Der Sächsische Datenschutzbeauftragte

16.02.2021

Gemäß der Coronavirus-Schutzmasken-Verordnung erhalten anspruchsberechtigte Personen bei Apotheken vergüngstigte oder kostenfreie FFP2-Masken. Personenbezogene Daten dürfen dabei nur im erforderlichen Umfang verarbeitet werden. Weitere Details, insbesondere zur Zulässigkeit von Ausweiskopien, sind in folgendem Dokument zusammengefasst:

Ausgabe von FFP-2 Masken durch Apotheken (PDF-Datei)

Im Zusammenhang mit den allgemeinen Maßnahmen zur Bekämpfung der COVID-19-Pandemie hat auch der Sächsische Datenschutzbeauftragte (SDB) Vorkehrungen zur Einschränkung sozialer Kontakte und zur Reduzierung eines Infektionsrisikos getroffen.

Dadurch kann es in der Behörde des Sächsischen Datenschutzbeauftragten zu Einschränkungen bei der Erreichbarkeit und zu Verzögerungen bei der Bearbeitung von Vorgängen kommen. Bürgerinnen und Bürger, Betroffene sowie Verantwortliche können sich weiterhin über die Internetpräsenz (https://www.saechsdsb.de/n-kontakt) oder per E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! an den Sächsischen Datenschutzbeauftragten wenden.

Angesichts der Einschränkungen des öffentlichen Lebens sowie der Beeinträchtigung von Abläufen in Wirtschaft und Verwaltung wird der Sächsische Datenschutzbeauftragte im Rahmen seiner behördlichen Tätigkeit Fristen gegenüber Verantwortlichen und Betroffenen unter Berücksichtigung der Besonderheiten angemessen handhaben.

Dresden, 21. September 2020

Die Eindämmung des neuartigen Coronavirus SARS-CoV2 und der dadurch ausgelösten Krankheit COVID-19 stellt Staat, Wirtschaft, Gesellschaft und Individuen vor - teils völlig neue - Herausforderungen.

Angesichts der ergriffenen und diskutierten Maßnahmen zur Pandemie-Bekämpfung ist daran zu erinnern, dass der Datenschutz nicht Daten, sondern die betroffenen Menschen und das Gemeinwesen schützt. Die damit unter anderem verfolgte Wahrung der Menschenwürde ist auch angesichts von Pandemiegefahren zentrales Ziel und Aufgabe aller staatlichen Gewalt. Alle Maßnahmen des Infektionsschutzes müssen sich daran messen lassen.

Das Datenschutzrecht steht dem Infektionsschutz nicht im Weg, sondern erkennt den Schutz der Gesundheit und der Bevölkerung vor Infektionsgefahren als hohes Gut ausdrücklich an, nicht nur in Erwägungsgrund 46 der Datenschutz-Grundverordnung (DSGVO). Soweit personenbezogene Daten verarbeitet werden, gelten jedoch die Prinzipien des Datenschutzes uneingeschränkt. Hervorzuheben ist hier insbesondere die Verpflichtung zur Sorgfalt bei der Datenverarbeitung und zur Datenminimierung.

Gesundheitsdaten sind besonders sensible Daten. Deren herausgehobener Schutz nach Artikel 9 DSGVO, § 22 Bundesdatenschutzgesetz (BDSG), § 4 Sächsisches Datenschutz-Umsetzungsgesetz (SächsDSUG) und § 4 Sächsisches Datenschutz-Durchführungsgesetz (SächsDSDG) prägt die datenschutzrechtlichen Pflichten für Verantwortliche in besonderer Weise.

Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat am 13.03.2020 Informationen für Arbeitgeber und Dienstherren zum Umgang mit dem Datenschutz im Zusammenhang mit der COVID-19-Pandemie (https://www.datenschutzkonferenz-online.de/pressemitteilungen.html), der Europäische Datenschutzausschuss (EDSA), das Gremium der unabhängigen Datenschutzaufsichtsbehörden der Europäischen Union, hat am 19.03.2020 eine Stellungnahme zur personenbezogenen Datenverarbeitung im Zusammenhang mit dem Ausbruch von COVID-19 veröffentlicht (nur in englischer Sprache verfügbar: Statement on the processing of personal data in the context of the COVID-19 outbreak (https://edpb.europa.eu/our-work-tools/our-documents/other/statement-processing-personal-data-context-covid-19-outbreak_en).

Die folgende Hilfestellung erfolgt mittels auf die Situation in Sachsen angepasster datenschutzrechtlicher Hinweise. Ziel bleibt, Pandemiebekämpfung und Datenschutz im Einzelnen zu vereinbaren.

1. Zulässige Maßnahmen von Arbeitgebern bzw. Dienstherren im Interesse des Infektionsschutzes – Hinweise zum Musterformular - Erhebung privater Kontaktdaten von Mitarbeitern zur Risikoprävention
2. Hinweise zum Datenschutz bei (Tele-) Heimarbeit / im Home-Office
3. Meldepflichten von Leistungserbringern im Gesundheitswesen (wie Krankenhäuser, Ärzte, etc.) im Interesse des Infektionsschutzes
4. Zulässige Maßnahmen von Staat und Kommunen im Interesse des Infektionsschutzes
5. Auswertung von Telekommunikationsdaten zur Pandemiebekämpfung nur unter engen Voraussetzungen zulässig
6. Der Sächsische Datenschutzbeauftragte befindet sich bis auf weiteres im Pandemiemodus
7. Handreichung - Datenschutzrechtliche Aspekte der Erhebung von Kontaktdaten von Kunden und Besuchern der Corona-Pandemie
8. Musterformular für Betriebe und Einrichtungen mit datenschutzrechtlicher Information nach Art. 13 Datenschutz-Grundverordnung (DSGVO)

9. Zulässigkeit von Ausweiskopien bei der Ausgabe von FFP2-Masken durch Apotheken

10. Befreiung von der Pflicht eine Mund-Nasenbedeckung bzw. einen Mund-Nasen-Schutz zu tragen – Informationen zum Datenschutz

Allgemeine und weiterführende Hinweise aus Sachsen sowie Kontaktadressen zur COVID-19-Pandemie finden Sie unter https://www.coronavirus.sachsen.de/.

Die Nutzung von Telekommunikationsdaten ist nach geltendem Recht im Interesse des Infektionsschutzes nur insoweit zulässig, als die Identifizierbarkeit der Betroffenen ausgeschlossen bleibt (Anonymisierung), oder die Betroffenen ihre Einwilligung geben. In jedem Fall muss bei der Ausgestaltung derartiger Nutzungen sichergestellt sein, dass die Datenhaltung sicher ist, die erhobenen Daten nur für die vorgesehenen Zwecke verarbeitet und insbesondere nach Abwendung der Gefahr wieder zuverlässig gelöscht werden.

Der Sächsische Datenschutzbeauftragte warnt vor einer unkritischen Übernahme von Methoden zur Identifizierung individueller Infektionsrisiken und zur Quarantänedurchsetzung aus Ländern, die teils völlig andere staatliche und gesellschaftliche Strukturen und Wertvorstellungen haben. Auch und gerade im Angesicht unbekannter Gefahren sind das Gesetzlichkeitsprinzip, die Verhältnismäßigkeit und das Datenminimierungsgebot zu beachten.

Soweit Gesetzgeber oder Private Möglichkeiten zu einer entsprechenden Datenauswertung schaffen, ist zu vergegenwärtigen, dass das Recht auf informationelle Selbstbestimmung Verfassungsrang genießt, und die Prinzipien des Datenschutzes daneben sowohl durch das Recht der Europäischen Union als auch nach der Europäischen Menschenrechtskonvention geschützt sind.

Die Auswertung personenbeziehbarer (Telekommunikations-) Daten

• darf insoweit nur auf der Grundlage ausreichend konkreter Gesetze oder Einwilligungen erfolgen,
• muss für die verfolgten Zwecke geeignet, erforderlich und verhältnismäßig sein, und
• hat Datensicherheit, Nachvollziehbarkeit, Verantwortlichkeit, Datenminimierung und Speicherbegrenzung zu gewährleisten.

Insoweit ist zu betonen, dass jedenfalls auf einer ersten Stufe die anonyme Datenverarbeitung im Regelfall ausreichen dürfte um festzustellen, ob und wieweit eine Ansprache, Identifikation etc. betroffener Personen erforderlich ist. Jedenfalls in derartigen frühen Phasen der Gefahrenanalyse dürfte im Regelfall die Verwendung nicht zumindest effektiv pseudonymisierter Daten unzulässig bleiben; auch wiederum ist eine pseudonyme Ansprache von betroffenen Personen ggf. vorzugswürdig und kann für die verfolgten Zwecke ausreichend sein.

Die Erfahrung lehrt, dass in Notfallzeiten Gesetze und Praktiken entstehen, die über den Notfall hinaus gelten oder zur Übung werden. In besonders dringlicher Form gilt für die Auswertung von Telekommunikationsdaten daher der allgemeine Satz, dass Notfallmaßnahmen sich am Notfall und dessen Fortbestand bzw. Erledigung zu messen haben.