Der Einsatz von Google Analytics durch Webseitenbetreiber ist nicht mit der DS-GVO vereinbar. Dieser Auffassung…
EDSA zur Garantie des Datenschutzes während der Corona-Krise
Der Europäische Datenschutzausschuss (EDSA/engl. EDPB) hat sich zum Verhältnis von Datenschutzregelungen und Maßnahmen zur Bekämpfung des Corona-Virus geäußert. Dabei betont auch der EDSA – wie schon die DSK der Länder – dass sich Schutzvorkehrungen und die Eindämmung des Virus durchführen lassen, ohne dabei gegen die DSGVO oder nationale Datenschutzvorschriften zu verstoßen.
Denn, so der EDSA ganz grundsätzlich, eine Datenverarbeitung aus Gründen der öffentlichen Sicherheit sei sowohl bezüglich personenbezogener Daten nach Art. 6 DSGVO, aber auch hinsichtlich besonderer Kategorien personenebezogener Daten gem. Art 9 i.V.m passenden nationalen Vorschriften möglich. Wie stets sei es aber unabdingbar, die Maßnahmen auf die passenden Rechtsgrundlagen zu stützen und die Grundsätze der Verarbeitung nach der DSGVO aus Art. 5 einzuhalten.
Hinsichtlich der Verarbeitung im Beschäftigungskontext weißt der EDSA explizit darauf hin, dass unter diesen Voraussetzungen auch Gesundheitsdaten verarbeitet werden können, sofern sie erforderlich sind, um z.B. zum Gesundheitsschutz übriger Arbeitnehmer beizutragen. Allerdings müssten unbedingt die Regeln der Datenminimierung und des Erforderlichkeitsprinzips beachtete werden. Keineswegs sollten mehr Daten als für die spezifische Maßnahme notwendig verarbeitet werden. Auch dürften Informationen über Krankheiten einzelner Arbeitnehmer nicht an andere Mitarbeiter weitergeben werden. Sofern Quarantänemaßnahmen nötig sind, sei darauf ohne Bezug zur Ansteckungsquelle hinzuweisen.
Hinsichtlich der Auswertung von Telekommunikationsdaten (etwa Standort- und Verkehrsdaten) zu dem Zweck, Ansteckungs- und Übertragungswege des Virus nachzuvollziehen, äußert sich der EDSA hingegen zurückhaltend. Der jeweilige Mitgliedsstaat müsste explizite gesetzliche Regelungen schaffen, die nicht nur die Verarbeitung der Daten in einem erforderlichen, verhältnismäßigen und angemessenen Rahmen genau regeln würde, sondern auch technisch-organisatorische Maßnahmen festlegen, die den hohen Risiken einer derartigen Datenverarbeitung gerecht würden. Auch eine restriktive zeitliche Begrenzung allein auf die Zeit der Krise sei in einem solchen Fall unabdingbar.
Zudem sei es vorzugswürdig und geboten zunächst lediglich anonyme oder anonymisierten Daten zu verarbeiten.
Quelle: Statement from the edpb on the processing of personal data in the context of the COVID-19 outbreak.
This Post Has 0 Comments