Update: Corona vs. DSGVO

Die aktuelle Covid-19-Pandemie stellt sich als Stresstest für den Datenschutz heraus: Viele Maßnahmen zur Bekämpfung des Virus beinhalten die Verarbeitung von personenbezogenen Daten, meist auch von Gesundheitsdaten. Der Artikel beleuchtet die neusten Entwicklungen im Datenschutz in Bezug auf die Covid-19-Pandemie.

Datenschutzrechtliche Zulässigkeit von vom Arbeitgeber durchgeführten Temperaturmessungen zur Bekämpfung von Covid-19

Um seiner Fürsorgepflicht gegenüber Arbeitnehmern während der Pandemie nachzukommen und die Ansteckungsgefahr von Covid-19 am Arbeitsplatz zu verringern stehen Arbeitgebern verschiedene Maßnahmen zur Auswahl. Neben den üblichen Hygienemaßnahmen und Abstandsregeln werden nun auch vermehrt Temperaturmessungen am Eingang zum Betriebsgelände durchgeführt. Diese sollen verhindern, dass Personen mit einer Corona-Infektion das Betriebsgelände betreten und weitere Personen anstecken. Die Ausgestaltungen dieser Temperaturmessungen sind ganz unterschiedlich. In jedem Fall aber werden im Rahmen solcher Messungen einerseits Gesundheitsdaten und andererseits Mitarbeiterdaten verarbeitet, weshalb aus datenschutzrechtlicher Sicht Vorsicht geboten ist. Kernfrage bei der datenschutzrechtlichen Bewertung ist dabei die Frage, ob solche Maßnahmen auch ohne die Einholung von Einwilligungen der Mitarbeiter zulässig sind.

Einige Datenschutzbeauftragte haben sich bereits zur datenschutzrechtlichen Zulässigkeit von Temperaturmessungen geäußert, ohne dabei jedoch eine klare Linie erkennen zu lassen:

Der Europäische Datenschutzausschuss etwa verweist in seiner Stellungnahme zur Verarbeitung personenbezogener Daten im Kontext des Covid-19-Ausbruchs weitestgehend auf die Bedeutung des nationalen Rechts, hält die Verarbeitung von Gesundheits- und Mitarbeiterdaten aber wohl grundsätzlich auch ohne die Einholung von Einwilligungen für möglich.

Der Bundesdatenschutzbeauftragte ist in seiner Stellungnahme der Ansicht, dass die Erhebung von personenbezogenen Daten von Beschäftigten sowie Gästen und Besuchern durch den Arbeitgeber datenschutzrechtlich legitim sein kann, ohne dabei konkret auf Temperaturmessungen einzugehen.

Die Landesdatenschutzbeauftragten NRW  und Hamburg  nehmen in Ihren Corona-FAQs explizit Stellung zu Temperaturmessungen: Beide halten entsprechende Maßnahmen unter bestimmten Voraussetzungen für datenschutzrechtlich zulässig. Gänzlich gegen Temperaturmessungen ist dagegen die Datenschutzaufsicht in Rheinland-Pfalz, die unter anderem als Argument anführt, Temperaturmessungen seien nicht erforderlich, da eine Corona-Erkrankung nicht zwangsläufig durch eine erhöhte Körpertemperatur zu erkennen sei.

Eine pauschale datenschutzrechtliche Bewertung von Temperaturmessungen durch den Arbeitgeber kann daher momentan nur schwer getroffen werden, sondern hängt immer von allen Umständen des Einzelfalls ab. Neben der einschlägigen Rechtgrundlage sind dabei weitere Vorgaben, wie z.B. die Einhaltung der Informationspflichten, zu berücksichtigen. Arbeitgeber, die Temperaturmessungen durchführen wollen, sollten die Maßnahme vorher umfassend auf ihre datenschutzrechtliche Compliance prüfen.

OVG Münster: Coronaschutzverordnung auf dem Prüfstand

Das OVG Münster hat mit Beschluss vom 23.06.2020 AZ.: 13 B 695/20.NE einen Eilrechtsantrag eines Bochumer Anwalts abgelehnt, mit dem dieser sich gegen Regelungen der nordrhein-westfälischen Coronaschutzverordnung gewendet hatte. Der Anwalt sah sich durch die in der nordrhein-westfälischen Coronaschutzverordnung vorgesehene Datenerhebung zum Zweck der Kontaktpersonennachverfolgung im Bereich der Gastronomie, des Friseurhandwerks und der Fitnessstudios in seinem Grundrecht auf informationelle Selbstbestimmung verletzt.

Die Verordnung gibt den genannten Gewerben vor, dass sie verschiedene Maßnahmen für die Rückverfolgbarkeit möglicher infizierter Kontaktpersonen treffen müssen. So muss unter anderem eine Liste über alle Kunden, die die Geschäftsräume betreten, geführt und aufbewahrt werden. Im Fall einer bekannten Infektion soll diese Liste dem Gesundheitsamt zur Nachverfolgung der Kontaktpersonen zur Verfügung gestellt werden.

Verordnungen mit vergleichbaren Verpflichtungen wurden auch in weiteren Bundesländern erlassen, so z.B. in Berlin und Niedersachsen. Entsprechende Verpflichtungen zur Datenerhebung und-speicherung stehen dabei natürlich immer in einem Spannungsverhältnis zu den Regelungen der DSGVO.

Der 13. Senat des OVG Münsters teilt die Bedenken des Beschwerdeführers jedoch nicht. Zur Begründung führt er aus, dass die angegriffenen Regelungen voraussichtlich rechtmäßig seien. Die Erhebung der Daten soll die Identifizierung der Kontaktpersonen durch die Gesundheitsämter erleichtern. Dies stelle in Anbetracht der mittlerweile weitestgehend erfolgten Öffnungen des öffentlichen Lebens ein – im Verhältnis zu den vorherigen „Lockdown“-Maßnahmen – milderes Mittel dar. Das Recht auf informationelle Selbstbestimmung trete daher nach Ansicht der Richter hinter dem Recht auf Schutz von Leben und Gesundheit vorübergehend zurück. Keine der betroffenen Branchen diene der Deckung der elementaren Grundbedürfnisse, daher sei niemand zur Nutzung der Dienstleistungen gezwungen. Außerdem habe der Verordnungsgeber ausreichende Maßnahmen getroffen, um die Vorgaben der DSGVO für einen datenschutzrechtlich konformen Umgang mit den personenbezogenen Daten zu erfüllen. So werde genau bestimmt, welche Daten erhoben werden und für wie lange. Zudem sei ein hinreichender Zweck bestimmt und die Erhebung der Daten werde auf ein absolutes Minimum beschränkt.

Mit Blick auf die Corona-Verordnungen der anderen Bundesländer lässt sich annehmen, dass die zuständigen Gerichte den Beschluss des OVG Münster zumindest zur Kenntnis nehmen werden. Da es sich lediglich um einen Eilantrag handelt, bleibt eine eventuelle Entscheidung in der Hauptsache abzuwarten. Dennoch könnte der Beschluss bereits jetzt richtungsweisend für weitere Entscheidungen in Bezug auf Maßnahmen zur Bekämpfung der Pandemie sein. Es bleibt abzuwarten, ob Regelungen aus Corona-Verordnungen anderer Bundesländer datenschutzrechtlich auf den Prüfstand gestellt werden.

Berliner Datenschutzbeauftragte: Stellungnahme zu Videokonferenz-Diensten

Mit Ihren „Hinweisen für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten“ vom 03.07.2020 sorgte die Berliner Datenschutzbeauftragte für Aufsehen. Die in der Praxis am häufigsten genutzten Videokonferenz-Dienste werden darin von der Landesbeauftragten auf ihre datenschutzrechtliche Compliance hin überprüft.

Die Corona-Pandemie hat dazu geführt, dass vermehrt Menschen von zu Hause arbeiten, wodurch die Nutzung von Videokonferenz-Diensten enorm gestiegen ist. Die Verwendung von Videokonferenz-Diensten ist aus datenschutzrechtlicher Sicht äußerst brisant, da im Rahmen der Nutzung eine Vielzahl von verschiedenen personenbezogenen Daten verarbeitet werden: Sowohl die Übertragung des gesprochenen Wortes in Verbindung mit den Bildern des Video-Streams, als auch E-Mail-Adressen, Namen, und sogar Anschriften der Teilnehmer können bspw. im Rahmen des täglichen Team-Calls verarbeitet werden.

Das Ergebnis der ausdrücklich als „Kurzprüfung“ betitelten Stellungnahme ist deutlich: Viele der Videokonferenz-Dienste halten sich nach Einschätzung der Datenschutzbeauftragten nicht an geltendes Datenschutzrecht. Auffällig dabei ist, dass insbesondere die weit verbreiteten Dienste wie z. B. Cisco WebEx, Google Meet, Microsoft Teams, Skype, Skype for Business Online und zoom nicht gut wegkommen. Hingegen konnten bei weniger bekannten Anbietern wie z.B. NETWAYS Web Services Jitsi, sicherevideokonferenz.de, TixeoCloud, Werk21 BigBlueButt on oder Wire keine rechtlichen Mängel zumindest bzgl. der Auftragsverarbeitung festgestellt werden.

Videokonferenz-Dienste werden auch in Zukunft immer größerer Bedeutung erlangen. Jedes Unternehmen sollte daher die eingesetzten Dienste kritisch überprüfen und die datenschutzrechtliche Compliance der Dienste sicherstellen.