Arbeitsrecht | HK2-Rechtsanwälte | Corona Recht

Tipps zum Umgang mit der neuen Corona-Warn-App für Unternehmen

16. Juni 2020

1. Die Corona-Warn-App

Die „Corona-Warn-App“ der Bundesregierung steht als Angebot des Robert-Koch-Instituts seit dem 16.06.2020 zum Download zur Verfügung.

Die technische Entwicklung der App konnte transparent auf GitHub verfolgt werden. Dort sind der Quellcode und weitere Informationen verfügbar. Der TÜViT hat die App technisch und hinsichtlich des Datenschutzes geprüft. Der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) hält den Datenschutz für ausreichend (Pressemitteilung vom 16.06.2020).

Zur App gibt es eine Datenschutzerklärung und inzwischen wurde eine Datenschutz-Folgenabschätzung vorgelegt. Das ist eine Risiko-Bewertung gemäß DSGVO, die der Verantwortliche für eine risikobehaftete Datenverarbeitung vornehmen muss. Es zeigt vieles in eine gute Richtung.

Wir halten die Nutzung der App für datenschutzrechtlich gut vertretbar.

Damit die App effektiv Infektionsketten nachverfolgbar macht und hilft, die Pandemie einzudämmen, ist eine hohe Nutzeranzahl innerhalb der Kontakt-Cluster wichtig.

Nun fragen sich Unternehmen, ob und wie die Verbreitung und der Einsatz der Corona-Warn-App im eigenen Unternehmen und gegenüber Kunden gefördert werden kann.

Eine bloße Empfehlung der Nutzung ist zulässig.

Von einer Verpflichtung zur Nutzung der App gegenüber MitarbeiterInnen raten wir ab, und zwar unabhängig davon, ob die App auf privaten Geräten oder denen des Arbeitgebers genutzt werden sollten. Inwiefern im Einzelfall eine Verpflichtung von Kunden sinnvoll und zulässig ist, wäre zu prüfen. Der BfDI hält dies jedenfalls für unzulässig.

 

2. Empfehlung, aber richtig

Die Nutzung der Corona-Warn-App soll freiwillig erfolgen. Es gibt weder ein Corona-Warn-App-Gesetz noch eine andere rechtliche Verpflichtung von Bürgerinnen und Bürgern gegenüber dem Staat zur Nutzung der App.

Demgemäß sollte eine Empfehlung, die App einzusetzen, ausdrücklich als unverbindliche Nutzungsempfehlung kommuniziert werden. Dabei können wichtige Hinweise zum richtigen Umgang mit der App auf den Weg gegeben werden.

Gerade gegenüber den eigenen MitarbeiterInnen ist dies wichtig, um die Empfehlung von einer Weisung abzugrenzen. Die Empfehlung sollte hinsichtlich ihrer Reichweite erkennen lassen, dass der Einsatz nur auf den privaten Endgeräten gewünscht ist.

Da zu befürchten ist, dass die Corona-Warn-App Betrüger anzieht, sollte die Kommunikation auf eine sichere Download-Quelle und das Robert-Koch-Institut als Herausgeber hinweisen.

Im Folgenden finden sich ein Mustertext für MitarbeiterInnen.

 

3. Mustertext für MitarbeiterInnen

„Liebes Team,

die Corona Warn App kann mittlerweile heruntergeladen werden. Technische oder datenschutzrechtliche Bedenken gegen den Einsatz sind derzeit nicht ersichtlich. Die passive Nutzung erfolgt weitestgehend anonym, es sind bislang keine Angriffsmöglichkeiten bekannt und die App-Nutzung führt kaum zu Akkuverbrauch. Zudem kann die App jederzeit deinstalliert oder mit der Bluetooth-Funktion abgeschaltet werden (siehe Hinweise von heise.de).

Die App kann dabei helfen, Infektionsketten möglichst schnell zu unterbrechen, insbesondere beim Überspringen auf andere Cluster, zu denen nur anonymer Kontakt bestand (U-Bahn, Öffentlichkeit). Die Corona-Warn-App kann so ein wichtiges Werkzeug bei der Eindämmung der Pandemie sein.

Wenn möglichst viele von Euch die App nutzen, kann eine Weiterverbreitung innerhalb unseres Unternehmens-Clusters vielleicht gestoppt und eine Quarantäne des Unternehmens verhindert werden.

Daher befürworten wir den Einsatz und bitten euch, uns durch Eure Nutzung der App dabei zu unterstützen, weitere Pandemie-Maßnahmen zu verhindern. Die Nutzung der App ist aber freiwillig und wird nicht kontrolliert. Wir bitten Euch auch, für die Nutzung der App im eigenen Bekanntenkreis zu werben.

Bitte installiert die App nur auf Euren privaten Smartphones. Wichtig: bitte achtet darauf, die Corona-Warn-App nur aus einer vertrauensvollen Quelle herunterzuladen. In den jeweiligen App-Stores muss das Robert-Koch-Institut als Herausgeber genannt werden.

Weitere Informationen zur Corona-Warn-App findet ihr hier. https://www.coronawarn.app/de/.

Vielen Dank für Eure Unterstützung!

[…]

P.S.: Wer online darüber berichten möchte, dass er die App nutzt, kann sich mit den Hashtags #CoronaWarnApp und #IchAppMit sichtbarer machen.“

 

Download als PDF-Dokument

 

Haben Sie eine Frage hierzu?

Für Rückfragen stehen wir Ihnen gern zur Verfügung.

Karsten U. Bartels LL.M. und Michael Schramm LL.M. (Minnesota)

+49 30 27 89 00 0

Social Distancing in der Arbeitswelt

Homeoffice und Datenschutz in Zeiten der Corona-Pandemie

23. März 2020

Um das Corona-Virus einzudämmen, gilt es, zwischenmenschliche Kontakte so weit wie möglich zu unterbinden – sprich: zu Hause bleiben. Aus diesem Grund schicken derzeit zahlreiche Unternehmen ihre Mitarbeiter ins Homeoffice. Neben den logistischen Herausforderungen sind dabei auch rechtliche Vorgaben zu beachten.

Flatten the curve! – Das ist das Gebot der Stunde. Durch die Minimierung sozialer Kontakte soll eine sprunghafter Anstieg der Infektionen mit dem Corona-Virus verhindert werden. In der Arbeitswelt bedeutet dies häufig: Umzug ins Homeoffice. Neben den vielen praktischen Fragen (siehe hierzu den Homeoffice-Guide von t3n) hat die Umstellung auf Heimarbeit auch verschiedene datenschutzrechtliche Implikationen. Heimarbeit birgt das Risiko des Absenkens des Schutzniveaus für Daten, da naturgemäß nicht die gleichen Sicherungsmaßnahmen wie am Sitz des Unternehmens umgesetzt werden können. Dann drohen Offenlegung, Diebstahl oder Missbrauch der Daten durch Unbefugte. Hier muss mit besonderen Maßnahmen gegengesteuert werden.

Homeoffice: vernünftig, aber auch zulässig?

Wer jetzt seine Mitarbeiter ins Homeoffice schicken möchte, sollten zuerst prüfen, ob er das überhaupt darf. Staatliche Verbote bestehen zwar nicht. Allerdings kann Heimarbeit privatrechtlich ausgeschlossen sein. Die Arbeit im Homeoffice ist in Leistungsverträgen mit Kunden häufig ausdrücklich ausgeschlossen oder nur unter bestimmten Voraussetzungen erlaubt. Das gilt insbesondere dann, wenn Unternehmen im Rahmen ihrer Leistungserbringung personenbezogene Daten im Auftrag des Kunden verarbeiten. In Vereinbarungen über die Auftragsverarbeitung finden sich nicht selten Regelungen zur Zulässigkeit oder dem Verbot von Heimarbeit. Das gilt z.B. auch für die weit verbreiteten Musterverträge des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) und des Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI). Die gängigen Regelungen reichen von einem vollständigen Verbot über ein Zustimmungserfordernis im Einzelfall bis hin zur generellen Freigabe, teilweise unter Auflagen. Problematisch ist dann, wenn die Arbeit im Homeoffice komplett untersagt wird oder die gesetzten Auflagen nicht erfüllt werden können. Einige Muster erfordern z. B. die Einwilligung des Mitarbeiters und sämtlicher Mitbewohner, dass der Kunde die Wohnung für Kontrollen betreten darf. Das dürfte in den wenigstens Fällen erfüllt sein. Die Einwilligung kann nun im Zeichen von Corona auch nicht mehr wirksam eingeholt werden. Wenn der Mitarbeiter die Wahl hat, einzuwilligen, mit Ansteckungsgefahr weiter im Büro zu arbeiten oder Urlaubstage zu verwenden, ist diese kaum freiwillig. Derartige Regelungen wirken somit wie Quasi-Verbote.

Wird entgegen eines Verbotes im Homeoffice gearbeitet, erfolgt das weisungswidrig und stellt eine Pflichtverletzung dar. Das wird auch nicht durch den Aufruf offizieller Stellen, zu Hause zu bleiben, automatisch geheilt. Weder eine ausdrücklichen Anordnung der Quarantäne eines Mitarbeiters wegen eigener Erkrankung oder als Kontaktperson nach § 28 IfSG noch die generelle Empfehlung, zu Hause zu bleiben, besagen nämlich, dass der Mitarbeiter in der häuslichen Isolation zwingend arbeiten muss. Insofern besteht kein zwingender Widerspruch zur Anordnung, so dass diese dem Verbot auch nicht gemäß Art. 28 Abs. 3 a DSGVO vorgeht.

Was nicht passt, wird passend gemacht!

Verhindert Datenschutz also den effektiven Infektionsschutz? Tatsächlich besteht hier eine echte Konfliktlage. Lösen lässt die sich nur bei einem Blick auf die Einmaligkeit der Herausforderung der Corona-Bekämpfung. Diese hat Einschränkungen des öffentlichen Lebens mit sich gebracht, die es in Deutschland seit dem zweiten Weltkrieg nicht gegeben hat. Insofern spricht sehr viel dafür, die aktuelle Pandemie als Fall höherer Gewalt anzusehen, umso mehr als dies für die weniger dramatische SARS-Epidemie seinerzeit schon anerkannt war. In einem solchen Fall kann nach die Anpassung eines Vertrages verlangt werden, wenn sich die Geschäftsgrundlage des Vertrages so stark verändert hat, dass ein Festhalten in der vereinbarten Form nicht mehr zumutbar ist (§ 313 BGB). Wer ein Verbot der Heimarbeit akzeptiert, tut das wohl nur in der Annahme, dies sei für seine Leistungserbringung nicht relevant. Zwingt die Corona-Pandemie Unternehmen nun dazu, doch ins Homeoffice auszuweichen, dann ist diese Geschäftsgrundlage gestört. Rechtsfolge ist ein Anspruch des Unternehmens gegenüber dem Kunden auf entsprechende Anpassung des Vertrages, der jedoch geltend gemacht werden muss. Dies führt nicht dazu, dass das Homeoffice-Verbot ersatzlos gestrichen, sondern auf ein zumutbares Maß reduziert wird. Ein Zutrittsrecht des Kunden zur Privatwohnung dürfte das allein deshalb schon nicht umfassen, weil damit das angestrebte „social distancing“ unterlaufen würde. Im Ergebnis dürfte die Heimarbeit bei Umsetzung besonderer technischer und organisatorischer Maßnahmen zulässig werden.

Die Vertragsanpassung muss mit den Kunden vereinbart werden. Dies kann bei einer Vielzahl von Kunden einen hohen Verwaltungsaufwand bedeuten. Wer das aktuell nicht leisten kann, sollte seine Kunden im Rahmen der Auftragsverarbeitung zumindest informieren, dass Mitarbeiter im Homeoffice tätig werden.

Besondere technische und organisatorische Maßnahmen im Homeoffice

Egal, ob die Daten als Auftragsverarbeiter oder in eigener Verantwortung verarbeitet werden, besteht die Plicht zur Umsetzung technischer und organisatorischer Maßnahmen zum Schutz der Daten (Art. 32 DSGVO). Das grundsätzliche Problem des Homeoffices ist, dass nicht die gleichen Sicherheitsvorkehrungen umgesetzt werden können, wie am Geschäftssitz des Unternehmens (siehe zu auch das Merkblatt „Telearbeit und Mobiles Arbeiten des BfDI“). Insbesondere Maßnahmen zum Zutritt von Dritten sind in der Wohnung des Mitarbeiters häufig nicht umsetzbar, weil dort Mitbewohner leben können. Deswegen muss abgewogen werden, ob mit den möglichen Maßnahmen noch ein angemessenes Schutzniveau gewährleistet werden kann. Dies kann dazu führen, dass besonders sensible Daten oder Sozialdaten von Sozialversicherungsträgern nicht im Homeoffice verarbeitet werden dürfen. Entsprechend müssen Unternehmen besondere technische und organisatorische Sicherungsmaßnahmen für die Arbeit im Homeoffice umsetzen. Das umfasst z.B. die Absicherung der genutzten Geräte mit Passwort- und Virenschutz. Idealerweise erfolgt die Datenverarbeitung nicht lokal, sondern auf der Unternehmensinfrastruktur mittels VPN-Tunnel. Nutzen Mitarbeiter ihre privaten Geräte, sollten eine strikte Trennung zum beruflichen Bereich erfolgen und die erforderlichen Zugriffs- und Kontrollrechte für den Arbeitgeber eingeräumt werden, so dass im Verlustfall eine Fernlöschung möglich ist. Hierbei muss allerdings die Verhältnismäßigkeit gewahrt bleiben (siehe hierzu WP 249 der Artikel 29-Gruppe). Regelmäßig Updates und Sicherheitspatches sind Pflicht.

In organisatorischer Hinsicht sollten Mitarbeiter für die besonderen Risiken des mobilen Arbeitens sensibilisiert werden, insbesondere das höhere Diebstahls- und Missbrauchsrisiko. Dies umfasst das Verbot der Nutzung offener WLAN-Netze oder USB-Sticks sowie des ungesicherten Zurücklassens des Rechners. Aus der Corona-Pandemie ergeben sich hier keine Besonderheiten. Allerdings ist aufgrund von Schulschließungen und der allgemeinen Umstellung auf Homeoffice eher damit zu rechnen, dass Kinder, Partner oder Mitbewohner ebenfalls zu Hause sind. Dies betrifft auch das Mithören von Telefonaten. Eine Homeoffice-Richtlinie zur Eingrenzung der Risiken ist daher sinnvoll.

Was tun, wenn es brennt?

Wenn der Umzug ins Homeoffice zu spät kommt und sich ein Mitarbeiter infiziert hat, sollten die Hinweise der Datenschutzkonferenz und des Europäischen Datenschutzausschusses berücksichtigt werden. Soweit erforderlich, darf der Arbeitgeber dann Schutzmaßnahmen ergreifen oder mit den Behörden kommunizieren.

Fazit

Der Umzug ins Homeoffice ist richtig und wichtig, um die die Corona-Pandemie einzudämmen. Trotzdem sollten Unternehmen dabei die datenschutzrechtlichen Aufgaben im Blick behalten. Es ist zu prüfen, ob und welche vertraglichen Verpflichtungen bestehen und wie diese umgestellt werden können. Sensible Daten sollten nicht von zu Hause verarbeitet werden. Auch ansonsten sollten die erforderlichen Vorkehrungen getroffen werden einschließlich des Erlasses einer diesbezüglichen Richtlinie, um die zusätzlichen Risiken zu begrenzen.

Wenn Sie Fragen haben zu den juristischen Corona Auswirkungen stehen wir gerne zur Verfügung:
Telefon: +49 30 2789000
E-Mail: Kloos@hk2.eu

Bernhard Kloos ist Partner bei HK2 Rechtsanwälte und spezialisiert auf IT-Recht, Wettbewerbsrecht und Datenschutz. Er ist außerdem Geschäftsführer der HK2 Comtection GmbH und externer Datenschutzbeauftragter, z.B. für Online- oder KI-Anbieter.

Michael Schramm ist als Associate bei HK2 Rechtsanwälte im Datenschutz und IT-Recht tätig und agiert als externer Datenschutzbeauftragter, insbesondere für Unternehmen im Bereich Payment.