Corona-Pandemie
Zulässige Maßnahmen von Staat und Kommunen im Interesse des Infektionsschutzes
Die Datenschutzgesetze sehen personenbezogene Datenverarbeitungen ausdrücklich im Interesse der Gesundheitsvorsorge und des Schutzes vor (grenzüberschreitenden) Gesundheitsgefahren vor.
Aus allgemeinen und besonderen ordnungsbehördlichen Normen ergeben sich eine Reihe von Rechtsgrundlagen für behördliche und sonstige öffentlich-rechtliche Datenverarbeitungen. Zu nennen sind hier insbesondere das Infektionsschutzgesetz (IfSG) sowie die auf dieser Grundlage erlassenen Allgemeinverfügungen von Land und Kommunen.
Zwar gilt auch im Datenschutzrecht in gewissem Umfang, dass besondere Umstände besondere Maßnahmen erfordern und auch zulassen. Dennoch gelten die Grundsätze des Datenschutzrechts unvermindert, während der besonderen Pandemie-Situation im Rahmen der datenschutzrechtlichen Interessen- und Risikoabwägungen Rechnung getragen wird.
Das Erfordernis einer gesetzlichen Grundlage für die Datenverarbeitung wird bei hoheitlichem Handeln im Regelfall gemäß Artikel 6 Abs. 2 Buchstaben c, d und e sowie Artikel 9 Abs. 2 Buchstaben g, h und i DSGVO erfüllt, wenn die Datenverarbeitung auf anderweitiger gesetzlicher Grundlage, zum Schutz lebenswichtiger Interessen, im öffentlichen Interesse, zur Gesundheitsvorsorge und/oder zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren erfolgt. Die letzteren beiden Rechtsgründe gelten jedoch nur soweit, wie die zugrundeliegenden Normen angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des (ärztlichen) Berufsgeheimnisses, vorsehen.
Die Beschränkung der personenbezogenen Datenverarbeitung auf das zur Erreichung des verfolgten Zwecks konkret erforderliche Maß bleibt in jedem Fall zwingend, ebenso wie die Transparenz der Datenverarbeitung gegenüber den Betroffenen (Informationspflichten nach Artikel 13, 14, 15 DSGVO), die Verpflichtungen zur Datenminimierung sowie zur Nachvollziehbarkeit und Verantwortlichkeit. Mit Hinblick auf die letzteren beiden Prinzipien ist insbesondere die Dokumentations- und Organisationspflicht nach Artikel 24, 25, 32 DSGVO von besonderer Bedeutung, die auch durch die besondere Notfall-Lage nicht aufgehoben sind.
Aus dem Gebot der Datenminimierung und Speicherbegrenzung, Artikel 5 Abs. 1 Buchstaben c und e DSGVO, folgt insbesondere auch, dass für Zwecke der Pandemiebekämpfung erhobene personenbezogene Daten grundsätzlich einen Monat nach Ende des Besuchs zu löschen sind.
