Isabell Conrad/Mahdi Daneshzadeh Tabrizi

Digitalisierung und Datenpools - wo geht in Zeiten von Corona die Reise hin?


MMR 2020, 205   Je mehr das soziale Leben draußen dem Covid-19-Virus weichen muss, umso mehr wird die digitale Transformation angeschoben. Dass viele Arbeitgeber und Dienstherren flächendeckend Homeoffice einführen, schien bis vor kurzem undenkbar. Mittlerweile wirkt es fast selbstverständlich. Die Voraussetzungen für ein daten- und geheimnisschutzkonformes Homeoffice können nicht in allen Wirk- und Arbeitsbereichen gewährleistet werden, gerade wenn Schulen und Kitas geschlossen sind. Von Schulen, Universitäten, aber z.B. auch von Anwaltskammern und Anwaltsvereinen wird erwartet, dass Ausbildung und Fortbildung digitalisiert und - am besten sofort - als Videokonferenz veranstaltet oder als Webinar bereitgehalten werden. In der Krise kann Digitalisierung schnell fortschreiten - sofern das Netz nicht zusammenbricht. Videoconference-Anbieter sind hoch im Kurs, gerade auch die etablierten US-amerikanischen. Viele Unternehmen müssen nun ihre eigene Komfortzone der „digitalen Wertschöpfung“ und des Datenschutzmanagements verlassen und aus ihren digitalen Spielwiesen (etwa in Form von „Digital Labs“ oder „Digital Factories“) in kürzester Zeit routinierte und rechtssichere neue Arbeitsabläufe gestalten.

Eine Krise führt schnell dazu, die rechtliche Zulässigkeit des technisch Möglichen neu zu bewerten. Ist das Tracking von Mobilfunkdaten der smartere Weg, die Epidemie einzudämmen, weil die aufwändige Suche nach Kontaktpersonen vereinfacht wird? Die Kassenärztliche Bundesvereinigung äußert Bedenken im Hinblick auf den Datenschutz und das BMJV sieht „auf den ersten Blick keine spezifische Rechtsgrundlage“ (tagesspiegel.de, Meldung v. 5.3.2020). § 100g StPO bietet für solche Fälle keine Erlaubnis. Diskutiert wird, ob der Einzelne seine Verkehrsdaten - über die gesetzlichen Tatbestände hinaus - zum Zwecke der Infektionseindämmung „spenden“ solle (spiegel-online.de, Meldung v. 6.3.2020); gemeint ist wohl die Einwilligung in die Datenauswertung. Der richtige Weg wäre die Mustererkennung anhand anonymisierter Daten.

Sollen in großem Umfang molekulargenetische Untersuchungen erlaubt werden, um herauszufinden, ob Personen mit bestimmten genetischen Merkmalen möglicherweise besonders widerstandsfähig gegen Covid-19-Erreger sind? Genetische Daten sind in Art. 4 Nr. 13 DS-GVO definiert und, wie Gesundheitsdaten, besonders geschützt. I.R.d. Strafverfolgung sind die Möglichkeiten der DNA-Analyse reglementiert (vgl. § 81e Abs. 1 StPO). Neu zum 13.12.2019 ist mit § 81e Abs. 2 S. 2 StPO eine Lockerung in Kraft getreten: „Ist unbekannt, von welcher Person das Spurenmaterial stammt, dürfen zusätzlich Feststellungen über die Augen-, Haar- und Hautfarbe sowie das Alter der Person getroffen werden.“ Weitergehende Befugnisse haben die Polizeibehörden im präventiven Bereich (etwa Art. 32 Abs. 1 S. 2 BayPAG). Im Fall des sog. „Isarmords“ von 2013 hat die Münchner Polizei, nachdem die Ermittlungen zu keinem Ergebnis führten, Mitte 2019 das Institut für Gerichtliche Medizin in Innsbruck mit einem DNA-Untersuchung nach BayPAG beauftragt, da es „nach wie vor nicht auszuschließen [ist], dass der Täter anlasslos ähnliche Taten verüben könnte“ (s. PM 302 v. 5.3.2020).

Welche Datenverarbeitungsmaßnahmen erfordert die Corona-Pandemie und was ist (noch) verhältnismäßig? Die Tendenzen zur Totalerfassung und Krisenhilfe durch Big Data tangieren verfassungsrechtliche Garantien. Der BfDI betont: „So lange die Maßnahmen der Arbeitgeber und Dienstherren verhältnismäßig sind, steht der Datenschutz der Infektionsbekämpfung nicht im Weg. Denn die Gesundheit ... steht jetzt im Mittelpunkt.“ (PM v. 13.3.2020). Gem. § 26 Abs. 3 S. 1 BDSG dürfen Gesundheitsdaten (Art. 4 Nr. 15 DS-GVO) „abweichend“ von Art. 9 Abs. 1 DS-GVO verarbeitet werden, wenn die Verarbeitung „zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist“ und schutzwürdige Interesse der betroffenen Person nicht überwiegen. Nach § 618 Abs. 1 BGB i.V.m. § 3 ArbSchG hat der nicht-öffentliche Arbeitgeber die Beschäftigten am Arbeitsplatz vor Gefahren für Leben und Gesundheit zu schützen (wozu auch eine Covid-19-Infektion gehören kann), er muss die Gefahren für die Sicherheit und Gesundheit der Beschäftigten am Arbeitsplatz beurteilen und Maßnahmen hieraus ableiten. Diese Arbeitgeberpflichten können in einem Spannungsverhältnis zu Datenschutz- und Persönlichkeitsrechten der Beschäftigten stehen. Gem. § 26 Abs. 3 S. 2 i.V.m. § 22 Abs. 2 BDSG sind risikobasiert „angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen“.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) veröffentlichte am 13.3.2020 „Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie“. Die DSK unterscheidet 3 Fallgruppen: „Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten“ zur Infektionsverhinderung bzw. -eindämmung (Fall 1), entsprechend „von Gästen und Besuchern“ (Fall 2) oder „Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen“ (Fall 3). Auch die DSK ist nicht gefeit, in Krisenzeiten in alte Begrifflichkeiten vor DS-GVO („Erhebung und Verarbeitung“; richtig: „Verarbeitung, insbesondere Erhebung“) zurückzufallen. Hinsichtlich Fall 3 stellt die DSK klar, dass die Offenlegung „nur rechtmäßig [ist], wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.“ Wann das sein soll, bleibt unklar. Hinsichtlich der Fälle 1 und 2 bejaht die DSK eine Rechtsgrundlage um festzustellen, ob Beschäftigte bzw. Gäste/Besucher selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen oder sich im relevanten Zeitraum in einem RKI-Risikogebiet aufgehalten haben. Die DSK hat mit ihrer Corona-Information v. 13.3.2020 schnell reagiert und bietet verunsicherten Arbeitgebern und Dienstherren Leitplanken. Dogmatische Streitfragen - wie das vielfach ungeklärte Verhältnis von § 26 BDSG zu Art. 6 bzw. Art. 9 DS-GVO - bleiben außen vor. Zu Gunsten des öffentlich-rechtlichen Dienstherrn stellt die DSK klar, dass u.a. „Art. 9 Abs. 2 lit. g DS-GVO herangezogen werden [kann], da die Fürsorgepflicht im Sinne der Gesundheitsvorsorge hier auch einem wichtigen öffentlichen Interesse dient.“ Auf konkrete Datenverarbeitungstätigkeiten geht die DSK nicht ein.

Diskutiert werden u.a. die Befragung von Urlaubsrückkehrern, Personalfragebögen zu Aufenthaltsorten und Symptomen, Fiebermessung durch den Betriebsarzt, Übermittlung von Daten erkrankter Beschäftigter an Gesundheitsbehörden. Die französische Datenschutzbehörde CNIL betont die Informationspflicht der Beschäftigten gegenüber dem Arbeitgeber: „il doit informer son employeur en cas de suspicion de contact avec le virus.“ (CNIL, PM v. 6.3.2020). Im Handbuch betriebliche Pandemieplanung (2. Aufl. 2020, S. 55) wird ein „Konzept für regelmäßigen Kontakt zu den abwesenden Mitarbeitern“ empfohlen, „um Informationen über die Gründe der Absenz, bei Erkrankung eines Beschäftigten über seinen Gesundheitszustand, bei Erkrankung von Angehörigen über die voraussichtliche Dauer der Abwesenheit einholen zu können. Auf die Rechte der Beschäftigten bei der Angabe von Informationen ist zu achten. Dafür kann eine standardisierte Frageliste entwickelt werden. Der Anruf sollte mit einem Angebot von Hilfen (z.B. Benachrichtigung von Hilfsdiensten) bei häuslichen Notlagen verbunden sein, [...]. Das Kommunikationskonzept muss zuvor mit der Arbeitnehmervertretung abgesprochen und den Beschäftigten überzeugend dargestellt werden.“

Zumindest für manche Branchen wird die gesundheitliche auch eine wirtschaftliche Krise nach sich ziehen. Unternehmen und Konzerne versuchen alle Assets auszuschöpfen. Warum soll den Konzernen das verwehrt sein, was Internetgiganten längst vorleben: Daten, die die Konzerngesellschaften erhoben haben, verknüpfen und zusammen auswerten. Konditionenmissbrauch eines Marktbeherrschers hatte das OLG Düsseldorf (MMR 2019, 742) im einstweiligen Rechtsschutz zu Gunsten von Facebook abgelehnt (entgegen einer Untersagungsverfügung des BKartA, B. v. 6.2.2019 - B6-22/16). Kartellrechtlich ist das letzte Wort noch nicht gesprochen.

Datenschutzrechtlich stellt sich die Frage, inwieweit für das Zusammenführen der Datenströme oder zumindest der Stammdaten aus den verschiedenen Unternehmen einer Gruppe eine Rechtsgrundlage besteht und inwieweit gemeinsame Verantwortlichkeit vorliegt (Art. 26 DS-GVO; vor allem EuGH MMR 2019, 579 m. Anm. Moos/Rothkegel - FashionID). Als Erlaubnis wird Art. 6 Abs. 1 S. 1 lit. f DS-GVO teilweise mit Blick auf Erwägungsgrund 48 DS-GVO („interne Verwaltungszwecke“) für möglich erachtet, wobei oft die relativ hohen Hürden (u.a. Erforderlichkeit im Hinblick auf jede Datenkategorie und jeden Zweck; dokumentierte Interessenabwägung) und auch die in der DS-GVO angelegte Differenzierung zwischen Konzernen mit Beherrschungsverhältnis und sonstigen Unternehmensgruppen (s. Art. 4 Nr. 19, Erwägungsgrund 37 DS-GVO) übersehen werden. Manche Konzerne haben z.B. aus gesellschafts- oder steuerrechtlichen Gründen nicht ein Unternehmen als beherrschendes. Werden Daten im Konzern gepoolt und so ausgewertet, können sich steuerliche Folgen etwa im Hinblick auf eine Transferpreisthematik stellen. Es bleibt abzuwarten, ob und in welchem Ausmaß die Finanzverwaltung den unentgeltlichen Datenhandel im Konzern genauer unter die Lupe nehmen wird. Seit Konzerne gezwungen sind, interne Auftragsverarbeitung und gemeinsame Verantwortlichkeit konkreter vertraglich zu regeln und ggf. zu veröffentlichen (Art. 26 Abs. 2 S. 2 DS-GVO), sind Datenschutzverträge auch ein Thema der Konzernsteuerabteilungen. Durch die Corona-Pandemie hat der Begriff „Open Data“ vorläufig eine neue Dimension bekommen. Aber die Diskussion um die konzernweite Dimension ist noch nicht ausgestanden. Unternehmen, die das versäumen, droht die nächste Krise.

München, im April 2020

 

Isabell Conrad

ist Partnerin der Kanzlei SSW Rechtsanwälte Steuerberater Wirtschaftsprüfer in München.

 

 

Dr. Mahdi Daneshzadeh Tabrizi

ist Partner in der Kanzlei SSW Rechtsanwälte Steuerberater Wirtschaftsprüfer in München.