Um die Auswirkungen der Coronavirus-Epidemie für das Personal zu begrenzen und einen geregelten Dienstbetrieb aufrechtzuerhalten, hat der Hamburgische Beauftragte seit dem 13. März Home Office eingeführt. Zwischenzeitlich wurden von der Hamburgischen Gesundheitsbehörde Allgemeinverfügungen erlassen, die darauf abzielen, vermeidbare physische Begegnungen und Kontakt von Menschen auf engem Raum zu unterbinden. Wann eine Rückkehr zur regulären Büroarbeit wieder erfolgen kann, ist derzeit nicht vorhersagbar. Beratungen erfolgen daher bis auf Weiteres nur nach vorheriger Terminvereinbarung. Bitte prüfen Sie aber, ob eine persönliche Beratung unbedingt nötig ist und nehmen Sie bitte von spontanen persönlichen Besuchen Abstand. Unsere Behörde ist weiterhin – wie gewohnt – über E-Mail () und Telefon (040/42854-4040) erreichbar.

Die Handlungsfähigkeit des HmbBfDI wird dadurch aufrechterhalten, dass die Mitarbeiterinnen und Mitarbeiter des HmbBfDI fast ausschließlich im Homeoffice arbeiten. Dadurch, dass wenig Vorbereitungszeit für diese Ausnahmesituation vorhanden war, können jedoch nicht alle Funktionen mit der vorherigen Effizienz bedient werden. Entsprechendes Verständnis haben wir grundsätzlich, wenn dies auch bei den durch uns kontrollierten Stellen der Fall ist. Von uns gesetzte Fristen für Antworten an uns werden während der Zeit der Pandemie großzügiger bemessen. Darüber hinaus geht der HmbBfDI derzeit mit begründeten Anträgen auf Fristverlängerung wohlwollend um.

Gesetzliche Fristen der DSGVO gelten unverändert weiter. So haben Betroffene zum Beispiel auch in Krisenzeiten das Recht, von jedem Verantwortlichen binnen eines Monats Auskunft über die zu ihrer Person gespeicherten Daten zu erhalten. Eine Verlängerung nach Art. 12 Abs. 3 S. 2 DSGVO ist weiterhin nur ausnahmsweise möglich, wenn dies aufgrund der Komplexität und der Anzahl von Anträgen erforderlich ist.

Im Zuge des Einschreitensermessens kann es im Einzelfall jedoch geboten sein, dass der HmbBfDI Verstöße nicht verfolgt, in denen die gesetzliche Frist überschritten wird, weil die Arbeitsfähigkeit des Verantwortlichen pandemiebedingt stark eingeschränkt ist. Bei der Beurteilung wird es entscheidend auf die Länge der Überschreitung sowie die Unternehmensgröße und die damit verbundene berechtigte Erwartung an die Professionalität des Verantwortlichen ankommen.

Die Meldung einer Verletzung des Schutzes personenbezogener Daten nach Art. 33 Abs. 1 DSGVO hat „unverzüglich und möglichst binnen 72 Stunden“ zu erfolgen. Die gesetzliche Formulierung ist hier weiter als bei Art. 12 Abs. 3 DSGVO, sodass pandemiebedingte Einschränkungen der Arbeitsfähigkeit hier gegebenenfalls Berücksichtigung finden können. Wichtig ist jedoch, dass Sicherheitslücken sofort geschlossen werden, damit z.B. Kriminelle die aktuelle Ausnahmesituation nicht für ihre Zwecke missbrauchen können, und dass die Meldung an die Aufsichtsbehörde nicht unnötig verzögert wird.

Uns erreichen neben zahlreiche Beratungsanfragen von Gastronomen oder Friseursalons auch viele Bürgerbeschwerden über konkrete Einrichtungen. Diesen gehen wir in jedem Einzelfall nach und sorgen für eine datenschutzgerechte Umsetzung. Wir führen keine Gesamtstatistik über Covid-19-bezogene Datenschutzverstöße, registrieren jedoch die einzelnen uns gemeldeten Fälle. Im Rahmen einer Stichprobenaktion haben wir zudem aktiv Einrichtungen aufgesucht.

Folgende technische Fragen sollte man sich oder dem Betreiber einer Software stellen, um zu entscheiden, ob dieser Dienst unter datenschutzrechtlichen Gesichtspunkten zur Kommunikation genutzt werden kann. Hierbei spielt vor allem eine Rolle, ob die Nutzerinnen und Nutzer der Software über bestimmte Kriterien informiert werden oder für den Einsatz zustimmen muss (Liste nicht abschließend).

Wird ein Konto benötigt oder stehen Gastzugänge zur Verfügung?

• Setzt die Videokonferenzsoftware eine Registrierung eines jeden Teilnehmenden voraus?
• Lässt sich die Registrierung durch eine Anbindung an die bereits bestehende Infrastruktur, wie LDAP oder ActiveDirectory, automatisieren?
• Können Nutzer*innen als Gast ohne eine Registrierung teilnehmen? Ein Konto kann erforderlich werden, wenn beispielsweise Zugriffsrechte auf geteilte Daten oder administrative Funktionen für bestimmte Nutzerinnen und Nutzer gewährt werden sollen. Beim Einsatz von Ende-zu-Ende-Verschlüsselung mit Authentifizierung kann ein Nutzerinnen- und Nutzerkonto notwendig sein, um Nutzerinnen- und Nutzeridentitäten verifizieren zu können.

Auch sollte das Löschen oder Sperren eines Nutzerinnen- und Nutzerkonto bedacht werden, um Konten den weiteren Zugang zu verwehren.

Wird Analytics eingesetzt, wertet der Betreiber des Dienstes die Daten der Nutzerinnen und Nutzer aus und verwendet sie kommerziell?

Dies betrifft die gesammelten Daten über die Nutzerinnen und Nutzer selbst, wie beispielsweise durch Hochladen der Adressbücher und die Auswertung der bei der Kommunikation ausgetauschten Daten. Betroffen sind Inhaltdaten wie Video- und Audioströme sowie Metadaten wie Nutzungszeiten, Kontakte und Aufenthaltsorte der Nutzerinnen und Nutzer.

Welche Kosten entstehen bei der Verwendung?

Ein Kommunikationstool kann frei von direkten betrieblichen Kosten durch einen Anbieter zur Verfügung gestellt werden. Ein mögliches Geschäftsmodell ist die kommerzielle Nutzung von Metadaten, die auch über Nutzer*innen-Tracking erhoben werden können.

Andere Betreiber bieten ihren Dienst gegen Bezahlung an. Der Preis bestimmt in der Regel, in welchem Umfang die Software genutzt werden kann. So lassen sich bestimmte Funktionen der Software oder die zulässige maximale Nutzerinnen- und Nutzeranzahl durch den Betrag skalieren.

Als dritte Alternative steht der eigene Betrieb eines Dienstes. Neben möglichen Lizenzkosten für die Software entstehen in der Regel auch Aufwände beim Betrieb der Infrastruktur, die zum Einsatz der Software benötigt wird.

Ist die eingesetzte Software quelloffen und/oder frei?

Beim Einsatz von proprietären Konferenzdiensten ist der Anwender auf die Angaben von Betreiber und Hersteller des Dienstes angewiesen. Eine Kontrolle der Aussagen ist in der Regel nicht möglich. Quelloffene Software lässt sich einfacher überprüfen. Zur Transparenz gehört auch die Offenlegung der Konfiguration des Dienstes durch den Betreiber.

Ein Hinweis muss der partiellen Öffnung von Diensten gelten; bei einigen Herstellern ist die Client-Software zur Teilnahme quelloffen, das Backend bleibt aber eine Blackbox und erlaubt keine Verifikation der Herstelleraussagen.

Wird verschlüsselt kommuniziert?

• Welche Grundeinstellungen gelten für jede Konferenzsitzung?
• Muss eine Verschlüsselung manuell aktiviert werden?
• Wird eine Transportverschlüsselung verwendet oder ist eine Auswertung durch Dritte möglich?
• Kommt eine Ende-zu-Ende-Verschlüsselung zum Einsatz oder ist der Betreiber in der Lage, die Inhalte der Kommunikation einsehen zu können?
• Text-Chat-Kommunikation anders behandelt als Video- und Audiodaten?

Oftmals sind die Herstellerangaben unspezifisch. Daher sollten diese Fragen mit den Betreibenden des Dienstes geklärt werden.

Wird der Dienst auf Servern in der EU betrieben?

Bei der Wahl des Dienstes bestimmt in der Regel der Dienst-Anbieter, auf welcher Infrastruktur und an welchen Standorten der Dienst betrieben wird. Zu hinterfragen ist, ob Standorte in Staaten genutzt werden, die nicht dem Datenschutzniveau des europäischen Standards entsprechen. Hier kann auch von Relevanz sein, wenn einzelne Komponenten des Dienstes über Ländergrenzen hinweg verteilt sind. Es ist ratsam den Betreiber nach dem entstehenden Datenfluss zu fragen. Legt der Betreiber den entstehenden Datenfluss offen?

Bietet der Dienst alle Funktionen für meine Nutzerinnen- und Nutzergruppengröße?

Manche Dienste schränken die Anzahl der gleichzeitig genutzten Funktionen ein, zum Beispiel eine maximale Anzahl von gleichzeitig sendenden Videostreams oder die maximale Nutzeranzahl einer Ende-zu-Ende verschlüsselten Konferenz.

Gibt es einen Web- oder dedizierten Client?

Unter der Voraussetzung der Verwendung von aktuellen Browsern ist die Installation einer dedizierten Client-Software nicht zwingend. In der Regel erkauft man bei Web-Clienten sich relative Unabhängigkeit von Geräten und Betriebssystemen sowie der Notwendigkeit der stetigen Aktualisierung.

Soll das Tool nur zur Zeit der Corona-Pandemie genutzt werden oder ist ein Dauerbetrieb geplant?

Für den Fall eines Dauerbetriebs sollten nur Verfahren in den Auswahlprozess einbezogen werden, die die erforderlichen technischen Maßnahmen zur Gewährleistung der Sicherheit- und Vertraulichkeit der verarbeiteten personenbezogenen Daten erfüllen. Der Stand der Technik ist hierbei einzuhalten.

Unter der Situation der Covid-19-Pandemie herrschen besonderen Umstände der Verarbeitung, die bei der Abwägung der Nutzung zu berücksichtigen sind. Insbesondere besteht ein besonderes Interesse am Schutz der Beschäftigten und der Aufrechterhaltung des Dienstbetriebs. Die Auswirkungen, etwa eine Befristung der Vertragsdauer mit einem Dienstleister, sind daher zu berücksichtigen.

In der kommenden Woche werden wir hierzu weiterführende Informationen liefern. Zum einen wird demonstriert, wie anhand der vorliegend dargestellten (teilweise abstrakten) Kriterien Kommunikationstools selbst bewertet werden können. Zum anderen wird anhand spezifischer Kommunikationssoftware dieses Vorgehen demonstrieren und mögliche offene Fragestellungen diskutiert.

Tools, die im Schulzusammenhang genutzt werden sollen, müssen zum Schutz der personenbezogenen Daten der Schülerinnen und Schüler die Anforderungen aus Art. 32 DSGVO an die Datensicherheit erfüllen. Insbesondere sind in diesem Kontext die Vertraulichkeit und Integrität der Daten zu gewährleisten.

Diese Gewährleistungsziele können auf vielfältig Art und Weise sichergestellt werden. Eine Möglichkeit stellt der eigenverantwortliche Betrieb von Lernplattformen dar. Vor diesem Hintergrund rentieren sich die Anstrengungen, die Hamburg während der letzten Jahre unternommen hat, um mit der flächendeckenden schulischen Anbindung an das Portal EduPort eine Basis für die datenschutzkonforme Kommunikation und Zusammenarbeit zwischen Lehrkräften und perspektivisch auch mit Schülerinnen und Schülern zu ermöglichen. Über EduPort, das vom städtischen IT-Dienstleister Dataport gehostet und administriert wird, können Lehrkräfte auch aus dem Homeoffice Dokumente in der schulischen Cloud ablegen, Materialien mit Kolleginnen und Kollegen teilen und gemeinsam bearbeiten, Schultermine planen und veröffentlichen und auf weitere schulische IT-Systeme zugreifen. Sämtliche Daten liegen so an einer zentralen Stelle im Verantwortungsbereich der FHH. Hamburg steht mit EduPort eine datenschutzkonforme Realisierungsmöglichkeit zur Verfügung, sodass der HmbBfDI davon ausgeht, dass dieses in den Schulen verwendet wird.

Bei anderen Services kann nicht mit Sicherheit gesagt werden, welche Informationen für die verschiedenen Anbieter einsehbar sind. So könnten prinzipiell Metadaten (PDF) der einzelnen Nutzerinnen und Nutzer eingesehen und mit weitergehenden Telemetrie-Funktionen Aussagen darüber getroffen werden, welche Nutzerin und welcher Nutzer zu welcher Zeit bestimmte Dokumente bearbeitet und ggf. geteilt hat. Auch Aspekte wie verschlüsselte Dateihaltung und Kommunikation sowie Speicherort und Zugriffsrechte auf die (personenbezogenen) Daten müssen immer individuell betrachtet werden.

Sollte eine Nutzung von weiteren Tools zur Bereitstellung eines (digitalen) Unterrichtsangebots für zuhause erwogen wird, darf die alternative Möglichkeit des Postversands von Unterrichtsmaterialien nicht außer Acht gelassen werden. Denn auf diesem Wege kann gewährleistet werden, dass jeder Schüler und jede Schülerin gleichermaßen die Möglichkeit hat, am Unterricht teilzunehmen (Teilhabegerechtigkeit). Dies gilt auch in Hinblick auf die Erforderlichkeit der Verarbeitung und den Grundsatz der Datenminimierung von personenbezogenen Daten.

Es ist datenschutzrechtlich grundsätzlich möglich, angesichts der gegebenen Umstände nicht die gleichen Anforderungen an technische und organisatorische Maßnahmen zu stellen, wie unter normalen Bedingungen. Dennoch sollte die aktuelle Situation keine Beschaffung von langfristig einzusetzender IT rechtfertigen, deren Nutzung im Nachgang der Corona-Krise als nicht datenschutzkonform zu bewerten wäre. Gerade der Einsatz in Schulen, über den sich zunächst die Schulbehörde mit den Schulen zu verständigen hat und nicht der Hamburgische Beauftragten für Datenschutz und Informationsfreiheit eine Grundsatz- und Auswahlentscheidung treffen kann, muss sich daran orientieren. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit steht hier beratend zur Verfügung und muss im Übrigen im Beschwerdefall tätig werden. Die Entscheidung für oder gegen ein bestimmtes digitales Kommunikationstool, ist in erheblicher Weise insbesondere von der Zahl der Teilnehmer, dem Inhalt der Kommunikation und der Zeit der Nutzungsdauer abhängig und sollte daher für jeden Einsatzbereich individuell entschieden werden.

Nach Art. 4 Nr. 15 Datenschutz-Grundverordnung (DSGVO) stellen personenbezogene Daten dann Gesundheitsdaten dar, wenn sie sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen beziehen und aus ihnen Informationen über den Gesundheitszustand der betroffenen Person hervorgehen.

Angaben, die über Patienten, Bewohner, Klienten etc. erhoben werden, um das Risiko einer bestehenden COVID-19-Infektion zu ermitteln, sind daher dann Gesundheitsdaten, wenn sie Informationen zu bestehenden Symptomen enthalten oder aber die Einstufung des Betroffenen als Kontaktperson und daher einen begründeten Infektionsverdacht nach sich ziehen. Negativauskünfte, wie die Verneinung von Symptomen, relevanten Kontakten oder Reisen stellen demgegenüber keine Gesundheitsdaten dar. Da allerdings bei der Abfrage entsprechender Informationen unklar ist, ob sämtliche relevanten Fragen verneint oder aber bejaht werden, muss die Erhebung und Verarbeitung durch einen Erlaubnistatbestand des Art. 9 Abs. 2 DSGVO gedeckt sein und in technischer und von Gesundheitsdaten genügen.

Wer als erkrankte Person, Arzt, Therapeut oder Institution des Gesundheitswesens aufgrund gesetzlicher Meldepflichten im Zusammenhang mit Covid-19-Erkrankungen zur Mitteilung personenbezogener Daten Dritter verpflichtet ist, kann die entsprechende Datenübermittlung im Umfang der Meldepflicht auf Art. 6 Abs. 1 lit. c, 9 Abs. 2 lit. i DSGVO in Verbindung mit den einschlägigen nationalen Regelung als Rechtsgrundlage stützen.

Seit dem 13.05.2020 gibt es in mehreren Branchen die Verpflichtung der Betriebsinhaber, die Namen und Kontaktdaten aller Gäste zu erfassen. Dies folgt aus der HmbSARS-CoV-2-EindämmungsVO und betrifft die Bereiche

• Veranstalgungen
• Friseursalons
• Dienstleistungen der Körperpflege (u.a. Kosmetikstudios, Massagesalons, Nagelstudios, Tattoo-Studios)
• Gaststätten
• Übernachtungsangebote
• Freizeiteinrichtungen
• Theater, Opernhäuser, Konzerthäuser, Musiktheater, Kinos
• Bildungseinrichtungen und -angebote
• Sportanlagen und Sportbetrieb
• Schwimmbäder
• Spielbanken, Spielhallen, Wettvermittlungsstellen
• Trägerinnen und Träger der Jugendhilfe
• Kränkenhäuser, Vorsorge- und Rehabilitationseinrichtungen u.ä.
• Einrichtungen der Eingliederungshilfe
• Seniorentreffpunkte und -gruppen

In diesen Bereichen besteht eine Verpflichtung und damit gemäß Art. 6 Abs. 1 lit. c DSGVO auch die Berechtigung, Kontaktdaten und Zeitpunkt des Aufenthalts schriftlich zu dokumentieren und vier Wochen lang aufzubewahren.

Die Kontaktdaten sind seit 30.6.2020 konkret definiert als Name, Wohnanschrift und einer Telefonnummer. Die vorherige Mitteilung an dieser Stelle, wonach der Betroffene entscheiden kann, welche Kontaktwege er angibt, ist mit der Neufassung der HmbSARS-CoV-2-EindämmungsVO nicht mehr gültig. Unser Musterformular (PDF) haben wir entsprechend angepasst.

In Bereichen, die nicht oben aufgezählt sind, ist die Erhebung von Namen und Kontaktdaten allenfalls zulässig in Konstellationen, die ein besonders hohes Infektionsrisiko bergen. Nach Einschätzung des Robert Koch Instituts wird eine namentliche Registrierung empfohlen für Kontaktpersonen, die z.B. ohne Sicherheitsabstand ein mindestens 15-minütiges Gespräch „face-to-face“ führen oder die mit Körperflüssigkeiten in direkte Berührung kommen. Viele dieser Dienstleistungen sind derzeit ohnehin durch Rechtsverordnung untersagt. Tätigkeiten, die noch ausgeübt werden dürfen, etwa ärztliche Behandlungen oder Beratungstermine in Kreditinstituten, sind in der Regel ohnehin nicht anonym und werden umfassend dokumentiert. Wo dies nicht der Fall ist, kann eine Registrierung nach den Empfehlungen des Robert-Koch-Instituts aufgrund der hohen individuellen Ansteckungsgefahr auch ohne wirksame Einwilligung zulässig sein nach Art. 6 Abs. 1 lit. f DSGVO.

Keine Befugnis zur Erhebung der Kontaktdaten besteht in Konstellationen ohne Rechtspflicht und ohne längere Gespräche und ohne Kontakt zu Körperflüssigkeiten. Eine Kundenregistrierung im Einzelhandel scheidet damit aus. Gleiches gilt für den öffentlichen Nahverkehr, in dem Fahrgäste zwar gegebenenfalls nebeneinander sitzen, jedoch regelmäßig kein Austausch erfolgt.

Unbenommen ist es den Inhabern derartiger Angebote jedoch, eine freiwillige Registrierung denjenigen anzubieten, die daran teilnehmen möchten. Rechtsgrundlage ist dann die Einwilligung nach Art. 6 Abs. 1 lit a DSGVO. Für die Wirksamkeit der Einwilligung ist es erforderlich, dass diese diskriminierungsfrei abgelehnt werden kann. Die Besucherin oder der Besucher muss also dennoch das Angebot des Geschäfts nutzen können.

In jedem Fall müssen entsprechende Datenschutzhinweise, insbesondere gemäß Art. 13 DSGVO, vor Erhebung der Daten an den Kunden/Besucher erfolgen. Die Daten müssen vor dem Zugriff Unberechtigter sowie sicher aufbewahrt werden und die Speicherung darf nur kurzfristig erfolgen. Deshalb dürfen Listen, in denen solche Daten geführt werden, nicht offen herumliegen und für jedermann zugänglich sein. Oftmals ist es besser, die Daten zu jedem erfassten Besucher/Kunden auf einem gesonderten Blatt zu führen und danach sicher wegzuschließen, wenn sie nicht elektronisch geführt werden. Alternativ bietet es sich vielfach an, die Daten schon bei der Terminvereinbarung abzufragen. In gastronomischen Einrichtungen kann eine gemeinsame Liste pro Gästegruppe genutzt werden. Diese tragen sich dann alle auf die Liste ein, die auf dem gemeinsam genutzten Tisch liegt und das Personal entfernt sie, bevor die nachfolgende Gästegruppe den Tisch einnimmt.

Die Betriebsinhaberin oder der Betriebsinhaber sind für die Einhaltung des Datenschutzes gemäß Art. 4 Nr. 7 DSGVO selbst verantwortlich. Führt die Betriebsinhaberin oder der Betriebsinhaber einer Gaststätte die Kontaktdaten der Gäste auf einer Liste und lässt diese offen für alle sichtbar ausliegen (z.B. am Eingang/ Tresen oder an der Theke), so stellt dies einen Verstoß gegen die DSGVO dar, insbesondere als unzulässige Offenlegung und als Verstoß gegen die Datensicherheit. Denn die verantwortlichen Stellen, das sind die Betriebsinhaberin oder der Betriebsinhaber, müssen die Daten vor dem Zugriff Unberechtigter schützen und sicher aufbewahren.

Die in der Hamburgischen SARS-CoV-2-Eindämmungsverordnung (HmbSARS-CoV-2-EindämmungsVO) enthaltenen Regelungen sind mit einem einheitlichen Katalog an Ordnungswidrigkeitsverstößen (vgl. § 62 Abs. 1 HmbSARS-CoV-2-EindämmungsVO, gültig ab dem 27.05.2020) und entsprechenden Bußgeldregelsätzen (vgl. § 62 Abs. 2 HmbSARS-CoV-2-EindämmungsVO) versehen worden. Diese Verstöße stellen Ordnungswidrigkeiten nach § 73 Abs. 1a Nr. 24 i. V. m. § 32 IfSG dar und werden von der zuständigen Behörde (Gesundheitsbehörde) geahndet. Wenn die sachlich zuständige Behörde nicht handeln kann (beispielsweise am Wochenende oder weil nicht genug Außendienstpersonal vorhanden ist), ist die Polizei zuständig.

Gaststätten dürfen nicht geöffnet werden, wenn sie ihre Pflicht aus § 15 Abs. 1 Nr. 2 HmbSARS-CoV-2-EindämmungsVO nicht nachkommen. Danach sind zum Zweck der Nachverfolgung von Infektionsketten die Kontaktdaten der Gäste unter Angabe des Datums zu erfassen, die Aufzeichnungen sind vier Wochen aufzubewahren und der zuständigen Behörde auf Verlangen vorzulegen und die Daten nach Ablauf der Aufbewahrungsfrist zu löschen. Öffnet eine Gaststätte ohne diese Vorkehrungen, ist dies bußgeldbewährt.

Aufgabe des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) als Datenschutzaufsichtsbehörde ist es, die Einhaltung der Gesetze zum Datenschutz zu kontrollieren und bei Nichteinhaltung mit entsprechenden Sanktionen zu reagieren. Im Zusammenhang mit der HmbSARS-CoV-2-EindämmungsVO kontrolliert der HmbBfDI daher ausschließlich, ob sich die Betriebsinhaberin oder der Betriebsinhaber einer Gaststätte an die „Regeln des Datenschutzrechts“ halten. Bislang wurden in Fällen, in denen Verstöße gemeldet wurden, die verantwortlichen Stellen binnen kürzester Zeit kontaktiert und angewiesen, die Namen vor der Einsichtnahme unbefugter dritter Personen zu schützen.

Die wichtigsten Regeln zur rechtskonformen Speicherung und Verarbeitung personenbezogener Daten (z.B. bei Erhebung, Speicherung, Übermittlung, Löschung etc.) finden sich in der Datenschutz-Grundverordnung (DSGVO) wieder, insbesondere in Art. 5 DSGVO. Im Einzelnen ist sicherzustellen, ob es eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten gibt (Rechtmäßigkeit der Verarbeitung), ob die Verarbeitung dem Zweck angemessen sowie auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt ist (sog. Datensparsamkeit), ob die Daten für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden (sog. Zweckbindung), ob die Datensicherheit gewährleistet ist und ob die Datenverarbeitung transparent ist (Ausfluss des Transparenzgebotes ist die Datenschutzerklärung gem. Art. 13 DSGVO).

Die Daten müssen vor dem Zugriff Unberechtigter sowie sicher aufbewahrt werden und die Speicherung darf nur kurzfristig erfolgen. Deshalb dürfen Listen, in denen solche Daten geführt werden, nicht offen herumliegen und nicht für jedermann zugänglich sein. Oftmals ist es besser, die Daten zu jedem erfassten Besucher/Kunden auf einem gesonderten Blatt zu führen und danach sicher wegzuschließen, wenn sie nicht elektronisch geführt werden. Alternativ bietet es sich vielfach an, die Daten schon bei der Terminvereinbarung abzufragen. In gastronomischen Einrichtungen kann eine gemeinsame Liste pro Gästegruppe genutzt werden. Diese tragen sich dann alle auf die Liste ein, die auf dem gemeinsam genutzten Tisch liegt, und das Personal entfernt sie, bevor die nachfolgende Gästegruppe den Tisch einnimmt. Eine Mustervorlage zur Erfassung von Kontaktdaten der Kunden nach der Hamburgische SARS-CoV-2-Eindämmungsverordnung kann hier (PDF) eingesehen werden

Für Gastronomen, Friseurbetriebe und andere Einrichtungen, die Kontaktdaten den Kundinnen und Kunden erfassen müssen, stellen wir ein Musterformular (PDF) bereit. Bitte beachten Sie, dass es in dieser Form nur in Hamburg verwendet werden kann. In anderen Bundesländern gelten im Detail abweichende Regelungen, zum Beispiel hinsichtlich der Speicherfrist. Das Dokument ist auf die tatsächlich stattfindende Verarbeitungssituation in der jeweiligen Einrichtung anzupassen. Außerdem sind betriebsspezifische Eintragungen und Ergänzungen im Text vorzunehmen, wo dies erforderlich ist (z.B. Kontaktdaten der oder des Datenschutzbeauftragten). Die Datenschutzinformationen auf Seite 2 müssen nicht jedem Kunden individuell ausgehändigt werden. Es genügt, dass diese einmalig in der Einrichtung ausliegen oder aushängen.

Es ist nicht verpflichtend, dieses Formular zu verwenden. Der Registrierungspflicht unterliegende Einrichtungen können auch einen selbst formulierten Text verwenden oder zum etwa eine Vorlage ihres Berufsverbands. Dabei ist jedoch darauf zu achten, dass es auch den Besonderheiten der Hamburgischen SARS-CoV-2-EindämmungsVO Rechnung trägt (siehe obige Frage). Wichtig ist, dass keine offen ausliegenden Listen verwendet werde, auf denen die Kundinnen und Kunden die Kontaktdaten vorheriger Besucherinnen und Besucher einsehen können.

Nein. Die bis Ende Juni 2020 gültige HmbSARS-CoV-2-EindämmungsVO enthielt noch eine missverständliche Formulierung, in die manche eine solche Pflicht hineingelesen haben. Die Bestimmung wurde in der Fassung vom 30.6.2020 entfernt. Gastronomen sind nur noch verpflichtet, ihre Tische so anzuordnen, dass das Abstandsgebot von allen Gästen eingehalten werden kann, die ihm gegenseitig unterfallen.

Die Befragung von Kunden oder Besuchern von Ladenlokalen nach Krankheitssymptomen ist unzulässig. Die Einrichtungen sind auch nach der Hamburgischen SARS-CoV-2-Eindämmungsverordnung lediglich gehalten, anwesende Personen durch schriftliche oder bildliche Hinweise aufzufordern, die Verkaufsfläche im Fall des Auftretens von Symptomen einer akuten Atemwegserkrankung nicht zu betreten. Eine Zugangsverwehrung ist gesetzlich hingegen nur dann gefordert, wenn Personen entgegen ihrer Verpflichtung beim Betreten der Verkaufsfläche keine Mund-Nasen-Bedeckung tragen. Daneben ist allenfalls die Frage (nicht aber die Dokumentation), ob eine tatsächliche Covid-19-Infektion besteht, mit der Folge einer Zugangsverweigerung möglich, da diese Personen ohnehin keine öffentlichen Orte betreten dürfen.

Eingangsscreening auf Risikoexposition und/oder Symptome, um das Risiko einer Übertragung und großer bzw. schwerer Folgeausbrüche zu verringern, sind zur Zeit nicht erfolgversprechend, da es nach den bisherigen Erkenntnissen keine spezifischen Krankheitszeichen gibt, mit denen Träger des Covid-19-Virus frühzeitig erkannt werden können. Fragen nach Krankheitssymptomen wie Fieber, Husten, Schnupfen oder Halsschmerzen lassen also nicht verlässlich erkennen, ob eine Infektion vorliegt. Trotz respiratorischer Symptome ließen sich bei bisher untersuchten Personen ebenso auch keine Infektionen nachweisen.

Eingangsscreenings mit symptom- und/oder kontaktbasierten Fragen an die Besucher/Kunden können Infizierte somit nicht wirklich identifizieren. Im Übrigen handelt es sich um Gesundheitsdaten, deren Verarbeitung gem. Art. 9 DSGVO nur in streng geregelten Fällen erlaubt ist. Von den Ausnahmetatbeständen kommt nur die Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO in Betracht. Diese muss freiwillig geschehen, es darf also nicht der Zugang von ihr abhängig gemacht werden.

Dasselbe gilt auch für Messungen der Körpertemperatur von Kundinnen und Kunden. Weder der Einsatz von Wärmebildkameras noch von digitalen Fiberthermometern zur Feststellung von Krankheitssymptomen ist zulässig bzw. kann allenfalls als freiwilliger Service angeboten werden.

Von daher sind statt dieser Maßnahmen die Besucher/Kunden wie gesetzlich gefordert bereits im Eingangsbereich durch Aufstellen oder Aushändigung von Hinweisschildern/-blättern darauf hinzuweisen, dass sie bei Vorliegen von akuten respiratorischen Symptomen aufgefordert werden, das Unternehmen aus Gründen der Sicherheit für die Mitarbeiter und anderen Besucher/Kunden nicht zu betreten.

Seit dem 27. April 2020 gilt in Hamburg die sogenannte Maskenpflicht. In allen geöffneten Verkaufsstellen des Groß- und Einzelhandels, bei Verkaufsständen auf Wochenmärkten, auf allen öffentlich zugänglichen Flächen in Einkaufscentern und Einkaufsmeilen, in Bussen und Bahnen besteht die Pflicht, eine Mund-Nasen-Bedeckung zu tragen. Ausnahmen bestehen unter anderem für Kinder unter sieben Jahren oder Personen, die aufgrund einer gesundheitlichen Beeinträchtigung oder einer Behinderung keine Mund-Nasen-Bedeckung tragen können. Die Betriebsinhaber sind nach § 8 Abs. 1, § 13 Abs. 1 Nr. 1 HmbSARS-CoV-2-EindämmungsVO verpflichtet, Personen den Zugang zu verwehren, die keine Bedeckung tragen. Andernfalls droht ein Bußgeld. Diese Pflicht setzt eine Sichtkontrolle am Eingang voraus. Betreten Personen ohne Mund-Nasen-Bedeckung die Betriebsfläche, darf der Inhaber nur Einlass gewähren, wenn sie von der Maskenpflicht ausgenommen sind.

Nach der aktuellen Fassung des § 8 Abs. 1 Nr. 2 HmbSARS-CoV-2-EindämmungsVO vom 30.6.2020 genügt es, wenn die Besucherinnen und Besucher individuelle Ausschlussgründe glaubhaft machen. Die Vorlage eines schriftlichen Nachweises ist damit nicht mehr erforderlich. Es genügen nun mündliche Angaben. Unsere anders lautenden Informationen zur vorherigen Rechtslage gelten nicht mehr.

Nein, Bußgeldverfahren wurden daher bislang noch nicht eingeleitet. Es ist unser Ziel, die betroffenen Gastwirte und andere Gewerbetreibende, die derzeit erheblich unter den Auswirkungen der Pandemie zu leiden haben, zunächst zu beraten und für die datenschutzrechtlichen Belange zu sensibilisieren. Wir behalten uns dennoch vor, die Situation jederzeit neu zu bewerten und entsprechen zu handeln. Auch wenn eine flächendeckende Kontrolle aufgrund der beschränkten personellen Ausstattung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit nicht möglich, dürfen die datenschutzrechtlichen Vorkehrungen durch die jeweiligen Gewerbetriebe nicht außer Acht gelassen werden. Hierzu können auch unangekündigte Stichprobenkontrollen erfolgen.

Sollte sich bei einer Nachkontrolle oder anlässlich einer erneuten Beschwerde erweisen, dass eine Umsetzung der Vorgaben entgegen unserer Anordnung nicht erfolgt ist, ist eine Verhängung von weitergehenden Maßnahmen zur Durchsetzung der Datenschutzvorgaben (Bußgeldverfahren/Zwangsgeld) möglich.

Beschäftigte unterliegen grundsätzlich keiner Pflicht, Ihrem Arbeitgeber Diagnosen oder Krankheitssymptome zu offenbaren. Im Fall einer allgegenwärtigen Pandemie sind davon Ausnahmen denkbar. Die Fürsorgepflicht des Arbeitgebers gebietet es, Maßnahmen zu treffen, um Mitarbeiterinnen und Mitarbeiter vor Infektionen zu schützen. Um Kontakte mit potentiell infektiösen Kolleginnen und Kollegen zu vermeiden, ist es in der aktuellen Pandemiesituation nicht zu beanstanden, wenn vor Betreten des Arbeitsplatzes erfragt wird, ob die betroffene Person

• selbst mit dem Covid-19-Virus infiziert ist sind oder im Kontakt mit einer nachweislich infizierten Person stand oder
• sie sich im relevanten Zeitraum in einem vom Robert Koch Institut als Risikogebiet eingestuften Gebiet aufgehalten hat.

Nicht erlaubt ist beispielsweise die offen gestellte Frage, in welchem Land eine Urlaubsabwesenheit verbracht wurde oder mit welchen Personen der Betroffene in Kontakt stand. Eine Negativauskunft des Betroffenen, dass die oben genannten Punkte auf ihn nicht zutreffen, ist ausreichend. Alternativ zur individuellen Abfrage kann auch verlangt werden, dass Beschäftigte sich aktiv melden, wenn sie einen der oben genannten Punkte erfüllen.

Es handelt sich um eine Abfrage von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO. Diese ist, wenn aufgrund der Ausgestaltung des Arbeitsplatzes mit Ansteckungen zu rechnen ist, gerechtfertigt nach § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b DSGVO.

In Arbeitsumfeldern mit besonders engem Kontakt ist in der derzeitigen Lage auch ausnahmsweise die Messung der Körpertemperatur oder das Erfragen von Covid-19- sypzifischen Symptomen denkbar. Dasselbe gilt für Mitarbeiterinnen und Mitarbeitern in Einrichtungen, die für die akute Versorgung der Bevölkerung unverzichtbar sind, etwa Krankenhäuser oder Medizinproduktehersteller. In diesen Fällen sind nicht die konkret erfragten Informationen wie Krankheitssymptome oder die Körpertemperatur zu speichern, sondern lediglich die Information, dass aufgrund des Eingangs-Checks der Betroffene aufgefordert wurde, sich für einen definierten Zeitpunkt nicht an die Arbeitsstätte zu begeben.

Die Identitäten positiv auf Covid-19 getesteter Kolleginnen und Kollegen sind vertraulich zu behandeln, soweit dies ohne Gesundheitsgefahren für andere möglich ist. Die Tatsache, dass ein Betroffener Träger des Virus ist, kann sehr stigmatisierende Wirkung haben. Daher ist die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen erforderlich ist.

Dabei ist je nach Empfängerkreis der Information differenziert vorzugehen. Je nach Unternehmensgröße wird es in der Regel für die meisten Kolleginnen und Kollegen sowie gegebenenfalls für Externe ausreichend sein, zu wissen, dass eine unbenannte Person aus einer konkreten Abteilung positiv getestet wurde. Gegebenenfalls sind Zusatzinformationen sinnvoll, etwa an welchen Tagen die Person anwesend war, an welchen Meetings sie teilgenommen hat und welche Gemeinschaftseinrichtungen (z.B. Kantine, Bibliothek) sie genutzt hat. Innerhalb der Abteilung wird je nach Abteilungsgröße eine weitere Differenzierung nach untergeordneten Organisationseinheiten möglich sein. Bei Personen, die direkten Kontakt hatten, kann die zielgerichtete Offenlegung der Identität erforderlich sein. Dies betrifft beispielsweise Personen, die sich ein Bürozimmer teilen oder solche, bei denen es wahrscheinlich ist, dass ein Händedruck stattgefunden hat. Die Zulässigkeit folgt dann aus § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b DSGVO.

Beschäftigte sind auch in der aktuellen Situation in der Regel nicht verpflichtet, dem Arbeitgeber ihre private Telefonnummer oder E-Mail-Adresse mitzuteilen. Aufgrund der derzeitigen betrieblichen Planungsunsicherheiten kann es jedoch vielfach im Interesse der Beschäftigten sein, kurzfristig auf diesen Kanälen über Beschränkungen am Folgetag informiert zu werden. Daher ist es zulässig, wenn Arbeitgeber von denjenigen Kolleginnen und Kollegen, die dies wünschen, auf Einwilligungsbasis Telefonnummern und E-Mail-Adressen einholen und diese nur für die Dauer der Pandemiesituation abspeichern. Wichtig ist, dass die Teilnahme freiwillig geschieht und diskriminierungsfrei erfolgt. Eine Weigerung muss also möglich sein, ohne dass berufliche Nachteile drohen. Wer seine privaten Kontaktdaten nicht offenbaren möchte, darf nicht vom Informationsfluss abgeschnitten sein. Es ist dann aber nachvollziehbar, dass dann die Information erst später an den Betroffenen gelangt. Dies kann geschehen, indem der Betroffene sich aktiv telefonisch oder im Internet erkundigt oder zum Beispiel am folgenden Arbeitstag durch einen Aushang am Firmeneingang über Einschränkungen, eine temporäre Betriebsschließung oder andere Maßnahmen informiert wird. Die Freiwilligkeit der Einwilligung folgt abhängig von den konkreten Umständen aus § 26 Abs. 2 S. 2 BDSG, wenn die Arbeitnehmerin oder der Arbeitnehmer durch die Abgabe der Einwilligung einen zeitlichen Vorteil erzielen möchte. Wichtig ist, dass der Zweck der Erhebung klar kommuniziert wird und die Kontaktdaten dann auch nur zu dem Zweck verwendet werden. Zudem muss die Einwilligung jederzeit ohne Angabe von Gründen und ohne diskriminierende Folgen widerruflich sein. Dann sind die auf diese Weise erhobenen Kontaktdaten durch den Arbeitgeber zu löschen.

Wie oben bereits ausgeführt, unterliegen Beschäftigte grundsätzlich keiner Pflicht, Ihrem Arbeitgeber Diagnosen oder Krankheitssymptome zu offenbaren. Auch wenn das Interesse des Arbeitgebers nachvollziehbar ist, herauszufinden welche Beschäftigten (beispielsweise aufgrund bestimmter Vorerkrankungen) zu einer Risikogruppe gehören und damit besonderer Schutzmaßnahmen bedürfen, rechtfertigt dies keine allgemeine Abweichung vom obigen Grundsatz. Vielmehr bleibt es dabei, dass der Arbeitgeber die Preisgabe sensibler Gesundheitsdaten über spezifische Anfälligkeiten grundsätzlich nicht verlangen kann. Etwas anderes gilt jedoch, soweit Beschäftigte von sich aus auf Vorerkrankungen hinweisen, um besondere Schutzmaßnahmen wie bevorzugte Home-Office-Gewährung zu erlangen. In diesem Fall darf der Arbeitgeber die entsprechenden Daten verarbeiten, hat sie aber nach § 26 Abs. 3 S. 3 BDSG i.V.m. § 22 Abs. 2 BDSG angemessen zu schützen. Diese Regelungen zeigen, dass es in der eigenen Verantwortung des jeweiligen mündigen Beschäftigten liegt, darüber zu entscheiden, ob eine Preisgabe der Daten für ihn sinnvoll erscheint oder nicht.

Nein. Google hat ein Update der Google Play Dienste herausgebracht, das eine Schnittstelle (ein sogenanntes Application Programming Interface – kurz „API“) für zukünftige Software (Apps) bereitstellt. Die Google Play Dienste sind ein Software-Paket, das diverse Google-Dienste unterstützt.

Auch Apple hat mit seinem Update auf die Version 13.5 die technische Grundlage für die sog. „Corona-App“ gelegt. Über solche Schnittstellen können Apps auf Funktionen des Smartphone-Betriebssystems zugreifen. Smartphone-Betriebssysteme haben eine Vielzahl von Schnittstellen, die Apps für sich nutzen können, beispielsweise der Zugriff auf Bluetooth, die Abfrage von GPS-Standortdaten, die Nutzung der Kamera oder des Mikrofons.

Die nunmehr im Zusammenhang mit der Pandemie hinzugefügte Schnittstelle hat das sog. „Exposure Notification Framework“ umgesetzt. Wie andere Schnittstellen auf Ihrem Smartphone auch, soll diese Funktion nur durch installierte Apps nutzbar sein. Damit es zum Austausch von Daten kommt und die Schnittstelle wirklich aktiv wird, muss eine entsprechende „Corona-App“ heruntergeladen und installiert werden. Allerdings haben Google und Apple den Zugriff auf die neue Schnittstelle zum Exposure Notification Framework beschränkt, sodass nur staatlich zertifizierte Apps auf die Schnittstelle zugreifen dürfen. In Deutschland wird es die „Corona-App“ sein, die im Auftrag des Gesundheitsministeriums von der deutschen Telekom und dem Software-Konzern SAP entwickelt wird. Nähere Informationen finden Sie auf https://www.coronawarn.app/de/

Nein. Jedenfalls nicht durch die neue Schnittstelle für „Corona-Apps“. Die neue Schnittstelle kann – anders als andere wie z.B. die zur Kamera, zum Mikrofon oder zur Positionsortung – nicht durch jede beliebige installierte App genutzt werden. Stattdessen können nur speziell zertifizierte Apps diese Schnittstelle nutzen. Dies dient gerade dazu sicherzustellen, dass nur die staatlich entwickelten Apps die Funktion nutzen können und Zugriff auf die Daten haben.

Sofern Sie die „Corona-App“ installiert haben und diese verwenden, werden mit anderen Geräten in Ihrer Nähe IDs ausgetauscht. Diese IDs werden in regelmäßigen Abständen neu erzeugt und enthalten darüber hinaus keine Informationen zu Ihrer Person, wie Ihren Namen oder Ihre Telefonnummer, die eine Identifizierung leicht ermöglichen würden.

Auf dem Android-Betriebssystem wurde die Schnittstelle durch ein Update der Google Play Dienste installiert, nicht durch ein generelles Update des Android-Betriebssystems. Dieser Weg wurde gewählt, da für Android eine Vielzahl von Smartphone- und Tablet-Hersteller und entsprechend viele verschiedene Betriebssystemversionen – teils sehr veraltet – in der Praxis genutzt werden. Ein Update des Betriebssystems selbst hätte zur Folge, dass viele Nutzerinnen und Nutzer die Funktion gar nicht oder nur sehr verspätet erhalten würden. Der Weg über die Play Dienste führt zu einer besseren Verbreitung der Funktion. Die Play Dienste werden in der Regel auf jedem Gerät automatisch aktualisiert, gleiches gilt häufig auch für Apps. Es bleibt nach unserer Kenntnis dabei, dass die Schnittstelle nicht aktiv ist, solange keine entsprechende App installiert ist.

Google selbst hat, wie auch Apple, Informationen zum Update bereitgestellt und die Funktionsweise der Schnittstelle offengelegt. Denn nur durch eine offene Kommunikation und Transparenz kann ein Vertrauen in die Funktionsweise erreicht werden. Aktuelle Informationen finden Sie in der Android-Hilfe von Google.

Auf Apple-Geräten wird hingegen die Schnittstelle mit dem iOS-Update Version 13.5 installiert. Da hier nicht das Problem der Vielzahl unterschiedlicher Hersteller besteht, ist dieser Weg für iOS möglich.

Nein. Jedenfalls nicht durch die neue Schnittstelle für „Corona-Apps“. Die neue Schnittstelle kann nicht durch jede beliebige installierte App genutzt werden. Stattdessen können nur speziell zertifizierte Apps diese Schnittstelle nutzen. Dies dient gerade dazu sicherzustellen, dass nur die staatlich entwickelten Apps die Funktion nutzen können und Zugriff auf die Daten haben.

Alle Daten, die über die Schnittstelle zum Erfassen möglicher Kontakte von Ihrem Gerät und den Geräten anderer Menschen gesammelt werden, werden nicht mit Google oder Apple geteilt. Ein Datenaustausch findet ausschließlich mit den staatlich betriebenen Servern statt, die zur Unterstützung der „Corona-Apps“ eingerichtet werden. Von diesen erhält Ihr Gerät die Information, ob eine Person, zu der Sie aufgrund der räumlichen Nähe möglicherweise einen ansteckungsgefährlichen Kontakt hatten, mit Covid-19 infiziert ist. Diese Information wird von der entsprechenden App auf Ihrem Gerät generiert und verlässt dieses nicht. Sie können infolge der Benachrichtigung selbstständig entscheiden, sich in eine Quarantäne zu begeben, um möglichst auszuschließen, dass Sie weitere Personen infizieren.

Dass eine Software-Schnittstelle durch Google und Apple bereitgestellt wird, führt zu einer schnellen Verfügbarkeit für alle Menschen, die diese Funktion nutzen wollen. Da nahezu jedes genutzte Telefon oder Tablet entweder mit iOS oder Android läuft, ist so eine maximale Erreichbarkeit möglich. Die weiteren App-Entwicklungen oder das Betreiben der unterstützenden App-Server liegen nicht mehr in den Händen von Google oder Apple. Um Kompatibilität zwischen Geräten mit iOS und Android zu gewährleisten war zudem eine Zusammenarbeit zwischen Apple und Google nötig. Ohne diese hätte einem Projekt wie der deutschen „Corona-App“ die technische Grundlage gefehlt.

Um Missbrauch auszuschließen, kann nicht jede beliebige Person dem App-Server eine Infektion melden. Die Meldung erfolgt auf freiwilliger Basis aus der App heraus mit einer einmalig nutzbaren Transaktionsnummer (TAN), die mit dem Test ausgetellt wird. Die Meldung an den App-Server entbindet zudem nicht von der amtlichen Meldepflicht der Erkrankung gemäß § 6 (1) Nr. 1 t) Infektionsschutzgesetz. Sie trägt aber dazu bei, andere Menschen vor einer möglichen Infektion zu warnen und kann damit potentiell die unkontrollierte erneute Verbreitung von Infektionen verhindern.

Weitere Informationen zur Corona-App in Deutschland wird der BfDI im Pressebereich seiner Website am Montag, den 15.06.2020, als Pressemitteilung veröffentlichen.

• FAQ zur deutschen Corona-Warn-App von Friedhelm Greis auf golem.de
• “Corona-Tracking: Apple und Google wollen nur eine App pro Land” von Ben Schwan auf heise.de
• Corona Tracing Animation auf dem Kryptographie-Lernportal “CrypTool”

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat am 13. März 2020 Informationen für Arbeitgeber und Dienstherren zum Umgang mit dem Datenschutz im Zusammenhang mit der Corona-Pandemie veröffentlicht. Die Datenschutzaufsichtsbehörden stellen darin klar, dass der Schutz personenbezogener Daten und Maßnahmen zur Bekämpfung der Infektion sich nicht entgegenstehen.

Die DSK-Hinweise können auf der Website des Bundesbeauftragten für Datenschutz und Informationsfreiheit heruntergeladen werden.

Der Europäische Datenschutzausschuss (EDSA bzw. EDPB) hat außerdem Informationen und ein offizielles Statement zum Datenschutz und Covid-19 auf ihrer Website veröffentlicht. Eine deutsche Übersetzung ist in Arbeit.

• Information des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), „Telearbeit und Mobiles Arbeiten“
• Information des Bundesamts für Sicherheit in der Informationstechnik (BSI), „HomeOffice? – Aber sicher!“
• Artikel der European Union Agency for Cybersecurity (ENISA), „Top Tips for Cybersecurity when Working Remotely“
• Information des unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein, „Datenschutz: Plötzlich im Homeoffice – Und nun?“ (PDF)

FAQ zum Thema Corona aus Baden-Württemberg (PDF)

Hinweise aus Schleswig-Holstein

Hinweise aus Bayern

• https://www.datenschutz-bayern.de/corona/
• hier werden zudem auch Sonderinformationen zum Thema „Mobiles Arbeiten“ und Datenschutz im Gesundheitswesen aufgezeigt.

Informationen der Kolleginnen und Kollegen aus Rheinland-Pfalz

• Eine Podcast-Sonderfolge zum Thema Covid-19
• Informationen zum Schulunterricht in Zeiten der Corona-Krise