Datenschutzrechtliche Aspekte der Covid-19 Epidemie im Dienstverhältnis

Beitrag verfasst von RA Dr. Rainer Knyrim und RA Alexander Höller, LL.M. am 16.03.2020 – KTR-Newsletter März 2020

Darf der Dienstgeber den Dienstnehmer im Fall von (drohenden) Epidemien über private Reisen in Risikogebiete sowie den Gesundheitszustand befragen?

Grundsätzlich gestatten Art 9 Abs 2 lit g und i DSGVO den Mitgliedstaaten, spezifische Regelungen vorzusehen, um die Verarbeitung (auch sensibler) Daten aus Gründen erheblicher öffentlicher Interessen, insbes. im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, durchzuführen, wobei die Vermeidung von Epidemien ein solches erhebliches öffentliches Interesse darstellt (siehe Erwägungsgründe 46 und 52 der DSGVO). Die Zulässigkeit der Verarbeitung erfordert eine gesetzliche Grundlage im Recht des Mitgliedstaates oder der Union.

Eine solche ausreichend determinierte Bestimmung fehlt im österreichischen Recht jedoch. § 10 Abs 2 DSG normiert bloß die Berechtigung zur Weitergabe zuvor rechtmäßig erhobener Daten, nicht jedoch die Erhebung der Daten selbst. Dasselbe gilt für die Verpflichtung zur Auskunftserteilung an die Gesundheitsbehörden gemäß § 5 Epidemiegesetz; eine Ermächtigung zur (proaktiven) Erhebung der Daten durch den Dienstgeber wird dadurch nicht normiert.

In arbeitsrechtlicher Hinsicht ist der Dienstnehmer aufgrund der ihn treffenden Treuepflicht sowie § 15 Abs 5 ArbeitnehmerInnenschutzgesetz jedoch verpflichtet, dem Dienstgeber ernste Gefahren für die Gesundheit – zB eine Infektion mit dem Coronavirus bzw eine besondere Erhöhung des Risikos einer solchen Infektion aufgrund einer Reise in ein Risikogebiet – zu melden. Aufgrund der Fürsorgepflicht des Dienstgebers gegenüber seinen (anderen) Dienstnehmern lässt sich argumentieren, dass der Dienstgeber auch verpflichtet ist, solche Informationen durch Befragung proaktiv zu erheben. Über diesen Umweg des Arbeitsrechts ist der Dienstgeber in datenschutzrechtlicher Hinsicht berechtigt, für die Erfüllung dieser Pflichten notwendige Daten zu erheben und zu verarbeiten; dies entspricht auch der Argumentation des Bundesministeriums für Soziales, Gesundheit, Pflege und Konsumentenschutz. Die datenschutzrechtliche Rechtsgrundlage für diese Verarbeitung ist das berechtigte Interesse nach Art 6 Abs 1 lit f DSGVO, die Verarbeitung ist nach Art 9 Abs 2 lit b) DSGVO (Erfüllung arbeitsrechtlicher (Fürsorge-)Pflichten erlaubt).

Insgesamt wäre jedoch wünschenswert, dass der österreichische Gesetzgeber entsprechend legistisch tätig wird und eine ausdrückliche Ermächtigung zur Verarbeitung solcher Daten normiert (zB im Epidemiegesetz oder in § 10 DSG).

Einige Datenschutzbehörden in Europa haben schon Statements zum Thema Datensammlung wegen Coronavirus veröffentlicht, ua. die französische, die irische und die italienische. Einen Überblick über die Meinungen gibt dieser Beitrag auf fpf.org.

Der deutsche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat heute ebenfalls Informationen zum Thema online gestellt (https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html) laut denen „nach Ansicht der unabhängigen Datenschutzaufsichtsbehörden die angemessene Reaktion auf die epidemische bzw. inzwischen pandemische Verbreitung einer meldepflichtigen Krankheit“ zulässig ist. „Diese Maßnahmen müssen dabei natürlich immer auch verhältnismäßig sein. Die Daten müssen vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks (regelmäßig also spätestens dem Ende der Pandemie) müssen die erhobenen Daten unverzüglich gelöscht werden.“

Zusammengefasst stehen die Behörden einer systematischen und allgemeinen Datensammlung teils sehr kritisch gegenüber (wie etwa die italienische Datenschutzbehörde), lassen aber eingeschränkt Datenverarbeitung im Hinblick auf die oben angesprochenen Treuepflichten zu, insbesondere bei infizierten Personen und bei Gästen und Besuchern.

Seitens der österreichischen Datenschutzbehörde gibt es keine inhaltlichen Informationen zum Umgang mit der Corona-Epidemie, aber den Hinweis auf deren Webseite, dass der Parteienverkehr vorerst bis zum 13. April ausgesetzt ist und der Dienstbetrieb eingeschränkt möglich ist.

Update 17. März:
Die Datenschutzbehörde hat nun ebenfalls Informationen zu Datenschutz & Coronavirus direkt auf ihre Startseite online gestellt, die die Handlungsvorschläge unseres Newsletters bestätigen: https://www.dsb.gv.at/

Darf der Dienstgeber Notfallkontakte (zB Ehepartner, Eltern) seiner Mitarbeiter verarbeiten?

Die Verarbeitung von Notfallkontakten dient der Kontaktierung von (nahen) Angehörigen im Fall eines Notfalls. Die betroffene Person ist in diesen Fällen nicht der betroffene Mitarbeiter selbst, sondern die von ihm genannte Kontaktperson; eine Einwilligung (durch den Mitarbeiter) scheidet daher mangels Bevollmächtigung üblicherweise aus. Die Datenschutzbehörde hat schon vor der DSGVO solche Notfallkontaktdatenbanken unter der Bindung zugelassen, dass die Mitarbeiter gegenüber dem Arbeitgeber bestätigen müssen, dass sie die Kontaktperson über die Bekanntgabe ihrer Kontaktdaten informiert haben. (siehe www.ris.bka.gv.at).

Eine Verpflichtung der Mitarbeiter, Notfallkontakte bereitzustellen, besteht hingegen nicht.

Was ist bei Teleworking auf Zeit in datenschutzrechtlicher Hinsicht zu beachten?

Arbeit von zu Hause bringt für die Eindämmung von Epidemien große Vorteile. In datenschutzrechtlicher Hinsicht birgt dies jedoch einige Risiken.

Der Dienstgeber bleibt auch bei der Arbeit von zu Hause Verantwortlicher der von seinen Mitarbeitern vorgenommen (betrieblichen) Datenverarbeitungen. Daher ist der Dienstgeber insbesondere verpflichtet, technische und organisatorische Maßnahmen zur Datensicherheit gemäß Art 32 DSGVO zu ergreifen.

Der physische Schutz vor unberechtigten Zugriffen auf Daten, der sich bei der Arbeit in der Betriebsstätte des Dienstgebers durch entsprechende Zutrittskontrollen und Schließkonzepte leicht(er) umsetzen lässt, entzieht sich bei der Arbeit zu Hause faktisch der Kontrolle des Dienstgebers. Dasselbe gilt für den Einsatz von privatem IT-Equipment des Dienstnehmers, auf dessen technischen Schutz der Dienstgeber keinen Einfluss hat.

Dienstgeber sollten ihren Dienstnehmern daher jedenfalls klare und verbindliche Anweisungen zum Umgang mit personenbezogenen Daten bei der Arbeit zu Hause geben und – soweit möglich – betriebseigenes IT-Equipment zur Verfügung stellen. Betriebseigenes IT-Equipment wie PCs oder Laptops sollten unbedingt mittels BitLocker gesichert werden, damit der Zugang zu den auf den Geräten gespeicherten Daten geschützt ist. Ein normales Windows-Passwort ist kein ausreichender Schutz der Daten bei Verlust oder Diebstahl des Laptops und es könnte dann schon allein wegen fehlender Datensicherheitsmaßnahmen ein Data Breach vorliegen.

Soweit kein betriebseigenes Equipment zur Verfügung steht, sollten entsprechende Maßnahmen getroffen werden, insbesondere:

  • Die Mitarbeiter sollten, sofern sie nicht direkt online auf Cloud-Lösungen zugreifen können, nur über einen VPN-Tunnel auf den Server oder ihren PC in der Arbeit arbeiten und keinesfalls zB lokale Postfächer auf ihrem privaten Rechner installieren.
  • Mittels VPN-Tunnel kann eine gesicherte, verschlüsselte Verbindung aufgebaut werden und der Mitarbeiter hat dann denselben Desktop wie wenn er im Büro säße zur Verfügung und sämtliche Daten bleiben auf den betrieblichen Arbeitsgeräten.
  • Es sollte den Mitarbeitern untersagt werden, Daten auf ihren privaten Rechner herunterzuladen. Ausdrucke von Arbeitsunterlagen sollten entweder generell unterbunden werden oder wenn, dann nur im Ausnahmefall und unter der Bedingung gestattet werden, dass die Ausdrucke später in der Arbeit ordnungsgemäß geschreddert werden und keinesfalls im Hausmüll entsorgt werden.
  • Berufliche Passwörter und das VPN-Passwort dürfen nicht auf dem privaten Rechner gespeichert werden.
  • Es sollten keine privaten Kommunikationsmedien für die berufliche Kommunikation benutzt werden, wie zB WhatsApp oder private Social Media–Konten. Die Kommunikation kann über den VPN-Tunnel über die normalen E-Mail-Zugänge oder dienstliche Kommunikationsprogramme durchgeführt werden.

Bei Fragen zur Datenverarbeitung im Zusammenhang mit der Coronavirus-Epidemie stehen wir Ihnen gerne unter kt@kt.at zur Verfügung!

Vienna Law Boutiques – rechtliche Fragestellungen bezüglich der Corona-Krise

Um Sie zu unterstützen, haben wir gemeinsam mit anderen unabhängigen Rechtsanwaltskanzleien eine Kooperation unter dem Namen Vienna Law Boutiques VLB ins Leben gerufen. Die vielfach ausgezeichneten Spezialisten in diesen Kanzleien arbeiten fächerübergreifend für ihre langjährigen Mandanten bereits an den zahlreichen Problemen und Lösungsvorschlägen.

Wir bieten Antworten auf die Fragen, denen sich die Wirtschaft stellen muss. Unsere Unterstützung ist maßgeschneidert und individuell, sodass wir gemeinsam Antworten auf diese aktuellen Fragen geben und Lösungen aufzeigen können.

Mehr dazu erfahren Sie in einem aktuellen Beitrag

Die Presse: Staatliche Tracking-App bei Bedarf denkbar

Artikel erschienen am 30.3.2020

Der EU-Datenschutzausschuss hält die Auswertung persönlicher Daten zur Virusbekämpfung im Extremfall für zulässig; sie bedürfte aber einer Gesetzesgrundlage. Das private „Stopp Corona“ könnte mittelbar strafrechtlich brisant sein.

Herr Dr. Knyrim geht in diesem Artikel auf folgenden Fragen ein:

  • Dürfen anonyme Bewegungsdaten mit Big Data analysiert werden?
  • Was ist von privaten Tracking-Apps zu halten?
  • Darf der Staat personenbezogene Daten von Bürgern auswerten?

Den Artikel finden Sie hier. 

ecolex: Datenschutz & Coronakrise: Wie viel Überwachung von Bürgern und Mitarbeitern ist zulässig?

Artikel erschienen am 05.2020 im ecolex 2020 – Dr. Rainer Knyrim, Dr. Claudia Gabauer, LL.M.,

Die COVID-19-Pandemie stellt den Datenschutz auf eine harte Probe. Die Nutzung moderner Technologien zu deren Bekämpfung ist Realität. Wie weit dürfen in der Krise Daten aus Mobiltelefonen über Bürger ausgewertet werden und in welchem Umfang darf
der Arbeitgeber Gesundheitsdaten über seine Arbeitnehmer erheben?

Den Artikel finden Sie hier

Artikel drucken

Beiträge

Newsletter März 2020

Datenschutzrechtliche Aspekte der Covid-19 Epidemie im Dienstverhältnis

Fragen zum Thema Reisen in Risikogebiete, Verarbeitung der Notfallkontakte und zur datenschutzrechtlicher Sicht bezüglich Home-Office.

Der Corona-Virus als Fortbildungs-Chance

Microsoft 365 Training Day: Meeting Organizational Compliance Requirements.

(Kein) Ideeller Schadenersatz für Datenschutzverstöße

Schadensersatzanspruch bei DSGVO-widriger Datenverarbeitung durch die Österreichische Post abgewiesen.

Topaktuelle Datenschutznews: Neues Datenschutz-Infoservice

Dieses exklusive Service richtet sich ausschließlich an Unternehmen und öffentliche Einrichtungen.

DSGVO-Strafen in Österreich und der EU

Kaum ein Tag vergeht ohne ein neues DSGVO-Bußgeld in Europa. Einen aktuellen Überblick finden Sie hier.

Gemeinsame Verantwortlichkeit bei Social Media

Baden-württembergische Landesdatenschutzbeauftragte stellt Twitter-Account ein.

IAPP-Ausbildung in Österreich

International Association of Privacy Professionals – die nächsten Kurstermine.

Neue Verbraucherschutz­vorschriften der Union

RL (EU) 2019/2161 „zur besseren Durchsetzung und Modernisierung der Verbraucherschutzvorschriften der Union“

Evaluierung der DSGVO durch den Europäischen Datenschutzausschuss und die Datenschutzbehörde

Stellungnahme es Europäischen Datenschutzausschusses (EDSA) zur DSGVO-Evaluierung.