{"id":2004,"date":"2020-04-06T12:04:15","date_gmt":"2020-04-06T10:04:15","guid":{"rendered":"https:\/\/www.pehb.at\/data-protection-aspects-with-regard-to-covid-19\/"},"modified":"2020-04-06T12:04:15","modified_gmt":"2020-04-06T10:04:15","slug":"data-protection-aspects-with-regard-to-covid-19","status":"publish","type":"post","link":"https:\/\/pehb.at\/en\/data-protection-aspects-with-regard-to-covid-19\/","title":{"rendered":"Data protection aspects with regard to COVID-19"},"content":{"rendered":"<p>Der rechtm\u00e4\u00dfige Umgang mit personenbezogenen Daten im Zusammenhang mit der Bek\u00e4mpfung des Coronavirus stellt viele Arbeitgeber vor weitere Herausforderungen.<\/p>\n<p>Auf Folgendes weisen wir \u00fcberblicksm\u00e4\u00dfig hin:<\/p>\n<p><strong>1. Verarbeitung von Gesundheitsdaten<\/strong><\/p>\n<p>Die Verarbeitung von personenbezogenen Gesundheitsdaten als eine \u201ebesondere Kategorie personenbezogener Daten\u201c (sogenannte \u201esensible Daten\u201c) ist gem\u00e4\u00df Artikel 9 Abs. 1 DSGVO untersagt. Zu den personenbezogenen Gesundheitsdaten z\u00e4hlen dem Erw\u00e4gungsgrund 35 der DSGVO auch alle Daten, die sich <em>\u201eauf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen \u00fcber den fr\u00fcheren, gegenw\u00e4rtigen und k\u00fcnftigen k\u00f6rperlichen oder geistigen Gesundheitszustand hervorgehen\u201c.<\/em> Aufzeichnungen des Arbeitgebers \u00fcber seine Mitarbeiter, die Informationen \u00fcber eine Covid-19-Erkrankung beinhalten, fallen beispielsweise darunter.<\/p>\n<p>Personenbezogene Gesundheitsdaten unterliegen somit grunds\u00e4tzlich einem Verarbeitungsverbot, es sei denn, eine Verarbeitung ist gem\u00e4\u00df Artikel 9 Abs. 2 DSGVO ausnahmsweise zul\u00e4ssig.<\/p>\n<p><strong>2. Zul\u00e4ssige Datenverarbeitung von Mitarbeiterdaten<\/strong><\/p>\n<p>Wenn ein Arbeitgeber \u00fcber Mitarbeiter Informationen speichert und festh\u00e4lt, wonach beispielsweise<\/p>\n<ul>\n<li>ein Mitarbeiter Symptome des Coronavirus aufzeigt,<\/li>\n<li>ein Mitarbeiter an Covid-19 erkrankt ist oder<\/li>\n<li>ein Mitarbeiter in einem gef\u00e4hrdeten Gebiet war<\/li>\n<\/ul>\n<p>verarbeitet er gesundheitsbezogene Daten. Damit eine derartige Datenverarbeitung zul\u00e4ssig ist, bedarf es einer Rechtsgrundlage. Als Rechtsgrundlage kommt zun\u00e4chst die ausdr\u00fcckliche Einwilligung der Mitarbeiter in Betracht, sofern sie f\u00fcr einen bestimmten festgelegten Zweck erfolgt. Ein Schweigen oder eine konkludente Zustimmung w\u00e4re demzufolge zu wenig.<\/p>\n<p>Die DSGVO sieht jedoch abseits der Einwilligung auch andere Rechtsgrundlagen f\u00fcr eine zul\u00e4ssige Verarbeitung von Gesundheitsdaten vor. Gem\u00e4\u00df Artikel 9 Abs. 2 lit. b DSGVO ist eine Verarbeitung zul\u00e4ssig, soweit<\/p>\n<blockquote><p><em>\u201edie Verarbeitung erforderlich ist, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht (und dem Recht der sozialen Sicherheit und des Sozialschutzes) erwachsenen Rechte aus\u00fcben und nachkommen kann.\u201c <\/em><\/p><\/blockquote>\n<p>Die zul\u00e4ssige Verarbeitung der Gesundheitsdaten kann daher aus der F\u00fcrsorgepflicht des Arbeitgebers resultieren, zum Zweck des Schutzes der Gesundheit der Mitarbeiter. Diese Ansicht hat die \u00f6sterreichische Datenschutzbeh\u00f6rde zuletzt bereits best\u00e4tigt. Dies allein gen\u00fcgt jedoch noch nicht, damit die Verarbeitung von Gesundheitsdaten DSGVO-konform erfolgt. Es ist entscheidend, dass auch die allgemeinen datenschutzrechtlichen Grunds\u00e4tze \u2013 wie bei jeder Datenverarbeitung \u2013 beachtet werden. Dazu z\u00e4hlen gem\u00e4\u00df Artikel 5 DSGVO in erster Linie<\/p>\n<ul>\n<li>Datenminimierung \u2013 es d\u00fcrfen nicht mehr Daten verarbeitet werden, als f\u00fcr den \u201eZweck der Datenverarbeitung\u201c erforderlich ist;<\/li>\n<li>Zweckgebundenheit \u2013 es d\u00fcrfen nur jene Daten verarbeitet werden, die f\u00fcr den konkreten Zweck erforderlich sind;<\/li>\n<li>Speicherbegrenzung \u2013 die Daten sind zu l\u00f6schen, sobald der Zweck erf\u00fcllt ist.<\/li>\n<\/ul>\n<p>Ein Versto\u00df gegen diese datenschutzrechtlichen Grunds\u00e4tze stellt einen schwerwiegenden Versto\u00df dar und wird mit einer Geldbu\u00dfe in H\u00f6he von bis zu 20 Mio. oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Gesch\u00e4ftsjahres geahndet.<\/p>\n<p>Welche konkreten Gesundheitsdaten Arbeitgeber in diesem Zusammenhang rechtm\u00e4\u00dfig verarbeiten d\u00fcrfen ist einzelfall- und branchenabh\u00e4ngig: Im Bereich der Lebensmittelherstellung kann die Speicherung umfassenderer gesundheitsbezogener Angaben der Mitarbeiter gerechtfertigt sein; dagegen im Speditionsbereich weniger.<\/p>\n<p>Wir empfehlen daher schriftlich festzuhalten, warum die jeweilige Datenverarbeitung der Gesundheitsdaten im konkreten Fall gerechtfertigt ist. Diese Datenverarbeitung ist im \u00dcbrigen auch im verpflichtend zu f\u00fchrenden Verzeichnis von Verarbeitungst\u00e4tigkeiten gem\u00e4\u00df Artikel 30 DSGVO mitaufzunehmen. Dieses Verzeichnis kann bekanntlich von der Datenschutzbeh\u00f6rde jederzeit gepr\u00fcft werden.<\/p>\n<p><strong>3. Verpflichtende Ma\u00dfnahmen gegen\u00fcber Mitarbeitern<\/strong><\/p>\n<p>Der Arbeitgeber ist im Rahmen seiner F\u00fcrsorge verpflichtet, Ma\u00dfnahmen zur Vermeidung von Infizierungen zu treffen und im Falle einer Infizierung seine \u00fcbrigen Mitarbeiter zu sch\u00fctzen. Er hat dabei den infizierten Besch\u00e4ftigten zu identifizieren und Ma\u00dfnahmen zu ergreifen. Auch diese Vornahme hat im Einklang mit den datenschutzrechtlichen Grunds\u00e4tzen (Stichwort: \u201eDatenminimierung\u201c) zu erfolgen. Die vom Arbeitgeber zu treffenden Ma\u00dfnahmen haben angemessen zu sein; eine \u00f6ffentliche Blo\u00dfstellung durch ein Mitarbeiterfoto am schwarzen Brett des infizierten Mitarbeiters w\u00e4re \u00fcberschie\u00dfend; eine m\u00fcndliche Information der Betroffenen (z.B. Kollegen im selben B\u00fcro) w\u00e4re hingegen angemessen.<\/p>\n<p>Als datenschutzrechtlich Verantwortlicher hat der Arbeitgeber stets die \u201egelindesten Mittel\u201c zu w\u00e4hlen: so ist ein t\u00e4gliches verpflichtendes Fiebermessen in den meisten F\u00e4llen \u00fcberschie\u00dfend. Fieber ist nicht zwangsl\u00e4ufig ein sicheres Symptom f\u00fcr eine COVID-19-Erkrankung. Der Mitarbeiter kann \u2013 als gelinderes Mittel \u2013 beispielsweise auch regelm\u00e4\u00dfig \u00fcber seinen Gesundheitszustand befragt werden. Ein regelm\u00e4\u00dfiges Fiebermessen auf freiwilliger Basis w\u00e4re hingegen m\u00f6glich.<\/p>\n<p><strong>4. \u00dcbermittlung von Daten an Gesundheitsbeh\u00f6rden<\/strong><\/p>\n<p>Sollte ein Arbeitgeber aufgefordert werden, Gesundheitsdaten von Mitarbeitern an die Gesundheitsbeh\u00f6rde zu \u00fcbermitteln, ist auch hierf\u00fcr keine ausdr\u00fcckliche Einwilligung des Mitarbeiters einzuholen. Gem\u00e4\u00df Artikel 9 Abs. 2 lit. i DSGVO ist die Verarbeitung (von Gesundheitsdaten) zul\u00e4ssig, sofern:<\/p>\n<blockquote><p><em>\u201edie Verarbeitung aus Gr\u00fcnden des \u00f6ffentlichen Interesses im Bereich der \u00f6ffentlichen Gesundheit zum Schutz von schwerwiegenden grenz\u00fcberschreitenden Gesundheitsgefahren erforderlich ist.\u201c<\/em><\/p><\/blockquote>\n<p>Sollten daher Bezirksverwaltungsbeh\u00f6rden Auskunft \u00fcber Gesundheitsdaten verlangen, ist dies auf Basis der bestehenden Rechtsgrundlage zul\u00e4ssig, was auch die Datenschutzbeh\u00f6rde best\u00e4tigt.<\/p>\n<p><strong>5. Homeoffice und Datenschutz<\/strong><\/p>\n<p>Die Erm\u00f6glichung von Teleworking oder Homeoffice (zusammen auch nur \u201eHomeoffice\u201c) stellt eine weitere Ma\u00dfnahme dar, um die Ausbreitung des Coronavirus einzud\u00e4mmen. Aus datenschutzrechtlicher Sicht ist zu beachten, dass Mitarbeiter damit personenbezogene Daten von zuhause aus verarbeiten. Arbeitgeber als datenschutzrechtlich Verantwortliche haben daf\u00fcr zu sorgen, dass die gem\u00e4\u00df Art 32 DSGVO getroffenen technischen und organisatorischen Schutzma\u00dfnahmen zum Schutz personenbezogener Daten auch auf den Bereich Homeoffice erweitert werden. Der Arbeitgeber hat jene Mitarbeiter, die im Homeoffice t\u00e4tig sind, somit beispielsweise anzuweisen,<\/p>\n<ul>\n<li>s\u00e4mtliche personenbezogene Daten vertraulich zu behandeln (Passw\u00f6rter sch\u00fctzen);<\/li>\n<li>gesch\u00fctzte WLAN oder LAN Verbindung zu verwenden;<\/li>\n<li>keine Ausdrucke anzufertigen bzw. Ausdrucke (sofern erforderlich) sicher zu verwahren bzw. gesondert (nicht im Hausm\u00fcll bzw. beim Altpapier) zu entsorgen (besser: im Office);<\/li>\n<li>keine privaten Kommunikationsmittel (Facebook, Instagram, WhatsApp) f\u00fcr den Austausch von beruflichen Informationen zu verwenden;<\/li>\n<li>Cyberkriminalit\u00e4t beachten \u2013 wachsam sein;<\/li>\n<li>etc.<\/li>\n<\/ul>\n<p>Auch die Datenschutzbeh\u00f6rde hat bereits aufgefordert, (derartige) Schutzma\u00dfnahmen im Homeoffice zu treffen. Es soll damit bestm\u00f6glich sichergestellt werden, dass der Arbeitgeber auch durch ein Homeoffice ein angemessenes Schutzniveau entsprechend dem Stand der Technik f\u00fcr die betrieblich verarbeiteten Daten gew\u00e4hrleisten kann. Sollte es zu einem Data-Breach-Fall kommen, h\u00e4tte der Arbeitgeber gegen\u00fcber der Datenschutzbeh\u00f6rde nachzuweisen, welche konkreten Ma\u00dfnahmen er zum Schutz personenbezogener Daten im Homeoffice getroffen hat. Daher empfiehlt es sich, auch dar\u00fcber schriftliche Aufzeichnungen anzufertigen, die gegebenenfalls der Datenschutzbeh\u00f6rde vorgelegt werden k\u00f6nnen.<\/p>\n<p><strong>6. Exkurs<\/strong><\/p>\n<p><strong>6.1. \u00dcberwachungsma\u00dfnahmen<\/strong><\/p>\n<p>Es wird immer konkreter, dass auch Big Data zur Eind\u00e4mmung des Coronavirus eingesetzt werden wird. Damit k\u00f6nnten Messdaten regelm\u00e4\u00dfig ausgewertet werden, die man z.B. \u00fcber das Mobiltelefon erh\u00e4lt, um u.a. das Bewegungsprofil zu kontrollieren.<\/p>\n<p>In \u00d6sterreich gilt im Sinne der DSGVO, dass derartige Daten zur Bek\u00e4mpfung grenz\u00fcberschreitender Gesundheitsgefahren verarbeitet werden d\u00fcrfen. Unter Ber\u00fccksichtigung der oben genannten datenschutzrechtlichen Grunds\u00e4tze sind auch diese Daten nach Erf\u00fcllung des Zweckes wieder zu l\u00f6schen.<\/p>\n<p><strong>6.2. Daten\u00fcbermittlung an B\u00fcrgermeister<\/strong><\/p>\n<p>Mit dem 3. COVID-19-Gesetz wurde die nicht unumstrittene Ma\u00dfnahme beschlossen, wonach Bezirksverwaltungsbeh\u00f6rden nunmehr erm\u00e4chtigt sind, B\u00fcrgermeistern den Namen und die erforderlichen Kontaktdaten einer COVID-19 betroffenen Person, die im Gemeindegebiet des B\u00fcrgermeisters wohnhaft ist, mitzuteilen. Dies jedoch ausschlie\u00dflich zum Zweck der Versorgung dieser Person mit notwendigen Gesundheitsdienstleistungen oder mit Waren bzw. Dienstleistungen des t\u00e4glichen Bedarfs. Eine Verarbeitung zu anderen Zwecken ist unzul\u00e4ssig. Im Einklang mit den datenschutzrechtlichen Grunds\u00e4tzen sind die Daten \u201eunumkehrbar zu l\u00f6schen\u201c, sofern sie f\u00fcr den Zweck, f\u00fcr den sie gesichert wurden, nicht mehr erforderlich sind. Diese Erm\u00e4chtigung der Daten\u00fcbermittlung an B\u00fcrgermeister soll mit Ablauf des Jahres 2020 wieder au\u00dfer Kraft treten. Fragen, wie die Kontrolle dieser Daten\u00fcbermittlung erfolgen soll, sind allerdings noch offen; desgleichen steht auch eine Reaktion der Datenschutzbeh\u00f6rde noch aus.<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der rechtm\u00e4\u00dfige Umgang mit personenbezogenen Daten im Zusammenhang mit der Bek\u00e4mpfung des Coronavirus stellt viele Arbeitgeber vor weitere Herausforderungen. Auf Folgendes weisen wir \u00fcberblicksm\u00e4\u00dfig hin: 1. Verarbeitung von Gesundheitsdaten Die Verarbeitung von personenbezogenen Gesundheitsdaten als eine \u201ebesondere Kategorie personenbezogener Daten\u201c (sogenannte \u201esensible Daten\u201c) ist gem\u00e4\u00df&#8230;<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[35],"tags":[],"class_list":["post-2004","post","type-post","status-publish","format-standard","hentry","category-uncategorized"],"acf":[],"_links":{"self":[{"href":"https:\/\/pehb.at\/en\/wp-json\/wp\/v2\/posts\/2004","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pehb.at\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pehb.at\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pehb.at\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/pehb.at\/en\/wp-json\/wp\/v2\/comments?post=2004"}],"version-history":[{"count":0,"href":"https:\/\/pehb.at\/en\/wp-json\/wp\/v2\/posts\/2004\/revisions"}],"wp:attachment":[{"href":"https:\/\/pehb.at\/en\/wp-json\/wp\/v2\/media?parent=2004"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pehb.at\/en\/wp-json\/wp\/v2\/categories?post=2004"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pehb.at\/en\/wp-json\/wp\/v2\/tags?post=2004"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}