Antworten geben kann die Datenschutzbehörde, die in Österreich für die Einhaltung des Datenschutzes verantwortlich ist. Sie veröffentlichte kürzlich einen Leitfaden zur aktuellen Lage. Laut diesem gilt grundsätzlich: Daten zu Infektionen mit dem Coronavirus sowie zu CoV-Verdachtsfällen zählen zu jenen sensiblen Daten, für die das Datenschutzrecht einen besonderen Schutz vorsieht. Allerdings dürfen diese Gesundheitsdaten auch verwendet werden, um die Verbreitung des Virus einzudämmen und um die Mitmenschen zu schützen.
Dazu zählt vor allem die Datenerhebung von Personen, bei denen eine Infektion festgestellt wurde, oder bei denen es ein Verdachtsmoment besteht – etwa weil sie Kontakt mit einer infizierten Person hatten oder weil sie sich in einem Risikogebiet aufgehalten haben. Denn Datenverarbeitung „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit“ ist erlaubt.
Betriebe müssen sorgfältig abwägen
Sollte es in einem Betrieb tatsächlich eine Infektion oder einen Verdachtsfall geben, gelten die Daten dazu als sensibel. Laut Datenschutzbehörde soll verhindert werden, dass es zu einer Stigmatisierung einzelner Personen am Arbeitsplatz aufgrund eines Verdachts oder einer Infektion kommt. Gleichzeitig sieht das Recht aber vor, dass Daten über den Gesundheitszustand in jenem Ausmaß verwendet werden können, das notwendig ist, um die Verbreitung des Virus einzudämmen.
Arbeitgeber müssen daher sorgfältig abwägen, ob es notwendig ist, den konkreten Namen infizierter Personen zu nennen, oder ob es reicht, den Betrieb einfach nur anonym über einen Infektionsfall zu informieren. Eine individuelle Nennung kann etwa dann gerechtfertigt sein, wenn ermittelt werden muss, mit wem diese Person Kontakt hatte.
AK: Zusammenhang herstellen
Auch seitens der Arbeiterkammer (AK) heißt es gegenüber ORF.at, dass Betriebe diskret agieren müssen. Ein „Herausposaunen“ von Namen und Gesundheitszuständen sei unzulässig – nicht zuletzt in Hinblick auf das künftige Betriebsklima. Sollte es im Unternehmen einen Verdachtsfall geben, müssen Arbeitgeber Schritte einleiten und die Beschäftigten in jenen Einheiten informieren, in denen tatsächlich in der Praxis miteinander gearbeitet wird. In manchen Fällen könne eine direkte Namensnennung notwendig sein, in der Regel gelte es jedoch, den Zusammenhang zwischen Betroffenen und potenziell Angesteckten herzustellen.
Kurzfristige Speicherung der Telefonnummer möglich
Im Sinne der Risikoprävention ist es zudem zulässig, dass Arbeitgeber ihre Beschäftigten fragen, ob sich diese in einer Risikoregion aufgehalten haben, oder ob diese Kontakt mit Infizierten hatten. Bei diesen und allen weiteren Besprechungen gilt übrigens: Der Datenschutz muss auch bei mündlicher Kommunikation aufrechterhalten werden.
Arbeitgeber dürfen aktuell auch private Nummern ihrer Beschäftigten erfragen und sie temporär speichern, um diese kurzfristig vor einer Infektion am Arbeitsplatz warnen zu können. Allerdings müssen die Beschäftigten ihre Nummern freiwillig hergeben. Die Datenschutzbehörde stellt dafür ein Musterformular zur Verfügung. Alle im Zuge der Coronavirus-Krise erhobenen Daten – auch die Gesundheitsdaten – müssen aber zweckgebunden verwendet werden. Nach Ende der Pandemie müssen daher all jene Daten gelöscht werden, die zu ihrer Bekämpfung gesammelt wurden.
Homeoffice: Warnung vor Cybercrime
Spätestens seit Montag arbeiten viele Arbeitnehmerinnen und Arbeitnehmer von zu Hause aus. Auch dabei gibt es zahlreiche Aspekte zu beachten – insbesondere, weil es bereits Fälle von Cyberkriminalität gibt, die auf diesen Umstand abzielen – mehr dazu in fm4.ORF.at.
Die Datenschutzbehörde empfiehlt, Hardware (insbesondere Diensthandy, Dienstlaptop) sicher aufzubewahren. Im Homeoffice sollte weiters nach Möglichkeit eine geschützte WLAN- oder LAN-Verbindung und, sofern vorhanden, eine verschlüsselte VPN-Verbindung genutzt werden. Vor der Nutzung von offenem WLAN wird gewarnt.
Beim Transport von Hardware in der Öffentlichkeit wird zu erhöhter Vorsicht vor Diebstahl aufgerufen. Sowohl bei Hardware als auch bei Software sollte Verschlüsselung zur Anwendung kommen. Die Behörde warnt eindringlich vor Cyberkriminellen: Es müsse damit gerechnet werden, dass Kriminelle versuchen, sich als vertrauenswürdige Quellen auszugeben.
Benutzerdaten und Passwörter dürften unter keinen Umständen weitergegeben werden. Von der eigenmächtigen Installation von Laptops wird abgeraten, zudem gelte es immer, Anweisungen zu ungewöhnlichen Handlungen zu hinterfragen. Identitäten könnten gefälscht werden, warnt die Behörde. Im Zweifelsfall gelte es, Rücksprache mit den Ansprechpersonen in der IT-Abteilung des Arbeitgebers zu halten. Der Österreichische Gewerkschaftsbund empfiehlt darüber hinaus, im Vorfeld zwischen Arbeitnehmer und Arbeitgeber abzuklären, welche Unterlagen das Unternehmen verlassen dürfen und was im Falle von Brüchen der Datensicherheit geschieht.