17.06.2020 08:17 Kategorie: Aktuelles DE, Aktuelles AT, Datenschutz, Deutschland, News, Österreich

Besondere Situationen bedürfen besonderer Lösungen

Home-Office, Soft-Token, erkrankte Mitarbeiter, Arbeitsbelastung… Corona stellt Unternehmen vor Datenschutz-Fragen

Die Corona-Pandemie hat viele Umbrüche mit sich gebracht und viele Fragen aufgeworfen. Unternehmen sind auf vielfältige Weise von den Veränderungen betroffen. Neben erhöhten Anforderungen an den Arbeitsschutz, betriebswirtschaftlichen Erschwernissen und einer ungewissen Wirtschaftslage ist aber auch der Datenschutz im Unternehmen mit neuen Fragestellungen konfrontiert worden. Dr. Jörn Voßbein, Datenschutzexperte und Geschäftsführer der UIMC aus Wuppertal, ist in der letzten Zeit mit einer Vielzahl von Themen beschäftigt gewesen: „Die Fragen aus den Unternehmen sind breit gefächert. Zum einen fragen sich Unternehmen, ob sie den Datenschutz momentan nachrangig bearbeiten können, weil sie sich beispielsweise in Kurzarbeit befinden oder andere Fragen dringender sind. Zum anderen ergeben sich manche Datenschutzthemen aber auch aus den Corona-Schutzmaßnahmen selbst.“ Im Folgenden soll ein Überblick über die wichtigsten Fragen aus Sicht von UIMC gegeben werden.

Home-Office ist eine der ersten Maßnahmen gewesen, die viele Unternehmen ergriffen haben, um ihre Mitarbeiter und den Betrieb zu schützen. Wie sieht es nun mit der telefonischen Erreichbarkeit aus: Darf die dienstliche Durchwahl einfach auf das Handy des Mitarbeiters umgeleitet werden, auch auf sein privates Telefon? Datenschutzrechtlich unproblematisch ist die Umleitung auf das Diensthandy des Mitarbeiters. Ganz anders sieht es mit der Umleitung auf den privaten Anschluss aus, egal ob es sich um Festnetz oder Handy handelt. Da es hierfür keine Rechtsgrundlage gibt, muss der Mitarbeiter einwilligen.

Die Einwahl in das Firmennetzwerk geschieht oft mittels eines „Virtual Private Network“ (VPN) für eine sichere Datenverbindung. Hierfür wird im Regelfall eine 2-Faktor-Authentifizierung genutzt, das heißt neben dem Usernamen und einem Passwort wird noch ein zusätzlicher zufälliger Sicherheitscode generiert, der mit eingegeben werden muss. Meistens erhalten die Mitarbeiter hierfür einen sogenannten Token, der wechselnde Zahlenfolgen anzeigt, die dann jeweils bei der Anmeldung genutzt werden. Was aber nun, wenn nicht alle Mitarbeiter so einen Token haben? Es gibt auch die Möglichkeit einen solchen Code per App auf dem Smartphone zu generieren. Auch hier ist wieder die Frage, ob dafür das private Handy des Mitarbeiters genutzt werden darf. „Da es keine Rechtsgrundlage für ein solches Vorgehen gibt, ist auch hier nur der Weg über eine Einwilligung möglich. Diese muss rechtskonform gestaltet sein und man muss auch bedenken, dass der Mitarbeiter nicht dazu verpflichtet ist und sie jederzeit widerrufen kann.“ erläutert UIMC-Geschäftsführer Dr. Voßbein.

Aller Schutzmaßnahmen zum Trotz ist es einigen Unternehmen schon passiert: Ein Mitarbeiter erkrankt an Covid-19 und informiert den Arbeitgeber. Darf der Name des Kollegen nun im Betrieb genannt werden, um seine Kollegen zu warnen? „Auf keinen Fall!“ sagt Dr. Voßbein. „Sie können der Belegschaft mitteilen, dass es einen Erkrankungsfall gibt und gegebenenfalls durch die Gesundheitsbehörden Quarantäne angeordnet wird. Wenn der Name des Kollegen im Betrieb publik wird, handelt es sich hierbei um eine Datenpanne nach Artikel 33 DSGVO, die den Datenschutzbehörden gemeldet werden muss.“ Eine Ausnahme besteht nur dann, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist oder der betroffene Mitarbeiter seine Erlaubnis erteilt hat. Bei diesen Ausnahmen sollten sich Unternehmen aber fachlich beraten lassen.

Viele Unternehmen arbeiten momentan am Limit und erreichen ihre Kapazitätsgrenzen. „Gerade die Angestellten im Gesundheitsbereich haben in der letzten Zeit großartiges geleistet“, erläutert Dr. Voßbein. „Speziell aus diesem Bereich erreichen uns viele Fragen: ‚Wir wollen uns an die Datenschutz-Vorgaben halten, aber gibt es momentan einen pragmatischeren Ansatz?‘“. Grundsätzlich handelt es sich bei Gesundheitsdaten um schutzwürdige, persönliche Daten, bei deren Verarbeitung besondere Vorgaben eingehalten werden müssen. Die DSGVO erhält zwar eine Öffnungsklausel, die die Datenverarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit zulässt. So kann insbesondere der Schutz vor Pandemien von dieser Klausel umfasst sein und die Datenverarbeitung damit zulassen. „Diese Regelung ist aber aus verständlichen Gründen sehr eng gefasst. Die betroffenen Unternehmen sollten die Öffnungsklausel nicht als Freibrief verstehen und sich dringend datenschutzrechtlich beraten lassen, um schwerwiegende Fehler und hohe Bußgelder zu vermeiden.“, mahnt Dr. Voßbein. UIMC steht den Betroffenen mit der Expertise der hauseigenen Fachleute zur Seite.

<- Zurück zu: News: Aktuelles aus dem Bereich Datenschutz und Informationssicherheit

Ihr Ansprechpartner

Tim Hoffmann

Fragen? Informationen? Angebot?

Kontaktdaten und Standorte

Weitere Veröffentlichungen

Mit unserem Info-Brief "UIMCommunic@tion" bieten wir Ihnen regelmäßige Informationen rund um Datenschutz und Informationssicherheit. Die bisherigen Veröffentlichungen können Sie jederzeit nachlesen:

UIMCommunication

Name	Zweck	Ablauf	Typ	Anbieter
CookieConsent	Speichert Ihre Einwilligung zur Verwendung von Cookies.	1 Jahr	HTML	Website
fe_typo_user	Ordnet Ihren Browser einer Session auf dem Server zu. Dies beeinflusst nur die Inhalte, die Sie sehen und wird von uns nicht ausgewertet oder weiterverarbeitet.	Session	HTTP	Website

Name	Zweck	Ablauf	Typ	Anbieter
_pk_id	Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern.	13 Monate	HTML	Matomo
_pk_ses	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo