Für Maßnahmen zur Eindämmung der Corona-Pandemie gilt selbstverständlich, dass der Schutz der Bevölkerung Vorrang hat und andere Grundrechte – auch im Hinblick auf den Datenschutz – zum Teil eingeschränkt werden können. Auch wenn der Datenschutz aktuell nicht die Hauptsorge aller Beteiligten sein dürfte, sollten sowohl Unternehmen als auch deren Beschäftigte im Blick behalten, dass eine Einschränkung des Datenschutzes und der Datensicherheit nur möglich ist, wenn die Maßnahmen unbedingt erforderlich sind und auf die Dauer der Ausnahmesituation beschränkt bleiben.
Gesetzliche Fristen der DS-GVO gelten nach dem Meinungsbild der deutschen Datenschutzaufsichtsbehörden unverändert weiter (https://datenschutz-hamburg.de/assets/pdf/Corona-FAQ.pdf). Selbstverständlich haben betroffene Personen zum Beispiel auch in Zeiten von Covid-19 das Recht, vom Verantwortlichen binnen eines Monats Auskunft über zu ihrer Person gespeicherten personenbezogenen Daten zu erhalten. Eine Verlängerung nach Art. 12 Abs. 3 Satz 2 DS-GVO ist auch in Krisenzeiten nur dann möglich, wenn diese aufgrund der Komplexität und Anzahl von Anträgen erforderlich ist. Erfreulicherweise steht zum Beispiel der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit auf dem Standpunkt, dass Verstöße bei Überschreitung der gesetzlichen Fristen nicht verfolgt werden, wenn die Arbeitsfähigkeit des Verantwortlichen wegen der Corona-Krise nachweislich stark eingeschränkt ist. Im Zuge der Ermessensentscheidung der zuständigen Datenschutzaufsichtsbehörde wird es im Einzelfall entscheidend auf die Länge der Überschreitung sowie die Unternehmensgröße des verantwortlichen Unternehmens ankommen.
Selbstverständlich müssen auch in Krisenzeiten die Meldungen von Datenschutzverletzungen an die zuständige Datenschutzaufsichtsbehörde nach Art. 33 Abs. 1 DS-GVO unverzüglich und möglichst binnen 72 Stunden erfolgen. Pandemiebedingte Einschränkungen der Arbeitsfähigkeit bei Unternehmen können aber auch hier ggf. Berücksichtigung finden. Wichtig ist jedoch, dass auch bei Arbeiten im Home Office die Beschäftigten unverzüglich etwaige Datenschutzverletzungen an das Datenschutzteam des Unternehmens melden. Denn Kriminelle nutzen die aktuelle Ausnahmesituation für ihre Zwecke aus und Cyberattacken nehmen nahezu täglich weiter zu (https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Cyber-Kriminell_02042020.html).
Praxistipp: Für Arbeiten im Home Office sind Vorkehrungen zu treffen, die den Datenschutzrechten sowohl der Beschäftigten als auch anderer betroffener Personen – soweit wie möglich – Rechnung tragen. Dazu zählen Festlegungen zur Gewährleistung der Betroffenenrechte (z. B. auf Auskunft und Löschung) sowie die Meldung etwaiger Datenschutzverletzungen. Dazu dient die Sensibilisierung und möglichst schriftliche Verpflichtung der Beschäftigten zur Einhaltung der datenschutzrechtlichen Maßnahmen.
Kontakt: Bei Fragen senden Sie uns gerne eine E-Mail an corona@skwschwarz.de.
Stand: 06.04.2020