INFORMATIONEN

Europäischer Ausschuss: Erklärung zur Datenverarbeitung im Rahmen von COVID-19

Erklärung des Europäischen Datenschutzausschusses

Staaten, öffentliche und private Organisationen in ganz Europa ergreifen Maßnahmen zur Erhaltung und Reduzierung von COVID-19. Die Erhebung verschiedener Formen von personenbezogenen Daten könnte dabei eine Rolle spielen. Die Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) verbieten keine Maßnahmen, die zur Bekämpfung der Coronavirus-Pandemie ergriffen werden.

Die Bekämpfung von Infektionskrankheiten ist ein wertvolles Ziel, das von allen Nationen geteilt wird, und sollte daher bestmöglich unterstützt werden. Es liegt im Interesse der Menschheit, die Ausbreitung von Krankheiten einzudämmen und mit modernen Methoden gegen die Geißeln vorzugehen, von denen weite Teile der Welt betroffen sind.

Dennoch möchte der EDSB betonen, dass der für die Verarbeitung Verantwortliche und der Bevollmächtigte auch in diesen außergewöhnlichen Momenten die Sicherheit der personenbezogenen Daten der betroffenen Personen gewährleisten müssen.

Um die rechtmäßige Verarbeitung personenbezogener Daten zu gewährleisten, müssen daher eine Reihe von Faktoren berücksichtigt werden, und in allen Situationen ist zu bedenken, dass jede in diesem Zusammenhang getroffene Maßnahme den allgemeinen Rechtsgrundsätzen entsprechen muss und nicht unumkehrbar sein darf. Die Sperre ist ein rechtlicher Zustand, der Einschränkungen bei der Freigabe legitimieren kann, sofern bestimmte Einschränkungen verhältnismäßig und auf die Zeit des Notstands beschränkt sind.

Rechtmäßigkeit der Verarbeitung

Die DSGVO ist ein weit gefasstes Gesetz, das Regeln festlegt, die sich auch auf die Verarbeitung personenbezogener Daten in einem Fall wie COVID-19 erstrecken. Die DSGVO verpflichtet die zuständigen Gesundheitsbehörden und Arbeitgeber, im Einklang mit den nationalen Rechtsvorschriften und unter den darin festgelegten Bedingungen personenbezogene Daten im Sinne einer Epidemie zu verarbeiten.

Zum Beispiel, wenn die Verarbeitung im Bereich der öffentlichen Gesundheit aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist. Unter diesen Umständen ist es nicht angebracht, sich auf die Zustimmung der Personen zu verlassen.

Hinsichtlich der Verarbeitung personenbezogener Daten, einschließlich besonderer Datenkategorien, durch die zuständigen Behörden (z. B. Gesundheitsbehörden) ist der EDSB der Ansicht, dass die Artikel 6 und 9 der DSGVO die Verarbeitung personenbezogener Daten zulassen, insbesondere insoweit sie in den gesetzlichen Auftrag der Behörde fallen, der in den nationalen Rechtsvorschriften und den in der DSGVO festgelegten Bedingungen vorgesehen ist.

Im Sinne von Arbeitsplätzen kann die Erhebung personenbezogener Daten erforderlich sein, um einer gesetzlichen Verpflichtung nachzukommen, der der Arbeitgeber unterliegt, wie z. B. der Verantwortung im Zusammenhang mit Gesundheit und Sicherheit am Arbeitsplatz oder dem öffentlichen Interesse, wie z. B. der Bekämpfung von Krankheiten und anderen Gesundheitsrisiken.

Die nationalen Rechtsvorschriften zur Durchsetzung der Datenschutzrichtlinie für elektronische Kommunikation müssen auch bei der Verarbeitung von Telekommunikationsdaten, wie z. B. Standortdaten, befolgt werden. In der Praxis sollte der Betreiber Standortdaten nur verwenden, wenn sie privat oder mit der Erlaubnis von Einzelpersonen gemacht werden.

Artikel 15 der Datenschutzrichtlinie für elektronische Kommunikation sieht jedoch vor, dass die Mitgliedstaaten gesetzliche Maßnahmen zum Schutz der öffentlichen Sicherheit erlassen können. Eine solche außerordentliche Gesetzgebung ist nur möglich, wenn sie in einer demokratischen Gesellschaft eine notwendige, angemessene und verhältnismäßige Maßnahme darstellt.

Diese Schritte müssen mit der Charta der Grundrechte bzw. der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten vereinbar sein. Außerdem unterliegen sie der gerichtlichen Kontrolle des Europäischen Gerichtshofs und des Europäischen Gerichtshofs für Menschenrechte. Im Falle eines Notstands sollte er außerdem ausdrücklich auf den Zeitraum des Notstands beschränkt sein.

Grundprinzipien für die Verarbeitung personenbezogener Daten

Für bestimmte und präzise Zwecke müssen die personenbezogenen Daten verarbeitet werden, die zur Erreichung der angestrebten Ziele erforderlich sind.

Darüber hinaus sollten den betroffenen Personen transparente Informationen über die durchgeführten Verarbeitungen und ihre wichtigsten Merkmale, einschließlich der Aufbewahrungsfrist der erhobenen Daten und der Zwecke der Verarbeitung, zur Verfügung gestellt werden.

Die bereitgestellten Informationen sollten leicht zugänglich sein und in einer einfachen und verständlichen Sprache präsentiert werden. Es sollten angemessene Schutz- und Vertraulichkeitsmaßnahmen ergriffen werden, um sicherzustellen, dass die einzelnen Fälle nicht in die Hände Unbefugter gelangen. Die zur Bewältigung aktueller Krisen ergriffenen Maßnahmen und der erforderliche Entscheidungsprozess sollten angemessen dokumentiert werden.

Beschäftigung

Im Rahmen von COVID-19 kann eine Organisation Besucher oder Mitarbeiter auffordern, bestimmte Gesundheitsinformationen anzugeben.

Wesentlich ist hier die Anwendung der Theorie der Verhältnismäßigkeit und der Datenminimierung. Der Arbeitgeber darf nur in dem Maße, wie es die nationalen Rechtsvorschriften zulassen, Angaben zum Gesundheitszustand verlangen.

Darf ein Arbeitgeber ärztliche Untersuchungen seiner Mitarbeiter durchführen?

Die Antwort konzentriert sich auf die nationalen Beschäftigungs- oder Gesundheits- und Sicherheitsvorschriften. Arbeitgeber können Gesundheitsdaten nur in dem Maße einsehen und verarbeiten, wie es ihre gesetzlichen Verpflichtungen vorsehen.

Darf ein Arbeitgeber Untergebenen oder Außenstehenden mitteilen, dass ein Arbeitnehmer mit COVID-19 infiziert ist?

Die Arbeitgeber sollten die Arbeitnehmer vor dem Auftreten von COVID-19 warnen und Vorsichtsmaßnahmen treffen, aber nicht mehr als die erforderlichen Informationen preisgeben.

Wenn die Identität des/der mit dem Virus infizierten Mitarbeiters/Mitarbeiterinnen offengelegt werden muss (z. B. im Rahmen von Präventivmaßnahmen) und dies nach nationalem Recht zulässig ist, werden die betroffenen Mitarbeiter und Mitarbeiterinnen im Voraus informiert, und ihre Privatsphäre und ihr Ruf müssen gewahrt bleiben.

Auf welche Daten, die im Rahmen von COVID-19 erhoben werden, können Arbeitgeber zugreifen?

Arbeitgeber sollten personenbezogene Daten erheben, um ihre Aufgaben zu erfüllen und ihre Arbeit in Übereinstimmung mit dem nationalen Recht zu organisieren.

Datenübertragbarkeit nach der DSGVO

Unter den zahlreichen Neuerungen, die das für den 25. Mai 2018 vorgesehene allgemeine Datenschutzgesetz mit sich bringt, müssen die Unternehmen die Datenübertragbarkeit und die persönlichen

mehr »