Corona-Pandemie - Hinweise des BayLDA zu Datenschutz und Datensicherheit

Erhebung und Verarbeitung von Daten zum Zweck der Infektionsprävention

Rasche und konsequente Vorsorgemaßnahmen aller sind eine zentrale Grundbedingung für die Eindämmung der Corona-Pandemie. Datenschutzrechtliche Anforderungen stehen zweckgerichteten und erforderlichen Maßnahmen wie z.B. der Verarbeitung personenbezogener Daten im Rahmen der Frage nach Reisen in Risikogebiete oder nach Kontakten mit Corona-Patienten bei Beschäftigten oder Besuchenden eines Betriebs nicht entgegen. Datenschutzrechtlich begründbar ist auch die ausnahmsweise und eng zu begrenzende Offenlegung eines Infektionsverdachts, wenn ohne Kenntnis der Identität des Infizierten wirksame Vorsorgemaßnahmen seiner Kontaktpersonen behindert würden.

Für die betriebliche Notfallplanung ist bei entsprechender Information der Beschäftigten auch die Erhebung und Bereitstellung privater Erreichbarkeitsdaten statthaft, wenn es dem Arbeitgeber kurzfristig nicht möglich ist, eine ausreichende ITK-Ausstattung betriebssicher zu gewährleisten.

Die Erfüllung der Informationspflichten nach Kapitel III der DSGVO für sämtliche Maßnahmen der Infektionsprävention bleibt sicherzustellen.

Datensicherheit

Selbst unter den gesellschaftlichen Ausnahmebedingungen der Corona-Pandemie drohen Schutzlücken in krimineller Weise ausgenutzt zu werden. Insbesondere sogenannte Ransomware-Attacken, die zu einer Verschlüsselung der Daten und damit (teils) zum Ausfall der technischen Systeme führen, bergen auch jetzt - etwa im Gesundheitsbereich - ein hohes Risiko für die betroffenen Personen. Epidemiologische Vorsorgemaßnahmen dürfen daher nicht zu Lasten von Schutzmaßnahmen vor diesen Cybersicherheitsbedrohungen gehen, gerade wenn Betriebe längerfristig nur dank verschiedenster Homeoffice-Lösungen und teils privaten Kommunikationsgeräten, z.B. auch zum Austausch von Dokumenten fortgeführt werden.

Zur Basisinformation der Beschäftigten über Datenschutz und Datensicherheit beim mobilen Arbeiten zählt deshalb auch, wie die in den Unternehmen verantwortlichen Fachstellen im Falle eines Cyberangriffs oder anderer Schutzverletzungen umgehend informiert werden können.

Die datenschutzrechtliche Pflicht zur unverzüglichen Meldung von Schutzverletzungen spätestens innerhalb von 72 h bleibt auch in der derzeitigen Krisensituation wichtig, da nur so wirksame Folgemaßnahmen zum Schutz der Betroffenen aber auch der Allgemeinheit gewährleistet werden können. Das BayLDA ermöglicht Verantwortlichen mit überschaubarem Aufwand ihrer Meldepflicht in einem strukturierten, geführten Online-Service unter www.lda.bayern.de/datenpanne nachzukommen.

Best-Practice-Checkliste fürs Homeoffice

Bei der Corona-Pandemie arbeiten viele Beschäftigte, sofern möglich, von Zuhause aus. Manchmal musste es auch schnell gehen, wenn Homeoffice bislang nicht praktiziert wurde. Eine Checkliste mit Best-Practice-Charakter soll dabei helfen, den eigenen Stand der datenschutzrechtlichen Einhaltung zu überprüfen.

Fristverlängerung bei laufenden Verfahren

Die aktuelle Sondersituation der Pandemie-Abwehr schafft in allen Bereichen besondere Herausforderungen. Soweit in laufenden datenschutzaufsichtlichen Verfahren Fristen gesetzt wurden die vor dem 02. Juni 2020 enden, gelten diese Fristen ohne weitere Schritte als bis zum 02. Juni 2020 verlängert. Soweit im Einzelfall als Folge allgemeiner oder spezifischer Infektionsschutzmaßnahmen eine weitere Fristverlängerung benötigt wird, werden wir dies auf Antrag prüfen.

Externe Links

Nähere Hinweise und Empfehlungen zu Datenschutz und Datensicherheit in der Corona-Pandemie erhalten Sie unter den nachfolgenden Fundstellen: