Immer wieder erreichen uns Anfragen ob denn Datenschutz und Datensicherheit in der aktuellen Situation nicht hinten anstehen dürfen. Es muss doch aufgrund der Ausnahmesituation so ziemlich alles erlaubt sein um den Arbeitsablauf nicht noch weiter einzuschränken. Die Aufsichtsbehörden fahren hierzu eine klare Linie. Das BayLDA hat hierzu ein Statement veröffentlicht.
Erhebung und Verarbeitung von Daten zum Zweck der Infektionsprävention
Rasche und konsequente Vorsorgemaßnahmen aller sind eine zentrale Grundbedingung für die Eindämmung der Corona-Pandemie. Datenschutzrechtliche Anforderungen stehen zweckgerichteten und erforderlichen Maßnahmen wie z.B. der Verarbeitung personenbezogener Daten im Rahmen der Frage nach Reisen in Risikogebiete oder nach Kontakten mit Corona-Patienten bei Beschäftigten oder Besuchenden eines Betriebs nicht entgegen. Datenschutzrechtlich begründbar ist auch die ausnahmsweise und eng zu begrenzende Offenlegung eines Infektionsverdachts, wenn ohne Kenntnis der Identität des Infizierten wirksame Vorsorgemaßnahmen seiner Kontaktpersonen behindert würden.
Für die betriebliche Notfallplanung ist bei entsprechender Information der Beschäftigten auch die Erhebung und Bereitstellung privater Erreichbarkeitsdaten statthaft, wenn es dem Arbeitgeber kurzfristig nicht möglich ist, eine ausreichende ITK-Ausstattung betriebssicher zu gewährleisten.
Die Erfüllung der Informationspflichten nach Kapitel III der DSGVO für sämtliche Maßnahmen der Infektionsprävention bleibt sicherzustellen.
Datensicherheit
Selbst unter den gesellschaftlichen Ausnahmebedingungen der Corona-Pandemie drohen Schutzlücken in krimineller Weise ausgenutzt zu werden. Insbesondere sogenannte Ransomware-Attacken, die zu einer Verschlüsselung der Daten und damit (teils) zum Ausfall der technischen Systeme führen, bergen auch jetzt – etwa im Gesundheitsbereich – ein hohes Risiko für die betroffenen Personen. Epidemiologische Vorsorgemaßnahmen dürfen daher nicht zu Lasten von Schutzmaßnahmen vor diesen Cybersicherheitsbedrohungen gehen, gerade wenn Betriebe längerfristig nur dank verschiedenster Homeoffice-Lösungen und teils privaten Kommunikationsgeräten, z.B. auch zum Austausch von Dokumenten fortgeführt werden.
Zur Basisinformation der Beschäftigten über Datenschutz und Datensicherheit beim mobilen Arbeiten zählt deshalb auch, wie die in den Unternehmen verantwortlichen Fachstellen im Falle eines Cyberangriffs oder anderer Schutzverletzungen umgehend informiert werden können.
Die datenschutzrechtliche Pflicht zur unverzüglichen Meldung von Schutzverletzungen spätestens innerhalb von 72 h bleibt auch in der derzeitigen Krisensituation wichtig, da nur so wirksame Folgemaßnahmen zum Schutz der Betroffenen aber auch der Allgemeinheit gewährleistet werden können. Das BayLDA ermöglicht Verantwortlichen mit überschaubarem Aufwand ihrer Meldepflicht in einem strukturierten, geführten Online-Service unter www.lda.bayern.de/datenpanne nachzukommen.
Fristverlängerung bei laufenden Verfahren
Die aktuelle Sondersituation der Pandemie-Abwehr schafft in allen Bereichen besondere Herausforderungen. Soweit in laufenden datenschutzaufsichtlichen Verfahren Fristen gesetzt wurden die vor dem 20. April 2020 enden, gelten diese Fristen ohne weitere Schritte als bis zum 20. April 2020 verlängert. Soweit im Einzelfall als Folge allgemeiner oder spezifischer Infektionsschutzmaßnahmen eine weitere Fristverlängerung benötigt wird, werden wir dies auf Antrag prüfen.
Externe Links
Nähere Hinweise und Empfehlungen zu Datenschutz und Datensicherheit in der Corona-Pandemie erhalten Sie unter den nachfolgenden Fundstellen: