NEWS 23.03.2020
Information über den Umgang mit personenbezogenen Daten im Zusammenhang mit der Corona-Epidemie
23. März 2020, secriso Consulting
Welche arbeitsrechtlichen Verpflichtungen müssen Unternehmer beachten? Welche Daten von ArbeitnehmerInnen dürfen in diesem Zusammenhang verarbeitet werden? Welche Daten dürfen von Gesundheitsbehörden aufgenommen werden? Die österreichische Datenschutzbehörde hat sich dazu geäußert!
Die Corona-Epidemie zwingt viele Unternehmen dazu, ArbeitnehmerInnen in die vorübergehende Heimarbeit zu schicken und zusätzliche personenbezogene Daten (Gesundheitsdaten, private Daten etc.) aufzunehmen. Hieraus ergeben sich viele rechtliche Unsicherheiten. Die österreichische Datenschutzbehörde hat aufgrund der verbreiteten datenschutzrechtlichen Fragestellungen, mehrere Informationen zur Verfügung gestellt. In diesem Newsartikel möchten wir Sie über die wichtigsten Punkte informieren.
Aufgrund der derzeitigen Corona-Epidemie ergeben sich viele datenschutzrechtliche Bedenken für Unternehmer, ArbeitnehmerInnen und Behörden.
Vorweg sollte klargestellt werden, dass alle Gesundheitsdaten (auch Infektionen mit dem Coronavirus) unter die besonderen Kategorien von personenbezogenen Daten – sensiblen Daten zu subsumieren sind gem. Art 9 Abs 1 DSGVO und dementsprechend zu schützen sind.
Hinweise für Behörden
Aus datenschutzrechtlicher Sicht dürfen Gesundheitsdaten bzw. Daten zu Infektionen verarbeitet werden, wenn es dem Schutz der Allgemeinheit dient und den Zweck hat, die Infektion möglichst schnell einzudämmen. Die Rechtsgrundlage beruht auf Art 9 Abs 1 lit i DSGVO (…„die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren erforderlich“).
Hinweise für UnternehmerInnen
UnternehmerInnen sind verpflichtet aus Gründen der Gesundheitsvorsorge bzw. der Fürsorgepflicht gewisse besondere Kategorien personenbezogener Daten zu verarbeiten. Darüber hinaus können die Datenverarbeitungen auf die Rechtsgrundlage gem. Art 9 Abs 1 lit b DSGVO gestützt werden (…„die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann“).
Für die Datenübermittlung an die Gesundheitsbehörden und Bezirksverwaltungsbehörden können sich UnternehmerInnen auf gesetzliche Verpflichtungen stützen (unter anderem aufgrund des Epidemiegesetzes).
Zusätzlich ist es nach Ansicht der Datenschutzbehörde gestattet, gewisse private Informationen von ArbeitnehmerInnen vorübergehend aufzunehmen, um im gegebenen Anlassfall über mögliche innerbetriebliche Infektionen informieren zu können. Die Rechtsgrundlage beruht auf rechtlichen Verpflichtungen, lebenswichtigen Interessen der Betroffenen und dem berechtigen Interesse des Verantwortlichen (gem. Art 6 Abs 1 lit c, d und f DSGVO). Hierbei ist insbesondere wichtig, dass jeder Unternehmer seine Mitarbeiter über die Datenverarbeitung gem. Art 13 DSGVO informiert. Hierfür hat die Datenschutzbehörde ein Musterformular erstellt.
Das entsprechende Formular finden es unter folgendem Link:
Trotz der obigen Berechtigungen zur Datenverarbeitung sind die Grundsätze gem. Art 5 DSGVO auch zu Zeiten der Corona-Krise zu beachten. Die Gesundheitsdaten der ArbeitnehmerInnen dürfen nur aufgrund der legitimierten Zwecke (Gesundheitsvorsorge, Eindämmung des Virus) verarbeitet werden. Entsprechend des Grundsatzes der Speicherbegrenzung dürfen die Daten, die zusätzlich aufgenommen wurden (private Kontaktdaten etc.), nach Ende der Epidemie nicht mehr verarbeitet werden. Diese sind umgehend zu löschen.
Die Sicherheitsmaßnahmen gem. Art. 5 Abs. 1 lit. f iVm Art. 32 Abs. 1 DSGVO, im Zusammenhang mit der vorübergehenden Heimarbeit, wurden bereits in unseremNewsartikel - "Sicheres Arbeiten im Home Office" behandelt.
Weiterführende Informationen zum Thema Datensicherheit und Home-Office finden Sie unter folgendem Link:
Hinweise für MitarbeiterInnen
Hinsichtlich der arbeitsrechtlichen und datenschutzrechtlichen Grundlagen, über die Erhebung und Verarbeitung von sensiblen Daten (Gesundheitsdaten), können Sie sich in den FAQs zum Thema Datenschutz und Coronavirus (COVID-19) der Datenschutzbehörde informieren:
Haben sie Fragen zu Datenverarbeitungen im Zusammenhang mit dem Corona-Virus in Ihrem Unternehmen?
Wir stehen zusammen und helfen Ihnen in dieser herausfordernden Zeit gerne weiter.
Bitte denken Sie daran: Datenschutz ist auch in Zeiten der Corona-Krise ein wichtiges Thema.
Per E-Mail unter office@secriso.com (rund um die Uhr) oder
telefonisch unter 0463/276376.
-
daf