Covid-19 – Stellungnahmen des EDSB (Europäischer Datenschutzausschuss)

COVID-19: Der Moment, in dem Sie erkennen, dass sich die Welt verändert hat: Überdenken Sie die Strategie des EDSB

Wenn Sie dem obigen Link folgen, gelangen Sie zum englischen Original-Statement. Wir haben Ihnen dieses nachfolgend mit www.DeepL.com/Translator (kostenlose Version) übersetzt:

Freitag, 20. März 2020

Als wir mit der Arbeit an der Strategie für das fünfjährige Mandat des Europäischen Datenschutzbeauftragten begannen, war eine der ersten Fragen, die wir erörterten, ob es sich entweder um ein lebendes Dokument handeln sollte, das bereit ist, geändert oder angepasst zu werden, oder um einen robusten, zukunftssicheren Plan.

Meine Antwort auf diese Frage war, dass unsere Strategie an die globalen Veränderungen angepasst werden sollte. Wir waren zuversichtlich, dass wir die richtige, umfassende Methodik gewählt hatten. Natürlich behielten wir eine gewisse Flexibilität bei, um mit völlig unvorhersehbaren Umständen umgehen zu können. Was wir im Auge hatten, waren Naturkatastrophen, die unerwartete Änderungen in der Gesetzgebung sowohl auf europäischer als auch auf nationaler Ebene verursachten. Aber wir hätten nie erwartet, dass sich eine solche Tragödie so schnell ereignen würde!

Alles war für den 19. März vorgesehen. Wer hätte gedacht, dass die Straßen so vieler europäischer Hauptstädte bis dahin leer sein würden? Wer hätte gedacht, dass die Außengrenzen der Europäischen Union geschlossen sein würden, dass der Schengen-Raum buchstäblich nicht mehr funktioniert, dass die Fremdenfeindlichkeit auf dem Vormarsch ist? Wir konnten uns nicht einmal vorstellen, dass vernünftige Leute anfangen würden, Internet- und Telekommunikationsbetreiber zu bitten, möglicherweise jede einzelne Person in Europa mit ihren mobilen Standortdaten in Echtzeit zu verfolgen und ein Diagramm zu erstellen, das alle physischen Interaktionen zwischen den Menschen in den letzten Tagen darstellt.

Einige Leute lobten den EDSB, als wir vor einigen Monaten unseren Blogpost über die Gefahren der Gesichtserkennung im öffentlichen Raum veröffentlichten. Andere haben gelacht, als wir das von einer europäischen Bank implementierte Emotionstracking-System der Mitarbeiter vorstellten. Viele dieser Leute würden heute argumentieren, dass diejenigen, die in Quarantäne sein sollten, automatisch identifiziert und auf den Straßen abgefangen werden sollten und dass jedes öffentliche Gebäude mit Infrarotsensoren ausgestattet sein sollte, die eine genaue berührungslose Temperaturmessung ermöglichen.

Covid-19 ist ein Wendepunkt.

Wenn wir über die Strategie des EDSB für die nächsten fünf Jahre nachdenken, müssen wir uns unseren Text noch einmal anschauen. Was auch immer in den nächsten Wochen geschieht, wir wissen, dass die Worte nicht die gleichen sein werden. Wir alle werden auf die eine oder andere Weise mit diesem Wendepunkt konfrontiert sein. Und wir werden uns alle fragen, ob wir bereit sind, unsere Grundrechte zu opfern, um uns besser und sicherer zu fühlen.

Ich habe daher beschlossen, innezuhalten und darüber nachzudenken, wie der Europäische Datenschutzbeauftragte – der ein großer Unterstützer des europäischen Projekts ist – dazu beitragen kann, den Prozess, in dem die Gesellschaft einige grundlegende Fragen stellt, zu steuern. Ich bin sicher, dass wir vor einer neuen Etappe in der Diskussion über die Grundrechte stehen. In den nächsten Monaten müssen wir die Zeit finden, um über die entscheidenden Grundsätze nachzudenken, die unser vernetztes Leben bestimmen.

Sobald diese Diskussion abgeschlossen ist, beabsichtige ich, Anfang Mai eine verstärkte Strategie des EDSB für 2020-2024 vorzulegen.

Wojciech Wiewiórowski

Nachdem wir Sie über die Datenschutz-FAQ der Baden-Württembergischen Datenschutzaufsichtsbehörde hier https://mb-datenschutz.de/2020/03/corona-datenschutz-faq/ bereits informierten, lesen Sie nachfolgend eine aktuelle Stellungnahme des Europäischen Datenschutzrats:

Erklärung zur Verarbeitung personenbezogener Daten im Zusammenhang mit dem Ausbruch von COVID-19. 19.März 2020

Wenn Sie dem obigen Link folgen, gelangen Sie zum englischen Original-Statement. Wir haben Ihnen dieses nachfolgend mit www.DeepL.com/Translator (kostenlose Version) übersetzt:

Der Europäische Datenschutzrat hat folgende Erklärung angenommen:

Regierungen, öffentliche und private Organisationen in ganz Europa ergreifen Maßnahmen zur Eindämmung und Minderung von COVID-19. Dies kann die Verarbeitung verschiedener Arten von personenbezogenen Daten beinhalten.

Datenschutzbestimmungen (wie das GDPR [die DSGVO]) behindern nicht die Maßnahmen, die im Kampf gegen die Coronavirus-Pandemie ergriffen werden. Der Kampf gegen übertragbare Krankheiten ist ein wertvolles Ziel, das von allen Nationen geteilt wird, und sollte daher auf die bestmögliche Weise unterstützt werden. Es liegt im Interesse der Menschheit, die Verbreitung von Krankheiten einzudämmen und moderne Techniken im Kampf gegen die Geißeln, die große Teile der Welt betreffen, einzusetzen. Dennoch möchte der EDPB betonen, dass der für die Datenverarbeitung Verantwortliche und der Verarbeiter auch in diesen außergewöhnlichen Zeiten den Schutz der persönlichen Daten der betroffenen Personen gewährleisten müssen. Daher sind eine Reihe von Überlegungen zu berücksichtigen, um die rechtmäßige Verarbeitung personenbezogener Daten zu gewährleisten, und es ist in jedem Fall daran zu erinnern, dass jede in diesem Zusammenhang getroffene Maßnahme die allgemeinen Rechtsgrundsätze beachten muss und nicht unumkehrbar sein darf. Der Notfall ist eine rechtliche Bedingung, die Einschränkungen der Freiheiten legitimieren kann, vorausgesetzt, diese Einschränkungen sind verhältnismäßig und auf den Notfallzeitraum begrenzt.

  1. Rechtmäßigkeit der Verarbeitung

Das GDPR [die DSGVO] ist ein weit gefasstes Gesetz und sieht Regeln vor, die auch für die Verarbeitung personenbezogener Daten in einem Kontext wie dem des COVID-19 gelten. Das GDPR erlaubt es den zuständigen Gesundheitsbehörden und Arbeitgebern, personenbezogene Daten im Zusammenhang mit einer Epidemie in Übereinstimmung mit dem nationalen Recht und innerhalb der darin festgelegten Bedingungen zu verarbeiten. Zum Beispiel, wenn die Verarbeitung aus Gründen eines wesentlichen öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich ist, muss nicht auf die Einwilligung des Einzelnen zurückgegriffen werden.

1.1 In Bezug auf die Verarbeitung personenbezogener Daten, einschließlich besonderer Datenkategorien durch zuständige Behörden (z.B. Gesundheitsbehörden), ist das EDPB der Ansicht, dass die Artikel 6 und 9 GDPR die Verarbeitung personenbezogener Daten ermöglichen, insbesondere wenn sie unter den gesetzlichen Auftrag der Behörde nach nationalem Recht und die im GDPR festgelegten Bedingungen fallen.

1.2 Im Beschäftigungskontext kann die Verarbeitung personenbezogener Daten für die Erfüllung einer gesetzlichen Verpflichtung erforderlich sein, der der Arbeitgeber unterliegt, wie z.B. Verpflichtungen in Bezug auf die Gesundheit und Sicherheit am Arbeitsplatz oder das öffentliche Interesse, wie z.B. die Bekämpfung von Krankheiten und anderen Gesundheitsgefahren.

Das GDPR sieht auch Ausnahmen vom Verbot der Verarbeitung bestimmter besonderer Kategorien personenbezogener Daten, wie z.B. Gesundheitsdaten, vor, wenn dies aus Gründen eines erheblichen öffentlichen Interesses im Bereich der öffentlichen Gesundheit (Art. 9.2.i), auf der Grundlage des Unionsrechts oder des nationalen Rechts erforderlich ist oder wenn die Notwendigkeit besteht, die lebenswichtigen Interessen der betroffenen Person zu schützen (Art. 9.2.c), da in Erwägungsgrund 46 ausdrücklich auf die Bekämpfung einer Epidemie Bezug genommen wird.

1.3 Im Hinblick auf die Verarbeitung von Telekommunikationsdaten, wie z.B. Standortdaten, müssen auch die nationalen Gesetze zur Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation eingehalten werden. Grundsätzlich dürfen Standortdaten vom Betreiber nur verwendet werden, wenn sie anonymisiert oder mit der Zustimmung von Einzelpersonen verwendet werden. Art. 15 der Datenschutzrichtlinie für elektronische Kommunikation ermöglicht es den Mitgliedstaaten jedoch, gesetzgeberische Maßnahmen zum Schutz der öffentlichen Sicherheit zu ergreifen, wobei diese Ausnahmeregelung nur möglich ist, wenn sie eine notwendige, angemessene und verhältnismäßige Maßnahme in einer demokratischen Gesellschaft darstellt. Diese Maßnahmen müssen im Einklang mit der Charta der Grundrechte und der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten stehen. Darüber hinaus unterliegen sie der gerichtlichen Kontrolle des Europäischen Gerichtshofs und des Europäischen Gerichtshofs für Menschenrechte und sollten im Falle eines Notstands streng auf die Dauer des Notstands beschränkt sein.

  1. Grundprinzipien der Verarbeitung personenbezogener Daten

Personenbezogene Daten, die zur Erreichung der verfolgten Ziele erforderlich sind, sollten für bestimmte und ausdrückliche Zwecke verarbeitet werden.

Darüber hinaus sollten die betroffenen Personen transparente Informationen über die durchgeführten Verarbeitungsaktivitäten und deren Hauptmerkmale erhalten, einschließlich der Aufbewahrungsfrist für gesammelte Daten und der Zwecke der Verarbeitung. Die bereitgestellten Informationen sollten leicht zugänglich sein und in klarer und deutlicher Sprache bereitgestellt werden.

Es ist wichtig, angemessene Sicherheitsmaßnahmen und Vertraulichkeitsrichtlinien zu ergreifen, die sicherstellen, dass persönliche Daten nicht an Unbefugte weitergegeben werden. Die Maßnahmen, die zur Bewältigung des aktuellen Notfalls und des zugrunde liegenden Entscheidungsprozesses durchgeführt werden, sollten angemessen dokumentiert werden.

  1. Verwendung von Daten über den Standort von Mobiltelefonen

  • Können die Regierungen der Mitgliedstaaten persönliche Daten über die Mobiltelefone von Personen in ihren Bemühungen um die Überwachung, Eindämmung oder Eindämmung der Verbreitung von COVID-19 verwenden?

In einigen Mitgliedstaaten beabsichtigen die Regierungen die Verwendung von mobilen Standortdaten als eine mögliche Möglichkeit, die Verbreitung von COVID-19 zu überwachen, einzudämmen oder einzudämmen. Dies würde z.B. die Möglichkeit implizieren, Einzelpersonen zu geolokalisieren oder Nachrichten zur öffentlichen Gesundheit an Personen in einem bestimmten Gebiet per Telefon oder SMS zu senden. Die Behörden sollten zunächst versuchen, die Standortdaten auf anonyme Weise zu verarbeiten (d.h. Daten zu verarbeiten, die so aggregiert sind, dass die Personen nicht identifiziert werden können), was die Erstellung von Berichten über die Konzentration von mobilen Geräten an einem bestimmten Ort („Kartographie“) ermöglichen könnte.

Die Vorschriften zum Schutz personenbezogener Daten gelten nicht für Daten, die angemessen anonymisiert wurden.

Wenn es nicht möglich ist, nur anonyme Daten zu verarbeiten, ermöglicht die Datenschutzrichtlinie den Mitgliedstaaten die Einführung gesetzgeberischer Maßnahmen zum Schutz der öffentlichen Sicherheit (Artikel 15).

Wenn Maßnahmen eingeführt werden, die die Verarbeitung nicht anonymisierter Standortdaten ermöglichen, ist ein Mitgliedstaat verpflichtet, angemessene Schutzmaßnahmen zu treffen, wie z.B. das Recht auf einen Rechtsbehelf für Einzelpersonen von elektronischen Kommunikationsdiensten.

Es gilt auch der Grundsatz der Verhältnismäßigkeit. Unter Berücksichtigung des zu erreichenden spezifischen Zwecks sollten stets die Lösungen mit dem geringsten Eingriff bevorzugt werden. Invasive Maßnahmen, wie z.B. das „Tracking“ von Personen (d.h. die Verarbeitung von historischen, nicht anonymisierten Standortdaten) könnten unter außergewöhnlichen Umständen und in Abhängigkeit von den konkreten Modalitäten der Verarbeitung als verhältnismäßig angesehen werden. Sie sollte jedoch einer verstärkten Kontrolle und Sicherheitsvorkehrungen unterliegen, um die Einhaltung der Datenschutzgrundsätze zu gewährleisten (Verhältnismäßigkeit der Maßnahme in Bezug auf Dauer und Umfang, begrenzte Datenspeicherung und Zweckbindung).

  1. Beschäftigung

  • Kann ein Arbeitgeber von Besuchern oder Arbeitnehmern verlangen, dass sie im Rahmen von COVID-19 spezifische Gesundheitsinformationen bereitstellen?

Die Anwendung des Prinzips der Verhältnismäßigkeit und der Datenminimierung ist besonders relevant. Der Arbeitgeber sollte Gesundheitsinformationen nur insoweit verlangen, als das nationale Recht dies zulässt.

  • Ist es einem Arbeitgeber erlaubt, eine medizinische Untersuchung der Arbeitnehmer durchzuführen?

Die Antwort hängt von den nationalen Gesetzen bezüglich der Beschäftigung oder der Gesundheit und Sicherheit ab. Arbeitgeber sollten nur dann auf Gesundheitsdaten zugreifen und diese verarbeiten, wenn ihre eigenen gesetzlichen Verpflichtungen dies erfordern.

  • Kann ein Arbeitgeber seinen Kollegen oder Externen mitteilen, dass ein Arbeitnehmer mit COVID-19 infiziert ist?

Die Arbeitgeber sollten das Personal über COVID-19-Fälle informieren und Schutzmaßnahmen ergreifen, aber nicht mehr Informationen als nötig weitergeben. In Fällen, in denen es notwendig ist, den Namen des/der Mitarbeiter(s), der/die sich mit dem Virus infiziert hat/haben (z.B. in einem präventiven Kontext) und das nationale Recht dies zulässt, sollten die betroffenen Mitarbeiter im Voraus informiert werden und ihre Würde und Integrität geschützt werden.

  • Welche Informationen, die im Rahmen von COVID-19 verarbeitet werden, können von den Arbeitgebern eingeholt werden?

Die Arbeitgeber können persönliche Informationen erhalten, um ihre Pflichten zu erfüllen und die Arbeit im Einklang mit der nationalen Gesetzgebung zu organisieren.

Für den Europäischen Datenschutzrat

Der Vorsitzende
(Andrea Jelinek)

Übersetzt mit www.DeepL.com/Translator (kostenlose Version)