Datenverarbeitung in Unternehmen in Zeiten des Corona-Virus

 

1. Problemstellung

1.1 Corona-Virus und Gesundheitsdaten

Das Corona-Virus bewegt das aktuelle Tagesgeschehen in vielen, wenn nicht allen Betrieben. Die steigende Zahl der Infektionen verlangt, dass durch den Arbeitgeber geeignete Abwehrmaßnahmen zum Schutz der Arbeitnehmer getroffen werden. Einige der Maßnahmen beinhalten dabei auch das Erheben von Gesundheitsdaten; z.B. durch Fiebermessungen oder Fragebögen, die an Mitarbeiter verteilt werden und in denen nach Krankheitssymptomen gefragt wird.

Nach Auffassung des Landesamtes für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg), Dr. Stefan Brink, stehen Fragen des Datenschutzes dabei aktuell sicherlich nicht im Zentrum, sind aber auch in Notsituationen in die Überlegungen einzubeziehen und erleichtern letztendlich die Bewältigung der Krise, vor der wir stehen.

Die datenschutzrechtliche Kernfrage bei solchen Maßnahmen des Arbeitgebers bezieht sich auf das Vorhandensein einer Rechtsgrundlage für die Verarbeitung. Nachdem es sich bei Gesundheitsdaten um besonders schützenswerte Daten handelt, ist hier Art. 9 Datenschutz-Grundverordnung (DSGVO), in der Regel in Verbindung mit nationalem Datenschutzrecht in den Blick zu nehmen.

Auch wenn eine Verarbeitung von Gesundheitsdaten grundsätzlich nur restriktiv möglich ist, können für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern datenschutzkonform Daten erhoben und verwendet werden. Dabei ist neben dem Grundsatz der Rechtmäßigkeit im Besonderen der Grundsatz der Verhältnismäßigkeit zu beachten.

1.2 Home Office und Datenschutz

Veranstaltungen, Meetings sowie Dienstreisen werden abgesagt, Beschäftigte sollen zu Hause bleiben und – wenn möglich – von dort aus arbeiten. Das Corona-Virus zwingt immer mehr Unternehmen, ihre Beschäftigten im Home-Office bzw. jedenfalls außerhalb der betrieblichen Räumlichkeiten arbeiten zu lassen.

Aber wie kann auch im Home-Office der Datenschutz und die IT-Sicherheit gewährleistet werden und muss ich mich darum als Arbeitgeber bzw. Verantwortlicher überhaupt kümmern?

Um letztere Frage klar zu beantworten: Ja, als Arbeitgeber muss sich Ihr Unternehmen auch um den Datenschutz und die IT-Sicherheit im Home-Office kümmern. Die Tatsache, dass personenbezogene Daten nicht direkt am Ort des Betriebs, sondern im Home-Office verarbeitet werden, ändert nichts an der Verantwortlichkeit Ihres Unternehmens nach Art. 4 Nr. 7 DSGVO und dem damit einhergehenden Haftungsrisiko. Nachdem im Home-Office ein besonderes Gefährdungspotenzial für die Integrität, Vertraulichkeit und Verfügbarkeit von Daten besteht, muss diesem Risikopotenzial durch entsprechende Home-Office-Vereinbarungen und Richtlinien Rechnung getragen werden.

1.3 Online Tools und Datenschutz

Die im Rahmen des Katastrophenfalls angeordneten Maßnahmen und ausgesprochenen Empfehlungen machen in deutlich größerem Umfang elektronische Kommunikation zwingend erforderlich. Da es in der Kürze der Zeit für Arbeitgeber schwierig werden könnte, hierfür die entsprechende Infrastruktur zur Verfügung zu stellen, möchten wir Sie darüber informieren, dass die für die öffentlichen Stellen in Bayern zuständige Aufsichtsbehörde, der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) vorübergehend die Verwendung von Privatgeräten sowie die Nutzung von Messengern und Clouddiensten unter gewissen Rahmenbedingungen akzeptiert.

2. Rechtslage in Deutschland

Bisher sind in Deutschland zwei aufsichtsbehördliche Mitteilungen veröffentlicht worden, die inhaltlich einander sehr ähneln und zu dem Ergebnis kommen, dass Arbeitgeber alle Informationen erheben dürfen, die sie benötigen, um ihrer Sicherungs- und Fürsorgepflicht nachzukommen.

2.1 Erhebung der Daten zur Erfüllung der Fürsorgepflicht

Der LfDI Baden-Württemberg führt hierzu aus, Arbeitgeber seien auf Grund ihrer Fürsorgepflicht und nach dem Arbeitsschutzgesetz (ArbSchG) verpflichtet, die erforderlichen Maßnahmen zu treffen, um die betriebliche Sicherheit und Gesundheit der Belegschaft zu gewährleisten. Hiervon sei auch die Pflicht des Arbeitgebers umfasst, dafür zu sorgen, die anderen Beschäftigten vor einer Infektion durch eine erkrankte Person zu schützen. Für diesen Zweck sei es datenschutzrechtlich zulässig, Informationen darüber zu erheben, zu welchen Personen der erkrankte Mitarbeiter Kontakt hatte. Gemäß Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 9 Abs. 1, Abs. 4 DSGVO und § 26 Abs. 3 S. 1, § 22 Abs. 1 Nr. 1 lit. b Bundesdatenschutzgesetz (BDSG) kann der Arbeitgeber die erforderlichen Daten zum Zweck der arbeitsmedizinischen Vorsorge verarbeiten.

2.2 Offenlegung der Identität von Infizierten gegenüber KollegInnen

Den Aufsichtsbehörden wurde zudem häufig die Frage gestellt, inwiefern die Identität von Infizierten gegenüber anderen KollegInnen offengelegt werden darf.

Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist nach Auffassung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist. Eine zu befürchtende Stigmatisierung solle nach dem LfDI Baden-Württemberg vermieden bzw. ausgeschlossen werden.

3. Rechtslage und Handlungsempfehlung Home-Office

Eine klare gesetzliche Regelung für die datenschutzrechtliche Zulässigkeit von Telearbeit und Mobilem Arbeiten existiert nicht. Aus diesem Grund sollte einzelfallabhängig unter Berücksichtigung der Art der zu verarbeitenden Daten und ihres Verwendungszusammenhangs differenziert geprüft werden, ob die Wahrnehmung der jeweiligen Tätigkeiten im Rahmen von Telearbeit und Mobilem Arbeiten datenschutzrechtlich vertretbar ist. Die Entscheidung muss als datenschutzrechtlich Verantwortlicher der Arbeitgeber treffen und gem. Art. 32 DSGVO technische und organisatorische Maßnahmen zur Risikominimierung ergreifen. Als Grundlage hierfür dient eine Vereinbarung zu Mobilem Arbeiten, welche die Beschäftigten idealerweise zur Umsetzung der folgenden Minimalanforderungen verpflichtet:

  • Verbot, Dritten Passwörter oder sonstige Zugangsmöglichkeiten zu betrieblichen Anwendungen mitzuteilen oder zugänglich zu machen
  • Verbot, Dritten (z. B. Familienmitgliedern, sonstigen Mitbewohnern, Besuchern) Zugriff auf die betriebliche EDV und/oder betriebliche Unterlagen zu gewähren;
  • Verbot, betriebliche Daten auf anderen als vom Arbeitgeber zugelassenen Speichermedien zu speichern (private Endgeräte, USB-Sticks, Computern;
  • Verbot der Verarbeitung dienstlicher Daten mit privaten Geräten (Abruf des dienstlichen E-Mail-Accounts mit einem privaten Computer, Smartphone)
  • Verbot der Deaktivierung oder Umgehung von Sicherheitsmaßnahmen oder der Vornahme technischer Veränderungen an denen durch den Arbeitgeber zur Verfügung gestellten Geräten. Software darf nur durch die IT-Abteilung installiert werden;
  • Sichere Vernichtung von Unterlagen mit vertraulichen Informationen (z. B. personenbezogenen Daten.)

4. Rechtslage und Handlungsempfehlung Online-Tools

Aus gegebenem Anlass stellen wir Ihnen die gängigen Videokonferenz-Tools Cisco Webex, GoToMeeting, Microsoft Teams und Zoom vor.[1]

4.1 Cisco WebEx

Cisco Systems, Inc. ist ein U.S. Dienst für Videokonferenzen der u.a. das Tool „Webex“  hier zur Verfügung stellt. Mit der kostenlosen Version können für bis zu 100 Teilnehmer an einer Video-Konferenz (=Meeting) teilnehmen. Ein Zeitlimit scheint es nicht zu geben. Innerhalb von 24 Std. können unbegrenzt viele Meetings stattfinden. Webex ist EU-U.S. Privacy Shield zertifiziert und bietet die Möglichkeit einen AV-Vertrag abzuschließen. Ein Muster-AV-Vertrag kann hier eingesehen werden.

In der kostenfreien Version werden die Teilnehmer aufgefordert, einen Namen (das kann auch ein Fantasiename sein) sowie eine E-Mail-Adresse einzugeben, um an der Videokonferenz teilzunehmen. Es scheint möglich zu sein, eine Fantasie-E-Mail-Adresse anzugeben, denn das Beitreten zu einem Meeting ist auch ohne die Verifikation der angegeben E-Mail-Adresse möglich. Es werden Daten, wie IP-Adresse, MAC-Adresse, Cookies sowie sonstige Verkehrsdaten, die einen Personenbezug aufweisen könnten, verarbeitet. Darüber hinaus setzt Webex Dienstleister als Unterauftragsverarbeiter ein. Die Liste der Sub-Auftragsverarbeiter kann angefordert werden ist, jedoch nicht öffentlich abrufbar und konnte daher nicht geprüft werden.

4.2 GoTo Meeting

LogMeIn, Inc. ist ein U.S. Dienst für Videokonferenzen der u.a. das Tool „GoToMeeting“ hier zur Verfügung stellt. Eine kostenlose Version steht nicht zur Verfügung. Es können bis zu 250 Personen an einem Meeting teilnehmen. LogMeIn, Inc. ist EU-U.S. Privacy Shield zertifiziert und bietet die Möglichkeit einen AV-Vertrag abzuschließen. Ein Muster AV-Vertrag kann hier eingesehen werden. Die EU-Standardvertragsklauseln bilden Anlage 1 zum AV-Vertrag. Im Kunden-Konto-Bereich ist ein vor-unterzeichneter Entwurf hinterlegt. Es werden sonstige Daten, wie IP-Adresse, MAC-Adresse, Cookies sowie sonstige Verkehrsdaten, die Personenbezug aufweisen könnten, verarbeitet. Darüber hinaus setzt LogMeIn, Inc. Dienstleister als Unterauftragsverarbeiter ein. Die Liste der Sub-Auftragsverarbeiter kann angefordert werden. Die öffentlich einsehbare Liste müsste bei entsprechender Entscheidung entsprechend geprüft werden.

4.3 Microsoft Teams

Microsoft Teams ist eine Plattform, die Chats, Besprechungen, Notizen und Anhänge kombiniert und Teil des Office 365-Pakets ist. Maßgeblich für die Nutzung sind die Bestimmungen für Online-Dienste (OST, Stand 8. Januar 2020). Es können bis zu 250 Personen an einer Besprechung teilnehmen. Microsoft ist EU-U.S. Privacy Shield zertifiziert und bietet ebenfalls die Möglichkeit einen AV-Vertrag abzuschließen. Die EU-Standardvertragsklauseln sind im Anhang 3 zu den OST abgebildet. Es werden auf jeden Fall sonstige Daten, wie IP-Adresse, MAC-Adresse, Cookies sowie sonstige Verkehrsdaten, die Personenbezug aufweisen könnten, verarbeitet. Eine Liste der von Microsoft eingesetzten Sub-Auftragsverarbeiter wird jedenfalls online nicht vorgehalten, wenngleich der Einsatz selbst in den OST Erwähnung findet. Zuletzt sei allerdings auf die auch weiterhin grundsätzlich bestehenden Bedenken europäischer Aufsichtsbehörden bzgl. der Nutzung von Office 365 verwiesen:

Stellungnahme des Hessischen Beauftragten für den Datenschutz zum Einsatz von Office 365 an Schulen vom 9. Juli 2019

Zweite Stellungnahme zum Einsatz von Microsoft Office 365 in hessischen Schulen

DSFA des niederländischen Justizministeriums

4.4 Zoom Besprechungen & Chat

Zoom Video Communications, Inc. ist ein U.S. Dienst für Videokonferenzen der u.a. auch das Tool „Zoom“ hier zur Verfügung stellt. Mit der kostenlosen Version können bis zu 100 Teilnehmer an einer Video-Konferenz (=Meeting) teilnehmen. Die Gruppenbesprechungen werden jedoch nach 40 Min. abgeschaltet. Dabei ist ein Teilnehmer eine eingeladene Person in einem Meeting, das von jemandem mit einer Moderatorenlizenz geplant wurde. Ein Teilnehmer benötigt kein Zoom-Konto, um einem Meeting beizutreten. Teilnehmer können einem Meeting per Telefon, Desktop, Mobiltelefon und Tablet beitreten. Die kostenpflichtige Pro-Version hat ein Zeitlimit von 24 Stunden. Zoom ist EU-U.S. Privacy Shield zertifiziert und bietet die Möglichkeit einen AV-Vertrag sowie EU-Standardvertragsklauseln abzuschließen.

Als Teilnehmer wird man zu einer Angabe personenbezogener Daten nicht gezwungen. Es ist aber auf ausschließlich freiwilliger Basis möglich einen „Namen“ bzw. ein „Nick-Name“ einzugeben. Darüber hinaus werden auch sonstige Daten, wie IP-Adresse, MAC-Adresse, Cookies, sonstige Verkehrsdaten, die Personenbezug aufweisen könnten, verarbeitet. Die Datenverarbeitung ist mit Abschluss des AV-Vertrags datenschutzrechtlich abgesichert. Der Transfer von Verkehrsdaten kann nicht unterbunden werden.

 

5. Stellungnahmen europäischer Aufsichtsbehörden zu Corona und Datenschutz

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, LfDI Baden-Württemberg

Irische Aufsichtsbehörde, Data Protection Commission

Britische Aufsichtsbehörde, Information Commissioner's Office

Französische Aufsichtsbehörde CNIL, Commission Nationale de l'Informatique et des Libertés

Luxemburgische Aufsichtsbehörde, Commission nationale pour la protection des donneés CNPD

 

Zurück