Europäischer Datenschutztag 2021

Am 28. Januar 2021 findet der Europäische Datenschutztag statt. Initiiert durch den Europarat werden seit 2007 an diesem Datum alle Bürger Europas auf den hohen Stellenwert des Datenschutzes innerhalb der EU aufmerksam gemacht. 2008 schlossen sich auch die Vereinigten Staaten und Kanada dem Aktionstag für den Datenschutz an und zelebrieren seither den ‚Data Privacy Day‘ in Nordamerika.

Der Grundgedanke für den Europäischen Datenschutztag geht auf die Europäische Datenschutzkonvention von 1981 zurück. Dieser völkerrechtliche Vertrag regelt den Schutz und den Austausch personenbezogener Daten über die eigenen Landesgrenzen hinaus. Auch 40 Jahre später hat der Datenschutz für Unternehmen, Behörden und Privatpersonen eine nach wie vor große Bedeutung.

Wir möchten heute auf den Europäischen Datenschutztag aufmerksam machen, um Ihnen einen kleinen Ausblick auf drei datenschutzrelevante Themen zu geben, die 2021 wichtig werden oder wichtig bleiben. Was erwarten wir vom Datenschutz? Welche Termine sollten Sie im Hinterkopf behalten? Worauf müssen wir besonders achten, damit wir alle auch in diesem Jahr wieder einfach sicher arbeiten können?

Datenschutz in Zeiten der Corona-Pandemie

Auch im Jahr 2021 ist die Covid-19-Pandemie allgegenwärtig. Seien es nun das Tragen einer Maske am Arbeitsplatz, die Organisation der täglichen Kinderbetreuung oder die Umstellung aufs Homeoffice: Es gibt viele Szenen aus dem Arbeitsalltag, in denen sich Arbeitgeber und -nehmer auf völlig neue Situationen eingestellt haben. 

Pandemie vs. Datenschutz

Hierzulande stellten die Datenschutzbehörden schnell klar, dass die Bekämpfung der Pandemie nicht über dem Datenschutz steht. Dass gerade Informationen zur Gesundheit äußerst sensible Datensätze abbilden, muss jedem Verantwortlichen bei der Verarbeitung bewusst sein. Solange bei den Maßnahmen eine nachvollziehbare Verhältnismäßigkeit oder sogar eine gesetzliche Verpflichtung gegeben ist, kann eine Erhebung und Verarbeitung allerdings zulässig sein. Von daher kommt es vor allem auf die Situation an, was wir Ihnen mit zwei Beispielen veranschaulichen möchten.

Erstes Beispiel:
Das Unternehmen XY GmbH möchte seit April 2020 von seinen Angestellten umgehend informiert werden, wenn im Krankheitsfall eine COVID-19-Infektion nachgewiesen wurde. Zum Schutz von allen weiteren Mitarbeiterinnen und Mitarbeitern oder um eine Ausbreitung des Virus im Unternehmen zu verhindern, können diese Informationen datenschutzkonform erhoben und verarbeitet werden. 

Zweites Beispiel:
Gaststättenbetreiber und Restaurantbesitzer sind seit 2020 gesetzlich verpflichtet, personenbezogene Daten ihrer Gäste wie Name, Anschrift und Telefonnummer zu erheben und zu sichern. Die Verantwortlichen folgen somit einer Verpflichtung in Verbindung mit dem Infektionsschutzgesetz. Dadurch ist nach Art. 6 Abs. 1 lit. c DSGVO die Rechtmäßigkeit der Verarbeitung dieser Daten gegeben, denn sie dient „zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt“.  

Es gibt zahlreiche Situationen, in denen ein Betrieb besonders in dieser herausfordernden Zeit mit zu klärenden datenschutzrechtlichen Sachlagen konfrontiert wird. Daher macht es für Unternehmen in vielen Fällen Sinn, Unterstützung in Form einer externen Beratung anzufordern.

Corona-Warn-App

Über die Nutzung der Corona-Warn-App wurde bereits vor ihrer Einführung kontrovers diskutiert. Auch nach dem Start am 12. Juni 2020 wird bis heute über Zweckdienlichkeit und den Datenschutz gesprochen. Anfängliche Befürchtungen, dass bei Nutzung Bewegungs- und Standortdaten aufgezeichnet werden könnten, bewahrheiteten sich nicht. 

Die App speichert keine Aufenthaltsorte oder Bewegungsmuster der Nutzerinnen und Nutzer. Permanent wird via Bluetooth ein Code an alle Mobiltelefone in der Nähe gesendet. Erfährt nun eine Person von der eigenen Infektion mit Sars-CoV2, trägt sie das in der App ein. Diese Information wird dann an einen zentralen Server übermittelt. „Der Server hat allein die Aufgabe, die pseudonymisierten und autorisierten Positivmeldungen an alle Teilnehmer sicher und effizient zu verteilen.“, heißt es in den Corona-Warn-App F.A.Q. der Bundesregierung. „Eine darüber hinaus gehende zentrale Datenspeicherung findet selbstverständlich nicht statt.“

Die Corona-Warn-App war basierend auf einer dezentralen Softwarearchitektur entwickelt worden. „Das Bundesamt für Sicherheit in der Informationstechnik (BSI) war laufend an allen Entwicklungsschritten beteiligt und hat die App und die zugehörige Infrastruktur auf Sicherheit geprüft", erklärte auch Bundesinnenminister Horst Seehofer schon im Juni 2020. "Nach Einschätzung des Bundesinnenministeriums und des BSI erfüllt die App außerdem höchste Ansprüche beim Datenschutz."

Homeoffice 2021 

Das Homeoffice erlebt seit Beginn der Pandemie einen regelrechten Boom. Nie zuvor arbeiteten so viele Erwerbstätige von zu Hause aus. Laut einer repräsentativen Befragung des Digitalverbands Bitkom von Anfang Dezember 2020 arbeitet aktuell jeder vierte Berufstätige ausschließlich im Homeoffice. Weitere 20 Prozent arbeiten zumindest teilweise von zu Hause aus. Dabei wird die Umstellung von einem Großteil der Arbeitnehmerinnen und Arbeitnehmer positiv aufgefasst, wie eine fortlaufende Umfrage des Fraunhofer Institus für Angewandte Informationstechnik zeigt.

Organisieren Sie Ihren Arbeitsplatz

Für viele Unternehmen war die Umstellung aufs Homeoffice ein Sprung ins kalte Wasser. Dabei sollte der Arbeitsplatz vor allem im Hinblick auf die Sicherstellung der betrieblichen Abläufe unter Einhaltung rechtlicher Vorgaben definiert werden. Findet die tägliche Arbeit nun vorwiegend in den eigenen vier Wänden statt, steigen auch die Risiken, wenn mit personenbezogenen Daten gearbeitet wird. Die Gefahr der unberechtigten Zugriffe durch Dritte ist nicht zu unterschätzen. Arbeitgeber sollten dem unbedingt durch geeignete technische und organisatorische Maßnahmen entgegenwirken, um die Sicherheit bei der Datenverarbeitung gewährleisten zu können.

Technische Maßnahmen können unter anderem sichere Übertragungswege, die Verschlüsselung von Daten oder eine Zugangssicherung für die genutzten Geräte sein. Zusätzlich sollten die Mitarbeiterinnen und Mitarbeiter über klare Vorgaben verfügen, was die Nutzung von bereitgestellten Geräten betrifft. Beispielsweise ist es auch im Homeoffice ratsam, beim Verlassen des Arbeitsplatzes den Bildschirm zu sperren, um Unbefugten einen Zugang zu betriebsinternen Daten zu verwehren.

Gerade im Homeoffice muss auf sensible und personenbezogene Daten besonders geachtet werden, da Sie sich nicht im unmittelbaren Kontrollbereich Ihres Arbeitgebers befinden. Darüber hinaus tritt eventuell nach einiger Zeit eine gewisse Sorglosigkeit ein. Beherzigen Sie bitte daher folgende fünf Punkte, die eine Grundlage für sicheres Arbeiten im Homeoffice bilden sollen:

  • Passwörter nicht unbeaufsichtigt auf dem Schreibtisch legen oder an den Bildschirm kleben
  • kein Zugriff auf unternehmenseigene Hard- oder Software durch Dritte
  • keine Speicherung betrieblicher Daten auf privaten Geräten wie zum Beispiel USB-Sticks oder in privaten genutzten Cloud-Speichern
  • keine Weiterleitung beruflicher Nachrichten an private E-Mail-Adressen
  • keine Kopplung privater und betrieblicher Geräte (z.B. Handykabel zum Aufladen an den Laptop anschließen)

UK-EU-Austritt 2021

Die Übergangsfrist zum Austritt Großbritanniens aus der Europäischen Union endete mit dem 31. Dezember 2020. Erst eine Woche zuvor konnten sich die EU und das Vereinigte Königreich auf einen geregelten Austritt einigen. Ist die Übermittlung personenbezogener Daten nach England seitdem widerrechtlich? In dem ausgehandelten Vertrag werden auch Details zum Datenschutz geregelt – zumindest für eine kurze Übergangsphase.

Es wurde vereinbart, dass das Vereinigte Königreich bis zum 30. April 2021 von der Europäischen Union nicht als Drittstaat angesehen wird. Sogar eine Verlängerung um zwei weitere Monate bis zum 30. Juni 2021 ist laut Vertrag möglich. Damit steht der Datentransfer zwischen der EU und dem Vereinigten Königreich auf festem Boden – zumindest für das erste Halbjahr 2021 und auch nur auf den ersten Blick.

Wird Großbritannien zu einem unsicheren Drittstaat?

Seitens der EU wäre ein Angemessenheitsbeschluss theoretisch möglich. Somit bliebe Großbritannien datenschutzrechtlich auch als Drittstaat sicher und dem Datentransfer wären keine größeren Hürden auferlegt. Es ist allerdings mehr als fraglich, ob dies in der noch zur Verfügung stehenden Zeit passieren wird. Darüber hinaus haben die britischen Sicherheitsbehörden ähnliche Befugnisse wie die USA. Hier bewertete der EuGH im Juli 2020 den EU-US Privacy Shield für unzulässig. Vermuten können wir also, dass die Europäische Union künftig die Übertragung personenbezogener Daten ins Vereinigte Königreich für unzulässig ansehen könnte.

Bei Fragen können Sie sich gerne an Mario Thiele, fachlicher Leiter im Geschäftsbereich Datenschutz bei der ecoprotec GmbH wenden.

Inhalte zur Verfügung gestellt von ecoprotec GmbH, Paderborn