Home-Office ist eine der ersten Maßnahmen gewesen, die viele Unternehmen ergriffen haben, um ihre Mitarbeiter und den Betrieb zu schützen. Wie sieht es nun mit der telefonischen Erreichbarkeit aus: Darf die dienstliche Durchwahl einfach auf das Handy des Mitarbeiters umgeleitet werden, auch auf sein privates Telefon? Datenschutzrechtlich unproblematisch ist die Umleitung auf das Diensthandy des Mitarbeiters. Ganz anders sieht es mit der Umleitung auf den privaten Anschluss aus, egal ob es sich um Festnetz oder Handy handelt. Da es hierfür keine Rechtsgrundlage gibt, muss der Mitarbeiter einwilligen.
Die Einwahl in das Firmennetzwerk geschieht oft mittels eines „Virtual Private Network“ (VPN) für eine sichere Datenverbindung. Hierfür wird im Regelfall eine 2-Faktor-Authentifizierung genutzt, das heißt neben dem Usernamen und einem Passwort wird noch ein zusätzlicher zufälliger Sicherheitscode generiert, der mit eingegeben werden muss. Meistens erhalten die Mitarbeiter hierfür einen sogenannten Token, der wechselnde Zahlenfolgen anzeigt, die dann jeweils bei der Anmeldung genutzt werden. Was aber nun, wenn nicht alle Mitarbeiter so einen Token haben? Es gibt auch die Möglichkeit einen solchen Code per App auf dem Smartphone zu generieren. Auch hier ist wieder die Frage, ob dafür das private Handy des Mitarbeiters genutzt werden darf. „Da es keine Rechtsgrundlage für ein solches Vorgehen gibt, ist auch hier nur der Weg über eine Einwilligung möglich. Diese muss rechtskonform gestaltet sein und man muss auch bedenken, dass der Mitarbeiter nicht dazu verpflichtet ist und sie jederzeit widerrufen kann.“ erläutert UIMC-Geschäftsführer Dr. Voßbein.
Aller Schutzmaßnahmen zum Trotz ist es einigen Unternehmen schon passiert: Ein Mitarbeiter erkrankt an Covid-19 und informiert den Arbeitgeber. Darf der Name des Kollegen nun im Betrieb genannt werden, um seine Kollegen zu warnen? „Auf keinen Fall!“ sagt Dr. Voßbein. „Sie können der Belegschaft mitteilen, dass es einen Erkrankungsfall gibt und gegebenenfalls durch die Gesundheitsbehörden Quarantäne angeordnet wird. Wenn der Name des Kollegen im Betrieb publik wird, handelt es sich hierbei um eine Datenpanne nach Artikel 33 DSGVO, die den Datenschutzbehörden gemeldet werden muss.“ Eine Ausnahme besteht nur dann, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist oder der betroffene Mitarbeiter seine Erlaubnis erteilt hat. Bei diesen Ausnahmen sollten sich Unternehmen aber fachlich beraten lassen.
Viele Unternehmen arbeiten momentan am Limit und erreichen ihre Kapazitätsgrenzen. „Gerade die Angestellten im Gesundheitsbereich haben in der letzten Zeit großartiges geleistet“, erläutert Dr. Voßbein. „Speziell aus diesem Bereich erreichen uns viele Fragen: ‚Wir wollen uns an die Datenschutz-Vorgaben halten, aber gibt es momentan einen pragmatischeren Ansatz?‘“. Grundsätzlich handelt es sich bei Gesundheitsdaten um schutzwürdige, persönliche Daten, bei deren Verarbeitung besondere Vorgaben eingehalten werden müssen. Die DSGVO erhält zwar eine Öffnungsklausel, die die Datenverarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit zulässt. So kann insbesondere der Schutz vor Pandemien von dieser Klausel umfasst sein und die Datenverarbeitung damit zulassen. „Diese Regelung ist aber aus verständlichen Gründen sehr eng gefasst. Die betroffenen Unternehmen sollten die Öffnungsklausel nicht als Freibrief verstehen und sich dringend datenschutzrechtlich beraten lassen, um schwerwiegende Fehler und hohe Bußgelder zu vermeiden.“, mahnt Dr. Voßbein. UIMC steht den Betroffenen mit der Expertise der hauseigenen Fachleute zur Seite.