WIE WIRD MIT GESUNDHEITS- UND STANDORTDATEN IN ZEITEN VON COVID-19 UMGEGANGEN

1. Die gegenwärtige Situation und die Rechtmäßige Verarbeitung von personenbezogenen Daten

Die europäische Datenschutzgrundverordnung (DSGVO) sieht auch die Erhebung und Verarbeitung von personenbezogenen Daten ohne das ausdrückliche Einwilligung der betroffenen Person vor. Diese Ausnahmen können, in der durch das Coronavirus produzierte Krise in verschiedenen Szenarien Anwendung finden. Jene Ausnahmen beruhen vor Allem auf dem öffentlichen Interesse und/oder gesetzlich festgelegten Pflichten des Verantwortlichen der Datenverarbeitung.

In diesem Zusammenhang -Verarbeitung von Daten im Unternehmensbereich- hat die spanische Datenschutzbehörde „AEPD“ (Agencia Española de Protección de Datos) einen Bericht vom 11 März 2020, herausgegeben. In diesem wird analysiert welche rechtliche Grundlage für die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Auftreten der Krankheit in den Unternehmen besteht, wobei nach Ansicht der AEPD folgende Punkte von wesentlicher Bedeutung sind:

  • Rechtmäßigkeit der Verarbeitung begründet durch berechtigtes Interesse des Verantwortlichen -ohne die Erteilung des ausdrückliche Einwilligung der betroffenen Person-, auf Grund von öffentlichem Interesse (Art. 6.1.e DSGVO) und um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (6.1.d). Dabei muss man diesem letzten Punkt in der aktuellen Lage eine gesonderte Wertung zukommen lassen, da es nicht nur um das Interesse der betroffenen Person, sondern auch um die Interessen von dritten geht.

Außerdem kann eine Datenverarbeitung auch durch sektorale Gesetze vorausgesetzt werden, und erübrigen dadurch die Notwendigkeit, eine ausdrückliche Einwilligung einzuholen.

  • Ein weiterer wichtiger Bereich in Verbindung mit der aktuellen Lage ist die Verarbeitung von Gesundheitsdaten, die durch die Ausnahmen die im Art. 9 festgelegt sind, legitimiert wird:
    • Erfüllung der Verpflichtungen im Bereich des Arbeitsrechts und Schutz der sozialen Sicherheit (9.2.b)
    • Schutz lebenswichtiger Interessen der betroffenen Person oder anderer natürlicher Personen, wenn die betroffene Person physisch oder rechtlich nicht in der Lage ist, ihre Einwilligung zu geben (9.2.c)
    • Öffentliches Interesse in Hinsicht auf die öffentliche Gesundheit (9.2.i)
    • Erhebliches öffentliches Interesse (9.2.g)
    • Gesundheitsvorsorge oder Arbeitsmedizin; u. a. Beurteilung der Arbeitsfähigkeit, medizinische Diagnostik, etc. (9.2.h)

Gleichwohl der vorhergehenden Ausnahmen, schließt der Bericht der AEPD damit, dass auch in Zeiten einer Krise, die Rechte und Garantien jedes einzelnen in Bezug auf die Verarbeitung personenbezogener Daten gegeben sein müssen, vor allem die Grundsätze der DSGVO nach Artikel 5.

2. Erfassung von Standortdaten

Ein weiterer Aspekt, der im vorliegenden Bericht noch nicht in Betracht gezogen wurde, sind die neusten Entwicklungen in Bezug auf die Erfassung von Standortdaten der Bürger, um die Infektionsketten nachvollziehen zu können und gegebenenfalls Kontaktpersonen frühzeitig zu warnen, um die Ausbreitung des Virus weiter eindämmen zu können, aber eventuell auch zum Durchsetzen von Quarantänen und Ausganssperren.

Dieses Vorhaben wird nicht nur von der spanischen Regierung geprüft, sondern wird von Staaten weltweit in Betracht gezogen. Dabei treffen die Staaten aber auf mehrere Probleme in der Materie des Datenschutzes, vor allem betrifft das diejenigen Staaten, die an die DSGVO gebunden sind. Bisher wurde in den verschiedenen Beispiellösungen immer die Einwilligung der betroffenen Personen vorausgesetzt, welches mit der Aktivierung der App eingeholt werden soll, um somit die Erhebung und Verarbeitung der Standortdaten nach art. 6 DSGVO legitimiert. Die derzeitige Gesetzgebung sieht jedoch bereits Situationen wie die gegenwärtige vor, die die Anforderungen flexibler macht, sofern eine Reihe von Garantien erfüllt sind. In diesem Zusammenhang hat die Spanisch Datenschutzbehörde am 26/03/2020 ein Mitteilung veröffentlich in der die Grundlagen für die Verarbeitung von Gesundheits- und Standortdaten beschrieben werden.

Ein anderer Vorschlag sieht jedoch die Anonymisierung der Daten vor, wodurch jedoch die spätere Warnung von Kontaktpersonen nichtmehr möglich wäre und die erhobenen Daten hätten somit nur noch einen Statistischen Nutzen.

Nun wurde der Beschluss SND/297/2020, vom 27 März veröffentlich, dessen Ziel ist es, einige der Mechanismen in der Gesundheitskrise zu digitalisieren und zu beschleunigen. Die Entwicklung einer App zur Selbsteinschätzung, bei der nur auf die Standortdaten zugegriffen wird, um zu verifizieren ob sich die betroffene Person in seiner Heimatprovinz aufhält.

Außerdem sieht der Beschluss auch vor, dass die Standortdaten von Mobilfunknutzer anonym von den Netzbetreibern an das nationale Statistikinstitut weitergeleitet werden, damit analysiert werden kann, wo sich die Personen vor und während des Alarmzustandes aufgehalten haben.

Bisher sind noch keine definitive Entscheidung getroffen worden und auch noch ist keine App bzw. Website des Gesundheitsamtes veröffentlich worden.

Zu allerletzt noch ein Tipp an unsere Kunden, in Zeiten der Krise gibt es leider auch immer Personen, die sich die besonderen Umstände zu Nutzen machen möchten und es daher in den letzten Tage vermehrt zu Phishing Attacken und E-Mails mit gefährlichen Anhängen kommt. Sobald sie den Verdacht haben, dass eine erhaltene E-Mail nicht vom eigentlichen Versender versandt worden sein könnte, löschen sie diese oder versuchen sie die Echtheit auf einem anderen Weg zu prüfen, bevor sie einen Anhang öffnen.