Datenschutz | HK2-Rechtsanwälte | Corona Recht

Kommentar: Daten oder Gesundheit schützen?

30. April 2020

Der Ausbruch von SARS CoV-2 macht deutlich: Daten sind besser geschützt als Gesundheit oder Wirtschaft. Seit dem Beginn der Epidemie in Wuhan bis hin zur aktuellen Pandemie-Bekämpfung sind die negative Dynamik und die katastrophalen Auswirkungen auf Gesundheit, öffentliches Leben und Wirtschaft maßgeblich durch fehlende Informationen und Daten zurückzuführen.

Von der Unterdrückung der Informationen des Ausbruchs über unbekannte Infektionsketten bis hin zur unklaren Wirkung der Maßnahmen: Jede Eskalationsstufe dieser Katastrophe hätte durch Zugang zu den verfügbaren Informationen und deren Bereitstellung als Daten verhindert werden können. Die Entscheidung, diese Informationen zum Schutz des Datengeheimnisses nicht zu erheben oder zu nutzen, geht auf Kosten anderer grundrechtlich geschützter Positionen.

Seit Beginn der Krise werden auf der Basis veralteter und schlechter Daten Maßnahmen erlassen, die dann später anhand gleich miserabler Daten überprüft werden. Es werden auch allerhand Vorschläge diskutiert, ohne die zugrundeliegenden Annahmen oder in Kauf genommenen Konsequenzen zu spezifizieren. Dieser Vorwurf ist allerdings auch der Politik zu machen, die zwar „Transparenz“ ruft, aber weder Ziele, noch Prämissen oder Prognosen der Entscheidungen konkret benennt. Fehler werden nicht eingeräumt, Unvermögen und Unsicherheiten nicht offengelegt. Das Vertrauen schwindet daher zurecht.

Die vorhandenen Daten sind aber schlecht: COVID-19-und SARS-CoV-2 Daten werden gemäß Infektionsschutzgesetz an das zuständige Gesundheitsamt gemeldet. Die Gesundheitsämter ermitteln weitere Informationen, bewerten den Fall und leiten die Daten spätestens am nächsten Arbeitstag an die zuständige Landesbehörde weiter und diese an das RKI. Dort werdend die Daten validiert und nur die Fälle mit labordiagnostischer Bestätigung verwendet und jeweils um 0:00 Uhr aktualisiert. Die Dauer ab Infektion bis zur Meldung ist damit unbekannt und hat sich seit Beginn verkürzt. Seit kurzem wird vom RKI daher auch eine Schätzung der Fallzahlen unter Berücksichtigung des Verzugs vorgenommen. Dort werden dann gesicherte, geschätzte und prognostizierte Daten zusammengeworfen. Würden die Labore nach einem einheitlichen Verfahren an eine gemeinsame Datenbank melden, wären vermutlich schon Tage gewonnen. Bei exponentiellem Wachstum einer zweiten Welle entsprechen Tage schnell zigtausend Betroffenen.

Zur Eindämmung oder Bekämpfung der Corona Infektion sind Daten erforderlich. Das ist unmittelbar nachvollziehbar bezüglich der Kontakte während der ansteckenden Zeit eines Infizierten. Genauso wichtig erscheint aber die Information, welche Maßnahmen sinnvoll sind oder welche sonstigen Ereignisse sich wie auswirken. Die Analyse mittels KI bietet sich an.

Viele Daten werden selbst dann nicht erhoben, wenn die Informationen vorhanden oder ohne weiteres gesammelt werden könnten, etwa weil Gesundheitsdaten nicht zentral gesammelt werden:

  • Wie viele Personen haben die Krankheit durchlaufen und sind gesund?
  • Sind Kinder und Jugendliche maßgeblich an der Verbreitung von Infektionen beteiligt?
  • Können Eindämmungsmaßnahmen anhand von persönlichen oder lokalen Infektionsclustern optimiert werden?
  • Wie erfolgreich ist eine Eindämmung durch analoges Contact-Tracing?
  • Welche Vorerkrankungen, regelmäßig eingenommenen Medikamente, lokalen Gegebenheiten sind für den Verlauf der Krankheit bestimmend?
  • Was bringt welche Maßnahme?

Ein Beispiel sind die viel diskutierten Tracing Apps. Nach Protesten aus dem Lager der Datenschützer soll nun ein dezentraler Ansatz bei der Speicherung der gesammelten IDs erfolgen. Damit wird eine überragende Quelle für Informationen über das Infektionsgeschehen ohne Not nicht erschlossen. Grund ist nicht etwa der fehlende Nutzen für Gesundheit, Wirtschaft und Gesellschaft, sondern die Sorge vor einem Missbrauch der anonymen Daten durch den Staat. Es gibt keinen Nachweis, dass die Daten renonymisiert werden könnten, es gibt noch nicht einmal eine zu testende App. Es ist dem Staat wie jedem anderen gesetzlich verboten, die anonymen Daten zu renonymisieren. Welches Interesse an einer illegalen Nutzung der Daten bestehen könnte, ist unbekannt.

Die Daten, die zentral entstünden, gibt es mehr oder weniger schon, sie liegen bei den TK Providern. Der Staat könnte sich also bereits heute illegal solche Informationen beschaffen und sobald die Vorratsdatenspeicherung wieder in Kraft ist, mit einer kleinen Gesetzesänderung sogar rechtmäßig. Die Bestandsdatenabfrage gemäß § 113 Absatz 1 Satz 1 TKG wird über 10 Millionen mal pro Jahr genutzt. Funkzellenabfragen und TKÜ gibt es dann auch noch. Was die Nachrichtendienste aus dem Netz fischen ist zu geheim für die Allgemeinheit. Angesichts der umfassenden Möglichkeiten des Staates sich legal Daten zu verschaffen, erstaunt die Angst vor anonymen Kontaktdaten. Welchen Dienst sollte denn interessieren, welche Kontakte zufällig bestanden, wenn die direkten Kontakte in den Daten der Provider schon bereit liegen?

Politik und Wissenschaft tappen also weiter im Dunkeln durch die größte Krise der Bundesrepublik, weil eine zeitlich befristete Datenbank mit ziemlich uninteressanten Informationen den Leuten Angst macht.

Und wie funktioniert die Kontaktverfolgung jetzt? Das Gesundheitsamt erfragt, wer mit wem Kontakt hatte, wer mit wem wo arbeitet, wer im selben Flieger saß. Dann werden die Kontaktpersonen gespeichert, angerufen oder angeschrieben und zur Isolation oder Quarantäne aufgefordert. Per Telefon wird der Gesundheitszustand abgefragt. Dabei spielt dann keine Rolle, ob ein Telefon verschlüsselt ist, oder dass der freundliche Mitarbeiter im örtlichen Gesundheitsamt der Nachbar sein kann. Die Kontaktnetze werden also bereits jetzt erhoben, nur eben durch Menschen, nicht anonym und unvollständig bei unzuverlässigen Quellen. Alles auf der Rechtsgrundlage des IfSG. Das ginge deutlich schneller, sicherer und anonym und mit weniger staatlichem Zugriff auf die Daten. Daten sind kein Allheilmittel gegen Corona, aber die irrationale Angst vor Daten, die spätestens mit der DSGVO Gesetz geworden ist, verhindert unmittelbar Wissen, welches gerade jetzt Leben und Prosperität retten könnte.

Wer sich wirklich klandestin treffen möchte, muss längst sein Mobiltelefon zu Hause lassen – ob mit oder ohne Corona App. Auch dann sollten aber die Hygieneregeln beachtet werden, um neben den Daten auch die Gesundheit zu schützen.

Matthias Hartmann,

Berliner Aufsichtsbehörde: MS Teams, Skype und Zoom nicht datenschutzgerecht

22. April 2020

Softwarelösungen für Videokonferenzen erleben zu Zeiten von Corona einen Boom. Unternehmen wie öffentliche Stellen testen, probieren aus, kaufen und implementieren, um trotz Kontaktverbot den Betrieb und die hierfür erforderliche interne und externe Kommunikation aufrechtzuerhalten.

Die Berliner Datenschutzaufsichtsbehörde hat nun vor Kurzem einen Vermerk mit Empfehlungen für die Durchführung von Videokonferenzen veröffentlicht. Dabei weist die Behöre u. a. darauf hin, dass Videokonferenzen möglichst nur dann durchgeführt werden sollten, wenn eine Telefonkonferenz nicht ausreichen würde. Bei der Nutzung kommerzieller Softwarelösungen sollte möglichst darauf geachtet werden, dass der Anbieter seinen Sitz im EWR oder einem Land mit gleichwertigem Datenschutzniveau hat, vertrauenswürdig erscheint und ausreichende Datensicherheit inkl. Verschlüsselung anbietet. In jedem Fall muss der Abschluss eines Auftragsverarbeitungsvertrags erfolgen und eine etwaige Übertragung in Drittstaaten ordnungsgemäß geregtelt werden.

Abschließen weist die Behörde darauf hin, „dass einige verbreitet eingesetzte Anbieter die auf-geführten Bedingungen nicht erfüllen, darunter Microsoft, Skype Communications und Zoom Video Communications.“ Der Einsatz dieser Lösungen muss aber nicht zwangsläufig einen Rechtsbruch darstellen, denn die Behörde empfiehlt lediglich:

„Nicht datenschutzgerechte Lösungen, die aufgrund der Einführung der Kontaktbeschränkungen von Ihrer Institution kurzfristig eingesetzt wurden, sollten so bald wie möglich abgelöst werden.“ – und nicht müssen.

 

 

Haben Sie eine Frage hierzu?
Für Rückfragen stehen wir Ihnen gerne zur Verfügung.
Lukas Wagner, Telefon: +49 30 2789000

Social Distancing in der Arbeitswelt

Homeoffice und Datenschutz in Zeiten der Corona-Pandemie

23. März 2020

Um das Corona-Virus einzudämmen, gilt es, zwischenmenschliche Kontakte so weit wie möglich zu unterbinden – sprich: zu Hause bleiben. Aus diesem Grund schicken derzeit zahlreiche Unternehmen ihre Mitarbeiter ins Homeoffice. Neben den logistischen Herausforderungen sind dabei auch rechtliche Vorgaben zu beachten.

Flatten the curve! – Das ist das Gebot der Stunde. Durch die Minimierung sozialer Kontakte soll eine sprunghafter Anstieg der Infektionen mit dem Corona-Virus verhindert werden. In der Arbeitswelt bedeutet dies häufig: Umzug ins Homeoffice. Neben den vielen praktischen Fragen (siehe hierzu den Homeoffice-Guide von t3n) hat die Umstellung auf Heimarbeit auch verschiedene datenschutzrechtliche Implikationen. Heimarbeit birgt das Risiko des Absenkens des Schutzniveaus für Daten, da naturgemäß nicht die gleichen Sicherungsmaßnahmen wie am Sitz des Unternehmens umgesetzt werden können. Dann drohen Offenlegung, Diebstahl oder Missbrauch der Daten durch Unbefugte. Hier muss mit besonderen Maßnahmen gegengesteuert werden.

Homeoffice: vernünftig, aber auch zulässig?

Wer jetzt seine Mitarbeiter ins Homeoffice schicken möchte, sollten zuerst prüfen, ob er das überhaupt darf. Staatliche Verbote bestehen zwar nicht. Allerdings kann Heimarbeit privatrechtlich ausgeschlossen sein. Die Arbeit im Homeoffice ist in Leistungsverträgen mit Kunden häufig ausdrücklich ausgeschlossen oder nur unter bestimmten Voraussetzungen erlaubt. Das gilt insbesondere dann, wenn Unternehmen im Rahmen ihrer Leistungserbringung personenbezogene Daten im Auftrag des Kunden verarbeiten. In Vereinbarungen über die Auftragsverarbeitung finden sich nicht selten Regelungen zur Zulässigkeit oder dem Verbot von Heimarbeit. Das gilt z.B. auch für die weit verbreiteten Musterverträge des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) und des Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI). Die gängigen Regelungen reichen von einem vollständigen Verbot über ein Zustimmungserfordernis im Einzelfall bis hin zur generellen Freigabe, teilweise unter Auflagen. Problematisch ist dann, wenn die Arbeit im Homeoffice komplett untersagt wird oder die gesetzten Auflagen nicht erfüllt werden können. Einige Muster erfordern z. B. die Einwilligung des Mitarbeiters und sämtlicher Mitbewohner, dass der Kunde die Wohnung für Kontrollen betreten darf. Das dürfte in den wenigstens Fällen erfüllt sein. Die Einwilligung kann nun im Zeichen von Corona auch nicht mehr wirksam eingeholt werden. Wenn der Mitarbeiter die Wahl hat, einzuwilligen, mit Ansteckungsgefahr weiter im Büro zu arbeiten oder Urlaubstage zu verwenden, ist diese kaum freiwillig. Derartige Regelungen wirken somit wie Quasi-Verbote.

Wird entgegen eines Verbotes im Homeoffice gearbeitet, erfolgt das weisungswidrig und stellt eine Pflichtverletzung dar. Das wird auch nicht durch den Aufruf offizieller Stellen, zu Hause zu bleiben, automatisch geheilt. Weder eine ausdrücklichen Anordnung der Quarantäne eines Mitarbeiters wegen eigener Erkrankung oder als Kontaktperson nach § 28 IfSG noch die generelle Empfehlung, zu Hause zu bleiben, besagen nämlich, dass der Mitarbeiter in der häuslichen Isolation zwingend arbeiten muss. Insofern besteht kein zwingender Widerspruch zur Anordnung, so dass diese dem Verbot auch nicht gemäß Art. 28 Abs. 3 a DSGVO vorgeht.

Was nicht passt, wird passend gemacht!

Verhindert Datenschutz also den effektiven Infektionsschutz? Tatsächlich besteht hier eine echte Konfliktlage. Lösen lässt die sich nur bei einem Blick auf die Einmaligkeit der Herausforderung der Corona-Bekämpfung. Diese hat Einschränkungen des öffentlichen Lebens mit sich gebracht, die es in Deutschland seit dem zweiten Weltkrieg nicht gegeben hat. Insofern spricht sehr viel dafür, die aktuelle Pandemie als Fall höherer Gewalt anzusehen, umso mehr als dies für die weniger dramatische SARS-Epidemie seinerzeit schon anerkannt war. In einem solchen Fall kann nach die Anpassung eines Vertrages verlangt werden, wenn sich die Geschäftsgrundlage des Vertrages so stark verändert hat, dass ein Festhalten in der vereinbarten Form nicht mehr zumutbar ist (§ 313 BGB). Wer ein Verbot der Heimarbeit akzeptiert, tut das wohl nur in der Annahme, dies sei für seine Leistungserbringung nicht relevant. Zwingt die Corona-Pandemie Unternehmen nun dazu, doch ins Homeoffice auszuweichen, dann ist diese Geschäftsgrundlage gestört. Rechtsfolge ist ein Anspruch des Unternehmens gegenüber dem Kunden auf entsprechende Anpassung des Vertrages, der jedoch geltend gemacht werden muss. Dies führt nicht dazu, dass das Homeoffice-Verbot ersatzlos gestrichen, sondern auf ein zumutbares Maß reduziert wird. Ein Zutrittsrecht des Kunden zur Privatwohnung dürfte das allein deshalb schon nicht umfassen, weil damit das angestrebte „social distancing“ unterlaufen würde. Im Ergebnis dürfte die Heimarbeit bei Umsetzung besonderer technischer und organisatorischer Maßnahmen zulässig werden.

Die Vertragsanpassung muss mit den Kunden vereinbart werden. Dies kann bei einer Vielzahl von Kunden einen hohen Verwaltungsaufwand bedeuten. Wer das aktuell nicht leisten kann, sollte seine Kunden im Rahmen der Auftragsverarbeitung zumindest informieren, dass Mitarbeiter im Homeoffice tätig werden.

Besondere technische und organisatorische Maßnahmen im Homeoffice

Egal, ob die Daten als Auftragsverarbeiter oder in eigener Verantwortung verarbeitet werden, besteht die Plicht zur Umsetzung technischer und organisatorischer Maßnahmen zum Schutz der Daten (Art. 32 DSGVO). Das grundsätzliche Problem des Homeoffices ist, dass nicht die gleichen Sicherheitsvorkehrungen umgesetzt werden können, wie am Geschäftssitz des Unternehmens (siehe zu auch das Merkblatt „Telearbeit und Mobiles Arbeiten des BfDI“). Insbesondere Maßnahmen zum Zutritt von Dritten sind in der Wohnung des Mitarbeiters häufig nicht umsetzbar, weil dort Mitbewohner leben können. Deswegen muss abgewogen werden, ob mit den möglichen Maßnahmen noch ein angemessenes Schutzniveau gewährleistet werden kann. Dies kann dazu führen, dass besonders sensible Daten oder Sozialdaten von Sozialversicherungsträgern nicht im Homeoffice verarbeitet werden dürfen. Entsprechend müssen Unternehmen besondere technische und organisatorische Sicherungsmaßnahmen für die Arbeit im Homeoffice umsetzen. Das umfasst z.B. die Absicherung der genutzten Geräte mit Passwort- und Virenschutz. Idealerweise erfolgt die Datenverarbeitung nicht lokal, sondern auf der Unternehmensinfrastruktur mittels VPN-Tunnel. Nutzen Mitarbeiter ihre privaten Geräte, sollten eine strikte Trennung zum beruflichen Bereich erfolgen und die erforderlichen Zugriffs- und Kontrollrechte für den Arbeitgeber eingeräumt werden, so dass im Verlustfall eine Fernlöschung möglich ist. Hierbei muss allerdings die Verhältnismäßigkeit gewahrt bleiben (siehe hierzu WP 249 der Artikel 29-Gruppe). Regelmäßig Updates und Sicherheitspatches sind Pflicht.

In organisatorischer Hinsicht sollten Mitarbeiter für die besonderen Risiken des mobilen Arbeitens sensibilisiert werden, insbesondere das höhere Diebstahls- und Missbrauchsrisiko. Dies umfasst das Verbot der Nutzung offener WLAN-Netze oder USB-Sticks sowie des ungesicherten Zurücklassens des Rechners. Aus der Corona-Pandemie ergeben sich hier keine Besonderheiten. Allerdings ist aufgrund von Schulschließungen und der allgemeinen Umstellung auf Homeoffice eher damit zu rechnen, dass Kinder, Partner oder Mitbewohner ebenfalls zu Hause sind. Dies betrifft auch das Mithören von Telefonaten. Eine Homeoffice-Richtlinie zur Eingrenzung der Risiken ist daher sinnvoll.

Was tun, wenn es brennt?

Wenn der Umzug ins Homeoffice zu spät kommt und sich ein Mitarbeiter infiziert hat, sollten die Hinweise der Datenschutzkonferenz und des Europäischen Datenschutzausschusses berücksichtigt werden. Soweit erforderlich, darf der Arbeitgeber dann Schutzmaßnahmen ergreifen oder mit den Behörden kommunizieren.

Fazit

Der Umzug ins Homeoffice ist richtig und wichtig, um die die Corona-Pandemie einzudämmen. Trotzdem sollten Unternehmen dabei die datenschutzrechtlichen Aufgaben im Blick behalten. Es ist zu prüfen, ob und welche vertraglichen Verpflichtungen bestehen und wie diese umgestellt werden können. Sensible Daten sollten nicht von zu Hause verarbeitet werden. Auch ansonsten sollten die erforderlichen Vorkehrungen getroffen werden einschließlich des Erlasses einer diesbezüglichen Richtlinie, um die zusätzlichen Risiken zu begrenzen.

Wenn Sie Fragen haben zu den juristischen Corona Auswirkungen stehen wir gerne zur Verfügung:
Telefon: +49 30 2789000
E-Mail: Kloos@hk2.eu

Bernhard Kloos ist Partner bei HK2 Rechtsanwälte und spezialisiert auf IT-Recht, Wettbewerbsrecht und Datenschutz. Er ist außerdem Geschäftsführer der HK2 Comtection GmbH und externer Datenschutzbeauftragter, z.B. für Online- oder KI-Anbieter.

Michael Schramm ist als Associate bei HK2 Rechtsanwälte im Datenschutz und IT-Recht tätig und agiert als externer Datenschutzbeauftragter, insbesondere für Unternehmen im Bereich Payment.