Global menu

Our global pages

Close

Datenverarbeitung in Zeiten der Corona-Krise

  • Germany
  • Privacy, data protection and cybersecurity

19-03-2020

Was passiert gerade?

Am 30.1.20 hat die WHO aufgrund der fortschreitenden Ausbreitung des Coronavirus einen internationalen Gesundheitsnotfall ausgerufen. Inzwischen wurde die Ausbreitung explizit als Pandemie eingestuft. Viele Staaten haben Grenzen geschlossen und Unternehmen schränken ihre Tätigkeiten stark ein, um Ausbreitung und Infektion vorzubeugen. Teilweise sind Unternehmen aufgrund behördlicher Anordnungen dazu gezwungen, den Betrieb vollständig einzustellen. Außerdem gibt es durch quarantänebedingte Werkschließungen einen hohen Produktionsausfall in vielen Produktionsstätten.

Ergebnis sind schwere Beeinträchtigungen internationaler Handelsbeziehungen – vor allem Lieferengpässe, unterbrochene Transportwege und kurzfristige Absagen von Veranstaltungen, fehlende Auslastung von Arbeitnehmers, Umsatzeinbußen und gegebenenfalls Existenzgefährdungen für Unternehmen.

Hinzukommen Fragen, wie mit der Infektionsgefahr im eignen Unternehmen und im Umgang mit Mitarbeitern umzugehen ist um eine schnelle Ausbreitung möglichst lange verzögern zu können und das Gesundheitssystem entlasten.

Inwiefern könnte ich betroffen sein?

Viele Unternehmen denken derzeit darüber nach, inwiefern sie personenbezogene Daten von Mitarbeitern, Gästen und Besuchern verarbeiten dürfen, um bestimmte Maßnahmen im Zusammenhang mit dem Coronavirus umsetzen zu können.

Was muss ich aus rechtlicher Sicht wissen?

Dürfen Unternehmen ihre Mitarbeiter, Gäste und Besucher untersuchen, um eine Coronavirus-Infektion festzustellen?

Grundsätzlich nein. Im Zweifel sollen Unternehmen die zuständigen Gesundheitsbehörden kontaktieren und nicht „auf eigene Faust“ oder gegen den Willen der betroffenen Personen Gesundheitsdaten erheben (z.B. durch Temperaturmessungen). Etwas anderes ist ausnahmsweise nur möglich, wenn die betroffenen Personen freiwillig in die Untersuchung einwilligen.

Dürfen Unternehmen ihre Mitarbeiter, Gäste und Besucher befragen, ob diese sich kürzlich in einem Risikogebiet waren oder mit einer nachweislich infizierten Person Kontakt hatten?

Ja.

Dürfen Unternehmen ihren Mitarbeitern, Gästen und Besuchern mitteilen, dass eine bestimmte Person nachweislich infiziert ist und sie als Kontaktpersonen in Frage kommen?

Nur als letztes Mittel. Aufgrund der Stigmatisierungsgefahr sollen Unternehmen einen dreistufigen Prozess durchlaufen

  • 1. Stufe: Unternehmen sollen auf Abteilungs- bzw. Teamebene diejenigen Personen warnen, die in direktem Kontakt mit der infizierten Person standen (ohne Namensnennung der infizierten Person).
  • 2. Stufe: Unternehmen sollen die zuständigen Gesundheitsbehörden kontaktieren und um deren Entscheidung bitten.
  • 3. Stufe: Unternehmen sollen übrige Personen warnen (mit Namensnennung der infizierten Person).

Dürfen Unternehmen private Kontaktdaten von ihren Mitarbeitern erheben, um diese im Falle von Schutzmaßnahmen (z.B. Schließung des Betriebs) rechtzeitig kontaktieren zu können?

Nach Meinung des Landesdatenschutzbeauftragten von Baden-Württemberg ist dies nur mit Einwilligung der Mitarbeiter zulässig. Wir sind dagegen der Auffassung, dass in dieser Ausnahmesituation Unternehmen die privaten Kontaktdaten auch ohne Einwilligung von solchen Mitarbeitern erheben dürfen, die über kein geschäftliches Mobiltelefon verfügen. Unternehmen dürfen dann die Mitarbeiter über ihre privaten Kontaktdaten kontaktieren, wenn die folgenden beiden Voraussetzungen gleichzeitig vorliegen:

  • Die Schutzmaßnahme muss so kurzfristig eingeleitet werden (z.B. am späten Abend), dass die Mitarbeiter nicht zuvor unter ihren geschäftlichen Kontaktdaten kontaktiert werden konnten und
  • die Schutzmaßnahme ist so wichtig (z.B. Schließung des Betriebs), dass es nicht zumutbar ist, die Mitarbeiter erst am nächsten Tag unter ihren geschäftlichen Kontaktdaten zu kontaktieren.

Was kann ich jetzt tun und worauf muss ich achten?

Was müssen Unternehmen beachten, wenn sie ihre Mitarbeiter im Home Office arbeiten lassen?

Eine der wichtigsten Präventivmaßnahmen gegen die Ausbreitung des Coronavirus ist die soziale Distanzierung. Viele Unternehmen entscheiden sich daher dazu, ihre Mitarbeiter im Home Office arbeiten zu lassen. Grundsätzlich steht das Datenschutzrecht der Arbeit im Home Office nicht entgegen. Bei einer Verlagerung der Arbeit in das private Umfeld des Mitarbeiters sinken jedoch die Einfluss- und Kontrollmöglichkeiten der Unternehmen und gleichzeitig steigen die Risiken einer unbefugten Offenlegung von bzw. einem unbefugten Zugang zu personenbezogenen Daten durch Dritte (Datenpannen, die ggf. eine Meldepflicht bei der zuständigen Aufsichtsbehörde auslösen). Unternehmen müssen daher darauf achten, geeignete Maßnahmen zur Gewährleistung der Datensicherheit bei der Arbeit im Home Office und beim Transport von Unterlagen und Datenträgern zwischen Betrieb und Home Office zu ergreifen.

Welche Maßnahmen können Unternehmen ergreifen, um die Datensicherheit bei der Arbeit im Home Office zu gewährleisten?

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit empfiehlt insbesondere die folgenden Maßnahmen:

  • Zugang der Mitarbeiter zu den sensiblen personenbezogenen Daten nur mit PIN und hardwarebasiertem Vertrauensanker (Zwei-Faktor-Authentifizierung)
  • Verbindung ausschließlich über ein sogenanntes Virtual Private Network (VPN)
  • Verschlüsselung der Daten (Ende-zu-Ende-Sicherheit) inkl. Ablageverschlüsselung auf dem mobilen Gerät
  • Sperrung von USB-Zugängen und anderen Anschlüssen
  • Keine Anbindung von Druckern
  • Keine private Nutzung der beruflich zur Verfügung gestellten IT-Ausstattung
  • Regelmäßige Schulung/Fortbildung der Mitarbeiter zum datensicheren und datenschutzgerechten Umgang mit mobilen Geräten

Welche Maßnahmen können Unternehmen ergreifen, um die Datensicherheit beim Transport von Unterlagen und Datenträgern zwischen Betrieb und Home Office zu gewährleisten?

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit empfiehlt insbesondere die folgenden Maßnahmen:

  • Datenträger sind stets nur verschlüsselt und Papierunterlagen nur in verschlossenen Behältnissen zu transportieren
  • Datenträger und Unterlagen dürfen nie unbeaufsichtigt gelassen werden

Können Unternehmen weitere Maßnahmen ergreifen, um Mitarbeiter im Home Office überwachen zu können?

Nein. Für Überwachungsmaßnahmen gegenüber Mitarbeitern im Home Office gelten grundsätzlich die gleichen Maßstäbe wie für Mitarbeiter, die regulär im Betrieb arbeiten. Bei Unternehmen mit Betriebsrat ist der Betriebsrat in jedem Fall vorab hinzuziehen.

Müssen Unternehmen mit den Mitarbeitern eine gesonderte Home Office Vereinbarung abschließen?

Ja, dies ist zu empfehlen. Aus datenschutzrechtlicher Sicht sind dort insbesondere die jeweiligen Verantwortlichkeiten, die entsprechenden Datensicherheitsvorkehrungen sowie die Kontroll- und Zutrittsrechte des Unternehmens zur Wohnung des Mitarbeiters zu regeln. Bei Unternehmen mit Betriebsrat ist der Betriebsrat in jedem Fall vorab hinzuziehen.

Hilfreiche Ressourcen:

Kontakt für weitere Informationen: covid19@eversheds-sutherland.de