Menu Search

Stopp Corona-App: Fluch oder Segen? —
Datenschutzrechtliche Fragen rund um das Thema Gesundheit in der COVID-19-Krise

im Gespräch mit Dr.  Axel Anderl, LL.M. (IT-Law) und Mag.  Nino Tlapak, LL.M. (IT-Law)

Datenschutz ist ein wichtiges und heikles Thema — auch in Zeiten der Krise. Denn neben gesundheitlichen und gesamtwirtschaftlichen Aspekten birgt COVID-19 auch zahlreiche datenschutzrechtliche Fragen: Für Unternehmen, Arbeitgeber und -nehmer sowie Privatpersonen. 

Erhöhter (Daten-)Schutz für „sensible“ Daten

Informationen zur Gesundheit einer Person gelten im Sinne der DSGVO als besonders schützenswert. Im Fall von COVID-19 sind bereits Verdachtsfälle sowie Bestätigungen von Infizierungen als Gesundheitsdaten zu werten. Aus diesem Grund unterliegt der Umgang mit diesen Angaben insbesondere Art. 9 DSGVO. 

 „Bei Datenschutz geht es stets um die Abwägung von Interessen: Wie stark ist der Eingriff in die Rechte der Betroffenen im Vergleich zum Nutzen der Allgemeinheit oder Dritter?“ 
RA Mag. Nino Tlapak, LL.M.

Auf Basis der bestehenden Fürsorgepflicht des Arbeitgebers gegenüber den eigenen Arbeitnehmern dürfen auch sensible Daten verarbeitet werden. So bedarf es bei der Erfassung der Verdachts- und Infizierungsfälle mit COVID-19 i. d. R. keiner ausdrücklichen Einwilligung der Betroffenen. Dennoch sind die sonstigen datenschutzrechtlichen Pflichten und Sicherheitsmaßnahmen entsprechend zu beachten. Allen voran das „need-to-know“-Prinzip: Der Personenkreis, der Zugang zu den Gesundheitsinformationen erhält, sollte so klein wie unbedingt erforderlich sein. Dies kann durch technische Maßnahmen, wie Berechtigungskonzepte, Zugriffsbeschränkungen oder auch Verschlüsselungen, umgesetzt werden. Sensible Daten erfordern daneben auch erhöhte Sicherheitsmaßnahmen – auch im Homeoffice. So muss der praktische Umgang mit COVID-19 im Arbeitsalltag datenschutzkonform umgesetzt werden. 

Das ist insbesondere auch unternehmensintern zu beachten: So sollte die Identität bei Verdachtsfällen nur dem erforderlichen Kreis an Kollegen preisgegeben werden. Gerade bei größeren Unternehmen ist es daher in einem ersten Schritt oft sinnvoll, Infektionswege in erster Linie personenunabhängig nachzuvollziehen. Dies kann etwa durch die Frage nach persönlichem Kontakt mit verschiedenen Teams oder durch die Einschränkung auf bestimmte Stockwerke geschehen. 

Intensiv diskutiert: Die Stopp Corona-App für Privatpersonen

In der medialen Berichterstattung sowie privat werden datenschutzrechtliche Aspekte der Stopp Corona-App gerade emotional diskutiert. Bei dieser App des österreichischen Roten Kreuz handelt es sich um ein digitales Kontakttagebuch, das dabei helfen soll, Infektionsketten aufzudecken und zu unterbrechen. Dr. Anderl sieht die App aus Perspektive des Datenschutzes in der aktuellen Form als unbedenklich, da entgegen einiger Befürchtungen in der Bevölkerung die Nutzung weiterhin auf Freiwilligkeit und einer vorherigen Einwilligung basiert. Dabei werden die personenbezogenen Daten nur lokal verarbeitet und nicht zwischen den Kontakten ausgetauscht. 

„Da die Stopp Corona-App aus heutiger Sicht auf einer freiwilligen Einwilligung beruht und mehrheitlich auf pseudonymisierte Daten abstellt, sehe ich diese datenschutzrechtlich entspannt. Dazu kommt, dass eine umfassende Güterabwägung stattzufinden hat. Ohne App drohen – wie erlebt – schwerwiegende Grundrechtseingriffe. Das geht in der Diskussion zuletzt unter.“ 
RA Dr. Axel Anderl, LL.M.

Durch digitale Handshakes, die entweder manuell oder automatisch via Bluetooth bestätigt werden, erfasst die App pseudonymisierte Kontakte der letzten Tage. Sobald ein Arzt eine Corona-Infektion feststellt, steht es dem User frei, unter Angabe seiner Telefonnummer, eine Meldung über seinen Verdacht an das Rote Kreuz abzugeben und damit seine Kontaktpersonen der letzten beiden Tage anonym zu benachrichtigen. Klarnamen oder andere personenbezogene Daten werden bei dieser Meldung nicht angezeigt. Die informierten User können sich sodann selbst isolieren, um eine weitere Verbreitung zu verhindern. Das erfolgt schließlich im Interesse aller. 

Die erforderliche Datenminimierung wird u. a. durch die Pseudonymisierung in Form einer ID sichergestellt. Ebenso wurde die App bereits durch bekannte, unabhängige Datenschutz-Organisationen, wie epicenter.works, noyb oder SBA Research, geprüft: Sie alle kamen zu positiven Ergebnissen. 

Neben diesen speziellen Themen gibt es aber noch weitere datenschutzrechtliche Fragen, die sich Arbeitgeber und -nehmer nun stellen sollten: 

• Wie sind die einzelnen Arbeitsschritte im Homeoffice in Bezug auf Datensicherheit zu bewerten?
• Verfügen die Arbeitnehmer zu Hause über ausreichende Lizenzen zur legalen, kommerziellen Nutzung der unterschiedlichen Tools und Kommunikationsplattformen?
• Ist die verwendete Software aus Sicht des Datenschutzes sicher? Sind bei kostenlosen Angeboten die Daten ausreichend geschützt? 
• Werden die Maßnahmen ausreichend dokumentiert und wurde allenfalls eine Datenschutzfolgenabschätzung durchgeführt? 

Sie wollen mehr zu diesem Thema erfahren?

Besuchen Sie unser Seminar "Data Breach, Preisgabe von Geschäftsgeheimnissen bis hin zum Sicherheitsvorfall" und erfahren Sie mehr zum Thema Datenschutz.

Unsere ARS-Referenten Dr. Axel Anderl, LL.M. (IT-Law) und Mag. Nino Tlapak, LL.M. (IT-Law) stellen sich kurz vor:

Dr.  Axel Anderl, LL.M. ist Managing-Partner bei der DORDA Rechtsanwälte GmbH und Leiter des IT/IP und Datenschutzteams sowie der Digital Industries Group; Tätigkeitsschwerpunkte: IT-Verträge, insbesondere Outsourcing und Cloud, E-Commerce, Lizenzverträge, Datenschutz und Wettbewerbsrecht; ausgewiesener IT-Experte mit langjähriger Praxiserfahrung; Autor zahlreicher Fachpublikationen und einschlägige Lehrtätigkeit an den Universitäten Wien, Innsbruck und Krems; u. a. (Co-)Herausgeber des NISG-Kommentar im Verlag Manz sowie Herausgeber des #Blockchain Buchs bei LexisNexis sowie Autor diverser Buch- und Fachzeitschriftenbeiträge. 

>>> zu den aktuellen Seminaren von Herrn Dr.  Axel Anderl, LL.M. (IT-Law)

 

Mag.  Nino Tlapak, LL.M. (IT-Law) ist Rechtsanwalt im IT/IP und Datenschutzteam von Axel Anderl bei DORDA Rechtsanwälte GmbH; Tätigkeitsschwerpunkte: Datenschutz, Cybersecurity, IT-Verträge, Outsourcing, E-Commerce; externer Datenschutzbeauftragter für ausgewählte Unternehmen; Autor zahlreicher Fachpublikationen und einschlägige Lehrtätigkeit.

>>> zu den aktuellen Seminaren von Herrn Mag.  Nino Tlapak, LL.M. (IT-Law)

 

 

 

Nach oben