COVID und Datenschutz
von Thomas Stegemann (Kommentare: 0)
Datenschutz für Unternehmen, Schulen, Kitas und Vereine in Corona-Zeiten
Häufig hören wir im Zusammenhang mit Corona-Maßnahmen, dass der Datenschutz im Weg stehen würde oder der Datenschutz gelockert werden müsste. Gut geplante Maßnahmen funktionieren aber auch mit (oder trotz) Beachtung der Datenschutzgesetze. Wir haben häufig gestellte Fragen im Zusammenhang mit Datenschutz für Schulen, Vereine, Unternehmen mit Homeoffice sowie Kitas zusammengestellt.
Was ist die Definition von Datenschutz?
Datenschutz soll die missbräuchliche Verarbeitung personenbezogener Daten verhindern: Habe ich keine Rechtsgrundlage wie z. B. eine Einwilligung, die Daten zu verwenden, darf ich sie nicht verarbeiten. Wenn ich Daten verarbeite, habe ich sie vor Missbrauch, Verlust oder unberechtigter Kenntnisnahme zu schützen. Datenschutz regelt die rechtlichen Rahmenbedingungen sowie die technischen und organisatorischen Maßnahmen, die zu ebendiesem Zweck notwendig sind.
Wer muss Datenschutz beachten?
Zuerst ist zu klären, für wen die Datenschutzgesetze gelten und für wen nicht. Die Datenschutzgrundverordnung (DSGVO) gilt für die geschäftsmäßige und behördliche Verarbeitung personenbezogener Daten in der EU. Die Verarbeitung für persönliche Tätigkeiten fallen nicht unter die DSGVO. Es sind also in der Regel Unternehmen, Vereine, Behörden, Institutionen und Kirchen, die sich an die Anforderungen der Datenschutzgesetze halten müssen.
Daher gehen wir im Folgenden auf Bereiche der Arbeit und Schule ein.
Datenschutz für Unternehmen mit Homeoffice
Mit dem ersten Lockdown im Frühjahr 2020 ging plötzlich alles ganz schnell: Notebooks, Headsets und Webcams wurden gekauft und es ging ins Homeoffice. Jahrelang geäußerte Bedenken wurden verdrängt und von der Wirklichkeit eingeholt. Das hat häufig dazu geführt, dass die Organisation des mobilen Arbeitens auf der Strecke blieb. Während die technischen Anforderungen erfüllt wurden, wurde nicht an den Datenschutz gedacht.
Dabei sind für mobiles Arbeiten (worunter das Homeoffice ebenfalls fällt) einige Dinge zu beachten, die im Büro selbstverständlich sind. Dies beginnt bei der Grundvoraussetzung: Arbeitgeber und Arbeitnehmer müssen miteinander vereinbaren, dass die Arbeit von zu Hause erledigt werden darf.
In vielen Arbeitsverträgen findet sich hierzu keine Regelung. Wie hat der Arbeitsplatz auszusehen, und simpel erscheinende Dinge müssen geklärt werden: Gibt es eine abschließbare Tür? Darf die EDV zu Hause (Drucker, Monitor, Telefon etc.) für dienstliche Zwecke genutzt werden? Dürfen Ausdrucke gemacht werden und auf dem Küchentisch liegen bleiben? Eventuell muss das Notebook nach Arbeitsende weggeschlossen werden? Wie gehe ich mit Unterlagen um, die in den Müll sollen? Und was ist eigentlich, wenn diese unbeabsichtigt „falsch“ entsorgt werden und eine Datenpanne vorliegt – wie verhält man sich da?
Sind die Rahmenbedingungen geschaffen, liegt ein Vertrag vor und die IT Sicherheit ist gewährleistet, dann möchte man sich in den Meetings auch sehen. Oder sich zumindest sprechen können!
Videokonferenz-Tools – welche erfüllen die Datenschutzvorgaben?
Damit sind wir bei den Videokonferenztools: Welche davon sind datenschutzkonform? Hier kann man bei der Recherche schon verzweifeln: Selbst die Aufsichtsbehörden sind sich uneins, welcher Anbieter datenschutzkonform ist und welcher nicht. Erschwerend änderte sich das alle paar Tage, wenn neue Software-Updates oder Verträge veröffentlicht wurden.
Wir empfehlen unseren Kunden einen Blick in die Informationen der jeweiligen Landesbehörde, dort erfährt man häufig, welcher Dienst im Augenblick genutzt werden kann. Wobei man hier immer das Veröffentlichungsdatum und die aktuelle Diskussion mit im Blick haben sollte, aber bietet sich hier zumindest die Möglichkeit, sich auf die Behörde zu berufen.
Welche Messenger-Dienste können verwendet werden?
Auch beim Austausch untereinander über Messengerdienste ist Vorsicht geboten: Welche Dienste dürfen verwendet werden? Häufig stellen die Anbieter solcher Dienste keine geeigneten Verträge zur Verfügung, dass sie geschäftlich genutzt werden können. Wohingegen im privaten Umfeld ebendiese Messenger-Dienste genutzt werden dürfen, auch wenn man sich die Datenschutzbedenken hier zu Herzen nehmen und evtl. auch dort auf Alternativen setzen sollte.
Im geschäftlichen Umfeld kann die Installation eines solchen Messengers bereits einen Datenschutzverstoß darstellen und muss unbedingt geregelt werden: Auch bei der Nutzung von Smartphones ist eine Vereinbarung sinnvoll und die Einführung eines Mobilgerätemanagements, anhand dessen ich die Installation von unerwünschten Apps verhindern kann, sollte geprüft werden.
Ebenso sollte bereits vorab geklärt sein, ob Smartphone und E-Mails auch zur privaten Kommunikation verwendet werden dürfen oder diese nur für die geschäftliche Nutzung bestimmt sind.
Empfohlene Datenschutz-Maßnahmen im Büro
Wie im Restaurant macht auch im Büro die Kontaktverfolgung Sinn, damit im Falle einer Erkrankung informiert werden kann. Die Erfassung der Mitarbeiter und Besucher ist aber auch wieder die Verarbeitung von personenbezogenen Daten, die geregelt sein muss:
- Darf ich die Daten erfassen?
- Welche Daten erfasse ich und wann muss ich sie wieder löschen?
- Antworten: Ja / Name, Vorname – Kontaktmöglichkeit – Datum – Uhrzeit – Gesprächspartner / Vier Wochen.
Für jede Verarbeitung personenbezogener Daten muss ich diese Fragen beantworten können und im sogenannten „Verzeichnis der Verarbeitungstätigkeiten“ dokumentieren. Für uns Datenschutzbeauftragte ist dieses Verzeichnis die zentrale Informationsquelle, mit deren Hilfe wir die nächsten Schritte organisieren können.
In Pflegeeinrichtungen und Schulen ist es gängige Praxis: Darf ich die Körpertemperatur messen und dokumentieren? Natürlich muss festgestellt werden können, ob eine Erkrankung vorliegen könnte. Ein COVID-Schnelltest war lange nicht verfügbar und ist auch nicht immer notwendig. Wenn wir täglich die Temperatur hinter dem Namen aufschreiben, lässt sich aber mehr über die Person herausfinden, als man im ersten Moment beabsichtigt hat. So ist die Temperaturmethode ein gängiges Mittel, die fruchtbaren Tage einer Frau festzustellen. Wir empfehlen, lediglich zu notieren, ob man unter oder über der festgelegten Temperaturschwelle liegt. Damit wird man dem Grundsatz der Datensparsamkeit gerecht und kann datenschutzkonform dokumentieren.
Was tun, wenn ein Mitarbeiter erkrankt ist?
Darf ich das sagen, wenn ein Mitarbeiter erkrankt ist? Ist dieser an ansteckenden und gefährlichen Krankheiten erkrankt, dann kann der Arbeitgeber die Pflicht haben, Kontaktpersonen zu warnen. Die erste Priorität im Fall der Infektion eines Mitarbeiters ist der Schutz der Kollegen. Ist ein Mitarbeiter erkrankt, so sind weitere in der Regel als Kontaktpersonen einer erhöhten Infektionsgefahr ausgesetzt.
Es ist nun ein Gebot des Arbeitsschutzes, diese Kontaktpersonen von ihrer Gefährdung zu unterrichten. Wenn möglich, sollte dies aber geschehen, ohne die Identität des kranken Mitarbeiters preiszugeben. In vielen Fällen wird innerhalb einer Abteilung schnell klar sein, um wen es sich handelt. In anderen Fällen ist dies aber nicht der Fall. Bedenken Sie, dass einige Krankheiten mit einem sozialen Stigma verbunden sind, und schützen Sie die Identität Ihres kranken Mitarbeiters so gut wie möglich.
Datenschutzkonformer Videounterricht in Schulen
Die Verantwortung für einen datenschutzkonformen Videounterricht obliegt den Schulen: Diese haben zusätzlich zu den Pflichten der Unternehmen noch die Herausforderung, dass es sich in vielen Fällen um die Verarbeitung von personenbezogenen Daten Minderjähriger handelt, die unter besonderem Schutz stehen. Glücklicherweise haben hier die jeweiligen Aufsichtsbehörden auch Hilfestellungen veröffentlicht, an denen man sich orientieren kann. Häufig existieren lokal installierte Lösungen, die die Cloudprodukte ersetzen können. Leider ist eine lokale Lösung nicht immer die bessere – gerade, wenn die Software nicht regelmäßig aktualisiert wird.
Neben dieser Herausforderung stellt sich auch oftmals heraus, dass viele Produkte auf dem Markt, bei denen eine Datenspeicherung in Deutschland oder der EU angeboten wird, die Anforderungen, die für Schulen, Universitäten und Weiter- und Fortbildungseinrichtungen nötig sind, nicht erfüllen können. In diesem Fall müssen Alternativen überlegt werden. Oftmals verarbeiten die Tools, die alles können, die Daten in den USA. Und gerade in Bereichen mit sensiblen personenbezogenen Daten sollte keine Datenübertragung in die USA stattfinden. Denn die USA gelten seit Sommer 2020 nicht mehr als sicheres Drittland, was einen digitalen und datenschutzkonformen Datenaustausch mit dem Land behindert und die Wahl einer guten Software zusätzlich erschwert.
Der Datenschutz der Corona-App
Abschließend noch ein Hinweis zur Corona-App: Die Anforderungen an den Datenschutz werden erfüllt. Dennoch fällt häufig die Begründung „Datenschutz“, wenn man nach Argumenten fragt, warum sie nicht installiert wurde. Da die App aber ihre Wirkung am besten entfalten kann, wenn sie von möglichst vielen Menschen genutzt wird, sind die Überlegungen, den Datenschutz der App zu reduzieren, äußerst kontraproduktiv. Zumal sich durch diese Verunsicherungen wohl noch weniger die App installieren werden.
Natürlich muss man Arbeit in Datenschutzkonformität stecken und einige Dinge beachten. Das macht aber den Datenschutz nicht weniger sinnvoll. Wird dieser vorgeschoben, um notwendige Dinge nicht zu erledigen, fällt einem das irgendwann auf die Füße. Spätestens, wenn vertrauliche Dokumente ungeschreddert im Papiermüll des Mehrfamilienhauses landen oder personenbezogene Daten durch einen Hackerangriff verschwinden, wird einem klar, dass Datenschutz jeden im Unternehmen betrifft.
Sie sind sich nicht sicher, ob bei Ihnen alles datenschutzkonform geregelt ist? Sie haben keine Homeofficeregelung und wissen nicht, ob Ihre Videokonferenzlösung den Anforderungen an den Datenschutz genügt? Das Team der dacuro GmbH hilft hier gerne weiter! Kontaktieren Sie uns einfach per Telefon oder Mail!
TAGS
Updates Anmeldung zum Newsletter
Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.
Dieser Inhalt wird aufgrund Ihrer fehlenden Zustimmung nicht angezeigt.
Einen Kommentar schreiben