Datenschutz in Krisenzeiten

Im Zusammenhang mit der Bekämpfung des neuartigen Coronavirus (SARS-CoV-2) kann es vorkommen, dass die Klarnamen sowie Adressdaten von Verdachtsfällen oder Kontaktpersonen, denen eine häusliche Quarantäne angeordnet wurde, durch z.B. ein Gesundheitsamt an eine andere Behörde weitergegeben werden sollen. Dies kann etwa dann geboten sein, wenn auf Grund von fehlenden Kapazitäten keine Kontrolle der verhängten Maßnahmen durch das Gesundheitsamt gewährleistet ist und daher z.B. ein Krisenstab einer Gemeinde oder Kommune zur Kontrolle der Quarantäne und weiterer Amtshilfe hinzugezogen wird.

EU-Datenschutz-Grundverordnung (DSGVO)

Auch in Krisenzeiten gilt: eine datenschutzrechtliche Prüfung vor einer Weitergabe personenbezogener Daten ist unbedingt erforderlich – umso mehr, als dass es sich bei Klarnamen und Adressdaten von Verdachtsfällen und Kontaktpersonen um besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO handelt. Es lassen sich aber auch in schwierigen Zeiten schnell gute Argumente finden, die eine Datenweitergabe dieser Datensätzen erlauben.

Zunächst sei gesagt, dass der Bundesbeauftragte für Datenschutz und die Informationsfreiheit (BfDI) unlängst eine Stellungnahme dazu abgegeben hat, unter welchen Umständen Arbeitgeber und Dienstherren personenbezogene (Gesundheits-)daten weitergeben dürfen. Wir haben zu diesem Thema folgenden Beitrag geschrieben: Erhebung von Infektionsdaten durch Arbeitgeber.

Nach meinem Dafürhalten können die vom BfDI Herrn Ulrich Kelber genannten Maßstäbe auch auf die Weitergabe zwischen Gesundheitsämtern und Krisenstäben angewandt werden.

Rechtsgrundlage (DSGVO und BDSG)

Auch die Weitergabe von Klarnamen und Adressdaten von Verdachtsfällen und Kontaktpersonen stellt eine Verarbeitung personenbezogener Daten dar. Diese muss gem. Art. 5 Abs. 1 lit. a DSGVO auch rechtmäßig sein. Dabei gilt das Prinzip des Verbots mit Erlaubnisvorbehalt: die Verarbeitung ist verboten, außer der Betroffene hat eingewilligt, oder eine Rechtsgrundlage legitimiert die Verarbeitung.

Eine Rechtsgrundlage zur Weitergabe personenbezogener Daten (z.B. zwischen Gesundheitsamt und Krisenstab) findet sich in der DSGVO in Art. 9 Abs. 2 lit. i) DSGVO (in Verbindung mit § 22 Abs. 1 Nr. 1 lit. c) BDSG (Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, also etwa übertragbare Krankheiten wie Covid-19). Eine Einwilligung der Personen, die als Verdachtsfälle oder Kontaktpersonen geführt werden, ist für die Datenweitergabe somit nicht erforderlich. Auch Erwägungsgrund 54 DSGVO besagt, dass es in Bereichen der öffentlichen Gesundheit notwendig sein kann, besondere Kategorien personenbezogener Daten (also z.B. Gesundheitsdaten wie etwa Covid-19 Erkrankung und Adressdaten) auch ohne Einwilligung der betroffenen Person zu verarbeiten – wobei damit auch die Weitergabe zwischen Gesundheitsamt und Krisenstab abgedeckt ist. Des Weiteren besagt Erwägungsgrund 54: „…diese Weitergabe sollte angemessenen und besonderen Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen unterliegen. […] Eine solche Verarbeitung von Gesundheitsdaten aus Gründen des öffentlichen Interesses darf nicht dazu führen, dass Dritte, unter anderem Arbeitgeber oder Versicherungs- und Finanzunternehmen, solche personenbezogenen Daten zu anderen Zwecken verarbeiten.“

Landesdatenschutzgesetze

Die Landesdatenschutzgesetze können die Vorschriften aus DSGVO und BDSG dabei um die entsprechenden Vorgaben weiter konkretisieren. Das brandenburgische Datenschutzgesetz (BbgDSG) etwa, macht für die Verarbeitung dieser Daten in § 24 nähere Vorgaben. Demnach müssen zur Wahrung datenschutzrechtlicher Grundrechte folgende Maßnahmen getroffen werden:

• technische und organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung (EU) 2016/679 erfolgt,
• Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
• die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
• die Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,
• die Pseudonymisierung personenbezogener Daten,
• die Verschlüsselung personenbezogener Daten,
• die Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall unverzüglich wiederherzustellen,
• zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen oder
• spezifische Verfahrensregelungen, die im Falle einer Übermittlung oder Verarbeitung für andere Zwecke, die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.

Bei Umsetzung dieser Maßnahmen – etwa der Begrenzung der Speicherdauer, Beschränkung des Zugriffs nur für wenige Mitarbeiter, Verpflichtung auf die Vertraulichkeit aller Involvierter, Pseudonymisierung der Adressdaten etc. sollte die Datenweitergabe und -verarbeitung zwischen den entsprechenden Stellen statthaft sein.

Fazit

Geltendes Datenschutzrecht steht auch in Krisenzeiten dem Katastrophenschutz nicht im Weg und bewirkt zudem, dass bei aller Eile neben der schnellen Hilfe auch der Schutz der Rechte und Freiheiten der betroffenen Bürger gewährleistet ist.