DATENSCHUTZ: DIE MELDEPFLICHT UNTER DEM EPIDEMIEG

Stand: 20. März 2020

1. Warum ist der Datenschutz relevant?

Das EpidemieG sieht eine umfassende Meldepflicht vor. Eine solche Meldung umschließt die Bekanntgabe gesundheitsrelevanter Umstände von Personen. Aus der Sicht der DSGVO bedeutet dies die Erfassung personenbezogener Gesundheitsdaten. Dies begründet die Anwendung der DSGVO.

2. Erlaubt die DSGVO die Erfassung von Krankheitsfällen?

Ein Schwerpunkt der Bekämpfung des Coronavirus besteht darin, die Ausbreitung des Virus zu verhindern. Die Erfassung von Krankheitsfällen, von Krankheitsverdächtigen und von Ansteckungsverdächtigen bildet hierzu das zentrale Mittel. Auch wenn an der Legitimität dieser Datenerfassung kein Zweifel besteht, sind dabei doch datenschutzrechtliche Vorgaben zu beachten.

Wie jede andere Datenverarbeitung auch, bedarf die datenbasierte Erfassung von Krankheits- und Verdachtsfällen einer datenschutzrechtlichen Grundlage. Art 9 Abs 2 lit i DSGVO anerkennt die Verarbeitung von Gesundheitsdaten ua zum Schutz vor schweren grenzüberschreitenden Gesundheitsgefahren. Gemeint ist die Prävention oder Kontrolle ansteckender Krankheiten (ErwGr 52), sohin die Pandemieabwehr (vgl ErwGr 46). Mit anderen Worten steht die DSGVO der Meldung von Verdachts- oder Krankheitsfällen nicht entgegen. Allerdings verlangt die DSGVO nach angemessenen gesetzlichen Grundlagen für die Erfassung solcher Daten. Diese Grundlagen finden sich in Österreich vornehmlich im EpidemieG.

3. Das bedeutet, eine Meldung unter dem EpidemieG ist stets datenschutzkonform?

Das EpidemieG sieht ausdrücklich die Pflicht zur Meldung von Krankheits- oder Verdachtsfällen vor, es sanktioniert sogar Verstöße gegen die Meldepflicht. Die Verarbeitung der Daten des Kranken oder Krankheitsverdächtigen zu Meldezwecken ist daher grundsätzlich datenschutzkonform, sie dient der Erfüllung des gesetzlichen Auftrags. Dies gilt aber nur für die unter dem EpidemieG meldepflichtigen Personen, wie zB Ärzte oder Pflegepersonen.

4. Darf ein Arbeitgeber einen Verdachtsfall oder Krankheitsfall melden?

Arbeitgeber sind unter dem EpidemieG nicht meldepflichtig, allerdings kann eine Pflicht zur Meldung aus der Fürsorgepflicht entstehen, dh sie kann zum Schutz der sonstigen Belegschaft geboten sein. Damit scheint Art 9 Abs 2 lit b DSGVO einschlägig, welcher die Verarbeitung von Gesundheitsdaten zur Erfüllung arbeitsrechtlicher Pflichten anerkennt. In extensiver Sicht rückt zudem Art 9 Abs 2 lit c DSGVO in den Fokus. Dieser erlaubt die Datenverarbeitung im lebenswichtigen Interesse Dritter, wenn der Betroffene weder körperlich noch rechtlich zur Einwilligung in der Lage ist - man denke in diesem Zusammenhang an die verdünnte Willensfreiheit eines kranken oder krankheitsverdächtigen Mitarbeiters.   
 

5. Welche Rechte hat der Betroffene?

In Entsprechung des Auftrags zum Schutz der Öffentlichkeit vor ansteckenden Krankheiten stellt das EpidemieG Einzelinteressen hintan. Demgemäß schließt es das Widerspruchsrecht (Art 21) aus, und gemäß den Erläuterungen zum EpidemieG sieht der Gesetzgeber auch das datenschutzrechtliche Informations- und Löschrecht für nicht anwendbar an. Jedoch besteht das Recht auf Datenauskunft (Art 15) und auf Datenberichtigung (Art 16).

6. Wo werden die Daten gespeichert, an wen muss man sich wenden?

Die Meldedaten fließen ebenso wie die sonst von den Bezirksverwaltungsbehörden erhobenen Daten in ein beim Gesundheitsministerium geführtes Register ein. Unter den Vorgaben des EpidemieG stehen sie dort den Behörden (nur!) zu Zwecken der Epidemiebekämpfung zur Verfügung. Das Gesetz weist dem Bundesminister die Rolle des Verantwortlichen zu, bei ihm ist um Auskunft über Daten im Register und gegebenenfalls um die Berichtigung dieser Daten anzusuchen. Zu löschen sind die Daten, sobald sie zur Epidemiebekämpfung nicht mehr erforderlich sind. Im Detail sieht das EpidemieG diverse Zugriffs- und Beschränkungsregeln sowie ein gesondert zu führendes, nicht personenbezogenes Statistik-Register vor.
 

7. Wie sind Krankheits- und Verdachtsfälle datenschutzkonform zu identifizieren?

Neben dem Appell zur Selbstverantwortung, etwa durch Selbstmeldung bei Symptomen, sind vornehmlich Verhältnismäßigkeitserwägungen zu beachten. Verbreitet ist etwa, dass Firmen deren Besucher vor Zutrittsgewährung Fragen zu ihren vorangegangenen Reisen oder zu indizierten Corona-Verdachtsszenarien beantworten lassen. Sofern dies nur (!) zur Einlasskontrolle und zur allfälligen Identifikation von Meldefällen geschieht, erscheint dies vertretbar. Abgrenzungsfragen ergeben sich aber zur Notwendigkeit einer Einwilligung. Mitunter könnte deren Freiwilligkeit fraglich sein, und auch der Einwilligungswiderruf wäre wohl nicht immer umsetzbar. Schlüssiger erscheint daher die Rechtfertigung einer solchen Datenerhebung durch Art 9 Abs 2 lit b DSGVO, dh wiederum in Entsprechung der arbeitsrechtlichen Fürsorgepflicht, gekoppelt mit einer Datenschutzinformation an den Besucher. Das Abstehen von der Einzeleinwilligung wird nicht zuletzt durch die starke Akzentuierung des öffentlichen Interesses durch das EpidemieG gestützt. So ist dessen Erläuterungen zu entnehmen, dass auch das ministerielle Melderegister im öffentlichen Interesse, und damit losgelöst von Individualeinwilligungen geführt werden soll. Der Gedanke der zustimmungsfreien Datenerfassung ist aber wohl nur für situationsbedingte und fallbegrenzte Datenerfassungen vertretbar, wie etwa im Fall von Zutrittskontrollen. Betriebsweite Gesundheitsabfragen hingegen oder obligatorische Präventivtests innerhalb der Belegschaft abseits indizierter Einzelfälle erscheinen demgegenüber exzessiv und damit datenschutzrechtlich kritisch.

8. Drohen Strafen unter der DSGVO?

Wie bei jeder rechtswidrigen Datenverarbeitung drohen auch bei Datenverarbeitungen rund um das Coronavirus Strafen unter der DSGVO, wenn es hierbei zu Datenschutzverletzungen kommt. In vielen Fällen besteht aktuell jedoch Rechtsunsicherheit, und es fehlt Spruchpraxis von Behörden und Gerichten. Angesichts dessen sollte erwartet werden, dass Behörde und Gericht im Anlassfall bei Datenverwendungen zur Prävention des Coronavirus und zur Meldung von Krankheitsfällen Augenmaß walten lassen. Denn keinesfalls soll die Furcht vor Strafen von der Meldung eines Krankheits- oder Verdachtsfall abhalten!

9. Cyberangriffe

9.1. Welche Formen von Cyberangriffen gibt es derzeit?

Die Tatsache, dass sich derzeit viele Personen im Home Office befinden, nutzen leider auch Cyberkriminelle aus. Dabei werden bewusst IT-Schwachstellen, aber auch Ängste und Unsicherheiten ausgenutzt, um Passwörter zu erlangen, Computerviren in Firmennetzwerke einzuschleusen oder gezielt Cyberangriffe zu starten. Aktuell sind vor alem folgende Formen von Cyberkriminalität zu beobachten:

  • Phishing
    Dabei werden über täuschend echt wirkende Websites oder E-Mails Nutzer dazu verleitet, geheime Zugangsdaten offenzulegen (zB Durch ein E-Mail der vermeintlichen Hausbank, man möge doch einen Link anklicken, um seine "persönlichen Informationen" zu aktualisieren. Das Opfer wird dann auf eine "nachgebauten" Website der Bank weitergeleitet und gibt dort seine Zugangsdaten ein, die direkt an die Kriminellen weitergeleitet werden).
  • CEO-Betrug
    Hierbei werden gefälschte E-Mails an Mitarbeiter versandt, die scheinbar vom Geschäftsführer oder dem Finanzvorstand stammen und die dringende Anweisung enthalten, aufgrund einer außergewöhnlichen Situation eine Notüberweisung vorzunehmen und Compliance-Vorgaben ausnahmsweise zu missachten. Teilweise wird auch mit Kündigung oder ähnlichem gedroht, wenn sich die Mitarbeiter weigern, dieser "Weisung der Geschäftsführung" nachzukommen. Oft werden dadurch große Summen auf Fremdkonten im Ausland transferiert, die nicht wiedererlangt werden können.
  • Versand von Malware oder schädlichen Links
    Hier wird der Empfänger gebeten, ein Attachment in einem E-Mail zu öffnen oder einen Link anzuklicken, der dann unerkannt Schadsoftware am Endgerät installiert. Damit können Passwörter ausspioniert oder auch direkt Daten abgesogen werden. Im Angesicht der COVID-19 Pandemie werden Opfer zB gebeten, einem Link zu folgen, um dort Geld für die Forschung gegen das Virus zu spenden. Zuletzt hat sogar die WHO von dieser Betrugsmasche gewarnt (Link).
  • Erpressungstrojaner (Ransomware)
    Das System oder Daten im System werden verschlüsselt und mit Löschung gedroht, sofern der Nutzer nicht Lösegeld bezahlt. Dem Nutzer wird in Aussicht gestellt, dass nach Zahlung des Lösegelds die Sperre aufgehoben wird (zB durch Preisgabe eines Passworts zur Entschlüsselung).

9.2. Cyberangriffe: Wie kann ich mich und meine Mitarbeiter gegen Cyberangriffe schützen?

Jedes Unternehmen sollte individuell angepasste Strategien und interne Richtlinien zum Umgang mit Cyberangriffen ausarbeiten. Gibt es angesichts der aktuellen Ausnahmesituation (noch) keine derartigen Syteme, sind folgende Punkte als Erstmaßnahmen zu empfehlen:

  • Mitarbeiter informieren und sensibilisieren
    Die Mitarbeiter im Home Office sollten über die Formen von Cyberangriffen informiert und diesbezüglich sensibilisiert werden. Um das Risiko zu reduzieren sollte mit der IT eine gemeinsame Vorgehensweise abgestimmt werden, wobei oft schon einfache Do's & Dont's helfen können wie:
    • Keine Attachments öffnen oder Links anklicken, die aus nicht vertrauenswürdigen Quellen stammen.
    • Ungewöhnlichen Aufforderungen keinesfalls befolgen, wie ungewöhnliche E-Mails von Banken, dass Daten aktualisiert werden müssen und hierfür direkt auf einen mitgeschickten Link geklickt werden soll. Oft hilft eine kurze Internetrecherche, ob derzeit Phishing-Mails der Bank um Umlauf sind.
    • Compliance-Vorgaben einhalten und ungewöhnliche interne Anweisungen immer persönlich rückbestätigen lassen, idealerweise per Anruf beim dafür zuständigen Vorgesetzten.
    • Arbeitet das Endgerät plötzlich langsamer oder verbraucht es deutlich mehr Strom, könnte dies auf Schadsoftware hindeuten.
    • Vermutete Cyberangriffe sofort an die Geschäftsleitung und IT berichten und deren Anweisungen befolgen. Keine eigenmächtigen Versuche starten, um erfolgte oder laufende Cyberangriffe zu bekämpfen (zB eigenmächtig Lösegeldforderungen bei Erpressungstrojanern nachkommen).
    • Alle ungewöhnlichen Aktivitäten dokumentieren (Screenshots, Gedächtnisprotokolle).
  • IT Infrastruktur prüfen und adaptieren
    • Mit der IT sollten die neuen Sicherheitsrisiken aufgrund der Home Office Arbeiten besprochen und entsprechende Sicherheitsmaßnahmen gesetzt werden.
  • Checklisten ausarbeiten
    Die wirksame Bekämpfung von Cyberangriffen und Reduktion von Schäden erfordert rasches Handeln. Um im Ernstfall die richtigen Schritte koordiniert und wirksam setzen zu können, empfiehlt es sich daher, Checklisten auszuarbeiten, in denen insbesondere klar geregelt ist, welche Notfallmaßnahmen in welcher Reihenfolge zu setzen sind und wer durch wen zu verständigen ist (zB Rechtsanwalt, IT Techniker etc).

9.3. Cyberangriffe: Was mache ich, wenn ich Opfer eines Cyberangriffs geworden bin?

Im Fall eines Cyberangriffs sind einerseits technische Notfallmaßnahmen zu setzen, die mit der IT abzustimmen sind, andererseits aber auch rechtliche Schritte zu prüfen. Für die Beurteilung der rechtlichen Schritte ist es essentiell, zu wissen,

  • wer und welche Endgeräte angegriffen wurden;
  • welche Daten betroffen sind (personenbezogene Daten, Geschäftsgeheimnisse etc);
  • wer der Angreifer sein könnte;
  • ob Daten beschädigt, kopiert, transferiert oder manipuliert wurden; und
  • was die Täter mit diesen Daten machen können (zB Überweisungen vornehmen, auf Kundensysteme zugreifen etc)

Von besonderer Bedeutung ist zudem, den Cyberangriff und die Schäden ausreichend zu dokumentieren, zB durch Screenshots, Wahrnehmungsberichte der betroffenen Mitarbeiter oder – sofern möglich – eine kurze IT-forensische Analyse.

9.4. Cyberangriffe: Welche rechtlichen Möglichkeiten und Pflichten habe ich im Fall eines Cyberangriffs?

Cyberangriffe können verschiedene Straftatbestände erfüllen, wie zB einen Widerrechtlichen Zugriff auf ein Computersystem (§ 118a StGB), Datenbeschädigung (§ 126a StGB) oder Betrug (§ 146 StGB). Betroffene Unternehmer sollten daher möglichst rasch prüfen, ob eine Strafanzeige sinnvoll ist, da die Strafbehörden Ermittlungsmaßnahmen setzen können, die Privaten nicht offen stehen (zB Auskunft über Zugangsdaten, wie IP-Adressen, von Kommunikationsdienstleistern verlangen). Wird ein Strafverfahren eingeleitet, kann das geschädigte Unternehmen Schadenersatz direkt im Strafverfahren geltend machen, in dem es sich als Privatbeteiligte dem Verfahren anschließt.

Achtung: Im Fall von Cyberangriffen sollte umgehend geprüft werden, ob sich aus den relevanten Rechtsverhältnissen des Unternehmens Pflichten gegenüber Vertragspartnern oder Dritten ergeben, wie bspw Schutz- und Aufklärungspflichten gegenüber Lieferanten, Kunden, Versicherungen oder auch der eigenen Bank. Zudem sollte sichergestellt werden, dass die eigene Schadensminderungspflicht eingehalten wird. Sind personenbezogene Daten vom Cyberangriff betroffen, müssen auch die datenschutzrechtlichen Implikationen geprüft werden.

 

nach oben

 

nach oben

back to FAQ

Kindly note that the above information does not demonstrate the applicable legal framework in a concluding manner. Also, some of the addressed topics might be subject to short-term changes. 

search coronavirus updates

more answers

coronavirus info corner

subscribe to our newsletter