Der Coronavirus und seine Ausbreitung stellt Unternehmen gegenüber Mitarbeitern, Kunden, Lieferanten und Geschäftspartnern vor große Herausforderungen. Viele Fragen betreffen auch den Datenschutz bezüglich des Umgangs mit den Daten von betroffenen Personen. In diesem Beitrag werden wir Antworten und eine Informationssammlung zur Verfügung stellen und regelmäßig aktualisieren.
Allgemeine medizinische Informationen zum Thema Corona:
Deutschland: Robert-Koch-Institut. App des RKI – Corona-Datenspende
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) FAQ
Europa: ECDC – European Centre for Disease Prevention and Control
Weltweit: WHO – World Health Organisation
Übersicht über die Ausbreitung (Karte) von Covid-19 weltweit
Aktuelle Statistiken und Zahlen zur Corona-Pandemie 2019/20
Charité – Covid-19 Handlungsempfehlungen und Informationen zum Coronavirus (Selftest-App)
Symptom-Checker für das neuartige Coronavirus
(Zusammengestellt und geprüft von S. Temizel, MPH, Fachärztin für Hygiene- und Umweltmedizin, Augsburg)
Die offizielle deutsche Warn-App für den Kampf gegen das Coronavirus ist nun verfügbar.
Sie soll das Nachverfolgen von Infektionen erleichtern. Das Herunterladen ist freiwillig.
Hinweise zum datenschutzkonformen Einsatz der Corona-Warn-App.
Spektrum der Wissenschaft – Wie schützt man sich vor einer Pandemie? Was sollte ich über Covid-19 wissen? Der Verlag Spektrum der Wissenschaft bietet ab sofort eine Spezial-Ausgabe seiner Digital-Reihe Spektrum »Die Woche« zum Thema „Covid-19“ im PDF-Format zum kostenlosen Download. Zu lesen sind Antworten auf drängende Fragen, zum Beispiel wie Forscher versuchen, den Stammbaum der Pandemie zu erstellen und mehr über die Frau, die Coronaviren jagt. Wissenschaftlich Interessierte können sich hier fundiert informieren und das PDF ohne Registrierung unter diesem Link: https://www.spektrum.de/s/woche-pm-covid19 direkt abrufen.
Das Coronavirus-Update mit Prof. Christian Drosten (Podcast)
Bußgeldkatalog für Ordnungswidrigkeiten nach dem Infektionsschutzgesetz
Achtung – Trojaner in E-Mails mit Corona-Vorwand!
Vor dem Hintergrund der Corona-Krise erhalten Bürger und Bürgerinnen dieser Tage vermehrt gefälschte E-Mails, die angeblich von WHO, Banken oder Sparkassen stammen. Vorsicht – die kriminellen Absender nutzen einzig die allgemeine Angst und Verunsicherung aus, um Daten ihrer Opfer abzugreifen.
Informationen für Unternehmen
Die Datenschutzaufsicht Thüringen hat ein „FAQ zur Verarbeitung von Beschäftigtendaten im Zusammenhang mit der Corona-Pandemie nach den aktuellen Rechtsvorschriften“ veröffentlicht: https://tlfdi.de/aktuelles/faq-zur-verarbeitung-von-beschaeftigtendaten-im-zusammenhang-mit-der-corona-pandemie-nach-den-aktuellen-rechtsvorschriften/ (mit Muster für die Hinterlegung des #Impfstatus)
Der Bayerische Landesbeauftragte für den Datenschutz veröffentlicht Arbeitspapier (04.11.2021) „Verarbeitung des COVID-19-Impfstatus im bayerischen öffentlichen Dienst“
Corona Schnelltest im Betrieb seit 20.04.2021 Pflicht
Anwendungshinweise zum Umgang mit Corona-Tests in den Betrieben
Die 3G-Regel – getestet, geimpft oder genesen – verlangt von Ungeimpften Tests. Zudem gilt nach wie vor eine Testpflicht im Unternehmen. Was ist bei Corona-Tests zu beachten? Informieren Sie sich hier.
Ratgeber Corona Schnelltest für den Betrieb
Handbuch Betriebliche Pandemieplanung – zweite erweiterte und aktualisierte Auflage
10 Tipps zur betrieblichen Pandemieplanung
Maßnahmen zum Vorgehen bei Verdacht auf eine COVID-19-Erkrankung im Betrieb
Kostenloser Homeoffice-Guide: Produktiv arbeiten trotz Corona
Welcher Videokonferenz darf man vertrauen?
Bundesministerium des Inneren:
Corona-Virus: Fragen und Antworten
Bundeswirtschaftsministerium:
Auswirkungen des Coronavirus: Informationen und Unterstützung für Unternehmen
Soforthilfe für Unternehmen:
Corona-Pandemie: Finanzielle Soforthilfen in allen Bundesländern beantragbar
Arbeitsrecht:
Coronavirus – 11 arbeitsrechtliche Fragestellungen und Lösungen
Corona-Virus: Arbeitsausfall, Arbeitsschutz, Dienstreisen, Förderungen und ReiserechtCovid-19 / Coronavirus – Handlungspflichten und Optionen des Arbeitgebers
Coronavirus – Aktuelle Informationen für Arbeitgeber zu COVID-19 (SARS-CoV-2)
Arbeitgeber kann Mundschutz und Handschuhe nicht einseitig verbieten
Wie kommen meine Mitarbeiter bei einer Ausgangssperre in den Betrieb?
Fragen für den Handel:
FAQ: Rechtsfolgen bei Lieferengpässen für Online-Händler aufgrund der Corona-Krise
Gesundheitswesen:
Kostenfrei: die gesetzlich vorgeschriebene Corona-Dokumentation für Apotheken
Fragen zum Datenschutz:
Werden im Zusammenhang mit der Corona-Pandemie personenbezogene Daten erhoben, werden in den meisten Fällen Bezüge zwischen Personen und deren Gesundheitszustand hergestellt. Ab diesem Zeitpunkt handelt es sich um Gesundheitsdaten, die nach Artikel 9 Datenschutz-Grundverordnung (DSGVO) besonders geschützt sind.
Auch wenn eine Verarbeitung von Gesundheitsdaten grundsätzlich nur restriktiv möglich ist, können für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern datenschutzkonform Daten erhoben und verwendet werden. Dabei ist der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage stets zu beachten.
Beispielsweise können die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie als datenschutzrechtlich legitimiert betrachtet werden:
Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat. Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob dieseselbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen. Sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben. Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.
Rechtliche Hintergrundinformationen:
Die vorstehenden Maßnahmen lassen sich rechtlich auf Grundlage der DSGVO und des BDSG (ggf. in Verbindung mit Landesdatenschutz- und weiteren Fachgesetzen) legitimieren. Je nach Maßnahme können die einschlägigen Rechtsgrundlagen dabei leicht variieren. Ungeachtet dessen gelten aber die folgenden allgemeinen Grundsätze:
Die Berechtigung zur Verarbeitung personenbezogener Mitarbeiterdaten ergibt sich in diesen Fällen für öffentlich-rechtliche Arbeitgeber grundsätzlich aus Art. 6 Abs. 1 Satz 1 lit. e) DSGVO und für Arbeitgeber im nicht-öffentlichen Bereich aus § 26 Abs 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO jeweils i.V.m. den einschlägigen beamtenrechtlichen sowie tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts. Soweit Gesundheitsdaten verarbeitet werden, sind zudem auch § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO einschlägig. Bei Art. 9 Abs. 2 lit. b) DSGVO umfasst der Begriff „Arbeitsrecht“ nach Auffassung der Datenschutzaufsichtsbehörden auch das deutsche Beamtenrecht. Zugunsten des öffentlich-rechtlichen Arbeitgebers könnte zusätzlich Art. 9 Abs. 2 lit. g) DSGVO herangezogen werden, da die Fürsorgepflicht im Sinne der Gesundheitsvorsorge hier auch einem wichtigen öffentlichen Interesse dient.
Maßnahmen gegenüber Dritten können bei öffentlichen Stellen auf Art. 6 Abs. 1 Satz 1 lit. c) und e) ggf. in Verbindung mit den jeweiligen Landesdatenschutzgesetzen gestützt werden. Im nicht-öffentlichen Bereich kann Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO als Rechtsgrundlage herangezogen werden. Soweit besonders sensible Daten – wie Gesundheitsdaten – betroffen sind, findet zudem Art. 9 Abs. 2 lit. i) i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG Anwendung.
Die Fürsorgepflicht der Arbeitgeber bzw. der Dienstherren verpflichtet diese den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Hierzu zählt nach Ansicht der unabhängigen Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die epidemische bzw. inzwischen pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und im Fall der Fälle der Nachverfolgbarkeit (also im Grunde nachgelagerte Vorsorge gegenüber den Kontaktpersonen) dient. Diese Maßnahmen müssen dabei natürlich immer auch verhältnismäßig sein. Die Daten müssen vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks (regelmäßig also spätestens dem Ende der Pandemie) müssen die erhobenen Daten unverzüglich gelöscht werden.
Eine Einwilligung der von Maßnahmen Betroffenen allein sollte hingegen vorliegend nur als datenschutzrechtliche Verarbeitungsgrundlage in Betracht gezogen werden, wenn die Betroffenen über die Datenverarbeitung informiert sind und freiwillig in die Maßnahme einwilligen können.
Zusätzlich zu den bestehenden Rechtsgrundlagen für die Datenverarbeitung auf Seiten des Arbeitgebers ergeben sich aus dem Beamtenrecht, aus dem Tarifrecht bzw. dem Arbeitsrecht für Beschäftigte verschiedene Nebenpflichten, unter anderem auch Rücksichts-, Verhaltens- und Mitwirkungspflichten gegenüber ihrem Arbeitgeber und Dritten. Vorliegend stellt nach Auffassung der Datenschutzaufsichtsbehörden beispielsweise die Pflicht zur Information des Dienstherrn bzw. des Arbeitgebers über das Vorliegen einer Infektion mit dem Corona-Virus eine solche Nebenpflicht zum Schutz hochrangiger Interessen Dritter dar, aus der unter gewissen Voraussetzungen auch eine Offenlegungsbefugnis gemäß Art. 6 Abs. 1 lit. c) und f) DSGVO bezüglich personenbezogener Daten der Kontaktpersonen folgt. dsk
Hinweise der Aufsichtsbehörden:
Orientierungshilfe – 3G-Nachweis im Beschäftigtenverhältnis (§ 28b Abs. 1 und 3 IfSG)
FAQ-Sammlung zur Verarbeitung von 3G im Beschäftigtenverhältnis
DatenschutzinZeitenvonCovid-19
Empfehlungen zur datenschutzkonformen Umsetzung der 3-G-Regel am Arbeitsplatz
Verarbeitung des Impf-, Sero- und Teststatus von Beschäftigten in Bezug auf COVID-19
Tipps zum Homeoffice:
Datenschutz im Home-Office
Datensicherheit im Homeoffice
Home Office – Security Tipps für Unternehmen
Hier können Sie eine Home Office Richtlinie erstellen?
ENISA: Top Tips for Cybersecurity when Working Remotely
Praxishilfe Videokonferenzsysteme, Messenger und Fernwartungssoftware
Kompendium: Wie wähle ich ein sicheres Videokonferenz-System aus?
Formulare für die Nachverfolgung
Um Infektionsketten und Ausbrüche von SARS-CoV-2 (Covid-19) schnellst möglich zu erkennen und einzugrenzen, müssen etwa Frisöre, Kosmetikstudios aber auch Gaststätten und Cafés die Besuche ihrer Gäste oder Kunden dokumentieren. Dabei müssen sich Infektionsschutz und Datenschutz nicht im Weg stehen. Beides ist wichtig. Um die Verfahren zunächst möglich einfach zu halten, empfehlen wir, alle Listen in Papierform zu führen. Eine digitale Erfassung könnte zu mehr Aufwand bei der Erfüllung datenschutzrechtlicher Vorgaben führen. Hier können Sie die Musterformulare herunterladen.
Hinweise zur Erfassung von Kundenkontaktdaten zwecks Nachverfolgung von Infektionsketten in Zusammenhang mit dem Coronavirus SARS-CoV-2
Hinweise zum Datenschutz bei der Erhebung von Kontaktdaten von Gästen in Gastronomiebetrieben zur Nachverfolgung von Coronavirus-Infektionswegen
Schulen und Lehreinrichtungen
Informationen zum digitalen Lernen und der digitalen Kommunikation
Betroffenenrechte und DSGVO
Covid-19 als „höhere Gewalt“ im Datenschutzrecht? Unternehmen sind nicht in der Haftung
Aufgrund der derzeitigen Ausnahmesituation können Unternehmen die in der DSGVO mögliche Fristverlängerung zur Bearbeitung von Betroffenenanfragen in Anspruch nehmen. Darüber ist der betroffene jedoch zu informieren. (Art. 12 Abs. 3 S. 3 DSGVO).
Öffentlicher Dienst
Sonderinformationen zum mobilen Arbeiten mit Privatgeräten zur Bewältigung der Corona-Pandemie
EKD
Der Beauftragte für den Datenschutz der EKD äußert sich aufgrund der aktuellen Entwicklungen zu der Verarbeitung von personenbezogenen Daten durch Arbeit- bzw. Dienstgeber im Zusammenhang mit der Corona-Pandemie. Die Stellungnahme erläutert die Voraussetzungen und Rechtsgrundlagen, unter denen personenbezogene Daten von Beschäftigten und Dritten im Zusammenhang mit der Corona-Pandemie verarbeitet werden können und gibt Hinweise dazu, welche Aspekte bei der Verarbeitung zu beachten sind.
Verarbeitung personenbezogener Daten im Zusammenhang mit der Corona-Pandemie(PDF)
Aus den Aufsichtsbehörden dr Bundesländer:
Hinweise zur Erfassung von Kundenkontaktdaten zwecks Nachverfolgung von Infektionsketten
HmbBfDI veröffentlicht Corona-FAQ auf seiner Website
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Linksammlung)
Plötzlich im Homeoffice? Die Landesbeauftragte für Datenschutz Schleswig-Holstein informiert
https://www.baden-wuerttemberg.datenschutz.de/faq-corona/
Der europäische Datenschutzbeauftragte
ULD: Sonderinformationen zu Datenschutz in der Corona-Krise
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (PDF)
Allgemeine Rechtsthemen:
Rechtsakte der deutschen Bundesländer im Zusammenhang mit der sog. Corona-Pandemie
Weitere Informationsquellen:
Covid-19 und Datenschutz: Welche Maßnahmen dürfen Arbeitgeber treffen?
Auftragsverarbeitungsverträge – Schriftform und Verbot von Home-Office?
Datenschutz vs. Corona-Virus – Was Unternehmen beachten müssen
7 neue Fragen zum Coronavirus im Betrieb
Darf der Arbeitgeber am Eingang zum Betriebsgelände Fieber messen?
Coronavirus: Ist der Zugriff auf Smartphone-Standortdaten zulässig?
Fiebermessen bei Arbeitnehmern und Betriebsfremden
Darf mein Arbeitgeber mich fragen, woran ich erkrankt bin?
Coronavirus: Cybersicherheit für Home Office-Arbeitsplätze
Information der österreichischen Datenschutzbehörde zum Coronavirus
Hinweise zu Datenschutz in Zeiten des Corona-Virus
Data protection and coronavirus: what you need to know
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks