Zwei Jahre nach ihrer Einführung hat die EU-Datenschutz-Grundverordnung nicht nur in Hinblick auf Big Data, Industrie 4.0, Robotik und künstlicher Intelligenz keinesfalls an Brisanz verloren. Diskussionen über eine Corona-Warn-App, Videokonferenzen im Home Office, Fern-Management, gegenseitiges Weiterleiten von Dokumenten und ähnliches stellen die Cybersicherheit vieler Unternehmen in Krisenzeiten auf die Probe.
Auch die Not kennt ein Gebot
"Es sind insbesondere zwei Faktoren, die Datenschutzbeauftragte in diesen Corona-Zeiten besonders fordern. Das eine ist die Geschwindigkeit mit der neue Datenverarbeitungstätigkeiten in den Unternehmen pandemiebedingt notwendig wurden – wie etwa die Umstellung auf Home Office und Videokonferenzen, Erhebung und gegebenenfalls Übermittlung von Gesundheitsdaten der Beschäftigten usw. All diese neuen Verarbeitungen sind DSGVO-konform durchzuführen, was freilich bedeutet, dass hier sehr schnell reagiert werden musste, um die notwendigen datenschutzrechtlichen Voraussetzungen diesbezüglich sicherzustellen", erklärt Assoz. Prof. Dr. Christian Bergauer, wissenschaftlicher Leiter des Universitätskurses Datenschutzbeauftragte:r. Andererseits sorgte und sorgt die bedrohliche Situation auch dafür, dass datenschutzrechtliche Anliegen sehr schnell – vielleicht auch voreilig – zurückgestellt wurden. Quasi frei nach der Devise „eine Not kennt kein Gebot“. Bergauer gibt zu bedenken: "Das hat wohl auch zu Interessenskonflikten bei Datenschutzbeauftragten geführt, nämlich einerseits dieser besonderen Situation ergebnisorientiert im Sinne einer Eindämmung der Pandemie Rechnung tragen zu wollen und andererseits, der Einhaltung der datenschutzrechtlichen Anforderungen für jede Verarbeitung personenbezogener Daten von betroffenen Personen verpflichtet zu sein. Dass es um datenschutzrechtlich taugliche, nationale Eingriffsgesetze für viele krisenbedingte Datenverarbeitungen schlecht bestellt ist, tritt hierbei noch erschwerend dazu."
Wie DSGVO-sicher ist mein Home Office?
"Die Problematik aus datenschutzrechtlicher Sicht besteht hier vor allem dort, wo die privaten Endgeräte der ArbeitnehmerInnen zum Einsatz kommen, die weder im Eigentum des Arbeitgebers noch arbeitsvertraglich für solche Zwecke determiniert wurden. Dennoch müssen Verantwortliche in solchen Fällen, die der „bring your own device"-Problematik in Bezug auf private Smartphones, Tablet oder Notebooks sehr ähnlich ist, bindende organisatorische und technische Vorgaben machen, um die Anforderungen aus der DSGVO sicherzustellen und der Verantwortung gegenüber den betroffenen Personen (z. B. KundInnen) gerecht zu werden", erklärt Bergauer. Eines ist klar: Die aktuelle Krise hat in Bezug auf das Datenschutzrecht aufgezeigt, wie wichtig die Auseinandersetzungen mit Grundrechten in einer demokratischen Gesellschaft ist. "Nicht alle durch die Krise veranlasste Datenverarbeitungstätigkeiten sind rechtlich sauber abgelaufen, weshalb wir in Hinkunft in unserem Universitätskurs verstärkt die Datenverarbeitung in Krisensituationen thematisieren werden", unterstreicht der Experte. Dabei wird nicht nur auf die materiellrechtlichen Besonderheiten der DSGVO sowie die arbeitsrechtlichen Implikationen krisenbedingter Verarbeitungstätigkeiten eingegangen. "Das Augenmerk liegt auch auf die für solche Katastrophenfälle geschaffenen nationalen Regelungen, die sich etwa im Epidemiegesetz oder DSG finden."
Mehr zu den Inhalten des Universitätskurses Datenschutzbeauftragte:r