Stand: 04.04.2022
Mit den aktuell erneut geänderten Corona-Maßnahmen mit der Reduzierung auf die sogenannten Basismaßnahmen, die seit dem 03.04 2022 in Kraft sind, gibt es weitere Herausforderungen in den Betrieben. Aufgrund der bestehenden Corona-Müdigkeit und der allgemeinen politischen Situation ist es verständlich, dass man Unwichtiges auf später verschiebt und auch beim Datenschutz fragt, ob man nicht in diesem Bereich „sparen“ könnte. Empfehlenswert ist dies keinesfalls, allein weil Kunden zu Recht erwarten, dass mit ihren personenbezogenen Informationen auch in Corona-Zeiten angemessen umgegangen wird.
Der Europäische Datenschutzausschuss (EDSA) hat bereits in einer Erklärung vom 19. März 2020 betont, dass die informationelle Selbstbestimmung ein Grundrecht ist, das es gerade auch in Krisensituationen zu verteidigen gelte. Ähnliche Aussagen finden sich auch in den Tätigkeitsberichten der deutschen Aufsichtsbehörden für das Jahr 2021. Es gibt also gute Gründe, warum der Datenschutz nicht aufgehoben ist. Unternehmen sollten außerdem eher mit einer Zunahme von Datenschutzkontrollen rechnen, als auf Kulanz seitens der Aufsichtsbehörden zu hoffen. Denn es gibt nach wie vor ungebrochen hohe Zahlen von Beschwerden, auch aufgrund der Corona-Situation und den damit zusammenhängenden teils viel zu weit gehenden Datenerhebungen. Abhängig vom datenschutzrechtlichen Grundverständnis, sind die Behörden mit aufgedeckten Verstößen unterschiedlich umgegangen – angefangen von der schlichten Aufklärung über gebührenpflichtige Verwarnungen bis hin zur Einleitung von Bußgeldverfahren.
Einhaltung allgemeiner Datenschutzgrundsätze
Am Beginn der Pandemie konnte noch keiner ahnen, welchen Verlauf die Pandemie und die Debatten zu Bekämpfungsmaßnahmen nehmen würden. An vielen Stellen wurden zeitweise Datenverarbeitungen zulässig, die bisher ein echtes Tabu waren. Trotzdem gelten die allgemeinen datenschutzrechtlichen Grundsätze auch heute noch in einer fortgeschrittenen Phase der Pandemie unverändert fort:
- Es bedarf einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten.
- Die Eignung und Erforderlichkeit der geplanten Maßnahmen sind kritisch zu überprüfen.
- Eine Zweckbindung ist wesentlich.
- Nicht mehr notwendige Daten sind unverzüglich zu löschen.
- Gesundheitsdaten sind besonders gegen eine missbräuchliche Verwendung und vor Fehlern in der Verarbeitung zu schützen.
Datenschutzfehler – was kann alles schief laufen?
Im Letzten Jahr haben verschiedene Aufsichtsbehörden festgestellt, dass etliche Unternehmen aus Unsicherheit und Angst häufig einen „Viel hilft viel“-Ansatz, verfolgt haben. Sich schnell ändernde und oft unklare Regelungen haben die Angst geschürt, bei etwaigen Prüfungen der Ordnungsbehörden ein korrektes Verhalten nicht belegen zu können. Aus diesem Grund wurden vielfach (zu) viele Daten abgefragt und gespeichert. Damit verstießen die Unternehmen aber häufig gegen das Datenminimierungsgebot des Datenschutzrechts und haben auch öfter Probleme, die Sicherheit der personenbezogenen Daten gewährleisten zu können. Zeitgleich wurden die Fragebögen / Dokumente / Auskünfte formell zwar häufig als Einverständniserklärung bezeichnet, die nach Art. 7 DS-GVO notwendige Freiwilligkeit wurde aber nicht eingehalten. Vielfach wurde der Zutritt zum Gelände oder die Wahrnehmung eines Termins von der Vorlage des (vollständig) ausgefüllten Dokuments abhängig gemacht.
Im Folgenden haben wir einige Beispiele aufgeführt, die zu Beschwerden bei den Aufsichtsbehörden geführt haben.
Fazit
In den hier vorliegenden Beispielen wird klar, dass oftmals zu viele Daten abgefragt werden, die für den Zweck der Verwendung nicht notwendig sind. Es sollte bei der Erfassung von Daten grundsätzlich mit Augenmaß vorgegangen werden und im Zweifel Ihren Datenschutzbeauftragten oder einen Experten für Datenschutz einbinden, um unnötige Fehler zu vermeiden. Das Prüfverfahren durch die Aufsichtsbehörden endete in den meisten Fällen zwar mit einem blauen Auge, aber ein gewisser Imageschaden und Vertrauensverlust bei Mitarbeitern und/oder Kunden ist kaum zu vermeiden.