Home-Office, Soft-Token, erkrankte Mitarbeiter, Arbeitsbelastung… Corona stellt Unternehmen vor Datenschutz-Fragen

Die Corona-Pandemie hat viele Umbrüche mit sich gebracht und viele Fragen aufgeworfen. Unternehmen sind auf vielfältige Weise von den Veränderungen betroffen. Neben erhöhten Anforderungen an den Arbeitsschutz, betriebswirtschaftlichen Erschwernissen und einer ungewissen Wirtschaftslage ist aber auch der Datenschutz im Unternehmen mit neuen Fragestellungen konfrontiert worden. Dr. Jörn Voßbein, Datenschutzexperte und Geschäftsführer der UIMC aus Wuppertal, ist in der letzten Zeit mit einer Vielzahl von Themen beschäftigt gewesen: „Die Fragen aus den Unternehmen sind breit gefächert. Zum einen fragen sich Unternehmen, ob sie den Datenschutz momentan nachrangig bearbeiten können, weil sie sich beispielsweise in Kurzarbeit befinden oder andere Fragen dringender sind. Zum anderen ergeben sich manche Datenschutzthemen aber auch aus den Corona-Schutzmaßnahmen selbst.“ Im Folgenden soll ein Überblick über die wichtigsten Fragen aus Sicht von UIMC gegeben werden.

Home-Office ist eine der ersten Maßnahmen gewesen, die viele Unternehmen ergriffen haben, um ihre Mitarbeiter und den Betrieb zu schützen. Wie sieht es nun mit der telefonischen Erreichbarkeit aus: Darf die dienstliche Durchwahl einfach auf das Handy des Mitarbeiters umgeleitet werden, auch auf sein privates Telefon? Datenschutzrechtlich unproblematisch ist die Umleitung auf das Diensthandy des Mitarbeiters. Ganz anders sieht es mit der Umleitung auf den privaten Anschluss aus, egal ob es sich um Festnetz oder Handy handelt. Da es hierfür keine Rechtsgrundlage gibt, muss der Mitarbeiter einwilligen.

Die Einwahl in das Firmennetzwerk geschieht oft mittels eines „Virtual Private Network“ (VPN) für eine sichere Datenverbindung. Hierfür wird im Regelfall eine 2-Faktor-Authentifizierung genutzt, das heißt neben dem Usernamen und einem Passwort wird noch ein zusätzlicher zufälliger Sicherheitscode generiert, der mit eingegeben werden muss. Meistens erhalten die Mitarbeiter hierfür einen sogenannten Token, der wechselnde Zahlenfolgen anzeigt, die dann jeweils bei der Anmeldung genutzt werden. Was aber nun, wenn nicht alle Mitarbeiter so einen Token haben? Es gibt auch die Möglichkeit einen solchen Code per App auf dem Smartphone zu generieren. Auch hier ist wieder die Frage, ob dafür das private Handy des Mitarbeiters genutzt werden darf. „Da es keine Rechtsgrundlage für ein solches Vorgehen gibt, ist auch hier nur der Weg über eine Einwilligung möglich. Diese muss rechtskonform gestaltet sein und man muss auch bedenken, dass der Mitarbeiter nicht dazu verpflichtet ist und sie jederzeit widerrufen kann.“ erläutert UIMC-Geschäftsführer Dr. Voßbein.

Aller Schutzmaßnahmen zum Trotz ist es einigen Unternehmen schon passiert: Ein Mitarbeiter erkrankt an Covid-19 und informiert den Arbeitgeber. Darf der Name des Kollegen nun im Betrieb genannt werden, um seine Kollegen zu warnen? „Auf keinen Fall!“ sagt Dr. Voßbein. „Sie können der Belegschaft mitteilen, dass es einen Erkrankungsfall gibt und gegebenenfalls durch die Gesundheitsbehörden Quarantäne angeordnet wird. Wenn der Name des Kollegen im Betrieb publik wird, handelt es sich hierbei um eine Datenpanne nach Artikel 33 DSGVO, die den Datenschutzbehörden gemeldet werden muss.“ Eine Ausnahme besteht nur dann, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist oder der betroffene Mitarbeiter seine Erlaubnis erteilt hat. Bei diesen Ausnahmen sollten sich Unternehmen aber fachlich beraten lassen.

Viele Unternehmen arbeiten momentan am Limit und erreichen ihre Kapazitätsgrenzen. „Gerade die Angestellten im Gesundheitsbereich haben in der letzten Zeit großartiges geleistet“, erläutert Dr. Voßbein. „Speziell aus diesem Bereich erreichen uns viele Fragen: ‚Wir wollen uns an die Datenschutz-Vorgaben halten, aber gibt es momentan einen pragmatischeren Ansatz?‘“. Grundsätzlich handelt es sich bei Gesundheitsdaten um schutzwürdige, persönliche Daten, bei deren Verarbeitung besondere Vorgaben eingehalten werden müssen. Die DSGVO erhält zwar eine Öffnungsklausel, die die Datenverarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit zulässt. So kann insbesondere der Schutz vor Pandemien von dieser Klausel umfasst sein und die Datenverarbeitung damit zulassen. „Diese Regelung ist aber aus verständlichen Gründen sehr eng gefasst. Die betroffenen Unternehmen sollten die Öffnungsklausel nicht als Freibrief verstehen und sich dringend datenschutzrechtlich beraten lassen, um schwerwiegende Fehler und hohe Bußgelder zu vermeiden.“, mahnt Dr. Voßbein. UIMC steht den Betroffenen mit der Expertise der hauseigenen Fachleute zur Seite.

Über die UIMC Dr. Vossbein GmbH & Co. KG

Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.

Firmenkontakt und Herausgeber der Meldung:

UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de

Ansprechpartner:
Dr. Jörn Voßbein
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel