Datenschutz in der Corona-Krise: Was jetzt gilt

Ist das Recht auf Datenschutz in der Corna-Pandemie eingeschränkt? Dürfen Bewegungsdaten von Smartphones gesammelt werden? Katharina Raabe-Stuppnig und Christoph Auer von Lansky, Ganzger & Partner analysieren, welche Daten unter welchen Voraussetzungen gesammelt und genutzt werden dürfen.

Thema: Corona: Recht im Ausnahmezustand
Datenschutz in der Corona-Krise: Was jetzt gilt

1. Wird durch die Covid-19 Pandemie mein Recht auf Datenschutz eingeschränkt oder außerkraftgesetzt?

Durch die derzeitige Krisensituation wird geltendes Datenschutzrecht, einschließlich dem Grundrecht auf Datenschutz, nicht ausgehebelt.

In welchem Rahmen Datenverarbeitungen zur Eindämmung der weiteren Verbreitung von Covid-19 zulässig sind, wird vielmehr von den einschlägigen gesetzlichen Bestimmungen (wie insbesondere der DatenschutzGrundverordnung, dem Datenschutzgesetz und dem Epidemiegesetz) klar abgesteckt. So gibt es beispielsweise eindeutige Regelungen wann, in welchem Umfang und zu welchen Zwecken Gesundheitsdaten verarbeitet werden dürfen.


2. In welchem Rahmen dürfen meine Gesundheitsdaten verarbeitet oder sogar weitergegeben werden?

Unter dem Begriff „Gesundheitsdaten“ werden grundsätzlich Daten über Erkrankungen, Infektionen aber auch bloße Verdachtsfälle verstanden. Die Verarbeitung solcher Daten unterliegt nach der DSGVO besonders strenger Vorschriften. In der Praxis kommen regelmäßig nur zwei Rechtfertigungsgründe in Betracht und zwar muss entweder die ausdrückliche Zustimmung der betroffenen Person vorliegen oder die Datenverarbeitung muss notwendig sein, um die Verbreitung des Viruserregers einzudämmen und Personen in weiterer Folge vor Ansteckung zu schützen.

Im Arbeitsbereich ist zum Beispiel der Dienstgeber dazu verpflichtet potentielle Gesundheitsrisiken für seine Mitarbeiter zu minimieren. Er ist deshalb dazu berechtigt, die dafür erforderlichen Daten zu erheben und zu diesem Zweck zu verarbeiten. Dienstgeber dürfen daher etwa ihre Mitarbeiter danach fragen, ob sich diese in einem Risikogebiet aufgehalten haben, um die Belegschaft vor einem erhöhten Ansteckungsrisiko zu schützen. Selbst die Weitergabe der Tatsache, dass sich ein Mitarbeiter mit Covid-19 infiziert hat, kann unter Umständen gerechtfertigt sein. Hier gilt es aber im Einzelfall zu berücksichtigen, ob die Nennung einer konkreten Person tatsächlich erforderlich ist, um die notwendigen Vorsorgemaßnahmen zu treffen.

Ferner ist die Weitergabe von Informationen über Verdachtsfälle und Infektionen an die Gesundheitsbehörde eigens gesetzlich geregelt und somit jedenfalls zulässig, um die Ausbreitung des Virus einzuschränken oder Personen vor Ansteckung zu schützen.


3. Welche meiner Daten dürfen Gesundheitsbehörden bei Infizierungsverdacht verarbeiten?

Grundsätzlich dürfen Gesundheitsbehörden alle Daten verarbeiten, die notwendig sind, um die Verbreitung des Viruserregers einzudämmen oder Personen vor Ansteckung zu schützen. Das Epidemiegesetz konkretisiert welche Daten in diesem Zusammenhang jedenfalls verarbeitet werden dürfen:

  • Daten zur Identifikation von Erkrankten (Name, Geschlecht, Geburtsdatum, Sozialversicherungsnummer und bereichsspezifisches Personenkennzeichen)
  • Daten, welche für die Krankheit klinisch relevant sind (Vorgeschichte, Krankheitsverlauf und Labordaten)
  • Daten zum Umfeld des Erkrankten
  • Daten zu besuchten Veranstaltungen
  • Daten zu den getroffenen Vorkehrungsmaßnahmen

4. Welche Formen der Big-Data-Analyse sind zulässig, um die Verbreitung von Covid19 einzudämmen?

Wesensmerkmal von Big-Data-Analysen ist, dass ihr eine Vielzahl unterschiedlicher Daten zugrunde liegen und durch deren Verknüpfung bestimmte Aussagen mit einer gewissen Wahrscheinlichkeit getroffen werden können. Diese Daten müssen dabei nicht zwingend einen Personenbezug aufweisen.

Aufgrund der unterschiedlichsten Ausprägungen von Big-Data-Analysen sind Eingriffe in das Grundrecht auf Datenschutz in vielerlei Hinsicht denkbar. Als Grundregel gilt dabei jedoch, dass bei mehreren zur Verfügung stehenden Eingriffsmöglichkeiten stets die gelindeste Form der Beeinträchtigung zu wählen ist, widrigenfalls der jeweilige Eingriff als potentiell rechtswidrig anzusehen ist. Denn im Rahmen einer Interessensabwägung (nämlich das Recht auf Datenschutz im Verhältnis zur Eindämmung von Covid-19) wäre dann regelmäßig der datenschutzrechtliche Aspekt schwerer zu gewichten.


5. Ist das Erstellen von Bewegungsprofilen anhand meiner Mobiltelefonnutzung datenschutzrechtlich erlaubt?

Dementsprechend ist das Erstellen von anonymen Bewegungsprofilen anhand von Mobilfunkdaten jedenfalls zulässig, sofern keine Rückschlussmöglichkeit auf einzelne Personen besteht.

Ferner werden bereits von einigen Unternehmen datenschutzfreundliche Lösungen zur Berechnung und Nachverfolgung des Abstandes bei bzw. der Dauer von sozialen Interaktionen entwickelt. Dabei wird auf die Speicherung dieser sensiblen Daten auf den Endgeräten des jeweiligen Nutzers gesetzt. Auf diese Weise wird die Verknüpfung bzw. die Rückführbarkeit dieser hochsensiblen Daten in Form einer zentralen Datenbank vermieden.


Für weitere Fragen zum Thema haben die Rechtsanwälte Lansky, Ganzger & Partner eine Online-Informationsseite unter lansky.at/de/newsroom/news/faq-corona/ erstellt und stehen für Nachfragen per E-Mail unter office <AT> lansky.at zur Verfügung.


Diese Serie mit Rechts-Tipps für Unternehmen ist eine Kooperation von trend.at und den Rechtsanwälten Lansky, Ganzger & Partner. Die bisher erschienen Beiträge finden Sie zusammengefasst im Thema "Corona - Recht im Ausnahmezustand".


[THEMA]: Rechtsschutz - die D.A.S.-Experten geben Rat

Reisemängel: Das sollten Sie bei Reklamationen wegen einer verpatzen Reise wissen [Reiserecht]

Was ist ein Reisemangel? Welche Mängel rechtfertigen Minderungen? Was …

Legal Tech: Digitale Herausforderung für Juristen

Auch im Rechtswesen schreitet der Siegeszug der Digitalisierung voran. Am …

Rechtsanwältin Katharina Körber-Risak

Viertagewoche auch bei uns - warum nicht?

Ein Pilotversuch in Großbritannien lässt aufhorchen - es geht um die …