Corona-Virus

DSK mit missglückter Pressemitteilung zum „Missbrauch“ der Corona-Warn-App durch zweckwidrige Nutzung

Wie viele andere auch gehöre ich zu den Menschen, die es für eine sehr gute Idee gehalten haben (und halten), dass der Einsatz und die Verwendung der Corona-Warn-App des Robert-Koch-Instituts gesetzlich geregelt worden wäre.

Einen entsprechenden Entwurf hat der geschätzte Datenschutzrechtler und Richter Dr. Malte Engeler zusammen mit Ninja Marnau, Ralf Bendrath und Jürgen Geuter im Mai 2020 veröffentlicht (abrufbar hier (PDF)).

Auch die Bundestagsfraktionen von „Bündnis 90 / Die Grünen“ sowie „Die Linke“ fordern ein Gesetz zur Nutzung der Corona-Warn-App. Warum das wirklich wichtig ist, zeigen die zahlreichen Anfragen und Diskussionen der letzten noch nicht einmal 40 Stunden seit Verfügbarkeit der Corona-Warn-App.

So fragen Arbeitgeber, ob sie Beschäftigten die Nutzung vorschreiben können. Während dies noch halbwegs vernünftig ohne gesetzliche Regelung eingeschränkt werden kann, ist dies in anderen Bereichen deutlich schwieriger. Es ist nur eine Frage der Zeit, bis ich beim Einlass in ein Restaurant, ins Kino, in ein Transportmittel etc. aufgefordert werde, den Status in meiner Corona-Warn-App vorzuzeigen.

Die Frage ist bei diesen Maßnahmen ohne ein entsprechendes Gesetz immer, ob dies zulässig ist oder nicht. Nachdem der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zunächst in einer Pressemitteilung salopp darauf hinwies, dass so etwas natürlich nicht zulässig sei und er vor diesen Verwendungen warnte, zeigt sich doch bei näherer juristischer Betrachtung, dass in vielen Szenarien z.B. ein Einlass in ein Restaurant im Rahmen des Hausrechts sehr wohl davon abhängig gemacht werden könnte, ob der Gast die Corona-Warn-App nicht nur installiert, sondern auch aktiviert hat und den entsprechenden Status vorzeigt.

Und auch in den Unternehmen gehen heute die ersten E-Mails herum, in denen die Installation der Corona-Warn-App auf Firmenhandys verpflichtend gemacht wird. Wenn in diesen E-Mails zumindest nur die Installation (und nicht die Aktivierung) gefordert wird, ist das schon positiv. Die Richtung ist aber klar vorgegeben. Die ach-so-beworbene Freiwilligkeit der Nutzung schmilzt gerade wie Butter in der Mittagssonne Schleswig-Holsteins am heutigen Tage (ja, es ist heute hier sehr sommerlich).

Und so wird jetzt wohl auch dem letzten klar, dass ein Gesetz zum Einsatz und zur Verwendung der Corona-Warn-App und der hiermit generierten Daten eine gute Idee ist.

Aus scheinbarer Verzweiflung trudelt dann heute eine Pressemitteilung der Datenschutzkonferenz (DSK), also der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, ein.

Und der Inhalt ist schon ein bisschen „putzig“. Überschrieben ist die Pressemitteilung (PDF) mit dem Titel: „Datenschutzfreundliches Grundkonzept der Corona-Warn-App – Freiwilligkeit darf nicht durch zweckwidrige Nutzung untergraben werden!“

Da der Text kurz ist, zitiere ich diesen hier:

Mit der am 16. Juni 2020 durch den Bund vorgestellten Corona-Warn-App steht ein freiwilliges Instrument mit einer dezentralen Speicherung auf dem jeweiligen Smartphone zur Nachverfolgung eventueller Infektionen zur Verfügung.

Die Datenschutzkonferenz sieht das datenschutzfreundliche Grundkonzept als Realisierung des Grundsatzes von Datenschutz by Design. Sie weist allerdings darauf hin, dass insbesondere der Ansatz der Freiwilligkeit nicht durch eine zweckentfremdende Nutzung untergraben werden darf:

Der Zugang zu behördlichen Einrichtungen, Arbeitsstätten, Handelsgeschäften, Gastronomiebetrieben und Beherbergungsstätten, Sportstätten, etc. darf nicht vom Vorweisen der App abhängig gemacht werden.

Hierbei würde es sich um eine zweckwidrige Verwendung handeln, die bereits mit dem Konzept der Freiwilligkeit nicht vereinbar ist. Eine Diskriminierung von Personen, die die App nicht anwenden, ist auszuschließen.

Jetzt könnte man als Unternehmen natürlich mächtig Angst bekommen, wenn hier alle Aufsichtsbehörden der Republik meinen, dass man den Zugang zu Läden, Restaurants nicht vom Vorweisen der Corona-Warn-App abhängig machen dürfe.

Nur scheitern die Datenschutzaufsichtsbehörden hier schon selbst an einer substantiierten Argumentation. Der einzige Satz, aus dem sich die Begründung ergeben soll, dass diese Nutzung verboten sei, erwähnt, dass eine Pflicht zum Vorzeigen der Corona-Warn-App beim Einlass eine „zweckwidrige Verwendung“ darstelle, die mit dem Konzept der Freiwilligkeit nicht vereinbar wäre.

Das ist – mit Verlaub – nicht nur eine „wie-butter-in-der-schleswig-holsteinischen-sonne-dahinschmelzende Scheinargumentation, sondern, um es deutlich zu sagen: „Bullshit“

Bitte richtig verstehen: Ich halte es nicht für gut, wenn ich in Restaurants etc. meine Corona-Warn-App vorzeigen soll. Daher halte ich ein Gesetz, dass diese Szenarien reguliert, für dringend erforderlich.

Da es dieses Gesetz aber nicht gibt, ist hier m.E. Unternehmen kaum zu verwehren, ihr Hausrecht dahingehend wahrzunehmen, dass sie nur Leute einlassen, die die Installation und Aktivierung der App nachweisen und den Status vorzeigen können.

Eine zweckwidrige Verwendung liegt schon deswegen nicht vor, weil in dieser neuen Verarbeitungskonstellation ein Zweck gar nicht bzw. gerade neu durch die Einlassregulierung generiert wird.

Eine Zweckwidrigkeit, wie sie die Aufsichtsbehörden annehmen, liegt insoweit also schon nicht vor.

Und mit dem Konzept der Freiwilligkeit hat auch dies nichts zu tun. Das „Konzept der Freiwilligkeit“ der Corona-Warn-App ist im Verhältnis zwischen Betroffenen und den Unternehmen nicht unmittelbar relevant. Genau genommen noch nicht einmal mittelbar.

Letztlich brauchen die Unternehmen für die Datenverarbeitung in Form des Auslesens bzw. Erkennens von Daten aus der Corona-Warn-App der Besuchenden bzw. Gäste eine Rechtsgrundlage aus dem Datenschutzrecht. Und hier hat er nach Art. 6 Abs. 1 DSGVO ein Sammelsorium verschiedener Möglichkeiten, da diese Datenverarbeitung eben nicht gesetzlich reguliert ist. Genau genommen ließe sich sogar bei einem reinen Vorzeigen der Corona-Warn-App darüber trefflich streiten, ob die DSGVO überhaupt Anwendung findet. Denn ob hier ein „Dateisystem“ vorliegt, kann man bei dem Vorgang der Sichtung der App trefflich bestreiten.

Selbst wenn man in den Anwendungsbereich der DSGVO käme, fiele das Finden einer Rechtsgrundlage für die Verarbeitung dieser Daten im Kontext einer Einlasskontrolle durch Sichtung der Corona-Warn-App nicht unbedingt schwer.

So kann z.B. ein Restaurant über das Hausrecht in Verbindung mit dem Bewirtungsvertrag eine Sichtung der Corona-Warn-App über die Rechtsgrundlage des Vertrages regeln und sich dann auf Art. 6 Abs. 1 lit. b) DSGVO berufen. Solange die Daten aus der Corona-Warn-App nicht gespeichert werden, würde es auch Sicht der sog. AGB-Kontrolle nicht erkennbar sein, dass hierdurch die Gäste unangemessen benachteiligt würden. Auch überraschend wäre so eine Klausel nicht. Und eine Abweichung vom gesetzlichen Leitbild des Gesetzgebers hätten wir auch nicht. Denn der Einsatz der Corona-Warn-App ist eben (leider) derzeit nicht gesetzlich geregelt.

Auch in anderen Bereichen wie Sportvereinen, Ladengeschäften etc. dürfte das Finden einer geeigneten Rechtsgrundlage nicht unbedingt schwer fallen.

Die Pressemitteilung der DSK stellt somit einen Akt der Verzweiflung dar. Er schadet zumindest nicht. Und dass es ein Gesetz zur Verwendung der Corona-Warn-App nicht gibt, ist nicht Schuld der Aufsichtsbehörden. Gleichwohl wirkt die gesamte Pressemitteilung doch sehr unbeholfen. Sie hätten das vielleicht einfach sein lassen sollen. So lässt sich das in Fachkreisen schwerlich ernst nehmen.

Nachtrag: Die geschätzte Kirsten Bock hatte sich das schon in diesem Beitrag hier näher angesehen und ist skeptisch bzgl. der Zulässigkeit von Einlasskontrollen unter Nutzung der Corona-Warn-App. Insbesondere bei der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO komme ich allerdings zu einer deutlich anderen Gewichtung. Denn hier sind auch die Interessen von Dritten berücksichtigungsfähig. Aber der Punkt mit den „Gesundheitsdaten“ und der Anwendung von Art. 9 DSGVO ist ein gewichtiger Einwand.

Verarbeitung von Corona-Virus-Infos zu Beschäftigten ins Verarbeitungsverzeichnis?

Über das Corona-Virus-Fragenformular ist diese Frage hereingekommen:

Muss ich für die Corona Thematik wie z.B. die Datenerfassung "Erkrankte Mitarbeiter" als separate Verarbeitung im Verarbeitungsverzeichnis führen? Wie ist der Zweck, die Rechtsgrundlage, die Löschfristen etc.?

Meine Antwort

Das ist eine sehr schöne Frage. Ich würde vermuten, dass das Meinungsbild der Datenschutzrechtler zu dieser Frage sehr uneinheitlich sein dürfte. Und das hat mit dem Begriff der „Verarbeitung“ und dem Sinn und Zweck des Verarbeitungsverzeichnisses zu tun.

Letztlich kommt es für die Beantwortung der Frage darauf an, wie „eng“ bzw. wie „weit“ wir den Begriff der Verarbeitung fassen wollen. So gibt es durchaus die berechtigte Sichtweise, dass der Begriff einer Verarbeitung weit zu fassen sei. So wäre es z.B. ausreichend im Verarbeitungsverzeichnis alle Verarbeitungen, die die Verarbeitung von Beschäftigtendaten betreffen unter eine Verarbeitung „Personaldatenverarbeitung“ zusammenzufassen.

Ist diese Auffassung korrekt? Das kann niemand sagen, denn – wie gesagt – der Begriff der Verarbeitung ist insoweit nicht konkret definiert. Andere würden bei der Verarbeitung von Beschäftigtendaten sehr feingranular vorgehen und z.B. auch jede Excel-Datei, in der mal Beschäftigtendaten stehen, zum Verarbeitungsverzeichnis nehmen. Das führt praktisch zu einer „Aufblähung“ des Verarbeitungsverzeichnisses und einer entsprechend schwierigeren Pflege und Aktualisierung.

Die Wahrheit dürfte wohl in der Mitte liegen. Um auf die Frage zurückzukommen, kann ich sagen, dass ich die Aufnahme einer Verarbeitung zu „Corona-Virus-Erkrankten“ im Unternehmen sehr sinnvoll finden würde. Denn dann wäre besser sicherzustellen, dass diese Daten streng zweckgebunden verarbeitet würden, und auch die Zugriffe auf diese Daten könnten besser eingeschränkt werden. Schließlich ließe sich die Frage der Löschung der Daten („Löschfrist“) besser umsetzen.

Der Zweck der Datenverarbeitung wäre für mich der Schutz von Beschäftigen sowie der Infektionsschutz für Beschäftigte. Die Rechtsgrundlage wäre für mich § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO. Das deckt sich übrigens mit der Meinung der „Datenschutzkonferenz“ zu diesem Thema.

Als Löschfrist halte ich persönlich derzeit 3 Monate für angemessen. Hier wird man aber ggf. etwas flexibel sein dürfen und ggf. anpassen, wenn sich die Corona-Virus-Lage weiter verändert.

Corona-Virus: Webinaraufzeichnung mit Tipps zur Stärkung des Immunsystems

Ja, das hier ist eine Seite, die sich normalerweise mit dem Thema Datenschutz befasst. Nur haben wir momentan mit dem Corona-Virus eine besondere Situation, die alles über den Haufen wirft. Momentan geht es darum, möglichst vielen Menschen zu helfen.

Wir reden viel darüber, wie wir uns möglichst von dem Virus fernhalten. Dafür gibt es den Lockdown. Was ich in der Diskussion momentan komplett vermisse, ist aber, dass jeder von uns ganz persönlich auch etwas dafür tun kann, dass ihn eine etwaige Infektion mit dem Corona-Virus nicht „umhaut“. Dazu hat jeder von uns etwas in sich. Das Immunsystem. Und das dürfen wir gerade jetzt stärken.

Die Menschen kaufen aktuell anscheinend immer noch Nudeln, Mehl und auch Reis. Kleiner Tipp: Nichts davon hilft dem Immunsystem. Im Gegenteil.

Was jeder von uns tun kann, um sein Immunsystem zu stärken, hat mein Freund und Hamburger Arzt Niels Schulz-Ruhtenberg in einem Webinar im Rahmen seines Online-Programms „Lieber Leichter“ am letzten Dienstag erklärt. Ich habe die Erlaubnis erhalten, eine Kurzfassung (30 Minuten) dieses Webinars hier zu veröffentlichen. Die Originalfassung ist fast 90 Minuten lang.

Übrigens gibt es aktuell einen 14-Tage-Zugriff auf den Online-Kurs „Lieber Leichter“ von Niels Schulz-Ruhtenberg für 27,00 € (inkl. MwSt. – kein Abo): 14 Tage Kennenlern-Angebot – Lieber Leichter

Ich kann aus eigener Erfahrung sagen: Es lohnt sich! Übrigens ist fast jeden Montag-Abend ein Live-Webinar (via Zoom). Das wird aber auch aufgezeichnet und kann später im Kursbereich angeschaut werden.

Weitere kostenlose Informationen von Niels Schulz-Ruhtenberg zur Bekämpfung und zum Schutz vor dem Corona-Virus findest du auch hier.

Fragen & Antworten zu Datenschutz & Arbeitsrecht in Zeiten des Corona-Virus

In der heutigen Podcast-Episode geht es um die Beantwortung von Fragen, die über das der Corona-Virus-Fragenformular hier eingegangen sind. Einige der eingegangenen Fragen zielen auf das Arbeitsrecht ab.

Da ich kein Arbeitsrechtler bin und hier nicht gefährliches Halb- oder 2/3-Wissen kundtun möchte, habe ich mir in diesem Podcast Verstärkung dazugeholt. Und zwar hat sich der geschätzte Kollege Alexander Hausner bereit erklärt, mir einige Fragen am Telefon zu beantworten.

Alexander Hausner ist Rechtsanwalt und Fachanwalt für Arbeitsrecht in der Kanzlei Roser Rechtsanwälte Steuerberater Wirtschaftsprüfer in Hamburg. Außerdem berät er auch im Datenschutzrecht. Ich kenne Alexander als kompetenten Ansprechpartner. Ein Kollege, an den ich mich sehr gerne wende, wenn ich in einer datenschutzrechtlichen Fragestellung mit Bezug zum Arbeitsrecht nicht so richtig weiterkomme.

In dem Podcast beantwortet Alexander Hausner diese Fragen:

  • Ist ein Arbeitgeber verpflichtet, Infektionsfälle/-verdachte an Behörden zu melden und ist er verpflichtet, seine Mitarbeiter und ggf. Kunden, die mit dem Mitarbeiter Kontakt hatten, über den Infektionsfall und ggf. die konkrete Person zu informieren?
  • Ist die stundenweise Freistellung zur Betreuung der Eltern (Senioren über 75 Jahre alt) auch gegen den Willen des Arbeitgebers möglich?
  • Kann der Arbeitgeber verlangen, dass Angestellte Kundenkontakt haben müssen, z.B. in Dienstleistungsbereichen, in denen ein sehr naher oder direkter Körperkontakt erforderlich ist?
  • Kann der Datenschutzbeauftragte zu 100% in Kurzarbeit geschickt werden, sodass er faktisch nicht mehr seiner Arbeit nachgehen kann?
  • Darf ich meine Mitarbeiter dazu zwingen in Skype für alle Kunden etc. mit Status sichtbar zu sein?
  • Kontrolle der Einhaltung von TOMs im Home Office durch Arbeitgeber? Sind Kontrollen zulässig, wenn ja in welchem Umfang?

Auftragsverarbeitung: Erweiterung des Gegenstands der Verarbeitung

Im Rahmen der Corona-Virus-Fragen ist diese Frage aufgekommen:

Mit unserem IT-Dienstleister haben wir einen Auftragsverarbeitungsvertrag zu Fernwartung, Nutzereinrichtung, Hardwarebereitstellung usw. geschlossen. Normalerweise erhalten neue Mitarbeiter während des Onboardings die entsprechende Hardware. Neue Mitarbeiter werden in diesen Tagen nicht persönlich in Empfang genommen und sollen daher die Hardware per Post direkt von unserem IT-Dienstleister erhalten. Nun haben wir in der AVV die "persönlichen Kontakt- und Adressdaten" NICHT inkludiert.

Können wir die Datenverarbeitung ausnahmsweise auf Art. 6 Abs. 1 lit. f) DSGVO stützen oder muss zwangsläufig die AVV für die einmalige Datenverarbeitung erweitert werden? Wie können wir in dem Fall vorgehen?

Ein Wechsel auf eine andere Rechtsgrundlage ist zwar nicht unmöglich, hier aber gar nicht erforderlich. Der Auftragsverarbeitungsvertrag wird in der Regel die Möglichkeit bieten, sog. ergänzende Weisungen zu erteilen. Und genau das wäre hier die Lösung.

In der Umsetzung muss natürlich geschaut werden, dass die Regelungen des Auftragsverarbeitungsvertrages insoweit eingehalten werden. So kann z.B. für die ergänzende Weisungen eine bestimmte Form vorgesehen werden. Ich weiß schon, warum ich meinen Mandanten seit Jahren empfehle, hier nur die Textform statt der Schriftform vorzusehen. Denn so kann das Ganze per E-Mail erfolgen.

In der E-Mail würde man dann einfach die erweiterten Leistungen und den Umgang mit den Daten als Weisung aufnehmen. Hier sind keine großen Anforderungen an die Formulierung zu stellen. Es reicht aus, wenn sinngemäß aus der E-Mail hervorgeht, dass der Auftragsverarbeitung den Ablauf nun wie oben beschrieben zu gestalten hat und im Übrigen natürlich die Regelungen des Auftragsverarbeitungsvertrages unberührt bleiben.