juris Nachrichten

  • Die wichtigsten Entscheidungen
  • Gesetzesentwicklungen und -vorhaben
  • Tagesaktuelle Auswahl der juris Redaktion

Die juris Nachrichten App jetzt gratis herunterladen

Login
Autor:David Seiler, RA
Erscheinungsdatum:21.04.2020
Quelle:juris Logo
Normen:§ 1 ZSKG, § 25a KredWG, § 25c KredWG, § 3 ArbSchG, § 22 BDSG 2018, § 4 ArbSchG, § 26 BDSG 2018, § 23 ArbSchG, § 16 IfSG, § 43 BDSG 2018, 12016P008, EUV 2016/679
Fundstelle:jurisPR-BKR 4/2020 Anm. 1
Herausgeber:Prof. Dr. Stephan Meder, Universität Hannover
Dr. Anna-Maria Beesch, RA'in und FA'in für Bank- und Kapitalmarktrecht
Zitiervorschlag:Seiler, jurisPR-BKR 4/2020 Anm. 1 Zitiervorschlag

Covid-19 (Coronavirus SARS-Cov-2) und Datenschutz

A. Datenschutz und Corona

Die Bewältigung der Corona-Pandemie steht unter dem Primat des Überlebens von Menschen, aber auch das Überleben der Wirtschaft und der Unternehmen ist wichtig. Gerade die aktuellen Diskussionen um den Datenschutz im Zusammenhang mit einer Tracking-App (vgl.: https://www.pepp-pt.org) zeigen, dass auch das Datenschutzrecht nicht vernachlässigt werden darf.1 Dabei zeigen sich zahlreiche Probleme neu oder unter neuen Vorzeichen. Fragen zum Datenschutz im Beschäftigungsverhältnis2, speziell die rechtliche Ausgestaltung von Homeoffice, Verarbeitung von Gesundheitsdaten und bislang kaum beachtete Verarbeitungsgrundlagen im Katastrophenschutzgesetz wie auch im Infektionsschutzgesetz rücken in den Fokus. Trotz allem Verständnis für die Notwendigkeit der eiligst getroffenen und sehr weitgehenden Einschränkungen wird die Diskussion um die Freiheitsgrundrechte, zu denen auch das Datenschutzgrundrecht (Art. 8 EU-Grundrechtecharta) gehört, zunehmend lauter.

Die Datenschutzkonferenz der Aufsichtsbehörden weist in einer Entschließung vom 03.04.20203 darauf hin, dass die Verarbeitung personenbezogener Daten weiterhin nur auf einer gesetzlichen Grundlage erfolgen darf (Art. 6 DSGVO). Zudem muss jede Datenverarbeitung auf die Eignung für ihren Zweck hin überprüft werden. Im Rahmen der Erforderlichkeitsprüfung ist zu überlegen, ob es andere – weniger eingreifende – Maßnahmen gibt, die ebenfalls zur Zweckerreichung führen. Spezielle Datenverarbeitungsmaßnahmen, die zur Bewältigung der Pandemie ergriffen wurden, sind zu befristen, d.h. die Löschung der Daten muss möglich sein und eingeplant werden. Insbesondere bei der Verarbeitung von Gesundheitsdaten sind an die Prüfungen der datenschutzrechtlichen Zulässigkeit hohe Anforderungen zu stellen. Zudem darf der technisch-organisatorische Datenschutz (Art. 32 DSGVO) sowie die Erfüllung der Informationspflichten gegenüber den Betroffenen (Art. 13 DSGVO) nicht vergessen werden.

Der nachfolgende Beitrag setzt sich insbesondere auch mit den neuen Äußerungen der Datenschutzaufsichtsbehörden zu diesem aktuellen Themenkomplex auseinander.

B. Beschäftigtendatenschutz und Gesundheitsdatenschutz

Zwei wesentliche Komplexe, deren Grundlagen wichtig sind, betreffen die Verarbeitung von Gesundheitsdaten und die Verarbeitung von Beschäftigtendaten. Gesundheitsdaten sind in Art. 4 Nr. 15 DSGVO definiert und die Information, ob eine Person (ob Beschäftigter, Lieferant oder Kunde) mit Covid-19 infiziert, erkrankt oder deswegen in Behandlung ist, fällt zweifelsfrei darunter. Für die Verarbeitung von Gesundheitsdaten gelten nicht die allgemeinen Erlaubnisnormen des Art. 6 DSGVO, insbesondere nicht das berechtigte Interesse des Art. 6 Abs. 1 Buchst. f DSGVO, sondern ein noch strengeres Verbot mit Erlaubnisvorbehalt in Art. 9 Abs. 1 DSGVO. Bei den Erlaubnisnormen des Art. 9 Abs. 2 DSGVO wurde nicht ausdrücklich an die Pandemie-Bekämpfung gedacht. Art. 9 Abs. 4 DSGVO lässt den EU-Mitgliedstaaten aber die Möglichkeit, zusätzliche Regelungen zur Verarbeitung von z.B. Gesundheitsdaten zu treffen. Hiervon hat der nationale Gesetzgeber in zahlreichen Gesetzen Gebrauch gemacht, u.a. in § 22 BDSG. Im Infektionsschutzgesetz (IfSG), z.B. in den §§ 6 bis 9, sowie in der Corona-Virus-Meldeverordnung vom 30.01.2020 werden diverse Meldepflichten für Ärzte und andere Gesundheitsdienstleister geregelt.

Das Zivilschutz- und Katastrophenhilfegesetz des Bundes regelt, dass Maßnahmen zum Schutz der Gesundheit Teil des Zivilschutzes sind (§ 1 Abs. 2 Nr. 6 Zivilschutz- und Katastrophenhilfegesetz - ZSKG). Operativ zuständig sind auf der Grundlage des jeweiligen Landeskatastrophenschutzgesetzes4 die jeweiligen Bundesländer. Beispielsweise kann nach § 17 Abs. 2 des Brandenburgischen Katastrophenschutzgesetzes der Aufgabenträger (z.B. die kreisfreie Stadt) die für die einen Katastrophenschutzplan notwendigen personenbezogenen Daten von Feuerwehrangehörigen und Mitgliedern von Hilfsorganisationen verarbeiten. Verarbeiten beinhaltet als Oberbegriff auch das Erheben. Auch Mitarbeiter von Banken können Mitglieder einer freiwilligen Feuerwehr, des DRK oder des THW sein, so dass eine Pflicht zur Datenübermittlung für die Erstellung von Katastrophenschutzplänen besteht (Art. 6 Abs. 1 Buchst. c DSGVO).

Auf der Grundlage des Art. 88 DSGVO hat der deutsche Gesetzgeber in § 26 BDSG insbesondere die Datenverarbeitung im Beschäftigungsverhältnis geregelt. Dort ist in Abs. 3 auch die Verarbeitung von Gesundheitsdaten im Beschäftigungskontext normiert. So ist z.B. die Verarbeitung von Gesundheitsdaten zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht (z.B. Arbeitsschutzgesetz) im Rahmen einer Interessenabwägung zulässig. Damit sollen Gesundheitsdatenschutz und Beschäftigtendatenschutz in Einklang gebracht werden.

C. Einzelfragen

I. Erhebung privater Kontaktdaten

1. Private Kontaktdaten von Beschäftigten

Private Kontaktdaten von Beschäftigen dürfen laut dem Landesdatenschutzbeauftragten Baden-Württembergs zur Verringerung der Infektionsgefährdung der Beschäftigten verarbeitet werden und sind nach Pandemie-Ende wieder zu löschen. Eine dauerhafte Nutzung zur Kontaktaufnahme außerhalb der Arbeitszeit ist nicht zulässig. Grundsätzlich gilt jedoch, dass der Arbeitgeber keinen Anspruch auf die Bekanntgabe der privaten Handynummer der Mitarbeiter hat.5 Vorzugswürdig sind zwar Diensthandys und dienstliche IT-Geräte zum Empfang von E-Mails zu verwenden, jedoch wird in der Pandemie-Situation bei Notwendigkeit spontaner Homeoffice-Tätigkeiten auch die Frage nach privaten Handy- oder Festnetznummern sowie der privaten E-Mail-Adresse akzeptiert.6 Private E-Mail-Adressen sind lediglich zu organisatorischen Zwecken geeignet. Die generelle Abwicklung dienstlicher E-Mail-Korrespondenzen über private E-Mail-Konten verbietet sich schon mangels Auftragsverarbeitungsvereinbarung (AVV, Art. 28 DSGVO) sowie mangels Kontrolle über die IT-Sicherheit, Speicherung und Löschung der Daten.

Bei Banken besteht die grundsätzliche Pflicht, zur Aufrechterhaltung des ordnungsgemäßen Geschäftsbetriebes Vorsorge zu treffen (§§ 25a Abs. 1 und 25c Abs. 3, Abs. 4a KWG). Hierzu gehört es nach MaRisk AT 7.3, auch Notfallkonzepte zu erstellen7; Homeoffice und Notfallkontaktlisten können dazu gehören. Nach AT 7.3.2 sind die im Notfall zu verwendenden Kommunikationswege festzulegen. Denklogisch gehören hierzu auch Kontaktdaten.

2. Frage des Arbeitgebers nach dem Urlaubsort des Beschäftigten

Nach § 3 Abs. 1 ArbSchG (Arbeitsschutzgesetz) ist der Arbeitgeber verpflichtet, Maßnahmen zu treffen, um die Sicherheit und die Gesundheit der Beschäftigten zu schützen. Nach § 4 Nr. 1 ArbSchG ist die Arbeit so zu gestalten, dass eine Gefährdung der Gesundheit möglichst vermieden wird, und nach § 4 Nr. 2 ArbSchG sind die Gefahren möglichst an ihrer Quelle (hier dem potenziell infizierten Beschäftigten) zu bekämpfen. Als das Robert-Koch-Institut (RKI) noch empfohlen hatte, dass Personen, die aus definierten Risikogebieten eingereist waren, in häusliche Quarantäne gehen, durfte der Arbeitgeber Urlaubsheimkehrer danach fragen, ob sie in einem Risikogebiet in Urlaub waren (nicht in welchem). Rechtsgrundlage hierfür sind Art. 6 Abs. 1 c, Art. 9 Abs. 1, Abs. 4 DSGVO und die §§ 26 Abs. 3 Satz 1, 22 Abs. 1 Nr. 1 Buchst. b BDSG i.V.m. § 4 Nr. 1 ArbSchG.

Fiebermessen am Eingang zum Betriebsgebäude kann nach § 26 Abs. 3 Satz 1 BDSG zulässig sein, ebenso wie die Frage nach einer positiven Testung auf Corona.8 Die Frage nach konkreten Krankheitssymptomen ist jedoch unzulässig, da es keine eindeutig spezifischen Symptome gibt und die Covid-19-Erkrankung auch ohne Symptome verlaufen kann.

3. Homeoffice (Heimarbeit)

Je nach Art der zu verarbeitenden Daten, der Datenverarbeitungsprozesse (z.B. papierhaft oder nur elektronisch per Fernzugriff auf den Server des Arbeitgebers) und der häuslichen Situation (separat abschließbarer Raum oder Küchentisch, Mitbewohner, etc.) ist Homeoffice (Heimarbeit) mehr oder minder geeignet. Die Eignung sollte im Rahmen eines Antragsformulars abgefragt werden. Die technischen und organisatorischen Anforderungen an Homeoffice sollten generell in einer Homeoffice-Richtlinie und ggf. in einer Betriebsvereinbarung festgelegt werden. Da Homeoffice arbeitsvertraglich nicht zwingend angeordnet werden kann, bedarf es einer Vereinbarung des Arbeitgebers mit den Mitarbeitern, die Fragen von Arbeitszeit und Arbeitszeiterfassung, Datenschutz, IT-Sicherheit, IT-Ausstattung, Kostenerstattung etc. regelt. Die Nutzung privater Geräte sollte tunlichst unterbleiben, oder zumindest in einer Arbeitsanweisung zu „Bring your own device“ („BYOD“, oder genauer am Heimarbeitsplatz: Use your own device) geregelt sein. Internet-Cloud-Speicherdienste dürfen nicht ohne AVV-Vereinbarungen genutzt werden. Daten sind nach Möglichkeit verschlüsselt abzulegen.9 VPN-Verbindungen auf Grundlage der BSI-Empfehlungen10 mit Zwei-Faktor-Authentifizierungen sollten Standard sein.11 Telefon- und Videokonferenzen12 sollten ohne unberechtigte Zuhörer erfolgen. Die eingesetzten Messenger-Dienste sowie die Telefon- und Videokonferenzsysteme sind vom Arbeitgeber vorzugeben, wobei entsprechende Verträge zur Auftragsverarbeitung mit technisch-organisatorischen Maßnahmen abzuschließen sind. Sofern die Nutzung von US-Dienstleistern nicht zu vermeiden ist, müssen diese zumindest dem EU-US-Privacy-Shield13 unterliegen und EU-Standardvertragsklauseln (EU-Model-Clauses, Standard Contractual Clauses SCC,14 oder auch DPA (Data Processing Addendum) genannt) anbieten (vgl. Art. 46 Abs. 2 Buchst. c DSGVO).

Auch das Verhalten bei Datenpannen (Art. 33 DSGVO),15 insbesondere bei Verletzung der Vertraulichkeit oder bei Datenverlust (z.B. bei Diebstahl oder Verlieren von Datenträgern), sollte durch Arbeitsanweisungen und in der Vereinbarung zum Homeoffice geregelt sein.

Nach § 23 Abs. 1 Nr. 1 ArbSchG ist die Zahl der in Heimarbeit Beschäftigten nach Geschlecht, Alter und Staatsangehörigkeit der zuständigen Behörde zu melden.

Nicht vergessen werden sollte das intern zu erstellende Verarbeitungsverzeichnis (Art. 30 DSGVO) „Homeoffice“ und die Erfüllung der Informationspflicht nach Art. 13 DSGVO gegenüber den Mitarbeitern (und sonstigen Kommunikationspartnern), z.B. durch Verlinken von Datenschutzhinweisen bei Einladungsmails zu Telefon- oder Videokonferenzen.

II. Bekanntgabe mit Covid-19 infizierter Mitarbeiter im Unternehmen

Sofern dem Arbeitgeber bekannt ist, dass ein bestimmter Mitarbeiter mit dem Coronavirus infiziert ist, stellt sich die Frage, ob diese Information an die anderen Mitarbeiter namentlich weitergegeben werden darf. Dies ist grundsätzlich unzulässig, wenn sich das Ziel, nämlich die Ausbreitung der Infektion, auch anders erreichen lässt. Geht z.B. ein Urlaubsrückkehrer unmittelbar in Heimarbeit oder in Quarantäne, und erfährt dieser dann von seiner Infektion, bestand keine Ansteckungsgefahr für Kollegen; in einem derartigen Fall erübrigt sich die Informationsweitergabe. War z.B. ein Infizierter Teilnehmer einer Besprechung, genügt es gegebenenfalls, die übrigen Teilnehmer darüber zu unterrichten, das ein Corona-Infizierter an der Besprechung teilgenommen hat, ohne den Namen zu nennen. Nur wenn es nötig ist, Infektionsquellen zu lokalisieren oder einzudämmen bzw. andere Infizierte zu identifizieren und das Gesundheitsamt nicht im Rahmen seiner Kompetenz tätig wird, kann die konkrete Informationsweitergabe an einen möglichst kleinen Kreis anderer Mitarbeiter (z.B. beschränkt auf Besprechungsteilnehmer, Abteilung) erforderlich und damit auch rechtmäßig sein.16

Es ist eine arbeitsvertragliche Nebenpflicht des Arbeitnehmers, den Arbeitgeber über eine beim Arbeitnehmer festgestellte Corona-Infektion zu informieren, um dem Arbeitgeber – im Interesse hochrangiger Güter Dritter (Leben und Gesundheit anderer Beschäftigter) – die Information von Kontaktpersonen zu ermöglichen.17 Wenn der Infizierte dabei dem Arbeitgeber selbst eine Liste seiner Kontaktpersonen zur Verfügung stellt, kann sich die Information der gesamten Belegschaft über den Infektionsfall erübrigen.18

Der Versuch, mit Hilfe von Einwilligungserklärungen eine weitergehende Datenverarbeitung zu legitimieren, kann scheitern, wenn die Freiwilligkeit zweifelhaft ist.19

III. Übermittlung von Daten an Gesundheitsbehörden

Nach § 16 Abs. 1 Satz 2 IfSG (Infektionsschutzgesetz) darf das Gesundheitsamt personenbezogene Daten für die Zwecke des Infektionsschutzes verarbeiten. Nach § 16 Abs. 2 Satz 3 IfSG besteht eine Pflicht zur Erteilung von Auskünften. Somit darf der Arbeitgeber auch Daten über Beschäftigte, die im Zusammenhang mit der Containment-Strategie vom Gesundheitsamt erfragt werden, an die Behörde übermitteln. Selbstverständlich ist bei der Datenübermittlung auf die Sicherheit zu achten, ggf. ist die Verschlüsselung abzustimmen. Hat z.B. eine Bank eine Veranstaltung durchgeführt, an der ein Corona-Infizierter teilgenommen hat, so ist sie bei entsprechender Aufforderung durch das Gesundheitsamt verpflichtet, diesem die Teilnehmerliste zu übermitteln.

IV. Auftragsverarbeitungsvereinbarung (AVV) und Unterschriftenerfordernis

Nach Art. 28 Abs. 9 DSGVO ist die Vereinbarung zur Auftragsverarbeitung (AVV) schriftlich zu fassen; sie kann jedoch auch in einem elektronischen Format erfolgen. Die EU-Kommission hat als Hüterin der Verträge auf die Frage nach dem Formerfordernis bei AVVs geantwortet: „Automatisierte Vertragsprozesse sind grundsätzlich zulässig. Es ist nicht notwendig, Verträge mit einer elektronischen Signatur zu versehen, damit sie rechtliche Wirkungen entfalten können.“20 Diese Auffassung wird auch durch das bayerische Landesamt für Datenschutzaufsicht bestätigt, das zwar eine beweiskräftige Dokumentation der AVV-Vereinbarung fordert, jedoch die Wahl der Mittel den Vertragsparteien überlässt.21 Somit kann z.B. auch ein im Homeoffice arbeitender Entscheidungsträger einer Bank eine AVV schließen, ohne zum Leisten einer Unterschrift zur Bank fahren zu müssen. Wie hierbei das Vieraugenprinzip gewahrt wird, ist bankintern zu regeln.

V. Auftragsverarbeitungsvereinbarung (AVV), Homeoffice und Drittland-Dienstleister

Der Mustervertrag22 zur Auftragsverarbeitung des Bundesdatenschutzbeauftragten23 sieht in § 3 Abs. 9 vor, dass der Auftragsverarbeiter die übernommenen Tätigkeiten nur mit vorheriger ausdrücklicher schriftlicher Zustimmung des Verantwortlichen im Homeoffice erledigen lassen darf, vorausgesetzt, dass angemessene technische und organisatorische Maßnahmen festgelegt sind. Ähnliche Regelungen finden sich in vielen Outsourcingverträgen von Banken wieder.

Entsprechendes gilt für die örtliche Beschränkung der Auftragsverarbeitung in der EU (vgl. § 3 Abs. 8 des Mustervertrages zur AVV).

Da viele der im Rahmen der spontanen Corona-Homeoffice-Tätigkeiten eingesetzten IT-Tools von US-Unternehmen stammen oder selbst bei deutschen Angeboten auf US-Dienstleistern (z.B. Amazon - Web Service) basieren, besteht hier Anlass, bei den Dienstleistern/Auftragsverarbeitern nachzufragen, ob Homeoffice genutzt wird und welche technisch-organisatorischen Maßnahmen zur Absicherung getroffen wurden sowie ob Subunternehmen aus Drittstaaten zum Einsatz kommen und wie dabei das angemessene Schutzniveau sichergestellt ist (vgl. Art. 44 DSGVO).

Wenn nicht alles vertragsgemäß und rechtmäßig abgelaufen ist, stellt sich die – mit dem betrieblichen Datenschutzbeauftragten binnen 72 Stunden zu klärende – Frage, ob eine meldepflichtige Datenpanne (Art. 33 DSGVO) vorliegt. Geprüft werden sollte auch die Möglichkeit einer nachträglichen Genehmigung.

D. Auswirkungen auf die Praxis

Auch in Zeiten der Corona-Pandemie ist das Datenschutzrecht zu beachten. Vieles ist mit den bekannten rechtlichen Normen und Instrumentarien in den Griff zu bekommen. Wo es Lücken gab, hat der Gesetzgeber diese im Eiltempo geschlossen. Ebenso schnell und ergänzend haben die Datenschutzaufsichtsbehörden akut aufgetretene Probleme durch Interpretationen des geltenden Rechts in pragmatischer Weise gelöst.

Sofern entgegen den gesetzlichen oder vertraglichen Vorgaben gehandelt wurde, sind die datenschutzrechtlichen Verstöße schnellstmöglich zu heilen und die erforderlichen Dokumentationen „nachzuziehen“. Sollte sich bei der Aufarbeitung herausstellen, dass dabei Daten unrechtmäßig in der Weise verarbeitet wurden, dass unberechtigte Dritte darauf Zugriff hatten, sollte die Meldung einer Datenpanne nach Art. 33 DSGVO geprüft werden. Die unterlassene Meldung kann nach Art. 83 Abs. 4 Buchst. a DSGVO mit einem Bußgeld von bis zu 10 Mio. Euro oder 2% des Jahresgesamtumsatzes geahndet werden. Gemäß § 43 Abs. 4 BDSG dürften die dabei übermittelten Informationen in einem Bußgeldverfahren nicht genutzt werden.

E. Weitere Informationen

Weiterführend sei auf die Informationen und Zusammenstellungen zahlreicher Links zu Gesetzen, Gerichtsentscheidungen und juristischen Aufsätzen sowie zum Datenschutzrecht verwiesen, die unter folgender Internetadresse zu finden sind:

LexCorona, Übersicht über die in Deutschland im Zusammenhang mit der sogenannten Corona-Krise erlassenen Rechtsakte (Gesetze, Rechtsverordnungen, Allgemeinverfügungen etc.) und Gerichtsentscheidungen, abrufbar unter: https://lexcorona.de/doku.php, zuletzt abgerufen am 14.04.2020.

ULD Schleswig-Holstein, Datenschutz: Plötzlich im Homeoffice – und nun?, abrufbar unter: https://www.datenschutzzentrum.de/uploads/it/uld-ploetzlich-homeoffice.pdf, zuletzt abgerufen am 14.04.2020.


Fußnoten


1)

Datenschutzfolgenabschätzung für eine Corona-Tracking-APP, Stand: 14.04.2020, abrufbar unter: https://www.fiff.de/dsfa-corona, zuletzt abgerufen am 14.04.2020.

2)

Vgl. aktuell: Ratgeber zum Beschäftigtendatenschutz, 4. Aufl., Stand: 01.04.2020, abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/ratgeber-zum-beschaeftigtendatenschutz-4-auflage/, zuletzt abgerufen am 14.04.2020.

3)

DSK, Datenschutz-Grundsätze bei der Bewältigung der Corona-Pandemie, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/en/Entschließung%20Pandemie%2003_04_2020_final.pdf, zuletzt abgerufen am 14.04.2020.

4)

Katastrophenschutzgesetze der Bundesländer, abrufbar unter: https://www.bbk.bund.de/DE/Service/Fachinformationsstelle/RechtundVorschriften/Rechtsgrundlagen/Bundeslaender/bundeslaender_node.html, zuletzt abgerufen am 14.04.2020.

5)

Vgl. LArbG Erfurt, Urt. v. 16.05.2018 - 6 Sa 442/17 und 6 Sa 444/17.

6)

Private Erreichbarkeitsangaben – Mitteilungsverpflichtung des Beschäftigten gegenüber Arbeitgebern/Dienstherrn in Zeiten der Coronakrise bei angeordneter Heimarbeit, abrufbar unter: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Beschaeftigtendatenschutz_-_Heimarbeit_und_private_ Erreichbarkeitsangaben.pdf, zuletzt abgerufen am 14.04.2020.

7)

BaFin, Rundschreiben 09/2017 (BA) - Mindestanforderungen an das Risikomanagement - MaRisk , abrufbar unter: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2017/rs_1709_marisk_ba.html?nn=9450904#doc10149454bodyText25, zuletzt abgerufen am 14.04.2020.

8)

LDI NRW, Erhebung von Gesundheitsdaten durch den Arbeitgeber im Allgemeinen, abrufbar unter: https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/Personalwesen/Inhalt/Corona/Corona.html, zuletzt abgerufen am 14.04.2020. Der LFDI Rheinland-Pfalz zweifelt an der Geeignetheit des Fiebermessens, vgl. Beschäftigtendatenschutz in Zeiten des Corona-Virus, abrufbar unter: https://www.datenschutz.rlp.de/de/themenfelder-themen/beschaeftigtendatenschutz-corona/, zuletzt abgerufen am 14.04.2020.

9)

Angebot von Teamdrive- https://teamdrive.com, zuletzt abgerufen am 14.04.2020.

10)

BSI, Home-Office? – Aber sicher!, abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/empfehlung_home_office.html; IT-Grundschutz NET.3.3 VPN, abrufbar unter: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/NET/NET_3_3_VPN.html und https://www.bsi.bund.de/DE/Themen/StandardsKriterien/ISi-Reihe/ISi-VPN/vpn_node.html, alles zuletzt abgerufen am 14.04.2020.

11)

Vgl. zu vorstehendem LfDI Rheinland-Pfalz, Hinweise zum Datenschutz im Homeoffice, abrufbar unter: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Hinweise_zum_Datenschutz_im_ Homeoffice.pdf; ULD Schleswig-Holstein, Datenschutz im Homeoffice – und was nun?, abrufbar unter: https://www.datenschutzzentrum.de/uploads/it/uld-ploetzlich-homeoffice.pdf, beides zuletzt abgerufen am 14.04.2020.

12)

GDD-Praxishilfe DSGVO XVI – Videokonferenzen und Datenschutz, Version 1.0, Stand April 2020, abrufbar unter: https://www.gdd.de/downloads/praxishilfen/gdd-praxishilfe_xvi-videokonferenzen-und-datenschutz, BSI Kompendium Videokonferenzsystem, Version 1.0.1., Stand: April 2020 : abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Kompendium-Videokonferenzsysteme.pdf;jsessionid =C6C36258E69C6B9DD4AEA4C1EB5F BCEF.1_cid341?__blob=publicationFile&v=4https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Kompendium-Videokonferenzsysteme.pdf zuletzt abgerufen am 14.04.2020.

13)

https://www.privacyshield.gov/list, zuletzt abgerufen am 14.04.2020.

14)

Standard Contractual Clauses (SCC), abrufbar unter: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_de, zuletzt abgerufen am 14.04.2020.

15)

Hintergründe und Details siehe Landesdatenschutzaufsicht Hamburg: Data-Breach-Meldungen nach Art. 33 DSGVO, abrufbar unter: https://datenschutz-hamburg.de/assets/pdf/2018.11.15_Data%20Breach_Vermerk_extern.pdf, zuletzt abgerufen am 14.04.2020.

16)

LfDI Baden-Württemberg, FAQ Corona, abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/faq-corona/ zuletzt abgerufen am 14.04.2020.

17)

LfD Niedersachsen, Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie, abrufbar unter: https://lfd.niedersachsen.de/startseite/themen/gesundheit/datenschutzrechtliche-informationen-zur-verarbeitung-von-personenbezogenen-daten-durch-arbeitgeber-und-dienstherren-im-zusammenhang-mit-der-corona-pandemie-186213.html zuletzt abgerufen am 14.04.2020.

18)

LfDI Rheinland-Pfalz, Beschäftigtendatenschutz in Zeiten des Corona-Virus, abrufbar unter: https://www.datenschutz.rlp.de/de/themenfelder-themen/beschaeftigtendatenschutz-corona/, zuletzt abgerufen am 14.04.2020.

19)

LfDI Rheinland-Pfalz, Beschäftigtendatenschutz in Zeiten des Corona-Virus, abrufbar unter: https://www.datenschutz.rlp.de/de/themenfelder-themen/beschaeftigtendatenschutz-corona/, zuletzt abgerufen am 14.04.2020.

20)

https://www.europarl.europa.eu/doceo/document/E-8-2018-003163-ASW_EN.html?redirect, zuletzt abgerufen am 14.04.2020.

21)

Bayerisches Landesamt für Datenschutzaufsicht, FAQ zur DSGVO, abrufbar unter: https://www.lda.bayern.de/media/FAQ_ADV_Formerfordernis.pdf, zuletzt abgerufen am 14.04.2020.

22)

Vgl. Ziff. 6.5 u. Ziff. 9.1. im aktuellen Muster der Landesdatenschutzaufsicht Baden-Württemberg, abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/datenschutz-in-zeiten-der-krise-handreichungen-des-lfdi-helfen-bei-auftragsverarbeitung-innerhalb-der-eu-und-des-ewr/, zuletzt abgerufen am 14.04.2020.

23)

BfDI, 1736735455 BfDI empfiehlt neue Mustervereinbarung, abrufbar unter: https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles_Artikel/Muster_Auftragsverarbeitung.html, zuletzt abgerufen am 14.04.2020.



Zur Nachrichten-Übersichtsseite