Statment Europäischer Datenschutzausschuss Zu Covid 19

Der Europäische Datenschutzausschuss (EDSA bzw. EDPB) hat sich zu der Verarbeitung von personenbezogenen Daten im Zusammenhang mit COVID-19 bzw. dem Corona-Virus geäußert.Da zur Zeit noch keine deutsche Übersetzung zur Verfügung steht, haben wir uns die Mühe gemacht und die Seiten ins Deutsche übersetzt.

erstellt am 22. Mai. 2020 - in

Hand mit Stift und Block
Bild von mohamed Hassan giza/Egypt

Übersetzung European Data Protction Board (EDPB); “Statement on the processing of personal data in the context of the COVID-19 outbreak. Adopted on 19March2020”

Das Original in Englisch finden Sie auf der Internetseite European Data Protction Board

Der Text wurde von uns übersetzt und schließt evtl. Übersetzungsfehler nicht aus. Eine Haftung auf Richtigkeit wird nicht übernommen. Bitte lesen Sie für konkrete Informationen den original Text.

Die Hervorhebungen wurden vom original Übernommen.


Erklärung zur Verarbeitung personenbezogener Daten im Zusammenhang mit dem COVID-19-Ausbruch

abgegeben am 19. März 2020

Der europäische Datenausschuss hat die folgende Erklärung abgegeben:
Regierungen, öffentliche und private Organisationen in ganz Europa ergreifen Maßnahmen zur Eindämmung und Abmilderung von COVID-19. Dies kann die Verarbeitung verschiedener Arten von personenbezogenen Daten beinhalten.

Datenschutzbestimmungen (wie z.B. die DSGVO) behindern nicht die Maßnahmen, die im Kampf gegen die Coronavirus-Pandemie ergriffen werden. Der Kampf gegen übertragbare Krankheiten ist ein wichtiges gemeinsames Ziel aller Nationen und sollte daher bestmöglich unterstützt werden. Es liegt im Interesse der Menschheit, die Ausbreitung von Krankheiten einzudämmen und moderne Techniken im Kampf gegen Seuchen einzusetzen, die weite Teile der Welt betreffen. Dennoch möchte der EDPB betonen, dass der für die Datenverarbeitung Verantwortliche und der Auftragsverarbeiter auch in diesen außergewöhnlichen Zeiten den Schutz der personenbezogenen Daten der betroffenen Personen gewährleisten müssen. Daher sind eine Reihe von Gesichtspunkten zu berücksichtigen, um die rechtmäßige Verarbeitung personenbezogener Daten zu gewährleisten. In allen Fällen sollte daran erinnert werden, dass jede in diesem Zusammenhang getroffene Maßnahme die allgemeinen Rechtsgrundsätze beachten muss und nicht unumkehrbar sein darf. Der Notstand ist eine rechtlich legitime Situation, die Einschränkungen der Freiheiten legitimieren kann, sofern diese Einschränkungen verhältnismäßig und auf den Notstandszeitraum begrenzt ist.

Rechtmäßigkeit der Verarbeitung

Die DSGVO ist ein weit gefasste Verordnung und sieht Regeln vor, die auch für die Verarbeitung personenbezogener Daten im Kontext wie im Zusammenhang mit Covid-19 gelten. Die DSGVO erlaubt den zuständigen Gesundheitsbehörden und Arbeitgebern die Verarbeitung personenbezogener Daten im Zusammenhang mit einer Epidemie in Übereinstimmung mit dem nationalen Recht und innerhalb der darin festgelegten Bestimmungen. Zum Beispiel, wenn die Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich ist. Unter diesen Umständen ist eine Zustimmung der einzelnen Betroffenen nicht notwendig.

In Bezug auf die Verarbeitung von Personendaten, einschließlich besonderer Kategorien von Daten durch zuständige Behörden (z.B. Gesundheitsämter), ist der Datenausschuss (EDPB) der Auffassung, dass Artikel 6 und 9 der DSGVO die Verarbeitung personenbezogener Daten ermöglichen. Insbesondere wenn sie unter den gesetzlichen Auftrag der öffentlichen Behörde fallen, der durch die nationale Gesetzgebung und die in der DSGVO verankerten Bestimmungen vorgesehen ist.

Im Beschäftigungsverhältnis kann die Verarbeitung personenbezogener Daten zur Erfüllung gesetzlicher Verpflichtung erforderlich sein, den der Arbeitgeber unterworfen ist. Zum Beispiel in Bezug auf Gesundheit und Sicherheit am Arbeitsplatz oder das öffentliche Interesse, wie z.B. die Bekämpfung von Krankheiten und anderen Gesundheitsfragen.
Die DSGVO sieht auch Ausnahmen vom Verbot der Verarbeitung bestimmter Kategorien personenbezogener Daten, wie z.B. Gesundheitsdaten, vor. Sofern dies aus Gründen eines erheblichen öffentlichen Interesses im Bereich der öffentlichen Gesundheit (Art. 9.2.i), auf der Grundlage von Rechtsvorschriften der Union oder der Mitgliedsstaaten erforderlich ist oder wenn lebenswichtige Interessen der betroffenen Person geschützt werden müssen (Art. 9.2.c), da Erwägungsgrund 46 sich ausdrücklich auf die Bekämpfung von Epidemien bezieht.

In Bezug auf die Verarbeitung von Telekommunikationsdaten, wie z.B. Standortdaten, müssen auch die nationalen Gesetze zur Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation eingehalten werden. Grundsätzlich dürfen Standortdaten vom Betreiber nur dann verwendet werden, wenn sie anonymisiert sind oder mit der Zustimmung des Betroffenen. Jedoch ermöglicht Art. 15 e-Privacy Verordnung den Mitgliedsstaaten, gesetzgeberische Maßnahmen zum Schutz der öffentlichen Sicherheit zu ergreifen. Eine solche Außnahmegesetzgebung ist nur möglich, wenn sie in einer demokratischen Gesellschaft eine notwendige, angemessene und verhältnismäßige Maßnahme darstellt. Diese Maßnahmen müssen im Einklang mit der Charta der Grundrechte und der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten stehen. Darüber hinaus unterliegen sie der gerichtlichen Kontrolle des Europäischen Gerichtshofs und des Europäischen Gerichtshofs für Menschenrechte. Im Falle einer Notsituation sollte sie auch strikt auf die Dauer des betreffenden Notfalls beschränkt sein.

Grundprinzipien für die Verarbeitung personenbezogener Daten

Personenbezogene Daten, die zur Erreichung der verfolgten Ziele notwendig sind, sollten für festgelegte und eindeutige Zwecke verarbeitet werden.

Darüber hinaus sollten die betroffenen Personen transparente Informationen über die durchgeführten Verarbeitungsaktivitäten und deren Hauptmerkmale erhalten, einschließlich der Aufbewahrungsfrist für die gesammelten Daten und die Zwecke der Verarbeitung. Die bereitgestellten Informationen sollten leicht zugänglich sein und in klarer und verständlicher Sprache zur Verfügung gestellt werden.

Es ist wichtig, angemessene Sicherheitsmaßnahmen und Vertraulichkeitsrichtlinien zu ergreifen, die sicherstellen, dass personenbezogene Daten nicht an Unbefugte weitergegeben werden. Maßnahmen, die zur Bewältigung des aktuellen Notfalls und des zugrunde liegenden Entscheidungsprozesses durchgeführt werden, sollten angemessen dokumentiert werden.

Verwendung von mobilen Standortdaten

  • Können die Regierungen der Mitgliedstaaten personenbezogene Daten im Zusammenhang mit den Mobiltelefonen von Einzelpersonen bei ihren Bemühungen zur Überwachung, Eindämmung oder Eindämmung der Verbreitung von COVID-19 verwenden?

In einigen Mitgliedstaaten beabsichtigen Regierungen die Verwendung mobiler Standortdaten als eine denkbare Möglichkeit, die Verbreitung von COVID-19 zu überwachen, einzugrenzen oder einzudämmen. Dies würde z.B. die Möglichkeit implizieren, Einzelpersonen zu geolokalisieren oder gesundheitsbezogene Nachrichten per Telefon oder SMS an Personen in einem bestimmten Gebiet zu senden. Die Behörden sollten zunächst versuchen, Standortdaten auf anonyme Weise zu verarbeiten (d.h. Verarbeitung von Daten, die so aggregiert sind, dass Personen nicht wieder identifiziert werden können), was die Erstellung von Berichten über die Konzentration mobiler Geräte an einem bestimmten Standort (“Kartographie”) ermöglichen könnte.

Die Vorschriften zum Schutz personenbezogener Daten gelten nicht für Daten, die in angemessener Weise anonymisiert wurden.

Wenn es nicht möglich ist, nur anonyme Daten zu verarbeiten, ermöglicht die Datenschutzrichtlinie für elektronische Kommunikation den Mitgliedstaaten die Einführung gesetzgeberischer Maßnahmen zum Schutz der öffentlichen Sicherheit (Art. 15).

Wenn Maßnahmen eingeführt werden, die die Verarbeitung von nicht anonymisierten Standortdaten erlauben, ist ein Mitgliedstaat verpflichtet, angemessene Schutzvorkehrungen zu treffen, z.B.das Recht auf einen Rechtsbehelf für Einzelpersonen von elektronischen Kommunikationsdiensten.

Es gilt auch der Grundsatz der Verhältnismäßigkeit. Unter Berücksichtigung des zu erreichenden spezifischen Zwecks sind stets die am wenigsten eingreifenden Möglichkeiten zu bevorzugen. Invasive Maßnahmen wie die “Verfolgung” von Personen (d.h. die Verarbeitung historischer, nicht anonymisierter Standortdaten) könnten unter außergewöhnlichen Umständen und in Abhängigkeit von den konkreten Modalitäten der Verarbeitung als verhältnismäßig betrachtet werden. Allerdings sollte eine verstärkte Kontrolle und Sicherheitsvorkehrung eingehalten werden, um die Anwendung der Datenschutzgrundsätze zu gewährleisten (Verhältnismäßigkeit der Maßnahme in Bezug auf Dauer und Umfang, begrenzte Datenspeicherung und Zweckbindung).

Beschäftigung

  • Kann ein Arbeitgeber von Besuchern oder Arbeitnehmern im Zusammenhang mit COVID-19 die Bereitstellung spezifischer Gesundheitsinformationen verlangen?

Besonders relevant ist die Anwendung des Prinzips der Verhältnismäßigkeit und der Datenminimierung. Der Arbeitgeber sollte Gesundheitsinformationen nur insoweit verlangen, als das nationale Recht dies zulässt.

  • Darf ein Arbeitgeber eine medizinische Untersuchung der Arbeitnehmer veranlassen?

Die Antwort stützt sich auf nationale Gesetze in Bezug auf Beschäftigung oder Gesundheit und Sicherheit. Arbeitgeber sollten nur dann auf Gesundheitsdaten zugreifen und diese verarbeiten, wenn ihre eigenen gesetzlichen Verpflichtungen dies erfordern.

  • Kann ein Arbeitgeber seinen Mitarbeitern oder Externen mitteilen, dass ein Arbeitnehmer mitCOVID-19 infiziert ist?

Arbeitgeber sollten das Personal über COVID-19-Fälle informieren und Schutzmaßnahmen ergreifen, aber nicht mehr Informationen als nötig weitergeben. In Fällen, in denen es notwendig ist, den Namen des/der Mitarbeiter(s), der/die sich mit dem Virus angesteckt hat/haben (z.B. in einem präventiven Kontext), preiszugeben, und das nationale Recht dies zulässt, sind die betroffenen Mitarbeiter im Voraus zu informieren und ihre Würde und Integrität zu schützen.

  • Welche Informationen, die im Rahmen von COVID-19 verarbeitet werden, können von den Arbeitgebern eingeholt werden?

Arbeitgeber können persönliche Informationen einholen, um ihre Pflichten zu erfüllen und die Arbeit im Einklang mit der nationalen Gesetzgebung zu organisieren.

For the European Data Protection Board
The Chair
(Andrea Jelinek)

Bitte beachten Sie, dass die Informationen auf diesen Internetseiten keine Rechtsberatung darstellen. Die hier vorliegenden Informationen sollen Ihnen nur einen ersten Überblick ermöglichen, sie stellen selbst jedoch keine Rechtsberatung dar.

Kommentare sind geschlossen.