Der Datenschutzbeauftragte informiert
 

Datenschutz in Zeiten von Corona

 

{if|defined(lastname)| {switch:salut :male :Sehr geehrter Herr {lastname}, :female :Sehr geehrte Frau {lastname}, :default:Sehr geehrte(r) {firstname} {lastname}, } |else| Sehr geehrte Damen und Herren,}

die aktuelle Situation wirft bei vielen Unternehmen Fragen auf: Wie gehe ich im Sinne des Datenschutzes mit der aktuellen Corona-Situation um und welche Daten meiner Mitarbeitenden darf ich in diesem Zusammenhang erheben und weitergeben? Was ist beim Arbeiten im Homeoffice zu beachten, um eine angemessene Datensicherheit zu gewährleisten, und wie sieht eigentlich eine DSGVO-konforme Heimarbeit aus? Wir geben Ihnen Antworten auf die wichtigsten Fragen. 

 
 

Datenschutz beim Umgang mit dem Coronavirus

 

Zunächst einmal vorweg: Grundsätzlich handelt es sich bei den Daten, die im Zusammenhang mit dem Coronavirus erhoben werden, um Gesundheitsdaten, deren Verarbeitung gemäß Art. 9 DSGVO nur in streng geregelten Fällen gestattet ist.

Angesichts der Corona-Pandemie ist es allerdings auch für nichtöffentliche Stellen erlaubt, diese Gesundheitsdaten zu verarbeiten. Grund dafür ist die Tatsache, dass ein öffentliches Interesse daran besteht, die Bevölkerung vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren zu schützen. Damit ist die Verarbeitung personenbezogener Daten zur Überwachung und Verhinderung der weiteren Ausbreitung von Covid-19 gerechtfertigt. 

Wichtig ist jedoch, dass zum Schutz der verarbeiteten Daten ausreichende technische und organisatorische Maßnahmen getroffen und die Rechte der Betroffenen eingehalten werden. Das heißt: Die Vorschriften der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) müssen auch in diesem Fall umgesetzt und befolgt werden. 

 

Welche Daten dürfen prinzipiell erhoben werden? 

Im Rahmen einer Corona-Überwachung dürfen in Form von Fragebögen oder Interviews beispielsweise konkrete Fragen nach Krankheitssymptomen, Aufenthaltsorten oder nach Kontakten mit (möglicherweise) infizierten Personen gestellt werden.  

Darüber hinaus können im Verdachtsfall Anordnungen ausgesprochen werden, den Betriebsarzt aufzusuchen. 

 

Wie ist mit den Daten zur Corona-Überwachung umzugehen? 

Generell gelten die allgemeinen Vorgaben der DSGVO:

• Datenminimierung: Nur notwendige Daten dürfen verarbeitet werden. Bei der Befragung des Aufenthaltsortes sollte beispielsweise nicht der konkrete Ort, sondern lediglich die Klassifizierung nach Risikogebiet oder kein Risikogebiet gespeichert werden.

• Zweckbindung: Die erhobenen Informationen müssen für den angestrebten Zweck erforderlich sein.

• Dokumentationspflichten & Verzeichnis der Verarbeitungstätigkeiten: Die Verarbeitung der erhobenen Daten muss gesetzeskonform dokumentiert werden. Zudem empfiehlt sich die Aufnahme der Verarbeitung in das Verzeichnis von Verarbeitungstätigkeiten.

• Informationspflichten: Betroffene sind umfangreich über die Verarbeitung ihrer personenbezogenen Daten zu informieren.

• Speicherbegrenzung: Die Dauer der Speicherung und der Zeitpunkt der Löschung sollten von Anfang an in die Planung einbezogen werden.

• Sicherheit der Verarbeitung: Gesundheitsdaten bedürfen besonderer technischer und organisatorischer Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten. 

 

Darf der Arbeitgeber anderen mitteilen, dass ein bestimmter Mitarbeiter infiziert ist? 

Die Weitergabe des Namens eines Infizierten ist nur in Ausnahmefällen zulässig. Kann ausgeschlossen werden, dass eine infizierte Person mit anderen Mitarbeitern des Unternehmens Kontakt hatte, reicht es aus, einen eingeschränkten Kreis über die Erkrankung zu informieren. Hier kann es helfen, durch den infizierten Mitarbeitenden eine Namensliste erstellen zu lassen und diese Personen individuell zu kontaktieren. Aber auch an dieser Stelle sollte sich prinzipiell die Frage gestellt werden: Können wir die möglichen Kontaktpersonen auch ohne die Nennung des Namens in Kenntnis setzen? Die Angabe eines Namens ist grundsätzlich nur dann gerechtfertigt, wenn dies die einzige Möglichkeit ist, den Schutz von Kollegen oder andere Personen gewährleisten zu können. 

 
 

5 Tipps für eine DSGVO-konforme Heimarbeit

 

1) Arbeitsequipment DSGVO-konform transportieren: 

Wenn Betriebsmittel zur Erfüllung der Arbeitspflicht an einen anderen Ort gebracht werden müssen, sind geeignete Schutzmaßnahmen für den Transport von Datenträgern und Dokumenten zu treffen. Datenträger sollten verschlüsselt und Papierunterlagen in abgeschlossenen Behältnissen transportiert werden. Grundsätzlich empfiehlt es sich allerdings, im Homeoffice vollelektronisch zu arbeiten und dadurch dem Risiko eines Verlustes von Unterlagen vorzubeugen.

 

2) Datenschutz-Risiken durch geeignete Maßnahmen entgegenwirken: 

Das Arbeiten mit personenbezogenen Daten im Homeoffice birgt Risiken für die Persönlichkeitsrechte der von der Datenverarbeitung betroffenen Personen. Dadurch, dass Familienangehörige anwesend sind, ist eine Einsichtnahme der Daten durch unbefugte Dritte nicht gänzlich auszuschließen. Auch ein Datenmissbrauch oder -diebstahl, welcher die Reputation des Unternehmens gefährden kann, ist denkbar. Daher muss der Arbeitgeber der breiten Palette an möglichen Risiken durch geeignete Maßnahmen entgegenwirken.

 

3) Regeln für Heimarbeit festlegen: 

Grundsätzlich ist der Arbeitgeber dafür verantwortlich, dass im Homeoffice eine angemessene Datensicherheit besteht und der Mitarbeitende die Regeln einhält, die auch bei der Arbeit in Firmenräumen beachtet werden müssten. Wegen der Gefahr, Persönlichkeitsrechte Dritter zu verletzen, ist zunächst zu klären, ob die individuelle Wohnsituation ein Arbeiten von Zuhause aus grundsätzlich zulässt. 

 

4) Eine Datenschutzvereinbarung mit dem Mitarbeitenden abschließen: 

Im familiären Umfeld ist es nicht ausgeschlossen, dass unbefugte Dritte anhand der betrieblichen Unterlagen Zugang zu personenbezogenen Daten erhalten. Aus diesem Grund sollte mit dem Mitarbeitenden vereinbart werden, dass auch im Homeoffice datenschutzrechtliche Maßnahmen zu ergreifen sind.

Darunter fallen beispielsweise die folgenden:
• Unbefugten Mitbewohnern darf keine Sicht auf den Arbeitsbildschirm gewährt werden,
• geschäftliche und private E-Mail-Adressen sind klar zu trennen und
• geschäftliche Telefonate müssen so geführt werden, dass keine unbefugten Personen mithören können.

 

5) Homeoffice DSGVO-konform einrichten: 

• Die Arbeit sollte ausschließlich über die durch den Arbeitgeber zur Verfügung gestellten Arbeitsmittel und nicht mittels privater Geräte erfolgen.

• Die zum Einsatz im Homeoffice bereitgestellten Geräte sollten über entsprechende Software zum Schutz vor IT-Angriffen verfügen.

• Nicht nur der Computer, sondern auch der gesamte Datenverkehr zwischen Homeoffice und Firmennetz sollte verschlüsselt erfolgen. Zu diesem Zweck empfiehlt sich die Nutzung einer geschützten Verbindung mit den Systemen des Arbeitgebers via Virtual Private Network (VPN).

• Der Computer sollte auch bei kurzen Abwesenheiten gesperrt werden.

• Die Verwendung von externen/privaten Speichermedien an firmeneigenen Rechnern sollte strengstens untersagt sein.

• Zur Aufbewahrung von Unterlagen und Datenträgern empfiehlt sich ein abschließbarer Schrank in der Wohnung. Für Dokumente in Papierform gilt im Homeoffice: Auch hier muss die Aufbewahrung, der Ausdruck und die Vernichtung nach den Vorgaben der DSGVO erfolgen und vorab geregelt sein.

 
 

Fördermittel des Bundesamtes für Wirtschaft und Ausfuhrkontrolle

 

Neben verschiedenen staatlichen Hilfspaketen ist am 3. April 2020 auch eine modifizierte Richtlinie zur Förderung unternehmerischen Know-hows für Corona-betroffene Unternehmen in Kraft getreten. Ab sofort können kleine und mittlere Unternehmen (KMU) einen Antrag für Beratungen bis zu einem Wert von 4.000,00 Euro beim Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) stellen. 

 

Unter folgendem Link können Sie prüfen, ob Ihr Unternehmen die Kriterien für die Förderung erfüllt:

BAFA - Unternehmensberatung
 

Wir unterstützen Sie auch gerne beim Ausfüllen des Antragsformulares.

 

_____________________________________________________________

 

Sie haben Fragen oder möchten sich gerne zum Thema Datenschutz individuell beraten lassen?

Perfekt! Denn Ihre Berater von TÜViT arbeiten in der aktuellen Situation selbst größtenteils von zu Hause aus und stehen Ihnen daher wie immer von überall mit bester Praxis-Erfahrung zur Verfügung.

Ihre Ansprechpartnerin:
Antje Piel
Managing Consultant Privacy
Telefon: 030 2007700-74
E-Mail: a.piel@tuvit.de
 

 
 

Impressum

 
 

TÜV Informationstechnik GmbH
TÜV NORD GROUP

Langemarckstraße 20
45141 Essen

Tel.: 0201 8999-9

 

TÜV NORD IT Secure Communications GmbH & Co. KG

Hohenzollerndamm 184
10713 Berlin

Tel.: 030 2007700-0

 

Amtsgericht Essen HRB 11687
UST-ID.: DE176132277
Steuernummer: 111/57062251

 

Amtsgericht Berlin-Charlottenburg HRA 55505 B
USt-ID.: DE 316878351
Steuernummer: 29/122/62232

 

info@tuvit.de
www.tuvit.de

 

Wenn Sie zukünftig keine Mailings mehr erhalten möchten, klicken Sie bitte hier.