Zusammenfassung

Nach wie vor stellt die COVID-19-Pandemie viele Arbeitgeber vor außerordentliche Herausforderungen. Denn trotz der Krisensituation gelten die Anforderungen des Datenschutzes nach wie vor. Dies hat der Europäische Datenschutzausschuss (EDSA) bereits in einer Erklärung am 19. März 2020 betont. Zugleich ist damit zu rechnen, dass der Trend der Zunahme von Beschwerden und der damit verbundenen Kontrollen auch im Corona-Jahr 2020 weiter ansteigen wird, wie etwa aktuelle Zahlen aus Niedersachsen Ende Oktober nahelegen. Außerdem sollte in Zeiten von Kurzarbeit und pandemiebedingten Kündigungen bedacht werden, dass ein wesentlicher Anteil der an die Aufsichtsbehörden übermittelten Beschwerden und Kontrollanregungen von ehemaligen – insbesondere gekündigten – Mitarbeitern stammen, die über entsprechendes internes Wissen verfügen.

Zu den bestehenden Datenschutzaufgaben kommt hinzu, dass es aufgrund der gesetzlichen Fürsorgepflichten zum Gesundheitsschutz der Mitarbeiter im Rahmen der Pandemiebekämpfung erforderlich sein kann, dass mehr Gesundheitsdaten verarbeitet werden müssen, als es vielleicht unter regulären Umständen verhältnismäßig und zulässig wäre. Dabei gehören Gesundheitsdaten zu einer Kategorie von personenbezogenen Daten, die als besonders schützenswert gelten und entsprechend nur unter strengen Auflagen bearbeitet werden dürfen.

Der Artikel bietet daher konkrete Handlungsempfehlungen und Hintergrundinformationen zum Thema Beschäftigtendatenschutz in der COVID-19-Pandemie und beleuchtet im Detail unter anderem folgende Fragen:

  • Worauf müssen Arbeitgeber bei der Planung und Umsetzung von Schutzmaßnahmen achten?
  • Welche Informationen müssen Arbeitnehmer gegenüber ihren Arbeitgebern preisgeben?
  • In welchem Rahmen dürfen die Daten verwendet und weitergeben werden?
  • Welche Pflichten bestehen bei der Verarbeitung der Daten?
  • Müssen Daten auf Verlangen von Behörden preisgegeben werden?

Artikel

Derzeit stellt die COVID-19-Pandemie viele Arbeitgeber vor eine doppelte Herausforderung. Einerseits wirken sich die Schutzmaßnahmen erheblich auf die betrieblichen Abläufe aus, anderseits müssen die Anforderungen des Datenschutzes trotz Krisensituation weiterhin umgesetzt werden. So betonte der Europäische Datenschutzausschuss (EDSA) in einer Erklärung vom 19. März 2020, dass auch in Krisenzeiten Verantwortliche und Auftragsverarbeiter den Schutz personenbezogener Daten sowie die Rechtmäßigkeit der Verarbeitung sicherstellen müssen. Die Eindämmung des Corona-Virus erlaubt die Verarbeitung der persönlichen Informationen zwar an vielen Stellen, es gelten aber alle normalen Regeln für das „Wie“ der Verarbeitung unverändert weiter.

Beschwerden über Datenschutzfehler nehmen weiter zu

Den betroffenen Personen sind ihre Datenschutzrechte mittlerweile bewusst und es ist eine gesteigerte Sensibilität bei Gesundheitsdaten und Kontaktdaten zu erkennen. Es ist deshalb damit zu rechnen, dass der deutschlandweite Trend der Zunahme von Beschwerden und der damit verbundenen Kontrollen gerade im Corona-Jahr 2020 durch die neuen Datenverarbeitungen zur Pandemiebekämpfung weiter ansteigen wird. Waren in Bayern für 2018 noch 3643 Beschwerden und Kontrollanregungen gelistet, wuchsen sie 2019 auf 5497 an. Einen drastischeren Anstieg in diesem Zeitraum verzeichnete Baden-Württemberg, wo die Beschwerden und Kontrollanregungen im nicht-öffentlichen Bereich von 72 auf 2789 anstiegen. Aktuelle Zahlen für das Jahr 2020 liegen aus Niedersachsen vor, wo bis Mitte Oktober 1920 Beschwerden registriert wurden und somit bereits jetzt die Anzahl des Vorjahres von 1882 übertroffen wurde.

Die zweite große Herausforderung für Arbeitgeber besteht in den Maßnahmen zur Eindämmung des Virus, die zum Teil erhebliche Auswirkungen auf den Betriebsablauf haben. Bei der Frage, welche Maßnahmen zum Infektionsschutz umgesetzt werden (müssen), wird kaum ein Unternehmen den datenschutzrechtlichen Vorgaben einen hohen Stellenwert beimessen. Gleichzeitig werden allerdings überdurchschnittlich viele Daten über die Gesundheit von Mitarbeitern verarbeitet, die nach Art. 9 DS-GVO als besonders schützenswert gelten. Die Anforderungen des Datenschutzes gelten auch in der Corona-Krise weiter. Dementsprechend müssen sowohl bei Arbeitgebern als auch bei ihren Mitarbeitern immer wieder die Fragen Berücksichtigung finden, welche Informationen Arbeitnehmer offenlegen müssen, wofür diese Daten verwendet werden dürfen und welche Schutzanforderungen gelten.

Die DS-GVO steht der Verarbeitung von Gesundheitsdaten zum Infektionsschutz und der Eindämmung von Pandemien nicht entgegen. Dies betonte auch die Datenschutzkonferenz (DSK) in ihrer Entschließung zum Umgang mit dem Datenschutz während der Corona-Pandemie vom 03.04.2020. Dennoch stellt der Beschäftigtendatenschutz einige Anforderungen, die es bei der Umsetzung der Infektionsschutzmaßnahmen zu beachten gilt. Grundsätzlich gelten natürlich auch im Kontext des Infektionsschutzes folgende Rechtmäßigkeitsvoraussetzungen für die Verarbeitung personenbezogener Daten:

Grundproblematik: Verarbeitung von Gesundheitsdaten

Ein Großteil der Maßnahmen zur Eindämmung des Coronavirus lässt sich ohne die Verwendung von Informationen zum Gesundheitszustand der Arbeitnehmer nicht umsetzen. Gesundheitsdaten zählen dabei zur besonderen Kategorie von Daten nach Art. 9 DS-GVO, an deren Verarbeitung strenge Vorschriften geknüpft sind. Das heißt, die Verarbeitung der Daten ist nur in wenigen Ausnahmefällen überhaupt zulässig.

In welchem Rahmen die Verarbeitung von Beschäftigtendaten erlaubt ist, wird in § 26 BDSG geregelt. Im Falle von Gesundheitsdaten dient § 26 Abs. 3 BDSG als Rechtsgrundlage. Dieser besagt, dass eine Verarbeitung erlaubt ist, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Hier einschlägig ist die Erfüllung einer rechtlichen Verpflichtung, denn Arbeitgeber sind nach § 618 Abs. 1 BGB i. V. m. § 3 ArbSchG dazu verpflichtet, die Sicherheit und die Gesundheit ihrer Arbeitnehmer sicherzustellen. Sie müssen bestehende Gefahren für Beschäftigte einschätzen (sog. Gefährdungsbeurteilung) und Maßnahmen ergreifen, um die Risiken so weit wie möglich zu minimieren. Mit anderen Worten haben Arbeitgeber gegenüber ihren Mitarbeitern eine Fürsorgepflicht zu erfüllen.

Um beurteilen zu können, ob die Umsetzung bestimmter Maßnahmen und die damit einhergehende Verarbeitung von Gesundheitsdaten zulässig ist, muss abgewogen werden, inwieweit Persönlichkeitsrechte des betroffenen Mitarbeiters diese Fürsorgepflicht überwiegen. Die Interessenabwägung muss für jede einzelne Maßnahme individuell durchgeführt werden. Maßgebliches Kriterium ist dabei die Erforderlichkeit bzw. die Verhältnismäßigkeit der Maßnahme. Es muss geprüft werden, ob der gleiche Zweck auch durch mildere Mittel erreicht werden kann. Ist dies der Fall, ist die Verarbeitung nicht zulässig und die Maßnahme darf nicht durchgeführt werden.

Umgang mit (Gesundheit-)Daten

Die Abwägung, ob eine Verarbeitung von Gesundheitsdaten erforderlich und damit zulässig ist oder nicht, kann im Einzelfall schwierig sein. Aufgrund der aktuellen Situation trifft den Arbeitgeber allerdings eine besondere Fürsorgepflicht, weshalb zur Eindämmung und Bekämpfung der Corona-Pandemie zumindest mehr Informationen erfragt bzw. erhoben werden dürfen als unter normalen Umständen. Außerdem besteht die Möglichkeit, für bestimmte Maßnahmen und Verarbeitungen, die beispielsweise betriebliche Abläufe vereinfachen sollen, die Einwilligung der Betroffenen einzuholen. Folgende Verarbeitungen sind denkbar:

Im Rahmen der Maßnahmen zur Bekämpfung der COVID-19-Pandemie sind nur gezielte Fragen nach typischen Symptomen dieser Virus-Erkrankung zum Schutz von Kunden und anderen Beschäftigten zulässig. Dementsprechend sind Fragen nach Beeinträchtigungen, welche auf die Eignung zur Ausübung der Tätigkeit auf Dauer abzielen, nicht erlaubt. Problematisch ist, dass eine Corona-Infektion nach derzeitigem Kenntnisstand nicht mit eindeutigen Symptomen einhergeht. Letztlich ist zusätzlich darauf zu achten, dass es nicht zu einer Benachteiligung des Arbeitnehmers aufgrund von erhobenen Gesundheitsdaten kommen darf.

Grundsätzlich ist die Information, wo Beschäftigte ihren Urlaub verbracht haben, deren Privatangelegenheit und muss gegenüber dem Arbeitgeber nicht offengelegt werden. Allerdings müssen diese in der aktuellen Situation Maßnahmen ergreifen, um zu vermeiden, dass sich Kollegen bei möglicherweise infizierten Personen anstecken. Dementsprechend ist es grundsätzlich datenschutzrechtlich legitimiert, dass der Arbeitgeber Informationen über den Aufenthalt von Beschäftigten in Risikogebieten verarbeitet, um sie vor Infektionen mit dem Virus zu schützen.

Im Einzelfall hängt die Zulässigkeit aber stark von den aktuell geltenden Vorgaben zur Pandemie-Bekämpfung ab. So gilt derzeit in fast allen deutschen Bundesländern (Stand 12.11.2020), dass sich Einreisende aus Risikogebieten für 10 Tage in häusliche Quarantäne begeben müssen. Fällt diese Zeit in die Arbeitszeit, so besteht seitens des Mitarbeiters ohnehin eine Mitteilungspflicht – eine Befragung durch den Arbeitgeber nach Aufenthalten in Risikogebieten scheint demnach nicht mehr angemessen.

Beschäftigte dürfen nicht verpflichtet werden, ihren Gesundheitszustand und ihre Kontakte ständig erfassen zu lassen, wie etwa durch eine auf einem Handy installierte Corona-Warn-App. Dies würde einen massiven Eingriff in die Freiheiten des Beschäftigten darstellen, unabhängig davon, ob die App auf einem privatem oder einem dienstlichen Gerät installiert ist.

Problematisch ist nämlich hierbei, dass es datenschutzrechtlich keine Erforderlichkeit für die Nutzung einer solchen App gibt, zumal andere, mildere Mittel zur Verfügung stehen, mit deren Hilfe der gleiche Infektionsschutz durchgesetzt werden kann, wie etwa mit den allgemeinen Hygienemaßnahmen. Außerdem ist diese Form der Nutzung der App nicht zweckmäßig, da sie nur Sinn machen würde, wenn der Gesundheitszustand und die Kontakte auch in der Freizeit erhoben werden würden, was aber immer im freien Ermessen des Arbeitnehmers liegt.

Eine Anordnung zur Nutzung der App auf Basis einer Einwilligung ist ebenfalls nicht rechtmäßig, da allein aufgrund des Ungleichgewichts zwischen Arbeitnehmer und Arbeitgeber die Freiwilligkeit nicht gegeben wäre und die Einwilligung somit datenschutzrechtlich unwirksam ist. Außerdem muss ausgeschlossen werden, dass Personen durch die Nichtnutzung der App diskriminiert werden oder durch eine andere zweckentfremdende Nutzung der App die Freiwilligkeit untergraben wird.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) betonte in diesem Kontext, dass die Aufsichtsbehörden die Einhaltung dieser Vorgaben überprüfen und Verstöße mit Geldbußen ahnden werden.

Sollten Beschäftigte selbst positiv auf das Corona-Virus getestet worden sein, darf der Arbeitgeber diese Information über die Infektion des Mitarbeiters erheben. Nach Ansicht der französischen Datenschutzbehörde (CNIL) dürfen in solchen Fällen auch Angaben über den Zeitpunkt der Infektion, enge Kontaktpersonen und ergriffene Maßnahmen verarbeitet werden. Mitarbeiter, die engen Kontakt mit einem Infizierten hatten oder selbst infiziert sind, sollten dies ihrem Arbeitgeber unverzüglich mitteilen.

Zeigt der Mitarbeiter Symptome oder hat der Arbeitgeber andere Anhaltspunkte, dass der Arbeitnehmer sich infiziert haben könnte, darf er außerdem Informationen über den Gesundheitszustand des Betroffenen erheben. Die Abfrage der Information, ob ein Mitarbeiter Kontakt zu nachweislich infizierten Personen hatte, ist datenschutzrechtlich sehr kritisch zu sehen, da nahe Kontaktpersonen qua Gesetz vom Gesundheitsamt in Quarantäne geschickt werden. Ein Fragerecht kann daher nur über ein detailliertes Hygienekonzept begründet werden, dass die Schutzinteressen des Arbeitgebers mit den Freiheitsrechten des Arbeitnehmers in Einklang bringt. Hierzu sind eine genaue Prüfung und eine umfangreiche Interessensabwägung erforderlich, die dokumentiert werden müssen.

Ob die namentliche Nennung des Infizierten bei der Information an Kollegen, die mit dem Betreffenden in engem Kontakt standen, zulässig ist, hängt vom Einzelfall ab. Nach Ansicht der DSK ist die Weitergabe der personenbezogenen Daten grundsätzlich nicht zulässig, das heißt, die Information der betreffenden Kollegen darf in der Regel nur ohne konkrete Namensnennung erfolgen. Es gibt wenige Ausnahmefälle, in denen die Daten weitergegeben werden dürfen, nämlich wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen zwingend erforderlich ist.

Darüber hinaus ist zu beachten, dass nicht nur Namen, sondern bereits Informationen, die Personen identifizierbar machen, problematisch sein können. So lässt sich aus einem Urteil des Verwaltungsgerichts in Neustadt vom 29.10.2020 (AZ: 5 L 930/20.NW) ableiten, dass die kleinteilige Wiedergabe des Infektionsgeschehens im Betrieb, z. B. aufgeschlüsselt nach Organisationseinheiten, datenschutzrechtlich problematisch und in vielen Fällen wohl rechtswidrig ist. So urteilte das Gericht in einem Streitfall zu einer Presseanfrage zu den Corona-Infektionszahlen in einem Landkreis, dass die Herausgabe der Infektionszahlen auf Ortsgemeindeebene zu einer Bestimmbarkeit von betroffenen Personen führen kann und daher nicht zulässig ist. Entscheidend war hierbei das insgesamt geringe Infektionsgeschehen in Verbindung mit einer kleinteiligen Gemeindestruktur. Hierdurch bestehe einerseits die Möglichkeit, betroffene Personen zu bestimmen, und andererseits auch die reale Gefahr, dass dies über soziale Netzwerke versucht werden würde.

Eine Anordnung von ärztlichen Untersuchungen bei Beschäftigten zur Bekämpfung des Infektionsgeschehens ist nicht zulässig. Zwar können prinzipiell minimalinvasive Maßnahmen wie Fiebermessen in sehr engem Rahmen zulässig sein, wenn sie verhindern sollen, dass sich Beschäftigte anstecken. In der jetzigen Situation der COVID-19-Pandemie spricht jedoch einiges gegen die Rechtmäßigkeit von einer solchen Anordnung: Zum einen werden derartige Maßnahmen von der WHO zurzeit nicht empfohlen. Zum anderen stehen mit einem Hygienekonzept oder allgemeinen Hygienemaßnahmen mildere Mittel zur Verfügung, mit denen Gleiches erreicht werden kann, sodass eine Erforderlichkeit solcher Maßnahmen nicht gegeben ist und sie damit die datenschutzrechtlichen Voraussetzungen nicht erfüllen. Ein freiwilliges Testangebot an die Mitarbeiter ist aber kein Problem.

Auch Temperaturmessungen bei Beschäftigten, sei es durch eine ärztliche Untersuchung oder durch Wärmebildkameras, sind datenschutzrechtlich bedenklich, da sie nicht zweckmäßig sind, da eine erhöhte Körpertemperatur ein sehr unspezifisches Symptom und somit kein geeigneter Indikator für eine COVID-19-Infektion ist.

Fordert die Gesundheitsbehörde ein Unternehmen auf, Daten über erkrankte Beschäftigte, Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten an sie zu übermitteln, ist diese Verarbeitung aus datenschutzrechtlicher Sicht zulässig. Das Gleiche gilt für den Fall, dass die Landesregierungen entscheiden, eine Meldepflicht einzuführen.

Um Mitarbeiter über aktuelle Maßnahmen im Unternehmen wie beispielsweise die Verlagerung ins Homeoffice, das Schließen von Abteilungen oder gar des ganzen Betriebes möglichst schnell und effektiv informieren zu können, kann es sinnvoll sein, innerbetriebliche Kommunikationsnetzwerke zu bilden. Über solche Netzwerke können sich dann beispielsweise auch Abteilungen untereinander abstimmen, welche Arbeiten anliegen und wer welche Aufgaben im Homeoffice übernehmen soll. Die Teilnahme an solchen Netzwerken ist allerdings nur auf freiwilliger Basis zulässig, das heißt, jeder Mitarbeiter muss hierfür seine Einwilligung erteilen. Das gilt insbesondere dann, wenn nicht jeder Beschäftige über ein Diensthandy verfügt und private Telefonnummern abgefragt und verwendet werden.

Ebenfalls auf freiwilliger Basis können Unternehmen Selbstauskünfte zum Gesundheitszustand und Aufenthaltsorten einholen. Erteilt der Mitarbeiter die freiwillige Auskunft, darf der Arbeitgeber diese Informationen zu den bei der Erhebung genannten Zwecken verwenden. Das Gleiche gilt für freiwillige Fiebermessungen oder ähnliche medizinische Maßnahmen beispielsweise durch den Betriebsarzt. Einige Experten vertreten sogar die Ansicht, dass Fieberkontrollen am Eingang, die ausschließlich für die Entscheidung genutzt werden, ob Zutritt gewährt wird oder nicht, auch ohne Einwilligung des Betroffenen zulässig sind. Diese Ansicht ist allerdings umstritten.

Datenschutzpflichten bei der Datenverarbeitung

Neben der Prüfung, ob eine Verarbeitung von bestimmten Daten überhaupt zulässig ist, bestehen für die Verantwortlichen – wie bei jeder anderen Verarbeitungstätigkeit auch – weitere datenschutzrechtliche Dokumentations-, Informations- und Schutzpflichten, die es zu beachten gilt.

Alle Maßnahmen und Vorgänge, bei denen personenbezogene Daten erhoben und anderweitig verarbeitet werden, müssen in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden. Es ist unter anderem genau zu dokumentieren, zu welchem Zweck die Daten verarbeitet werden, welche Datenkategorien und Personen betroffen sind und wer Zugriff auf diese Daten hat. Je nachdem, welche Maßnahmen zum Infektionsschutz umgesetzt werden und wie die Umsetzung ausgestaltet wird, können auch mehrere Tätigkeiten in einer Verarbeitungstätigkeit zusammengefasst werden. Wichtig ist dabei, dass die Verarbeitungen möglichst ähnlich sind, das heißt, beispielsweise ähnliche Datenkategorien betroffen sind und sie demselben Zweck dienen.

Die Informationspflichten nach Art. 13 und 14 DS-GVO gelten auch während der Corona-Krise. Das heißt, Sie müssen Ihre Mitarbeiter umfangreich über die Verarbeitung ihrer personenbezogenen Daten informieren. Da viele Informationen im Rahmen einer Direkterhebung vom Arbeitgeber bei den Beschäftigten erhoben werden, müssen diese in der Regel bereits bei der Erhebung aufgeklärt werden. Deshalb bietet es sich an, zunächst alle geplanten Maßnahmen im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren und auf Grundlage der darin enthaltenen Angaben ein Informationsblatt für die Mitarbeiter zu erstellen. Dieses Informationsblatt sollte aus Praktikabilitätsgründen Angaben zu sämtlichen Maßnahmen zum Infektionsschutz enthalten, von denen Mitarbeiter betroffen sein könnten. Dieses Blatt kann dann beispielsweise am Schwarzen Brett ausgehängt, als Ausdruck an alle Mitarbeiter verteilt oder ins Intranet eingestellt werden.

Zusätzlich zu den Dokumentations- und Informationspflichten der Verarbeitung müssen die betroffenen Daten durch angemessene technische und organisatorische Maßnahmen vor Verlust sowie unbefugtem Zugriff bzw. unbefugter Veränderung geschützt werden. Da zu einem Großteil Gesundheitsdaten der Mitarbeiter betroffen sind, ist ein besonders hohes Schutzniveau erforderlich, insbesondere im Hinblick auf die Vertraulichkeit und die Integrität. Es muss ein Berechtigungskonzept erstellt werden, das genau regelt, wer Zugriff auf welche Daten erhält. Die Umsetzung der Zugriffsrechte ist durch weitere (technische) Maßnahmen zu gewährleisten. Beispielsweise sollten Papierdokumente in einem separat abschließbaren Schrank aufbewahrt werden, zu dem nur ein möglichst geringer Kreis aus berechtigten Personen einen Schlüssel hat. Das Gleiche gilt für Unterlagen in digitaler Form: Diese sollten in einem eigenen Ordner abgespeichert und nur für bestimmte Personen abrufbar sein.

Auch wenn derzeit noch kein Ende der Krise in Sicht ist, sollten Sie sich bereits bei bzw. vor der Erhebung von personenbezogenen Daten Gedanken machen, wann diese Informationen wieder gelöscht werden sollen. In der derzeitigen Lage ist es schwer zu beurteilen, wann die Daten nicht mehr zwingend benötigt werden und gelöscht werden können. Im Hinblick auf die Sensibilität der Daten sollten diese allerdings nur über einen möglichst kurzen Zeitraum hinweg aufbewahrt werden. Angaben über den Aufenthalt in Risikogebieten oder den Kontakt mit infizierten Personen von Mitarbeitern sind für die Umsetzung von Infektionsschutzmaßnahmen beispielsweise in der Regel nur innerhalb der derzeit angenommenen Inkubationszeit von 14 Tagen relevant. Nach Ablauf dieser Frist ist es durchaus vertretbar, die Daten zur Sicherheit noch etwas länger aufzubewahren. Spätestens 3 Monate nach ihrer Erhebung sollten sie aber gelöscht werden. Enthalten die Aufzeichnungen und Statistiken keine Daten mit Personenbezug, sind sie also anonymisiert, fallen sie nicht in den Anwendungsbereich der DS-GVO und unterliegen dementsprechend auch keiner datenschutzrechtlichen Löschpflicht.

Fazit

Bei der Verarbeitung insbesondere von Gesundheitsdaten von Mitarbeitern ist besondere Vorsicht geboten. In jedem Fall sollten zunächst Maßnahmen, für die keine solche Verarbeitung erforderlich ist, geprüft werden. Hierzu gehören unter anderem strengere Hygienevorschriften, Zugangssperren, Aufklärungsmaßnahmen und Handlungsempfehlungen wie das Arbeiten im Homeoffice oder das Durchführen von Besprechungen über Telefon- und Videokonferenzen. Nichtsdestotrotz können viele Infektionsschutzmaßnahmen auch unter Geltung der DS-GVO durchaus umgesetzt werden. Trotz der schwierigen Situation sollten die Vorgaben nicht ganz außer Acht gelassen werden, denn auch während bzw. nach einer Krise kann die Verletzung des Schutzes personenbezogener Daten erhebliche Risiken für die betroffenen Personen mit sich bringen.