Sehr geehrte Damen und Herren,
wir vertreten den Verein Privacyofficers.at, Österreichs größtem Dachverband von Datenschutzbeauftragten und Datenschutzexperten (www.privacyofficers.at).
Die geplante Novelle des Epidemiegesetzes beinhaltet in § 5 Abs 6 eine datenschutzrechtliche Regelung, die nicht nur Betroffene selbst betrifft, sondern auch unsere Mitglieder, die eine solche Regelung in den Organisationen, in denen sie tätig sind, umsetzen und begleiten müssten.
Bei der Lektüre des vorgeschlagenen § 5 Abs 6 Epidemiegesetzes stellen sich einige, nicht lösbare Fragen, die wir Ihnen gerne übermitteln, mit der Bitte, den Text einer tiefergehenden datenschutzrechtlichen Überprüfung zu unterziehen und entsprechend anzupassen.
Unter anderem soll laut Begutachtungsentwurf ein neuer §5 Abs 6 Epidemiegesetz eingeführt werden, der lautet:
(6) Betriebe, Veranstalter und Vereine sind – unbeschadet nach anderen Rechtsgrundlagen bestehenden Erhebungs- und Aufbewahrungspflichten – verpflichtet, personenbezogene Kontaktdaten von Gästen, Besuchern, Kunden und Mitarbeitern, in deren Verarbeitung ausdrücklich eingewilligt wurde, zum Zweck der Mitwirkungspflicht im Rahmen der Erhebung von Kontaktpersonen bei Umgebungsuntersuchungen für die Dauer von 28 Tagen aufzubewahren. Eine Verarbeitung der Daten zu anderen Zwecken ist nicht zulässig. Nach Ablauf der Aufbewahrungsfrist sind die Daten unverzüglich zu löschen. Betriebe, Veranstalter und Vereine haben geeignete Datensicherheitsmaßnahmen zu ergreifen.
Als Datenschutzbeauftragte (r) eines Unternehmens ist man nun ratlos, wie man diese Bestimmung datenschutzrechtlich einordnen bzw. DSGVO konform auslegen und umsetzen soll.
Jede Datenverarbeitung benötigt eine rechtliche Grundlage, dafür gibt Artikel 6 DSGVO eine taxative Liste von möglichen Rechtsgrundlagen vor. Es handelt sich um die oben genannte Bestimmung um eine gesetzliche Regelung, so könnte Artikel 6 Abs 1 lit c DSGVO („die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt“) relevant sein.
Folgende Fragen tun sich dabei jedoch auf:
§ Abgesehen davon, dass die Vermengung mit der Einwilligung (dazu gleich) schon irreführen ist, stellt sich schon die Frage, welcher Verantwortliche fällt denn unter welchen Bedingungen darunter?
§ Ad Betriebe: Gilt das in jedem Fall, wenn es um ihre Beziehung zu Mitarbeitern geht? Betrifft das den normalen Arbeitsalltag oder nur besondere Anlässe wie Veranstaltungen, größere Treffen, wo eine Nachvollziehbarkeit von Kontakten schwierig ist? Ist das eine gesetzliche Aufforderung lückenlos die Anwesenheiten, Bewegungsprofile, Treffen, Kontaktpersonen von Mitarbeitern zu erfassen und zu dokumentieren? Gilt das nur für den Betriebsstandort oder auch für die Freizeit? Gilt das für Mitarbeiter, die im Homeoffice sind?
§ Ad Vereine: Gilt das für Vereinsbezogene Treffen? Gilt das für alle Vereinsmitglieder, auch wenn sie nicht in persönlichen Kontakt treten?
§ Kommt diese Bestimmung im Begutachtungsentwurf doch nur zur Anwendung, wenn es um Veranstaltungen und dergleichen geht? Darauf könnte die Mitaufnahme von „Veranstaltern“ hindeuten.
§ Interessanterweise macht die Formulierung im vorgeschlagenen § 5 Abs 6 eine Art Einschränkung, indem sie auf eine Einwilligung der Betroffenen verweist bzw. andeutet, dass die Verpflichtung nur dann gilt, wenn eine Einwilligung vorliegt. Damit wäre als Rechtsgrundlage auch Artikel 6 Abs 1 lit a ins Spiel gebracht. Eine Einwilligung muss freiwillig gegeben werden können und sie kann vor Allem jederzeit widerrufen werden.
§ Angenommen, ein Verantwortlicher führt ausführliche Dokumentationen für Mitarbeiter, die sogar eingewilligt haben, es stellen sich folgende Fragen:
§ Ist so eine Einwilligung freiwillig? Das ist nach der gängigen Rechtsprechung zum Beschäftigungskontext wohl eher zu verneinen.
§ Selbst wenn eine Freiwilligkeit angenommen werden könnte, stellt sich die Frage, was bei einem Widerruf passieren soll. Muss der Verantwortliche dann alles löschen, was die widerrufende Person betrifft? Wie kann dann der offensichtliche Zweck dieser gesetzlichen Bestimmung erfüllt werden?
§ Schließlich bleibt spannen, wie die beiden genannten Rechtsgrundlagen miteinander korrelieren. Nach der Formulierung, braucht es irgendwie beides. Oder doch nicht? Soll eine die Datenverarbeitung auffangen, falls die andere doch nicht gilt?
Auch ein Blick in die Erläuterungen des Begutachtungsentwurfs hilft nicht weiter, vielmehr verstärken diese die beschriebene Unsicherheit und Komplexität noch, wenn es dort heißt:
“Zu Z 4 (§ 5 Abs. 6):
Hier soll eine ausdrückliche gesetzliche Grundlage dafür geschaffen werden, dass Betriebe, Veranstalter und Vereine verpflichtet sind, Kontaktdaten, in deren Verarbeitung ausdrücklich eingewilligt wurde, von Gästen, Besuchern, Kunden und Mitarbeitern zu verarbeiten und diese im Anlassfall bei einer Umgebungsuntersuchung der Gesundheitsbehörde zur Verfügung zu stellen. Datenschutzrechtliche Rechtsgrundlage für die Verarbeitung der Kontaktdaten ist die ausdrückliche Einwilligung. In diesem Zusammenhang ist klarzustellen, dass Betriebe, Veranstalter und Vereine nicht den Eintritt oder die Dienstleistung verweigern dürfen, weil die Einwilligung in die Datenverarbeitung abgelehnt wird.”
Das Ziel des vorgeschlagenen Paragrafen sollte wohl sein, den Gesundheitsbehörden bei einem notwendigen Contact Tracing die erforderlichen Daten schnell zur Verfügung stellen zu können. Im Hinblick auf die Beschäftigungssachverhalte müssten jedoch zumindest das Arbeitsverfassungsrecht und auch das Arbeitsschutzrecht relevant sein. Eventuell ließe sich in Verbindung mit diesen Rechtsnormen tatsächlich eine gesetzliche Verpflichtung für Arbeitgeber ableiten. In jeden Fall müssten die von der DSGVO geforderten Datensicherheitsmaßnahmen inklusive Zugriffsrechte und auch die Rolle eines Betriebsrates geklärt sein.
Diese Fragen machen deutlich, dass diese Bestimmung keineswegs ausgereift und den von der DSGVO genannten Voraussetzungen einer gesetzlichen Bestimmung, die die Privatsphäre durch Verarbeitung von personenbezogenen Daten betrifft, erfüllt. Dies macht EG 41 der DSGVO deutlich, wenn er an solche gesetzlichen Grundlagen folgende Bedingungen stellt, Demnach müssen sie klar und präzise und ihre Anwendung für die Rechtsunterworfenen gemäß der Rechtsprechung des EUG und des EGMR vorhersehbar sein. Die oben genannte Bestimmung ist nicht klar, präzise ist sie auch nicht (ist jetzt rechtliche Verpflichtung oder Einwilligung die Rechtsgrundlage?) und wohl auch nicht vorhersehbar (wann gilt sie denn jetzt wirklich?).
Mit freundlichen Grüßen
Verein österreichischer betrieblicher und behördlicher
Datenschutzbeauftragter – Privacyofficers.at