FAQ zum Datenschutz in der Covid 19-Krise

1. Anzeigepflichten gegenüber der Gesundheitsbehörde

  • Für Mitglieder, die Leistungen für die Auftraggeber AMS und SMS/ESF im Rahmen beruflicher Integrationsmaßnahmen erbringen, besteht im Epidemiegesetz keine Pflicht zur Anzeige von Covid-19-Verdachts- oder Krankheitsfällen gegenüber der Gesundheitsbehörde; weder in Bezug auf Mitarbeiter*innen, noch in Bezug auf Kund*innen oder andere Personengruppen.
     
  • Eine solche Meldepflicht kann sich aber bei der Erbringung von Pflege¬leistungen für Kranke oder beim Betreiben einer sog. „Humanitäts¬anstalt“ im Sinn des Epidemiegesetz ergeben. In der Praxis kann dies stationäre Einrichtungen im Gesundheits- und Sozialbereich, wie z.B. Pflegeanstalten oder vollbetreute Wohneinrichtungen betreffen.

    FAZIT: Eine Pflicht zur Anzeige von Covid-19-Verdachts- oder Krankheitsfällen gegenüber der Gesundheitsbehörde kann sich für jene Mitglieder ergeben, die neben den Fördergebern AMS und SMS/ESF auch noch für andere Fördergeber tätig werden. In der Praxis betrifft dies vor allem Leistungen für die Landesregierung im Rahmen der Behindertenarbeit nach den jeweiligen Landesgesetzen (z.B. Wiener Chancengleich¬heits¬gesetz). ­    

    – Ein „Krankheitsfall“ liegt vor, wenn ein Covid-19 Test positiv ausfällt. ­  
    – Ein „Verdachtsfall“ liegt dann vor, wenn dieser anhand der Symptome von einem Arzt (z.B. Hausarzt oder Krankenhaus) bestätigt wurde. ­  
    –  „Gesundheitsbehörde“ ist die Bezirksverwaltungsbehörde (Bezirkshauptmannschaft oder in Landeshauptstädten und anderen großen Städten der Stadtmagistrat). ­  
    – Zu melden sind folgende Daten des Verdachts- oder Krankheitsfalles: Name, Alter, Wohnung (Anschrift), Bezeichnung der Krankheit (z.B. „Covid-19“ oder „Coronavirus“).

2. Auskunftspflichten gegenüber der Gesundheitsbehörde

  • Unabhängig vom Bestehen einer Anzeigepflicht, ist der Gesundheitsbehörde nach dem Epidemiegesetz auf Anfrage in allen Fällen Auskunft zu erteilen, unabhängig davon, für welche Fördergeber Leistungen erbracht werden und welche Personenkreise davon betroffen sind (z.B. Mitarbeiter*innen, Kund*innen, gesetzliche Vertreter*innen, ehrenamtliche Helfer*innen). ­    

    In der Praxis kann die Gesundheitsbehörde im Rahmen des „Contact Tracing“ (Rückverfolgung möglicher Kontaktpersonen) z.B. die Vorlage oder Prüfung von Dienstplänen verlangen.

3. Interne Verarbeitung von Mitarbeiterdaten

  • Dienstgeber dürfen Mitarbeiter*innen befragen, ob sich diese in einem Risikogebiet aufgehalten haben, oder ob diese Kontakt mit Covid-19-Infizierten hatten.
     
  • Aus den arbeitsrechtlichen Treuepflichten von Mitarbeiter*innen ist auch ableitbar, dass sie ihren Dienstgeber darüber informieren müssen, wenn sie zum Verdachts- oder Krankheitsfall werden.
  • Beim Vorliegen von Verdachts- oder Krankheitsfällen dürfen Dienstgeber betroffene Mitarbeiter*innen unternehmensintern unter namentlicher Nennung offen legen. Dabei ist allerdings zu jedem Zeitpunkt die Verhältnismäßigkeit zu wahren, d.h. es dürfen nicht pauschal alle Kolleg*innen im Unternehmen informiert werden, sondern nur jene, die potenziell Kontakt mit den betroffenen Mitarbeiter*innen haben konnten.
     
  • Dienstgeber dürfen private Kontaktdaten (insb. die private Handynummer) von Mitarbeiter*innen erheben, um diese kurzfristig über einen Verdachts- oder Krankheitsfall am Arbeitsplatz informieren zu können. Die privaten Kontaktdaten müssen allerdings freiwillig mitgeteilt werden und sind nach der „Covid-19-Krise“ wieder zu löschen. ­

    Wenn private Kontaktdaten allerdings schon früher auf Grundlage einer Einwilligung von Mitarbeiter*innen rechtmäßig verwendet wurden (z.B. zur Koordinierung kurzfristiger Dienstplanänderungen), besteht die zeitliche Beschränkung nur hinsichtlich des neu hinzutretenden Verwendungszwecks (Kommunikation während der „Covid-19-Krise“).

4. Home Office

  • Aus Sicht des Datenschutzes und insb. auch der Datensicherheit stellt die Verwendung privater Geräte durch Mitarbeiter*innen im Home Office ein ungleich höheres Risiko dar, als die Verwendung von Dienstgeräten, die von Ihrem IT-Verantwortlichen vorbereitet und konfiguriert werden können (Verschlüsselung von Festplatten, Mobile-Device-Management, standardisierte System- und Datenschutzeinstellungen etc.).
    Private Geräte sollten daher nur als Überbrückungsmaßnahme eingesetzt werden. Mittel- und langfristig wäre der Einsatz von Dienstgeräten (Laptops, Tablets oder Smartphones) anzustreben.
     
  • Ungeachtet der aktuellen Dringlichkeit im Zusammenhang mit Covid-19 sollte jede beabsichtigte Home Office Tätigkeit (auch, wenn sie nur vorübergehend bzw. befristet geplant ist) ausnahmslos schriftlich vereinbart werden.
     
  • Bei der Ausformulierung von Home Office Vereinbarungen sollten jedenfalls Ihre verantwortlichen Mitarbeiter*innen in den Bereichen Personal, IT und Datenschutz sowie Ihre Datenschutzbeauftragte / Ihr Datenschutzbeauftragter beigezogen werden.
     
  • Eine Home Office Vereinbarung sollte nicht nur verbindliche Regelungen im Umgang mit Arbeitsgeräten (eingesetzte Hard- und Software), sondern auch zum vertraulichen Umgang mit personenbezogenen Daten enthalten. Unverzichtbare Punkte wären z.B. das versperrte Aufbewahren von vertraulichen Dokumenten in Papierform sowie die Vertraulichkeit von Telefongesprächen (insb. wenn sich am Home Office Standort ältere Kinder, Jugendliche oder Erwachsene aufhalten). Weiters sollten Regelungen im Umgang mit Internet und E-Mails vorgesehen werden.

5. Video-/Telefonkonferenzen

  • Wenn als Ersatz für persönliche Besprechungen, Meetings und Konferenzen Tools für Videokonferenzen, Chatfunktionen und das gemeinsame Bearbeiten von Dokumenten eingesetzt werden, sollten die entsprechenden Produkte einer datenschutzrechtlichen Prüfung unterzogen werden.
     
  • Eine solche Prüfung sollte jedenfalls folgende Punkte umfassen: ­  
    – Nutzungs- und Lizenzbedingungen
    – Auftragsbedingungen
    – Datenschutzerklärungen und Datenschutzrichtlinien (AGB)
    – Datenschutzrechtliche Auftragsbedingungen
    – Vorliegen von Verträgen oder internationalen Vereinbarungen zur Übernahme Europäischer Datenschutzpflichten (z.B. „US-Privacy-Shield“ für US-Amerikanische Unternehmen)
    –Kritische Berichte von unabhängigen Institutionen und Behörden (z.B. amtliche Datenschutzbeauftragte in den deutschen Bundesländern, Fachabteilungen in Ministerien, Konsumentenschutzeinrichtungen) über rechtswidrige Datenauswertungen oder Datenübermittlungen an Dritte (Datenhandel)
     
  • Die Kriterien einer solchen rechtlichen Prüfung erfüllen nach derzeitigem Stand z.B. folgende gängige Anbieter: „Microsoft Teams“ - ab der ProPlus Version, „Skype“, „Google Hangouts“, „Webex“, „GoToMeeting“, „Adobe Connect“ und „Zoom“ (siehe zu diesem Anbieter aber die Ausführungen unten).
     
  • Bei der Auswahl des konkreten Produktes sollten jedenfalls Ihre IT-Verantwortlichen beigezogen werden. Insb. sollte dabei überprüft werden, inwieweit die Software technische Mängel oder Mängel in der Datensicherheit aufweist und in Ihre IKT-Infrastruktur eingebunden werden kann. ­   

    –  Ein wichtiger Prüfmaßstab für die erforderliche Datensicherheit ist die Vertraulichkeitsstufe der geplanten Videokonferenzen bzw. Datenverarbeitung. So ist etwa bei sensiblen Gesprächen über psychische oder physische Verfassungen unter namentlicher Nennung von Personen (Stichwort „Teletherapie“) ein strengerer Maßstab an die Datensicherheit anzulegen, als bei unternehmensinternen Meetings, in denen Verwaltungsagenden besprochen werden. ­ 

    – Die App „Zoom“ erfüllt grundsätzlich alle rechtlichen Kriterien, steht derzeit aber insb. in Bezug auf unzureichende Verschlüsselungen von Daten in Kritik. Hier könnte der oben erwähnte Prüfmaßstab dazu führen, dass diese App für interne Meetings und allgemeine Kundengespräche, nicht aber auch für sensible Kundengespräche eingesetzt wird.
     
  • Haben Sie ein bestimmtes Produkt ausgewählt, sollten Ihre IT-Verantwortlichen und Ihre Datenschutz¬beauf¬tragte / Ihr Datenschutzbeauftragter die notwendigen Datenschutz¬einstellungen vornehmen und Benützungsrichtlinien für jene Mitarbei-ter*innen erlassen, die das Produkt im Home Office einsetzen.