Blog > Das Coronavirus und Datenschutz >

Das Coronavirus und Datenschutz

Aufgrund der derzeitigen Epidemie stellt sich für Unternehmen, Behörden und auch für ArbeitnehmerInnen die Frage, unter welchen Umständen personenbezogene Daten (insbesondere Gesundheitsdaten) verarbeitet und ausgetauscht werden können und dürfen.

Die Verarbeitung von Gesundheitsdaten

Die Österreichische Datenschutzbehörde hat in einer Aussendung darauf hingewiesen, dass Daten über Infektionen mit dem Coronavirus (Covid-19) sowie über Verdachtsfälle zu jenen sensiblen Daten (Daten besonderer Kategorie nach Artikel 9 DSGVO zählen, für die das Datenschutzrecht einen besonderen Schutz vorsieht. Die Verarbeitung von Gesundheitsdaten ist laut Datenschutzbehörde zulässig, sofern sie zur Eindämmung der Verbreitung des Virus dient und somit Menschen geschützt werden. Dabei handelt es sich um Daten über Infektionen und Verdachtsmomente aufgrund von Aufenthalt in Risikoregionen oder Kontakt mit infizierten Personen.

Im arbeitsrechtlichen Kontext kann als konkrete Rechtsgrundlage der Datenverarbeitung Art. 9 Abs. 2 lit. h DSGVO in Erwägung gezogen werden. (Verarbeitung zum Zwecke der Gesundheitsvorsorge). Arbeitgeber sind gegenüber Ihren Arbeitnehmern darüber hinaus zur umfassenden Fürsorge verpflichtet. Dazu zählt die z.B. die Eindämmung von Gesundheitsrisiken am Arbeitsplatz. Hierfür kann auf  Art. 9 Abs. 2 lit. b DSGVO (Verarbeitung zum Zwecke der Erfüllung arbeits- und sozialrechtlicher Pflichten) zurückgegriffen werden.

Für die Übermittlung der Gesundheitsdaten an die Gesundheitsbehörden bietet Art. 9 Abs. 2 lit. i DSGVO eine entsprechende Rechtsgrundlage (Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit).

Aus § 5 Abs. 3 Epidemiegesetz 1950 ergibt sich die Pflicht, dass Arbeitgeber auf Verlangen der Bezirksverwaltungsbehörden Auskunft über Verdachtsfälle und Infektionen erteilen müssen. Für Fragen zu festgestellten Infektionen und Verdachtsfällen empfiehlt die Datenschutzbehörde sich mit Fragen direkt an die Gesundheitsbehörde zu wenden.
Die besonderen Umstände können es notwendig machen, dass Arbeitgeber private Kontaktdaten von Arbeitnehmern erheben um die effiziente Kommunikation und die Bekämpfung der Infektionsverbreitung am Arbeitsplatz sicherzustellen. Hierfür stellt die Österreichische Datenschutzbehörde ein Musterformular zur Verfügung, das zur Erhebung der privaten Kontaktdaten verwendet werden kann. Das Musterformular erfüllt sämtliche datenschutzrechtliche Voraussetzungen, wie insbesondere die Informationspflicht (nach Art 13 DSGVO) gegenüber den Betroffenen.

Wichtig: Bitte beachten Sie die Zweckwidmung und Speicherbegrenzung. Nach Ende der Epidemie sind daher jene Daten, die nicht mehr zur Risikoprävention notwendig sind, zu löschen.

Informationen zum Home-Office

Aufgrund des Umstands, dass vermehrt Home-Office zum Einsatz kommt, ist schließlich auf die Sicherheitsvorgaben gemäß Art. 5 Abs. 1 lit. f iVm Art. 32 Abs. 1 DSGVO hinzuweisen.
Im Kontext der Eindämmung von Ansteckungen wird vermehrt auf Home-Office zurückgegriffen. Hierbei ist es wichtig, dass die IT-Sicherheit angemessen berücksichtigt werden. Das Bundesamt für Sicherheit in der Informationstechnik hat eine Zusammenstellung zu den wichtigsten Maßnahmen für die IT-Sicherheit am Home-Office Arbeitsplatz veröffentlicht die ohne größeren Aufwand umgesetzt werden können.

  • Klar geregelt

Treffen Sie deutliche, unmissverständliche und verbindliche Regelungen zur IT-Sicherheit und zur Sicherheit Ihrer Daten in Papierform. Kommunizieren Sie diese schriftlich an alle Beteiligten.

  • Hier gibt es nichts zu sehen

Ergreifen Sie an ihrem Heimarbeitsplatz Maßnahmen, mit denen sich ein Sicherheitsniveau erreichen lässt, das mit einem Büroraum vergleichbar ist. Verschließen Sie Türen, wenn Sie den Arbeitsplatz verlassen, geben Sie Dritten keine Chancen durch einsehbare oder gar geöffnete Fenster.

  • Eindeutige Verifizierung

Sorgen Sie für eindeutige Kontaktstellen und Kommunikationswege, die von den Beschäftigten verifiziert werden können.

  • Vorsicht Phishing

Es können vermehrt Phishing E-Mails auftreten, die die aktuelle Situation ausnutzen und versuchen werden, Ihre sensiblen Daten mit Hinweis auf Remote Zugänge, das Zurücksetzen von Passwörtern etc. abzugreifen.

  • VPN

Idealerweise greifen Sie über einen sicheren Kommunikationskanal (z. B. kryptografisch abgesicherte Virtual Private Networks, kurz: VPN) auf interne Ressourcen der Institution zu. Sofern Sie bisher keine sichere und skalierbare VPN-Infrastruktur haben, informieren Sie sich über mögliche Lösungen.

In der Informationssammlung „Home-Office? – Aber sicher!“ finden sie diese und weitere Maßnahmen mit vertiefenden Details.

Zur Allgemeinen Information wird noch ein FAQ zum Thema Datenschutz und Coronavirus (COVID-19) (PDF, 477 KB) von der Österreichischen Datenschutzbehörde bereitgestellt.

Und das allerwichtigste: Bleiben Sie Gesund!

 

Datenschutz Online-Schulung

Newsletter

Für den Datenschutzbrief
anmelden >