Raus aus dem Homeoffce, rein ins Unternehmen: Datenschutz & "back to work"

Dr. Carlo Piltz

Derzeit entspannt sich die Lage um Corona wieder etwas und Maßnahmen werden gelockert. Mit den Lockerungen kommen jedoch neue Auflagen und darüber hinaus stellen sich viele Unternehmen die Frage, wie Kunden und Mitarbeiter über die rechtlichen Verpflichtungen hinaus vor dem Corona-Virus geschützt werden können. Dabei spielt auch das Datenschutzrecht eine wichtige Rolle.

In den vergangenen Wochen hat die Corona-Pandemie viele Unternehmen zur Arbeit im Homeoffice oder sogar zur Einstellung der Arbeit gezwungen. Das Datenschutzrecht war dabei vom Beginn der ersten Einschränkungen über das Homeoffice und Stellungnahmen von Aufsichtsbehörden zu Videokonferenzsoftware bis hin zu Detailfragen von Auftragsverarbeitung und Datenschutzkontrollen ein stetiger Begleiter. Inzwischen wurden die strengen Anti-Corona-Maßnahmen teilweise bereits zurückgenommen. Weitere Lockerungen sind absehbar. Gleichwohl herrscht weder ein Normalzustand noch ist das Virus endgültig unter Kontrolle. Mit den Lockerungen gehen daher viele Auflagen, etwa zur Erhebung und Verarbeitung von Kontaktdaten in der Gastronomie- und Hotelbranche oder zum Arbeitsschutz, einher. Darüber hinaus wollen viele Unternehmen ihre Kunden und Mitarbeiter über den gesetzlich erforderlichen Rahmen hinaus schützen. Oftmals werden bei den Vorsorgemaßnahmen unabhängig davon, ob sie aus gesetzlicher Sicht erforderlich sind oder auf freiwilliger Basis getroffen werden personenbezogene Daten verarbeitet. Das Datenschutzrecht hat deswegen auch am Ende des Lockdowns nichts von seiner Relevanz eingebüßt.

Für Unternehmen sind aktuell neben den Vorgaben für einzelne Branchen, die in den Bundesländern teilweise sehr unterschiedlich ausgestaltet sind, vor allem auch die Hinweise der Datenschutzaufsichtsbehörden von Interesse. Einen guten Anhaltspunkt für grundsätzliche Erwägungen bietet dabei die bereits am 03.04.2020 getroffene Entschließung der Datenschutzkonferenz (DSK) zu den Datenschutz-Grundsätzen bei der Bewältigung der Corona-Pandemie (PDF). Bereits aus dieser wird ersichtlich, dass es allein mit dem Vorliegen einer Rechtsgrundlage für die Verarbeitung von Daten nicht getan ist. Vielmehr verlangt die DSGVO neben weiteren Pflichten die Information der Betroffenen sowie die Gewährleistung von Betroffenenrechten.

Dass dabei in der derzeitigen Situation gerade in Branchen, die mit der Einhaltung des Datenschutzrechts eher am Rande befasst waren, Fehler passieren können, erkennt auch der Landesdatenschutzbeauftrage von Mecklenburg-Vorpommern in seinen aktuellen Hinweisen. Erfreulicherweise beweist er dabei eine große Praxisnähe und stellt in Aussicht, dass die derzeitige Situation auch bei der Beurteilung von versehentlichen Datenschutzverstößen berücksichtigt werden wird. Darüber hinaus verfolgen die Hinweise das Ziel Verantwortliche bei der Umsetzung und Einhaltung der Verordnung der Landesregierung Mecklenburg-Vorpommern zum Übergang nach den Corona-Schutz-Maßnahmen vom 08.05.2020 (PDF) zu unterstützen. Diese sieht etwa in § 8 Abs. 3 eine Pflicht für Veranstalter zur Führung von Anwesenheitslisten mit den Namen, Anschriften und Telefonnummern von anwesenden Personen vor. Die Aufsichtsbehörde stellt den Verantwortlichen zur Umsetzung der erforderlichen Maßnahmen auf die jeweilige Branche abgestimmte Formulare und Muster zur Wahrung der Informationspflichten zu Verfügung. Vorgehalten werden diese für Friseure, Sonnen- und Nagelstudios, Kosmetikinstitute und alle weiteren körpernahen Dienstleistungen, für Cafés, Restaurants und weitere Gastronomiebetriebe sowie für Ausrichter von Veranstaltungen. Muster für Datenschutzhinweise bei der Kundendatenerhebung in der Gastronomie hat mit dem Unabhängigen Datenschutzzentrum Saarland auch die saarländische Aufsichtsbehörde veröffentlicht.

Mit aktuellen Hinweisen geäußert hat sich auch der Landesbeauftragte für den Datenschutz und Informationsfreiheit (LfDI) Nordrhein-Westfalen. Diese sollen bei der Umsetzung der dortigen Corona-Schutz-Verordnung unterstützen. Aus den Hinweisen wird ersichtlich, dass die Verarbeitung von personenbezogenen Daten, soweit dies nach der Verordnung erforderlich ist, auf die Rechtsgrundlage des Art. 6 Abs. 1 Satz 1 lit. c) DSGVO, also auf eine gesetzliche Verpflichtung, gestützt werden kann. Dies bedeutet: eine Einwilligung der Betroffenen muss nicht eingeholt werden. Dies gilt sowohl für die Gastronomie als auch für das Handwerks- und Dienstleistungsgewerbe. Darüber hinaus gibt der LfDI Hinweise zu technisch-organisatorischen Maßnahmen zum Schutz der Daten. So sollen Listen beispielsweise mit jedem Gästewechsel ausgetauscht werden und nur auf einem sicheren Übertragungsweg übermittelt werden. Ähnliche Informationen hat auch die hessische Aufsichtsbehörde veröffentlicht.

Eine in Anbetracht der aktuellen Belastungen für die Wirtschaft besonders erfreuliche Erklärung stammtvom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI). Er hat im Rahmen seiner Corona-FAQ unter dem Reiter "Bußgeldverfahren" verkündet, dass in laufenden Verfahren bis auf weiteres keine Bußgeldbescheide erlassen werden, um Zusatzbelastungen der Wirtschaft zu vermeiden. In den FAQ (Reiter: "Müssen Kundinnen und Kunden namentlich registriert werden?") äußert sich der HmbBfDI außerdem ebenfalls zur namentlichen Registrierung von Kundinnen und Kunden. Soweit diese nach der Hamburgischen Corona-Verordnung vorgeschrieben ist, kann sie demnach auf Grundlage von Art. 6 Abs. 1 lit. c) DSGVO (rechtliche) Verpflichtung werden. Doch auch außerhalb der Verordnung hält der HmbBfDI eine Registrierung auf Basis eines berechtigten Interesses (Art. 6 Abs. 1 lit. f) DSGVO) für möglich.

Mit weiteren Hinweisen der Datenschutzaufsichtsbehörden dürfte in den kommenden Tagen und Wochen zu rechnen sein. Über die neuen Stellungnahmen der Aufsichtsbehörden hinaus gelten, insbesondere bei freiwilligen Maßnahmen, dieselben Anforderungen wie bei Beginn der Pandemie.

[Mai 2020]