Corona-Virus: Wird bei uns wie in Italien jetzt der Datenschutz gelockert?

von Dr. Axel Spies, veröffentlicht am 27.02.2020

Italien hat es vor einigen Tagen vorexerziert:  (OCDCP) Verordnung Nr. 630, die am 03.02.20 als dringende Maßnahme zur Bekämpfung der Verbreitung des Corona-Virus verabschiedet wurde, wurde von der italienischen Datenschutzbehörde genehmigt.

Die Verordnung erteilt dem Personal des Katastrophenschutzes, einer Regierungsstelle, die direkt dem Präsidenten des Ministerrats untersteht, weitreichende Vollmachten zur Datenverarbeitung anlässlich der Corona-Viruskrise - vorläufig nur bis zum 30. Juli 2020.

Diese Datenverarbeitung kann z.B. nach Art. 5 der VO die Kommunikation zwischen den Mitarbeitern umfassen. Der Art. 5 umfasst auch und gerade die Datenverarbeitung nach Art. 9 und 10 DS-GVO und demnach personenbezogene Daten über

  • die rassische oder ethnische Herkunft,
  • politischen Meinungen, religiösen oder philosophischen Überzeugungen,
  • der Gewerkschaftszugehörigkeit,
  • genetischen Daten, der biometrischen Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten
  • Daten über die Gesundheit oder der Daten über das Sexualleben oder die sexuelle Orientierung sowie
  • Daten über strafrechtliche Verurteilungen und Straftaten etc.

Voraussetzung ist, dass der Datenzugriff „für die Ausübung der Katastrophenschutzfunktion erforderlich“ [ist].

Deutschland hat in § 22 Abs. 1 BDSG (neu) Ausnahmevorschriften für Art. 9 DS-GVO „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren…“ unter den Voraussetzungen des Abs. 2 gesetzlich festgeschrieben.

Vgl. dazu auch das “Infektionsschutzgesetz", welches das BundesseuchenG 2002 abgelöst hat, das zahlreiche Einschränkungen auch bei Verdachtsfällen enthält - zusätzlich zu umfangreichen Meldepflichten. 

Quelle: https://www.faz.net/aktuell/wirtschaft/wenn-das-coronavirus-die-grundrec...

Was meinen Sie, müssen wir uns auf weitere Maßnahmen zur Beschränkung des Datenschutzes auch in Deutschland einstellen, die auch den Zugriff der Behörden zu besonders sensitiven Daten zur Bekämpfung des Virus ermöglichen? Werden diese Daten je wieder gelöscht?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

16 Kommentare

Kommentare als Feed abonnieren

Die Panik greift schneller um sich als der Virus. Nur zum Vergleich: Bei der jetzt abklingenden Grippewelle hat es in Deutschland bislang mindestens 161 Tote gegeben.  Aus Panik schmeißen wir lieber unsere Bürgerrechte über Bord. Wer garantiert denn, dass die Daten, die der Staat jetzt über „verdächtige Fälle“, den Aufenthalt der Personen, ihre Kontakte usw. eifrig sammelt, irgendwann wieder gelöscht werden?

0

Die LTO-Presseschau:

Coronavirus: In einem Interview auf lto.de (Hasso Suliak) erörtert der Gesundheitsrechtler Ulrich M. Gassner, welche Maßnahmen der Staat in einer Situation von sich ausbreitenden Krankheiten wie dem Coronavirus ergreifen darf. Dabei geht es vor allem um die weitreichenden Maßnahmen im Rahmen des Infektionsschutzgesetzes (IfSG), wobei auch dessen Verhältnis zum Grundgesetz zur Sprache kommt. Ferner erläutert der Arbeitsrechtler Boris Dzida in einem Interview mit FAZ Einspruch (Inga Janovic), welche Auskunftspflichten im Arbeitsverhältnis gelten, in welchen Fällen Homeoffice zulässig wäre oder ob Arbeitnehmer bei Krankheitsverdacht freigestellt werden können.

Bei einigen der oben genannten Informationen fragt man sich ja schon, welchen Vorteil dieses Wisssen hat. Wenn sich wirklich jemand mit so einem Datenschrott befasste, wäre wohl klar, dass das Virus freie Bahn hat. Staatliche Kontrolle brach noch nie wegen zu weniger Informationen zusammen, sondern wegen der unnürtzen Befassung mit einer ungefilterten Datenflut. Aber eine Auswertung über die Aufenthaltsorte eines Erkrankten in der Zeit vor der Diagnose könnte ich mir schon als sinnvolle Maßnahme vorstellen.

0

"Staatliche Kontrolle brach noch nie wegen zu weniger Informationen zusammen"

Na, also die These bestreit ich mal mit Nichtwissen.

4

Berlin hat sich ja schon aus dem HIV-Regsiter verabschiedet.

https://www.sueddeutsche.de/panorama/personenkontrollen-berlin-will-sich-von-hiv-register-verabschieden-1.3274055

0

Die LTO-Presseschau:

Coronavirus: Die Sa-taz (Christian Rath) fasst zusammen, welche Maßnahmen staatliche Behörden ergreifen dürften, um die Gefahr einer Ausbreitung des Coronavirus entgegenzuwirken. So ist die Abriegelung ganzer Dörfer denkbar, allerdings ist sie nur dann erlaubt, wenn Virologen davon überzeugt sind, auf diese Weise tatsächlich eine Ausbreitung des Virus wirksam einschränken zu können.

Neue Meldung dazu im Ticker: 

Experten schlagen vor: Bewegungsdaten aus Patienten-Handys auslesen

Das Auslesen von Bewegungsdaten aus dem Mobiltelefon wäre nach Einschätzung des Robert-Koch-Instituts (RKI) eine gute Möglichkeit, um Kontaktpersonen von Infizierten aufzuspüren und so die Ausbreitung des Virus zu verlangsamen. „Wir wissen inzwischen, dass das technisch möglich ist“, sagt RKI-Präsident Lothar Wieler.

Ein kleines Team des RKI habe mit Mitarbeitern anderer Institutionen in den vergangenen beiden Tagen eine entsprechende „Skizze“ erstellt: „Das sind erste Überlegungen.“ Es werde in Ruhe besprochen, ob das für die Gesellschaft akzeptabel wäre. Für ihn sei klar, dass das nur möglich wäre, „wenn der einzelne seine Daten auch spenden würde“.

https://www.bild.de/news/inland/news-inland/coronavirus-mehr-als-150-neue-faelle-in-deutschland-insgesamt-ueber-400-behoerden-kommen-mit-zaehlen-nicht-nach-69089326.bild.html 

0

Dann weiß man, wo ein Patient in letzter Zeit war. Tolle Erkenntnis. Erstens weiß man damit noch immer nicht, wer sonst noch da war. Und wenn sich herausstellt, dass es - wie es mir oft geht - ein überfüllter Zug war, weiß man garantiert nicht, in welchem Wagen der Patient gesessen hat. Würde bei mir - vorausgesetzt, die anderen spielen mit - nach einer Woche rund 5.000 Quarantänefälle produzieren, oder - anders herum - mich in zwei Tagen in Quarantäne bringen, ohne dass ich zwingend Kontakt gehabt haben muss. Taugt also nix. Man sollte nur machen, was auch hilft, und das dosiert. Sonst bauscht man die Sache so sehr auf, das das Land kollektiven Selbstmord aus Angst vor dem Tod begeht.

0

Hier noch eine neue Mitteilung vom BfDI: 

https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/Gesun...

Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie

Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder erreichen vermehrt Anfragen von Arbeitgebern/Dienstherren, ob und wie personenbezogene Daten von Mitarbeitern sowie Gästen und Besuchern bei im Zusammenhang mit der Corona-Pandemie stehenden Maßnahmen verarbeitet werden können. Dazu einige allgemeine Hinweise:

Werden im Zusammenhang mit der Corona-Pandemie personenbezogene Daten erhoben, werden in den meisten Fällen Bezüge zwischen Personen und deren Gesundheitszustand hergestellt. Ab diesem Zeitpunkt handelt es sich um Gesundheitsdaten, die nach Artikel 9 Datenschutz-Grundverordnung (DSGVO) besonders geschützt sind.

Auch wenn eine Verarbeitung von Gesundheitsdaten grundsätzlich nur restriktiv möglich ist, können für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern datenschutzkonform Daten erhoben und verwendet werden. Dabei ist der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage stets zu beachten.

Beispielsweise können die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie als datenschutzrechtlich legitimiert betrachtet werden:

  • Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:
    • in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
    • in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
  • Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese
    • selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
    • sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.
  • Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Rechtliche Hintergrundinformationen:

Die vorstehenden Maßnahmen lassen sich rechtlich auf Grundlage der DSGVO und des BDSG (ggf. in Verbindung mit Landesdatenschutz- und weiteren Fachgesetzen) legitimieren. Je nach Maßnahme können die einschlägigen Rechtsgrundlagen dabei leicht variieren. Ungeachtet dessen gelten aber die folgenden allgemeinen Grundsätze:

Die Berechtigung zur Verarbeitung personenbezogener Mitarbeiterdaten ergibt sich in diesen Fällen für öffentlich-rechtliche Arbeitgeber grundsätzlich aus Art. 6 Abs. 1 Satz 1 lit. e) DSGVO und für Arbeitgeber im nicht-öffentlichen Bereich aus § 26 Abs 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO jeweils i.V.m. den einschlägigen beamtenrechtlichen sowie tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts. Soweit Gesundheitsdaten verarbeitet werden, sind zudem auch § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO einschlägig. Bei Art. 9 Abs. 2 lit. b) DSGVO umfasst der Begriff "Arbeitsrecht" nach Auffassung der Datenschutzaufsichtsbehörden auch das deutsche Beamtenrecht. Zugunsten des öffentlich-rechtlichen Arbeitgebers könnte zusätzlich Art. 9 Abs. 2 lit. g) DSGVO herangezogen werden, da die Fürsorgepflicht im Sinne der Gesundheitsvorsorge hier auch einem wichtigen öffentlichen Interesse dient.

Maßnahmen gegenüber Dritten können bei öffentlichen Stellen auf Art. 6 Abs. 1 Satz 1 lit. c) und e) ggf. in Verbindung mit den jeweiligen Landesdatenschutzgesetzen gestützt werden. Im nicht-öffentlichen Bereich kann Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO als Rechtsgrundlage herangezogen werden. Soweit besonders sensible Daten – wie Gesundheitsdaten – betroffen sind, findet zudem Art. 9 Abs. 2 lit. i) i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG Anwendung.

Die Fürsorgepflicht der Arbeitgeber bzw. der Dienstherren verpflichtet diese den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Hierzu zählt nach Ansicht der unabhängigen Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die epidemische bzw. inzwischen pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und im Fall der Fälle der Nachverfolgbarkeit (also im Grunde nachgelagerte Vorsorge gegenüber den Kontaktpersonen) dient. Diese Maßnahmen müssen dabei natürlich immer auch verhältnismäßig sein. Die Daten müssen vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks (regelmäßig also spätestens dem Ende der Pandemie) müssen die erhobenen Daten unverzüglich gelöscht werden.

Eine Einwilligung der von Maßnahmen Betroffenen allein sollte hingegen vorliegend nur als datenschutzrechtliche Verarbeitungsgrundlage in Betracht gezogen werden, wenn die Betroffenen über die Datenverarbeitung informiert sind und freiwillig in die Maßnahme einwilligen können.

Zusätzlich zu den bestehenden Rechtsgrundlagen für die Datenverarbeitung auf Seiten des Arbeitgebers ergeben sich aus dem Beamtenrecht, aus dem Tarifrecht bzw. dem Arbeitsrecht für Beschäftigte verschiedene Nebenpflichten, unter anderem auch Rücksichts-, Verhaltens- und Mitwirkungspflichten gegenüber ihrem Arbeitgeber und Dritten. Vorliegend stellt nach Auffassung der Datenschutzaufsichtsbehörden beispielsweise die Pflicht zur Information des Dienstherrn bzw. des Arbeitgebers über das Vorliegen einer Infektion mit dem Corona-Virus eine solche Nebenpflicht zum Schutz hochrangiger Interessen Dritter dar, aus der unter gewissen Voraussetzungen auch eine Offenlegungsbefugnis gemäß Art. 6 Abs. 1 lit. c) und f) DSGVO bezüglich personenbezogener Daten der Kontaktpersonen folgt.

 

Nein, es ist gut das Thema gerade jetzt hier im Rechtsblog im Auge zu behalten. All die Corona-bedingten Datentransfers zu den Behörden und besonders zu und von den Tausenden von neuen Home Offices erhöhen ganz klar die Risiken für die Datensicherheit. 

0

Nun, der Allerheiligste St. Datenschutz gerät mehrfach ins kritische Visier. Hier, wie zu Corona (Gesundheitsschutz anderer) erörtert. Anderweitig zum Zusammenbruch klassischer gesellschaftlicher Zusammenhänge ( Publikationen von Kirchen, Gemeinden, Vereinen). Verbrecherschutz durch Abwehr möglichst umfassender Videoüberwachug öffentlicher Plätze und Wege ( mit Archivierung zwecks späterer Täterermittlung!!). Und wenn Vorwrfe wegen unkoordinierter Ermittlungen im sog. NSU-Fallkomplex plausibel sind, dann, dass alle ca 33 Behörden unvernetzt ihre Datenhäuflein separat für sich "verwaltet" hatten anstatt auszutauschen.  

Die LTO-Presseschau:

Infektionsschutzgesetz: Gesundheitsminister Jens Spahn will das Infektionsschutzgesetz verschärfen, so dass u.a. Behörden künftig Ärzte zwangsverpflichten können. Das berichtet die Mo-taz (Christian Rath). Ursprünglich war auch vorgesehen, dass in den Neuregelungen auch die Befugnis enthalten sein sollte, auf Mobilfunkdaten zur Ortung von Handys zuzugreifen. Nach massiver Kritik von Datenschützern und Politikern des Koalitionspartners SPD wurde diese Idee aber laut Hbl (Dietmar Neuerer, Gregor Waschinski) wieder fallengelassen. In einem entsprechenden Text auf lto.de (Christian Rath) heißt es, dass damit das so genannte "Tracking" von Kontaktpersonen allerdings noch nicht vom Tisch sei, es vielmehr mit mehr Ruhe diskutiert werden soll.

Danke. Herr Spahn scheint von dem Plan jetzt wieder abgerückt zu sein. Hier ein Schnappschuss zur Übermittlung von Standortdaten via Apps  in Italien von meinem italienischen Kollegen Andrea Monti (in Englisch):

 https://urldefense.proofpoint.com/v2/url?u=https-3A__blog.andreamonti.eu_-3Fp-3D1661&d=DwIFaQ&c=wbMekZ1iboz3wtx3lILI8YgCUSSh7g3G58syakvKORs&r=CQ4viQ_6sJ3zMChu-5bWe92cCdm0BEQoil8aiijS__Q&m=GGAkJhVCtisb9nxXgerZBv-8d9h5zXQ4ipppFqpyLjw&s=FhoGGkzXPxoO2Gzh2KbdyWaOA4vP9nLwUpT3tSo5nQg&e=

Kommentar hinzufügen