Es ist schon viel über den neuartigen Corona-Virus bekannt. Eins jedoch ist noch nicht bekannt: Das Virus befällt auch die DSGVO und nistet sich tief in die datenschutzrechtliche Grundsätze ein. Wie lässt es sich anders erklären, dass Landes-Datenschutzbehörden nun von ihrem "harten Kurs" abweichen und dutzende Unternehmen ohne jegliche Rechtsgrundlage Corona-Newsletter verschicken? Mehr noch: Auf die Datenschützer kommt nun viel Arbeit zu: Zukünftig wird die Digitalisierung stärker vorangetrieben. Dies bedingt, dass datenschutzrechtliche Anforderungen beachtet werden müssen.
Es folgt ein Überblick zu den aktuellen Datenschutz-Eskapaden... Pragmatismus scheint die Haltung der Stunde zu sein!
Datenschutz ad acta zu Zeiten von Corona. Wer hat es erfunden? Die Schweizer! Und die Schweizer, genauer gesagt die schweizer Aufsichtsbehörde für Datenschutz stellt direkt klar, dass ein Rechtsbruch mit dem DSG (Schweizer Datenschutzgesetz) toleriert wird: "Die Liste enthält Dienste und Produkte, welche die datenschutzrechtlichen Anforderungen nicht oder nur teilweise erfüllen. Sie können während der ausserordentlichen Lage vorübergehend eingesetzt werden."
https://dsb.zh.ch/internet/datenschutzbeauftragter/de/themen/digitale-zusammenarbeit.html
Nur was heißt "vorübergehend eingesetzt"? Und wann ist die "ausserordentliche Lage" zu Ende. Vor allem ,was passiert mit den Daten wenn diese Lage vorbei ist und die Werkzeuge nicht mehr eingesetzt werden dürfen? Werden die dann gelöscht? Geht das überhaupt? Sind die personenbezogenen Daten nicht dann bereits offenbart/offengelegt und "verloren"?
Einen weiteren datenschutzrechtlichen Fauxpas leistet sich in den heutigen Tagen der Bundesbeauftragte für den Datenschutz. Er, die Sperrspitze des Datenschutzes in Deutschland, verkennt, dass Einwilligungen im Arbeitsverhältnis Null und Nichtig sind. Denn abhängig Beschäftigte Mitarbeiterinnen und Mitarbeiter können wirksam nicht in die Datenverarbeitung einwilligen. Sie sind eben abhängig und deswegen ist eine Freiwilligkeit bei einer Einwilligung niemals gegeben.
Unter der Überschrift "Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie" steht dann folgender Satz, der so nicht sein darf: "Eine Einwilligung der von Maßnahmen Betroffenen allein sollte hingegen vorliegend nur als datenschutzrechtliche Verarbeitungsgrundlage in Betracht gezogen werden, wenn die Betroffenen über die Datenverarbeitung informiert sind und freiwillig in die Maßnahme einwilligen können."
Auch beim rheinlandpfälzischen Landesdatenschutzbeauftragten ist es nicht mehr weit her mit dem Datenschutz. Er lässt die Erkenntnis vermissen, dass auch Pseudonyme einen Personenbezug haben und die Verarbeitung entsprechend unter der DSGVO fällt. O-Ton: "[...] auch durch die weitest gehende Vermeidung eines Personenbezuges hergestellt werden. So können für Chaträume etwa Pseudonyme vereinbart werden [...]". Und weiter im Text fordert der Landesdatenschutzbeauftragte auf, nur Sprache zu übertragen, da der Personenbezug ja erst bei Gesichtern greift "[...] und für den Ersatz von Frontalunterricht reicht möglicherweise der Stream einer Präsentation mit Audiokommentar aus, ohne dass Schülerinnen und Schüler oder auch das Lehrpersonal zu sehen sein müssen." Auch das verstehe ich nicht. Nur in Zeiten wie diesen muss ich auch nicht alles verstehen.
Der BW-Landesdatenschutzbeauftragte lobt die nun kostenlose Nutzung von Moodle-Servern, die - nach seinen Aussagen - alle Anforderungen des Datenschutzes genügen. Leider hat er da die Anforderung der Verfügbarkeit und Belastbarkeit der Systeme vergessen (Art. 32 DSGVO). Denn - oh Wunder - das kostenlose Moodle hat Verfügbarkeitsprobleme: "Seit Beginn des Ausnahmezustandes durch die Schulschliessungen erreichen uns massenhaft Hilferufe und Beschwerden, daß die bestehenden Moodle-Instanzen derzeit zäh bis unbenutzbar geworden sind." Auch Detailfragen wie die Rechtsgrundlage der Verarbeitung (die Schule braucht eine Einwilligung) oder die vorherige Verarbeitung von Schülerdaten auf dem heimischen PC der Lehrerinnen und Lehrer wird ignoriert anstatt angegangen.
Fazit: Es ist derzeit viel möglich im Datenschutz. Wieso die Datenschutzbehörden derzeit so lasch sind, lässt sich nicht sagen. Nur die Verantwortlichen der Datenverarbeitung sollten aufpassen - denn die Bußgeldbescheide von eben diesen oben genannten Aufsichtsbehörden werden nicht lange auf sich warten lassen.
Sie haben Fragen? Wenden Sie sich gerne an mich.
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Bad Aachen