Die Ausbreitung des Corona-Virus stellt Unternehmen vor eine Vielzahl von Herausforderungen gegenüber Mitarbeitern, Kunden, Lieferanten, Investoren und Finanzierungspartnern. Die Fragen betreffen auch den Datenschutz: Welche Rolle spielt der Datenschutzbeauftragte in der Corona-Krise? Was ist bei Datenschutzverletzungen und Anfragen von betroffenen Personen zu beachten? Wie kann die Kommunikation innerhalb des Unternehmens und mit Kunden datenschutzkonform ausgestaltet werden? Darüber hinaus ergeben sich aber auch im Rahmen der Wiederanlaufpläne datenschutzrechtliche Fragen, etwa welche Beschäftigten gefahrlos wiedereingesetzt werden können und welche Daten der Beschäftigten verwendet werden dürfen.
Welche Rolle spielt der Datenschutzbeauftragte?
Die Rolle des Datenschutzbeauftragten ist in Art. 37 ff. DSGVO gesetzlich normiert. Der Datenschutzbeauftragte hat den Verantwortlichen, die Auftragsverarbeiter und die Beschäftigten unter anderem über die Pflichten, die sich aus dem Datenschutzrecht ergeben, zu unterrichten und zu beraten. Außerdem ist er beispielsweise zuständig für die Überwachung des Datenschutzes und die Zusammenarbeit mit den Aufsichtsbehörden. Auch in der derzeitigen Krisensituation muss der Datenschutzbeauftragte die ihm übertragenen Aufgaben vollumfänglich erfüllen. Dazu muss der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle Fragen eingebunden werden, die mit dem Schutz personenbezogener Daten zusammenhängen. Unternehmen müssen die Rolle des Datenschutzbeauftragten beachten und diesen auch in der Krise bei der Erfüllung seiner Aufgaben unterstützen.
Was ist bei Datenschutzverletzungen zu beachten?
Im Fall einer Verletzung des Schutzes personenbezogener Daten hat der Verantwortliche nach Art. 33 DSGVO den Vorfall in der Regel innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Eine Ausnahme besteht nur, wenn der Vorfall voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die Meldung an die Aufsichtsbehörde darf von den Unternehmen unter keinen Umständen vernachlässigt werden. Auch während der Corona-Krise sind die entsprechenden Fristen einzuhalten. Im Fall einer Zuwiderhandlung drohen erhebliche Geldbußen von bis zu 10 Mio. Euro bzw. 2 % des Jahresumsatzes des vorangegangenen Geschäftsjahres (Art. 83 Abs. 4 DSGVO).
Was ist bei Anfragen einer betroffenen Person zu beachten?
Bedingt durch die aktuelle Situation hat eine Vielzahl von Personen mehr Zeit, sich mit Dingen zu beschäftigen, die normalerweise nicht ihre oberste Priorität genießen. Dazu zählen mitunter auch Anfragen von betroffenen Personen an den datenschutzrechtlich Verantwortlichen. In einigen Branchen ist bereits jetzt ein deutlicher Anstieg der Anfragen von betroffenen Personen zu beobachten. Diese können sowohl das Auskunftsrecht nach Art. 15 DSGVO als auch das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung nach den Art. 16-18 DSGVO betreffen. Die angesprochenen Unternehmen müssen auch hier die geltenden Fristen zur Erfüllung der Anfragen beachten. Eine Auskunft nach Art. 15 DSGVO ist z.B. in der Regel innerhalb eines Monats zu beantworten. Eine Berichtigung personenbezogener Daten nach Art. 16 DSGVO hat unverzüglich zu erfolgen. Eine unverzügliche Löschung nach Art. 17 DSGVO ist dagegen regelmäßig gegeben, wenn der Verantwortliche innerhalb von zwei Wochen tätig wird. Entscheidend sind stets die Umstände des Einzelfalls. Unternehmen müssen sicherstellen, dass sie von den betroffenen Personen auch während der Corona-Krise jederzeit erreicht werden können. Die genannten Fristen sollten auch aktuell eingehalten werden. Werden die Rechte der betroffenen Personen nicht beachtet, drohen dem Unternehmen erhebliche Geldbußen von bis zu 20 Mio. Euro bzw. 4 % des Jahresumsatzes (Art. 83 Abs. 5 DSGVO).
Wie können Kommunikationsplattformen für Videokonferenzen und Desk-Sharing datenschutzkonform genutzt werden?
Um den Geschäftsbetrieb auch während der Corona-Krise aufrechterhalten zu können, greifen viele Unternehmen auf unterschiedliche Softwarelösungen zurück. Videokonferenzen und Desk-Sharing können beispielweise persönliche Meetings oder Beratungsgespräche mit Kunden zumindest vorübergehend ersetzen. Bei dem breiten Angebot an verschiedenen Softwarelösungen ist es für Unternehmen nicht einfach, die unterschiedlichen Anbieter zu vergleichen. Da im Rahmen der Software personenbezogene Daten von Kunden und Beschäftigten verarbeitet werden, sollte ein besonderes Augenmerk auf eine datenschutzkonforme Softwarelösung gelegt werden. Relevant ist dabei insbesondere, ob eine Auftragsverarbeitung vorliegt, wo die Daten verarbeitet werden, welche technischen und organisatorischen Maßnahmen ergriffen werden und ob bzw. wie der Softwareanbieter den Verantwortlichen bei der Erfüllung von Anfragen der betroffenen Personen unterstützt.
Welche Beschäftigten können im Rahmen von Wiederanlaufplänen eingesetzt werden?
Werden die derzeitigen Beschränkungen nach der Corona-Krise wieder aufgehoben bzw. erleichtert, stehen die Unternehmen vor der Herausforderung, den Wiederanlauf geordnet und gleichzeitig so schnell wie möglich durchzuführen. Zentral ist die Frage, welche Beschäftigten dem Unternehmen zur Verfügung stehen. Zu berücksichtigen ist dabei, welche Beschäftigten gegebenenfalls schon erkrankt waren bzw. einer geringeren Risikogruppe angehören. Mit diesen Fragen sollten sich die Entscheidungsträger schon jetzt beschäftigen, um einen möglichst reibungslosen Wiederanlauf gewährleisten zu können. Aus datenschutzrechtlicher Sicht ist zu beachten, dass die Gesundheitsdaten zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO gehören. Nach § 26 Abs. 3 BDSG ist deren Verarbeitung im Beschäftigungsverhältnis rechtmäßig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist. Zudem darf kein Grund zu der Annahme bestehen, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Der Arbeitgeber ist nach § 618 BGB und § 3 ArbSchG zur Fürsorge verpflichtet. Um diese rechtliche Pflicht erfüllen zu können, muss der Arbeitgeber wissen, welcher seiner Beschäftigten mit dem Corona-Virus infiziert war und nun eine Immunität vorweisen kann. Auch ist eine Einteilung in Risikogruppen erforderlich, um die Beschäftigten bestmöglich schützen zu können. Folgende Fragen sind beispielsweise zulässig:
- Wurde eine Infektion bei Ihnen festgestellt?
- Haben Sie sich im relevanten Zeitraum in einem vom Robert-Koch-Institut als Risikogebiet eingestuften Gebiet aufgehalten?
- Hatten Sie Kontakt mit einer nachweislich infizierten Person?
Überwiegende schutzwürdige Interessen der betroffenen Personen scheinen angesichts der aktuellen Lage, der möglichen Überlastung des Gesundheitssystems und der sich daraus ergebenden Gefahr für die gesamte Bevölkerung nur schwer vorstellbar. Gleichzeitig muss mit den Gesundheitsdaten besonders zurückhaltend umgegangen werden. Die Daten müssen gesondert gelagert beziehungsweise abgespeichert werden und der Zugriff auf die Daten darf nur einem eng begrenzten Personenkreis möglich sein.
Dürfen private E-Mail Adressen und andere personenbezogene Daten für den Wiederanlauf genutzt werden?
Nicht jeder Beschäftigte ist im Home-Office oder mit betrieblichen Endgeräten ausgestattet, die ihm etwa einen Zugriff auf sein betriebliches E-Mail-Postfach oder das Telefonieren mit einem Firmenhandy ermöglichen. Nichtsdestotrotz müssen die Unternehmen ihre Beschäftigten erreichen können, um den Wiederanlauf zu organisieren. § 26 Abs. 1 BDSG scheidet als Rechtsgrundlage für die Verarbeitung personenbezogener Daten, wie der privaten E-Mail-Adresse oder Telefonnummer, aus, da die Verarbeitung nicht zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Durch die Organisation des Wiederanlaufs nach der Krise hat das Unternehmen aber ein berechtigtes Interesse an der Verarbeitung (Art. 6 Abs. 1 lit. f DSGVO). Es muss allerdings darauf geachtet werden, dass nur die notwendige Kommunikation über die privaten Kontaktdaten der Beschäftigten läuft. Überwiegende schutzwürdige Interessen der betroffenen Person sind hier angesichts der Corona-Krise regelmäßig ebenfalls schwer vorstellbar. Das Unternehmen darf also die private E-Mail-Adresse und die Telefonnummer zur Kontaktaufnahme im Rahmen des Wiederanlaufs nutzen. Die Grenzen der Erforderlichkeit sind aber stets zu beachten.
Was können wir für Sie tun?
Die SüdWest Datenschutz Rechtsanwaltsgesellschaft mbH ist eine in Karlsruhe ansässige Anwaltskanzlei, die Mandanten im Datenschutzrecht berät. Wir unterstützen Unternehmen aus den verschiedensten Branchen in allen datenschutzrechtlichen Fragestellungen, um eine datenschutzrechtliche Compliance zu erreichen. Auch während der Corona-Krise ergeben sich viele datenschutzrechtliche Fragestellungen und Probleme. Besonders jetzt ist der Schlüssel zum Erfolg ein funktionierendes Datenschutzmanagement.
Auch Ihnen stehen wir bei Fragen zum Thema Datenschutz jederzeit standortunabhängig, zuverlässig und flexibel zur Verfügung. Mit unserer Erfahrung im Bereich Datenschutz wollen wir ihnen dabei helfen, Risiken zu minimieren und Verstöße gegen das Datenschutzrecht zu vermeiden. Falls Sie unsere Unterstützung benötigen, sprechen Sie uns gerne an.