Home / Informationen / Datenschutz in Zeiten von COVID-19

Datenschutz in Zeiten von COVID-19

23/03/2020

Das COVID-19-Virus führt zwangsläufig dazu, dass insbesondere Unternehmen und Behörden häufiger personenbezogene Gesundheitsdaten im Sinne von Art. 9 DSGVO verarbeiten, welche nach der DSGVO einen erhöhten Schutz genießen und nur unter strengen Voraussetzungen verarbeitet werden dürfen.

Obwohl die Verarbeitung von Gesundheitsdaten nach der DSGVO nur eingeschränkt zulässig ist, können zum Schutz der eigenen MitarbeiterInnen selbstverständlich auch Gesundheitsdaten rechtmäßig verarbeitet werden:

Unternehmen, die Mitarbeiterdaten im Zusammenhang mit der COVID-19-Pandemie verarbeiten, können solche Datenverarbeitungen je nach Zweck auf Basis von Art. 9 Abs. 2 lit. h DSGVO (Verarbeitung zum Zwecke der Gesundheitsvorsorge) oder Art. 9 Abs. 2 lit. i DSGVO (Verarbeitung zum Zwecke der Erfüllung arbeits- und sozialrechtlicher Pflichten) durchführen. 

Sofern aufgrund einer Infektion oder eines Verdachtsfalles eine Übermittlung der Gesundheitsdaten an Gesundheitsbehörden notwendig ist, so kann die Übermittlung im Regelfall auf Basis von Art. 9 Abs. 2 lit. i DSGVO (Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit) gerechtfertigt werden. 

Zum Zwecke der Risikominimierung dürfen während der COVID-19-Pandemie gestützt auf Art. 6 Abs. 1 lit. f DSGVO auch die privaten Handynummern der MitarbeiterInnen erhoben und vorübergehend gespeichert werden. Dies soll dazu dienen, die eigenen MitarbeiterInnen über Infektionen sowie Verdachtsfälle im Betrieb rechtzeitig informieren zu können und um eine weitere Ausbreitung des Virus einzudämmen. Eine Pflicht zur Bereitstellung der privaten Handynummern besteht seitens der MitarbeiterInnen jedoch nicht.  

Bitte beachten Sie jedoch, dass den MitarbeiterInnen bei Erhebung der Daten sämtliche Informationen nach Art. 13 DSGVO bereitzustellen sind. Bestehende Datenschutzerklärungen sind daher gegebenenfalls zu ergänzen. 

Auch in Zeiten der COVID-19-Pandemie ist eine Datenverarbeitung nur bei Einhaltung der allgemeinen Grundsätze nach Art. 5 DSGVO sowie Wahrung der Verhältnismäßigkeit rechtmäßig. Im Zusammenhang mit der COVID-19-Pandemie erhobene Daten sind sohin zu löschen, sobald diese für den ursprünglich verfolgten Zweck nicht mehr notwendig sind.

Viele Unternehmen sind gezwungen, die MitarbeiterInnen von zuhause aus (Home-Office) arbeiten zu lassen. Hier ist es insbesondere von bedeutsamer Wichtigkeit, dass auch außerhalb der Büroräumlichkeiten die erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen im Sinne von Art. 32 DSGVO sichergestellt werden. Vor diesem Hintergrund empfehlen wir, die MitarbeiterInnen gesondert darauf hinzuweisen, dass sämtliche Arbeitsutensilien (Firmenlaptop, Firmenhandy, Akten etc.) vor unbefugtem Zugriff geschützt werden müssen. Wenn möglich sollten die MitarbeiterInnen nicht mit ihrem eigenen Laptop arbeiten und falls doch, sollte der Zugang ins Firmennetzwerk ausschließlich gesichert über VPN oder Remote Desktop erfolgen. Es ist zudem ratsam, vermehrt auf Phishing-Attacken udgl. hinzuweisen, welche vor allem unter dem Deckmantel „Informationen über COVID-19“ nunmehr häufiger vorkommen.

COVID-19 CHECKLISTE

Kann der Arbeitgeber Informationen betreffend COVID-19-Symptome bzw. COVID-19-Infektionen von den MitarbeiterInnen rechtmäßig erfragen bzw. erheben?

Ja, sofern der Verdacht besteht, dass MitarbeiterInnen mit COVID-19 infiziert sind, darf der Arbeitgeber Informationen im Zusammenhang mit COVID-19 auf Basis von Art. 9 Abs. 2 lit. h DSGVO (Verarbeitung zum Zwecke der Gesundheitsvorsorge) oder Art. 9 Abs. 2 lit. i DSGVO (Verarbeitung zum Zwecke der Erfüllung arbeits- und sozialrechtlicher Pflichten) verarbeiten.

Die MitarbeiterInnen sind bei Erhebung dieser Informationen jedoch gemäß Art. 13 DSGVO zu informieren.

Darf der Arbeitgeber Informationen der MitarbeiterInnen betreffend COVID-19 an Gesundheitsbehörden übermitteln?

Ja, sofern aufgrund der Informationen der Verdacht auf eine Infektion besteht, so kann die Übermittlung an die zuständige Gesundheitsbehörde im Regelfall auf Basis von Art. 9 Abs. 2 lit. i DSGVO (Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit) rechtmäßig erfolgen. 

Welche Informationen sind den MitarbeiterInnen bei Erhebung von Daten betreffend COVID-19 zu erteilen?

Sofern die Informationen zur jeweiligen Datenverarbeitung nicht bereits in bestehenden Datenschutzerklärungen enthalten sind, sind die in Art. 13 DSGVO enthaltenen Informationen den MitarbeiterInnen bei Erhebung der Daten zu erteilen. 

Darf der Arbeitgeber die übrigen MitarbeiterInnen über einen COVID-19-Verdachtsfall bzw. eine COVID-19-Infektion einer/eines Mitarbeiterin/Mitarbeiters informieren?

Ja, sofern dies für die Eindämmung bzw. sonstige präventive Maßnahmen unbedingt notwendig ist und nicht bekannt gegeben wird, um welche MitarbeiterInnen es sich konkret handelt. 
Eine Information an die übrigen MitarbeiterInnen, welche Person konkret infiziert ist bzw. einen Verdachtsfall darstellt, sollte nur dann erteilt werden, wenn es tatsächlich notwendig ist, weil bspw. die (möglicherweise) infizierte Person engen Kontakt zu anderen MitarbeiterInnen hatte.

Darf der Arbeitgeber private Handynummern der MitarbeiterInnen erheben, um diesen ggf. Informationen über COVID-19 zukommen zu lassen?

Ja, die österreichische Datenschutzbehörde hat bestätigt, dass Arbeitgeber die privaten Handynummern der MitarbeiterInnen erheben darf, um diese im Notfall kontaktieren zu können. Die MitarbeiterInnen sind jedoch nicht verpflichtet, die privaten Handynummern bereitzustellen.

Welche Vorkehrungen sind im Zusammenhang mit Home-Office vorzusehen?

1.    Hinweis an Mitarbeiterinnen, Arbeitsutensilien (Firmenlaptop, Firmenhandy, Akten etc.) sorgfältig aufzubewahren und vor unbefugtem Zugriff zu schützen.
2.    Hinweis, dass nur sichere WLAN-Verbindungen genutzt werden und für die Nutzung des WLANs ein sicheres Passwort gewählt wird.
3.    Hinweis auf erhöhte Aufmerksamkeit und Vorsicht im Hinblick auf mögliche „Phishing-Attacken“.

Personen

Picture of Johannes Juranek
Johannes Juranek
Managing Partner
Wien
Picture of Johannes Scharf
Johannes Scharf
Rechtsanwalt für Datenschutzrecht & IT-Recht
Wien
Andreas-Lichtenberger-CMS-AT
Andreas Lichtenberger
Associate
Wien
Martin-Rainer-CMS-AT
Martin Rainer
Associate
Wien
Mehr zeigen Weniger zeigen