mixmagic - stock.adobe.com
Wie der Datenschutz während einer Krise eingehalten wird
Auch während einer Krisensituation darf der Datenschutz nicht vergessen werden. Datenschutz verhindert keine Krisenmaßnahmen, er erfordert aber ein klares Konzept.
Der Datenschutz wird häufig als Hindernis angesehen, nicht nur bei der Einführung neuer Technologien, sondern auch bei Maßnahmen, um in einem Krisenfall zeitnah und richtig reagieren zu können. So wurde auch in der aktuellen Krisensituation von verschiedenen Stellen behauptet, der Datenschutz verhindere das Krisenmanagement.
Das ist natürlich nicht der Fall, wie die Aufsichtsbehörden für den Datenschutz klargestellt haben. „Uns haben Fragen erreicht, wie der Datenschutz in dieser besonderen Situation rechtssicher umgesetzt werden kann“, so der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber. „Informationen zu unserer Gesundheit sind sehr sensible Daten. Wer solche Daten erhebt oder verarbeitet, muss sich der besonderen Verantwortung bewusst sein. So lange die Maßnahmen der Arbeitgeber und Dienstherren verhältnismäßig sind, steht der Datenschutz der Infektionsbekämpfung nicht im Weg.“
Dabei versteht es sich, dass der Datenschutz nicht nur mit Maßnahmen der Infektionsbekämpfung in Einklang gebracht werden kann, sondern mit jeder Maßnahme im Krisenmanagement.
Unternehmen sollten sich deshalb damit befassen, wie man dem Datenschutz nach Datenschutz-Grundverordnung (DSGVO/GDPR) auch im Krisenfall gerecht werden kann und was nach einer Krisensituation zu beachten ist.
Zweckbindung, Verhältnismäßigkeit und Grundlage sind entscheidend
Für den Datenschutz spielen immer die rechtlichen Grundlagen für die Verarbeitung personenbezogener Daten eine zentrale Rolle. Der Zweck heiligt zwar nicht alle Mittel, aber es kommt durchaus auf den Zweck einer Datenverarbeitung und auf die Interessenlage aller Beteiligten und Betroffenen an.
Mit Bezug auf den aktuellen Krisenfall sagt zum Beispiel die Landesbeauftragte für Datenschutz Schleswig-Holstein: „Generell steht das Datenschutzrecht – die Datenschutz-Grundverordnung in Verbindung mit dem Infektionsschutzgesetz – nicht dem entgegen, dass die zuständigen Behörden die notwendigen Schutzmaßnahmen zur Eindämmung von Infektionen auf Basis ihrer fachlichen Einschätzung anordnen. Maßgeblich ist – wie immer im Datenschutzrecht–, dass nur solche Daten erhoben und verarbeitet werden dürfen, die für den konkreten Zweck erforderlich sind.“
Wenn es also darum geht, Personen vor den Gefahren einer Krise zu schützen, können durchaus datenschutzkonforme Daten erhoben und verwendet werden. Es können beispielsweise personenbezogene Daten von Mitarbeiterinnen und Mitarbeitern erhoben werden, um eine Ausbreitung einer Gefährdung in der Mitarbeiterschaft bestmöglich zu verhindern.
Auch die Erhebung von personenbezogenen Daten von Gästen und Besuchern ist möglich, wenn diese ebenfalls von der Krisensituation betroffen sind und für die Abwehr der Risiken persönlich bekannt sein müssen, zum Beispiel, um sie später noch gezielt für den Zweck der Risikoabwehr erreichen zu können.
Um es deutlich zu sagen: Es geht natürlich nicht, die Daten der Besucher und Gäste zu anderen Zwecken zu nutzen. Es mag gegenwärtig absurd klingen, aber es könnte passieren, dass ein Unternehmen seine Adressdaten später für eine Werbeaktion nutzen möchte. In diesen Adressen für Werbezwecke dürfen die Kontaktdaten der Besucher und Gäste, die in der Krise geschützt werden sollten, nicht zu finden sein. Eine Zweckänderung für Werbung ist nicht zulässig.
Schutz von Beschäftigten wird nicht behindert
Die Fürsorgepflicht der Arbeitgeber oder der Dienstherren verpflichtet diese, den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Hierzu zählt nach Ansicht der unabhängigen Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die epidemische oder pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und im Fall der Fälle der Nachverfolgbarkeit (also im Grunde nachgelagerte Vorsorge gegenüber den Kontaktpersonen) dient.
Diese Maßnahmen müssen dabei natürlich immer auch verhältnismäßig sein, so die Aufsichtsbehörden. Die Daten müssen vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks (regelmäßig also spätestens dem Ende des Krisenfalls) müssen die erhobenen Daten unverzüglich gelöscht werden.
Im Krisenfall richtig schützen, nach der Krise richtig löschen
Selbst unter den Ausnahmebedingungen der Krisensituation drohen Schutzlücken in krimineller Weise ausgenutzt zu werden, wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) betont.
Insbesondere Ransomware-Attacken, die zu einer Verschlüsselung der Daten und damit (teils) zum Ausfall der technischen Systeme führen, bergen auch und gerade im Krisenfall ein hohes Risiko für die betroffenen Personen.
Schutzmaßnahmen vor Cybersicherheitsbedrohungen dürfen auch in Krisenzeiten nicht vergessen werden, gerade wenn Betriebe längerfristig nur dank Home-Office-Lösungen und teils privaten Kommunikationsgeräten fortgeführt werden können.
Die datenschutzrechtliche Pflicht zur unverzüglichen Meldung von Schutzverletzungen spätestens innerhalb von 72 Stunden bleibt auch in der Krisensituationen wichtig, da nur so wirksame Folgemaßnahmen zum Schutz der Betroffenen aber auch der Allgemeinheit gewährleistet werden können, so das BayLDA.
Werden personenbezogene Daten im Rahmen des Krisenmanagements erhoben, müssen sie wie zuvor gesagt auch wieder gelöscht werden. „Nach der erforderlichen Aufbewahrungsdauer – das kann zum Beispiel ein Monat sein – müssen die Daten vernichtet oder gelöscht werden”, so die Landesbeauftragte für Datenschutz Schleswig-Holstein. „Über die Datenverarbeitung und insbesondere über die Zwecke und die Dauer der Speicherung müssen die betroffenen Personen in verständlicher Form informiert werden.“
Auf Krisen richtig vorbereitet sein, auch im Datenschutz
Wie in anderen Bereichen des Notfallmanagements und Krisenmanagements sollten auch die Datenschutzmaßnahmen vorbereitet sein, wenn es zum Krisenfall kommt. Im Stress der Krisensituation fällt es bestimmt nicht leicht, die notwendige Datenschutzerklärung zur Erhebung der personenbezogenen Daten für die Risikoabwehr zu erstellen. Vorab aber kann ein solches Muster, das kurzfristig angepasst werden kann, vorbereitet werden. Es zeigt sich erneut, dass der Datenschutz zum Notfallmanagement und Krisenmanagement immer dazu gehört.