Corona XXVI: Bedeutung des Datenschutzes in der Corona-Krise

06. April 2020

IT- und Datenschutzrecht,

Selten gab es eine Zeit, in der so unbedarft personenbezogene Daten von Mitarbeitern oder beliebigen Bürgern erhoben und gesammelt wurde, ohne dass dies ein Störgefühl bei den Betroffenen verursacht hat. Dies zeigt sich insbesondere an den aktuellen Diskussionen rund um die Einführung einer (freiwilligen) Tracking-App zur Erkennung von Corona-Infektionsketten oder auch die umfangreichen Fragen der Arbeitgeber über die Gesundheitszustände von Mitarbeitern.

Der nachstehende Beitrag gibt aktuelle Informationen darüber, wie die deutschen Datenschutzaufsichtsbehörden mit datenschutzrechtlichen Versäumnissen von Verantwortlichen umgehen.

Notbetrieb bei den Datenschutzaufsichtsbehörden

Angesichts der sich verschärfenden Lage haben neben Berlin auch viele weitere Datenschutzaufsichtsbehörden auf einen vorübergehenden Notbetrieb im Homeoffice umgestellt. Dies hat natürlich zur Folge, dass sich die Bearbeitung vieler Anfragen verzögert. Ein Einfluss auf die Wahrnehmung ihrer Aufsichts- und Kontrollaufgaben hat dies bisher jedoch nicht, wie der aktuelle Fall um die vertauschten Kundendaten bei der Investitionsbank Berlin anschaulich zeigt.

Umgang mit Datenschutzpannen – 72 Stunden?

Die Datenschutzaufsichtsbehörden möchten natürlich länderübergreifend vermeiden, dass sich unter dem „Deckmantel“ der Corona-Krise ein allzu nachlässiger Umgang mit personenbezogenen Daten einbürgert. Insoweit bleibt es derzeit noch dabei, dass Art. 33 Abs. 1 DSGVO weiterhin verbindlich gilt. So hat der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, den Vorfall zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (hierzu auch unser Beitrag „Meldepflichtige Datenpannen im Unternehmen“ - https://www.ksb-intax.de/blog/meldepflichtige-datenpannen-im-unternehmen/).

Einige Datenschutzaufsichtsbehörden haben aber bereits mitgeteilt, dass sie Verständnis für verlängerte Reaktionszeiten haben, soweit die Verzögerung nur gering ist, die Sicherheitslücken unverzüglich geschlossen wurden und die Verspätung allein auf die pandemiebedingte Einschränkung zurückzuführen ist. Zudem haben viele Datenschutzaufsichtsbehörden laufende Verfahren mit einer generellen Fristverlängerung belegt – etwa wie Bayern zum 20.04.2020.

Ob diese verständnisvolle Haltung auch zu geringeren Bußgeldern nach Art. 83 DSGVO führt, bleibt aber abzuwarten. Jedenfalls dürfte die nunmehr vermehrt angespannte wirtschaftliche Situation der Unternehmen in das behördliche Auswahlermessen einbezogen werden und entsprechend Berücksichtigung finden.

Insgesamt seien aber bislang keine negativen Folgen für den Datenschutz erkennbar, so der Bundesdatenschutzbeauftragten Kelber.