Stand: 04.04.2022

Mit den aktuell erneut geänderten Corona-Maßnahmen mit der Reduzierung auf die sogenannten Basismaßnahmen, die seit dem 03.04 2022 in Kraft sind, gibt es weitere Herausforderungen in den Betrieben. Aufgrund der bestehenden Corona-Müdigkeit und der allgemeinen politischen Situation ist es verständlich, dass man Unwichtiges auf später verschiebt und auch beim Datenschutz fragt, ob man nicht in diesem Bereich „sparen“ könnte. Empfehlenswert ist dies keinesfalls, allein weil Kunden zu Recht erwarten, dass mit ihren personenbezogenen Informationen auch in Corona-Zeiten angemessen umgegangen wird.

Der Europäische Datenschutzausschuss (EDSA) hat bereits in einer Erklärung vom 19. März 2020 betont, dass die informationelle Selbstbestimmung ein Grundrecht ist, das es gerade auch in Krisensituationen zu verteidigen gelte. Ähnliche Aussagen finden sich auch in den Tätigkeitsberichten der deutschen Aufsichtsbehörden für das Jahr 2021. Es gibt also gute Gründe, warum der Datenschutz nicht aufgehoben ist. Unternehmen sollten außerdem eher mit einer Zunahme von Datenschutzkontrollen rechnen, als auf Kulanz seitens der Aufsichtsbehörden zu hoffen. Denn es gibt nach wie vor ungebrochen hohe Zahlen von Beschwerden, auch aufgrund der Corona-Situation und den damit zusammenhängenden teils viel zu weit gehenden Datenerhebungen. Abhängig vom datenschutzrechtlichen Grundverständnis, sind die Behörden mit aufgedeckten Verstößen unterschiedlich umgegangen – angefangen von der schlichten Aufklärung über gebührenpflichtige Verwarnungen bis hin zur Einleitung von Bußgeldverfahren.

Einhaltung allgemeiner Datenschutzgrundsätze

Am Beginn der Pandemie konnte noch keiner ahnen, welchen Verlauf die Pandemie und die Debatten zu Bekämpfungsmaßnahmen nehmen würden. An vielen Stellen wurden zeitweise Datenverarbeitungen zulässig, die bisher ein echtes Tabu waren. Trotzdem gelten die allgemeinen datenschutzrechtlichen Grundsätze auch heute noch in einer fortgeschrittenen Phase der Pandemie unverändert fort:

  • Es bedarf einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten.
  • Die Eignung und Erforderlichkeit der geplanten Maßnahmen sind kritisch zu überprüfen.
  • Eine Zweckbindung ist wesentlich.
  • Nicht mehr notwendige Daten sind unverzüglich zu löschen.
  • Gesundheitsdaten sind besonders gegen eine missbräuchliche Verwendung und vor Fehlern in der Verarbeitung zu schützen.

Datenschutzfehler – was kann alles schief laufen?

Im Letzten Jahr haben verschiedene Aufsichtsbehörden festgestellt, dass etliche Unternehmen aus Unsicherheit und Angst häufig einen „Viel hilft viel“-Ansatz, verfolgt haben. Sich schnell ändernde und oft unklare Regelungen haben die Angst geschürt, bei etwaigen Prüfungen der Ordnungsbehörden ein korrektes Verhalten nicht belegen zu können. Aus diesem Grund wurden vielfach (zu) viele Daten abgefragt und gespeichert. Damit verstießen die Unternehmen aber häufig gegen das Datenminimierungsgebot des Datenschutzrechts und haben auch öfter Probleme, die Sicherheit der personenbezogenen Daten gewährleisten zu können. Zeitgleich wurden die Fragebögen / Dokumente / Auskünfte formell zwar häufig als Einverständniserklärung bezeichnet, die nach Art. 7 DS-GVO notwendige Freiwilligkeit wurde aber nicht eingehalten. Vielfach wurde der Zutritt zum Gelände oder die Wahrnehmung eines Termins von der Vorlage des (vollständig) ausgefüllten Dokuments abhängig gemacht.

Grenzen der Kontaktnachverfolgung und Zutrittsregeln

Die über den Winter geltenden 3G / 2G / 2G+ Vorgaben sind auf gesetzlicher Ebene größtenteils im März 2022 aufgehoben worden. Eine dokumentierte Prüfung des Immunisierungsstatus ist deshalb nach den aktuellen Gesetzen datenschutzrechtlich kaum noch zu rechtfertigen. Es lässt sich die nach Art. 9 DS-GVO benötigte zusätzliche Rechtsgrundlage für die Verarbeitung dieses speziellen Gesundheitsdatums nicht mehr finden. Eine Besucherliste zur Kontaktnachverfolgung mit Namen und Telefonnummer kann aber auf das überwiegende berechtigte Interesse nach Art. 6 Abs. 1 lit. f DS-GVO gestützt werden.

Im Folgenden haben wir einige Beispiele aufgeführt, die zu Beschwerden bei den Aufsichtsbehörden geführt haben.

Die Aufsichtsbehörde in Schleswig-Holstein hat in ihrem aktuellen Tätigkeitsbericht 2021 darauf hingewiesen, dass sich aus der schleswig-holsteinischen Corona-Bekämpfungsverordnung keine Verpflichtung ergibt, 3G-Nachweise in irgendeiner Form zu speichern oder sich diese vorab übermitteln zu lassen. Zur Erfüllung der Vorgaben aus dieser Verordnung reicht für die Unternehmen eine kurze Einsichtnahme in die entsprechenden Nachweise aus. Zudem kann der Umstand vermerkt werden, dass kontrolliert wurde. Diese Grundsätze haben bis zum 19. März 2022 für alle Unternehmen gegolten. Grundsätzlich ist davon auszugehen, dass eine Vielzahl von Nachweisen widerrechtlich gespeichert wurde.

Aufgrund der neuen gesetzlichen Regelungen dürfen aus Datenschutzsicht bisherige Dokumentationen für eventuell mögliche Kontrollen noch aufgehoben werden. Eine Übergangsfrist sollte aber nicht länger als bis Ende April gelten. Ab Mai müssen sämtliche 3G-Dokumentationen endgültig gelöscht werden. Die bisher verwendeten Dokumentationen können aber als leere Vorlage abgespeichert werden, um eventuell ab Ende September für eine weitere Welle erneut verwendet werden zu können.

Die schleswig-holsteinische Aufsichtsbehörde hat in einem weiteren Fall darauf hingewiesen, dass es aufgrund der Coronavirus-Schutzmasken-Verordnung in Apotheken häufig zur Speicherung von Kundendaten oder zum Kopieren von Personalausweisen gekommen ist, da dadurch die missbräuchliche Mehrfachabgabe von Schutzmasken verhindert werde sollte. Allerdings gab es hierzu weder eine rechtliche Verpflichtung noch eine Erlaubnis. Außerdem scheiterte die Datenverarbeitung auch am Merkmal der Geeignetheit, denn die Daten der einzelnen Apotheken durften aus Datenschutzsicht auch nicht untereinander abgeglichen werden.

Ein Handwerksbetrieb hatte vor der Wahrnehmung von Serviceterminen den Kunden einen Fragebogen vorab per E-Mail zugestellt. In diesem Fragebogen wurden dann verschiedene Fragen zum Gesundheitszustand abgefragt. So wurden neben der Frage nach dem Auftreten von Corona-Symptomen auch Informationen hinsichtlich erfolgter Kontakte zu Corona-Erkrankten, kürzlich erfolgter Reisen in ein Risikogebiet und des Gesundheitszustands von Haushalts- und Familienmitgliedern gestellt. Die Beantwortung der Fragen sollte telefonisch vor dem Termin erfolgen. Die Kunden wurden darauf hingewiesen, dass ohne die Beantwortung der Fragen der Termin abgesagt werden würde. Begründet wurden diese Fragen mit dem Schutz der Servicemitarbeiter vor einer möglichen Corona-Infektion.

Bei den abgefragten Informationen handelt es sich um Gesundheitsdaten, die einem höheren Schutzbedarf unterliegen. Eine Verarbeitung dieser Daten wäre hier nur rechtmäßig gewesen, wenn eine Einwilligung der betroffenen Kundinnen und Kunden vorgelegen hätte. Im vorliegenden Fall wurde jedoch die Erbringung der Dienstleistung an die Angaben der Kundinnen und Kunden zum aktuellen Gesundheitszustand gekoppelt, was keine freie Willensbekundung darstellt. Es lag also keine Rechtsgrundlage zur Verarbeitung der Gesundheitsdaten vor. Der Handwerkbetrieb musste die bereits erhobenen Gesundheitsdaten löschen. Zusätzlich dürfen zukünftig keine derartigen Abfragen von Gesundheitsdaten mehr vorgenommen werden. Als Alternative wird nun der Hinweis an die Kundschaft übermittelt, beim Auftreten von Corona-Symptomen den Dienstleister zu kontaktieren und ohne Angabe von Gründen eine Verlegung des Termins zu veranlassen.

Im Zuständigkeitsbereich der Aufsichtsbehörde Bremen wollte ein Patient einen Untersuchungstermin wahrnehmen. Er war bereit, seinen Namen und seine Telefonnummer zu Zwecken der Kontaktnachverfolgung zu hinterlassen. Für die Angabe seines Geburtsdatums und seiner Wohnadresse sah er jedoch – zur recht – keine rechtliche Grundlage. Beide Informationen sind zur Erreichung des Verarbeitungszwecks (Kontaktnachverfolgung bei positiven Corona-Fällen) nicht notwendig und daher auch nicht zu erheben.

Da er diese Angaben nicht vervollständigen wollte, durfte er in der Folge den vereinbarten Untersuchungstermin nicht wahrnehmen, was unter anderem aus Datenschutzsicht unzulässig war.

In Baden-Württemberg kamen bei der dortigen Aufsichtsbehörde mehrere Vorgänge zur Anzeige, bei denen Kontaktdaten, die allein zum Zwecke der Kontaktnachverfolgung im Falle einer Corona-Infektion auf Grundlage der Corona-VO Baden-Württemberg angegeben werden, von Inhabern oder Beschäftigten zu privaten Zwecken, etwa zur Kontaktaufnahme, genutzt wurden. Zusätzlich gab es auch Vorgänge wegen der unsachgemäßen Aufbewahrung und Entsorgung personenbezogener Daten aus Listen zur Kontaktnachverfolgung. So lagen beispielsweise Kontaktlisten oder Testergebnisse offen einsehbar herum oder diese Listen wurden ohne vorheriges Anonymisieren oder „Schreddern“ im Wald oder in der normalen Altpapiertonne entsorgt.

Beides stellt einen Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f) DS-GVO dar und führte zu Bußgeldverfahren.

Fazit

In den hier vorliegenden Beispielen wird klar, dass oftmals zu viele Daten abgefragt werden, die für den Zweck der Verwendung nicht notwendig sind. Es sollte bei der Erfassung von Daten grundsätzlich mit Augenmaß vorgegangen werden und im Zweifel Ihren Datenschutzbeauftragten oder einen Experten für Datenschutz einbinden, um unnötige Fehler zu vermeiden. Das Prüfverfahren durch die Aufsichtsbehörden endete in den meisten Fällen zwar mit einem blauen Auge, aber ein gewisser Imageschaden und Vertrauensverlust bei Mitarbeitern und/oder Kunden ist kaum zu vermeiden.

Ausführliche Informationen zum Beschäftigtendatenschutz

Ausführliche Informationen zu den Datenschutzanforderungen bei coronabedingten Verarbeitungen personenbezogener Daten von Arbeitnehmern finden Sie ins unseren Datenschutztipps „Beschäftigtendatenschutz in der Corona-Krise“ und „Impfen & Testen: Welche Daten dürfen Arbeitgeber erheben und verarbeiten?„.