Im Rahmen unserer Website wird ausschließlich nur ein technisch notwendiges Cookie gesetzt, um die grundlegende Funktionalität der Website - in technischer Hinsicht - zu gewährleisten. 

Information der Datenschutzbehörde zum Coronavirus (Covid-19)

Stand: 01.10.2020

Aufgrund der derzeitigen Epidemie stellt sich für Unternehmen, Behörden und auch für ArbeitnehmerInnen die Frage, unter welchen Umständen Daten (insbesondere Gesundheitsdaten) verarbeitet und ausgetauscht werden können und dürfen.

Die Datenschutzbehörde weist einleitend darauf hin, dass Daten über Infektionen mit dem Coronavirus (Covid-19) sowie über Verdachtsfälle zu jenen sensiblen Daten zählen, für die das Datenschutzrecht einen besonderen Schutz vorsieht.

Das Datenschutzrecht sieht jedoch ebenso vor, dass diese Gesundheitsdaten in jenem Ausmaß verwendet werden können, das notwendig ist, um die Verbreitung des Virus einzudämmen und um die Mitmenschen zu schützen. Dazu zählt insbesondere die Datenerhebung von Personen, bei denen eine Infektion festgestellt wurde oder bei denen ein Verdachtsmoment aufgrund eines Kontakts mit einer infizierten Person oder aufgrund eines Aufenthalts in einer Risikoregion besteht.

Im arbeitsrechtlichen Kontext ist festzuhalten, dass jeder Arbeitgeber gegenüber seinen ArbeitnehmerInnen zur Fürsorge verpflichtet, wozu der Ausschluss von Gesundheitsrisiken am Arbeitsplatz zählt. Vor diesem Hintergrund kann die Verarbeitung von Gesundheitsdaten auf Art. 9 Abs. 2 lit.b DSGVO iVm den jeweils einschlägigen Bestimmungen zur Fürsorgepflicht (Verarbeitung zum Zwecke der Erfüllung arbeits- und sozialrechtlicher Pflichten) gestützt werden. Für die Übermittlung der Gesundheitsdaten an die Gesundheitsbehörden normiert Art. 9 Abs. 2 lit.i DSGVO iVm § 10 Abs. 2 DSG eine entsprechende Rechtsgrundlage (Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit). Weiters kann auf Verlangen der Bezirksverwaltungsbehörden ebenso eine Pflicht des Arbeitgebers zur Auskunftserteilung (über Verdachtsfälle und Infektionen) nach Art. 9 Abs. 2 lit.i DSGVO iVm § 5 Abs. 3 Epidemiegesetz 1950 bestehen. In unseren FAQ finden Sie weiterführende Informationen. Bitte wenden Sie sich bei Fragen, wem festgestellte Infektionen oder Verdachtsfälle zu melden sind, an die Gesundheitsbehörden.

Zur Risikoprävention ist es ferner zulässig, dass Arbeitgeber die private Handynummer der ArbeitnehmerInnen erfragen und temporär speichern, um diese kurzfristig über eine Infektion im Betrieb oder in der Behörde warnen zu können und damit diese nicht am Arbeitsplatz erscheinen müssen. Die ArbeitnehmerInnen können zu dieser Bekanntgabe jedoch nicht gezwungen werden. Die Datenschutzbehörde stellt auf ihrer Webpage ein Musterformular für die Erhebung privater Kontaktdaten von Mitarbeiter zur freien Verwendung zur Verfügung.

Die Datenverarbeitung hat unter Einhaltung des Zweckbindungsgrundsatzes gemäß Art. 5 Abs. 1 lit.a DSGVO zu erfolgen. Eine Verwendung der Gesundheitsdaten für andere Zwecke als der Gesundheitsvorsorge, der Eindämmung des Virus und der Heilbehandlung ist daher unzulässig. Darüber hinaus ist auf den Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit.e DSGVO hinzuweisen. Nach Ende der Epidemie sind daher jene Daten, die nicht mehr notwendig sein werden, (wie insbesondere die privaten Kontaktdaten der ArbeitnehmerInnen) zu löschen. Aufgrund des Umstands, dass vermehrt Home-Office zum Einsatz kommt, ist schließlich auf die Sicherheitsvorgaben gemäß Art. 5 Abs. 1 lit.f iVm Art. 32 Abs. 1 DSGVO hinzuweisen. Die Arbeitgeber sollten Ihre Mitarbeiter insbesondere darauf hinweisen, dass Hardware (wie Dienstlaptops und Diensthandys) sicher aufzubewahren und dass eine geschützte WLAN-Verbindung mit einem starken Passwort (optimalerweise auch eine verschlüsselte VPN-Verbindung) zu verwenden ist (so diese vorhanden) sowie, dass erhöhte Aufmerksamkeit gegenüber Phishing-Nachrichten mit angeblich neuen Informationen über das Coronavirus bestehen sollte. Die Datenschutzbehörde stellt auf ihrer Webpage ein weiterführendes Informationsblatt zum Thema Datensicherheit und Home-Office zur Verfügung.

Fragen und Antworten zum Thema Datenschutz und COVID-19

  1.  Darf ein Arbeitgeber seine ArbeitnehmerInnen befragen, ob sich diese in einer Risikoregion aufgehalten haben, oder ob diese Kontakt mit Infizierten hatten?
  2.  Wenn ein Arbeitgeber seine ArbeitnehmerInnen mündlich über den Gesundheitszustand befragt, findet das Datenschutzrecht keine Anwendung. Stimmt das?
  3.  Darf ein Arbeitgeber anordnen, dass alle ArbeitnehmerInnen vor Betreten des Betriebs eine Temperaturmessung („Fiebermessen") durchführen müssen?
  4.  Darf ein Arbeitgeber anordnen, dass alle ArbeitnehmerInnen einen PCR-Test durchführen müssen?
  5.  Darf ein Arbeitgeber Daten über Infektionsfälle an Gesundheitsbehörden übermitteln?
  6.  Darf ein Arbeitgeber die privaten Kontaktdaten von ArbeitnehmerInnen erheben, um diese kurzfristig über ein Verdachtsmoment oder eine Infektion am Arbeitsplatz informieren zu können?
  7.  Darf ein Arbeitgeber gegenüber der Belegschaft den konkreten Namen einzelner Personen nennen, die sich mit dem Coronavirus (COVID-19) infiziert haben?
  8.  Wie verhält sich das Datenschutzrecht zum Arbeitsrecht im Kontext von COVID-19?
  9.  Ich stehe im Verdacht, infiziert zu sein oder bin infiziert. Welche Daten können die Gesundheitsbehörden über mich verarbeiten?
  10.  Müssen Unternehmer, die Massenveranstaltungen organisiert haben (Messe, Theater, Sportevent o.ä.), Daten von Besuchern an die Gesundheitsbehörden übermitteln?
  11.  Welche Daten darf ein Bürgermeister verwenden, um Bürger in seinem Gemeindegebiet in der aktuellen Ausnahmesituation zu unterstützen?
  12.  Muss ich als betroffene Person an den sogenannten „Screening-Programmen" teilnehmen?
  13.  Kann die Teilnahme an Veranstaltungen, die ein Zusammenströmen größerer Menschenmengen mit sich bringen, an die Bedingung geknüpft werden, dass ich als betroffene Person die Verwendung einer Contact-Tracing-App („Kontakttagebuch-App") nachweisen muss?
  14.  Was ist aus datenschutzrechtlicher Sicht beim Einsatz von Home-Office zu beachten?
  15.  Dürfen Kommunikationsanbieter die Bewegungsprofile von Handynutzern der Regierung zur Verfügung stellen, um die Ausbreitung von Infektionen einzudämmen?
  16.  Muss ich Organen des öffentlichen Sicherheitsdienstes Informationen über eine (mögliche) Infektion mit SARS-CoV-2 mitteilen?
  17.  Muss ich bei Betreten einer Gaststätte dem Betreiber der Gaststätte meine Kontaktdaten für ein mögliches Contact-Tracing durch die zuständige Gesundheitsbehörde zur Verfügung stellen?
  18.  Ist die Erhebung meiner Kontaktdaten in Wiener Gaststätten für ein mögliches Contact-Tracing durch die zuständige Gesundheitsbehörde zulässig?
  19.  Welche Leitlinien hat der Europäische Datenschutzausschuss zum Thema Datenschutz und COVID-19 bislang veröffentlicht?

1. Darf ein Arbeitgeber seine ArbeitnehmerInnen befragen, ob sich diese in einer Risikoregion aufgehalten haben, oder ob diese Kontakt mit Infizierten hatten?

Arbeitgeber haben aufgrund arbeitsrechtlicher Bestimmungen (sowohl im privaten, als auch im öffentlichen Bereich) eine Fürsorgepflicht und müssen dafür Sorge tragen, dass Gesundheitsrisiken am Arbeitsplatz ausgeschlossen werden. Zum Ausschluss von Gesundheitsrisiken zählt jedenfalls auch die Prävention von Infektionen und die Eindämmung einer Virusverbreitung am Arbeitsplatz.

Vor diesem Hintergrund kann die Erhebung des Gesundheitszustands durch Arbeitgeber (Verantwortliche) insbesondere auf die Erfüllung der arbeitsrechtlichen Fürsorgepflicht gemäß Art. 9 Abs. 2 lit. b DSGVO gestützt werden. Die Datenverarbeitung hat allerdings stets unter Einhaltung aller Grundsätze nach Art. 5 Abs. 1 DSGVO zu erfolgen.

Das Sozialministerium bietet weiterführende Informationen zu Risikogebieten und Infektions-Fallzahlen unter:

https://www.sozialministerium.at/Themen/Gesundheit/Uebertragbare-Krankheiten/Infektionskrankheiten-A-Z/Neuartiges-Coronavirus.html

2. Wenn ein Arbeitgeber seine ArbeitnehmerInnen mündlich über den Gesundheitszustand befragt, findet das Datenschutzrecht keine Anwendung. Stimmt das?

Nein.

Es ist darauf hinzuweisen, dass das Grundrecht auf Geheimhaltung gemäß § 1 Abs. 1 DSG, anders als die DSGVO, auch für mündliche Mitteilungen gilt. Somit sind datenschutzrechtliche Vorgaben einzuhalten, unabhängig davon, ob die Daten von ArbeitnehmerInnen elektronisch, in Form von physischen Fragebögen (Dateisystem) oder mündlich erhoben werden.

3. Darf ein Arbeitgeber anordnen, dass alle ArbeitnehmerInnen vor Betreten des Betriebs eine Temperaturmessung („Fiebermessen") durchführen müssen?

Das ist in erster Linie eine arbeitsrechtliche Frage (siehe Frage 8). Aus datenschutzrechtlicher Sicht bestehen grundsätzlich gelindere Mittel für die Erhebung von Gesundheitsdaten (also die Kontrolle des Gesundheitszustandes), zumal Fieber nur eines von mehreren möglichen Symptomen für eine mögliche Ansteckung mit COVID-19 ist und der Krankheitsverlauf auch gänzlich ohne Symptome erfolgen kann.

Es ist daher stets zu hinterfragen, ob nicht gelindere Mittel zur Zielerreichung zur Verfügung stehen, wie etwa Umstieg auf Home-Office, Befragung des Mitarbeiters (siehe dazu Frage 1), Einhalten von Sicherheitsabständen, Maskenpflicht oder Bereitstellung von Desinfektionsmittel.

ArbeitnehmerInnen haben im Rahmen der Treuepflicht gegenüber dem Arbeitgeber aber auch die Eigeninitiative zu ergreifen und einen Verdacht über eine Infektion zu melden. Hierauf kann die Belegschaft hingewiesen werden.

Eine Ausnahme kann bestehen, wenn eine Untersuchungspflicht (Eignungs- und Folgeuntersuchung) gesetzlich angeordnet ist. Dies kann bei Tätigkeiten im Sinne des gemäß § 49 ArbeitnehmerInnenschutzgesetz der Fall sein, bei denen die Gefahr einer Berufskrankheit besteht.

4. Darf ein Arbeitgeber anordnen, dass alle ArbeitnehmerInnen einen PCR-Test durchführen müssen?

Auch dies ist in erster Linie eine arbeitsrechtliche Frage (siehe Frage 8). Aus datenschutzrechtlicher Sicht ist zu bemerken, dass solche Schnelltests, anders als Fiebermessungen (siehe Frage 3) jedenfalls geeigneter sind, um den Gesundheitszustand von Personen festzustellen.

Die Durchführung solcher Schnelltests kann grundsätzlich auf Art. 9 Abs. 2 lit. b DSGVO iVm den jeweiligen arbeitsrechtlichen Bestimmungen zur Fürsorgepflicht gestützt werden. Dies kann dann zulässig sein, sofern es bereits nachweislich zu Infektionen im Betrieb gekommen ist und die Überprüfung des Gesundheitszustandes zur Verhinderung einer weiteren Infektionsverbreitung tatsächlich notwendig ist.

Es gilt stets, dass objektive Gründe vorhanden sein müssen und derartige Maßnahmen nicht willkürlich durchgeführt werden.

5. Darf ein Arbeitgeber Daten über Infektionsfälle an Gesundheitsbehörden übermitteln?

Für die Übermittlung von Informationen über konkrete Infektionsfälle an die Gesundheitsbehörden normiert Art. 9 Abs. 2 lit. i DSGVO iVm § 10 Abs. 2 DSG eine entsprechende Rechtsgrundlage. Die aktuelle Epidemie kann als Katastrophenfall gemäß § 10 Abs. 1 DSG angesehen werden.

Darüber hinaus kann auf Verlangen der Bezirksverwaltungsbehörden eine Pflicht des Arbeitgebers zur Auskunftserteilung über Verdachtsfälle und Infektionen nach Art. 9 Abs. 2 lit. i DSGVO iVm § 5 Abs. 3 Epidemiegesetz 1950 bestehen.

Bitte wenden Sie sich bei Fragen, wem festgestellte Infektionen oder Verdachtsfälle zu melden sind, an die Gesundheitsbehörden.

6. Darf ein Arbeitgeber die privaten Kontaktdaten von ArbeitnehmerInnen erheben, um diese kurzfristig über ein Verdachtsmoment oder eine Infektion am Arbeitsplatz informieren zu können?

Zur Risikoprävention ist es zulässig, dass Arbeitgeber die privaten Kontaktdaten ihrer ArbeitnehmerInnen erfragen und temporär speichern, um diese kurzfristig über ein Verdachtsmoment oder eine Infektion am Arbeitsplatz warnen zu können, damit diese nicht am Arbeitsplatz erscheinen müssen. Die ArbeitnehmerInnen können zu dieser Bekanntgabe jedoch nicht gezwungen werden.

Die Datenschutzbehörde stellt auf ihrer Webpage ein Musterformular für die Erhebung privater Kontaktdaten von Mitarbeiter zur Verfügung. Das Musterformular deckt alle datenschutzrechtlichen Vorgaben, insbesondere die Informationspflichten gemäß Art. 13 DSGVO, ab.

7. Darf ein Arbeitgeber gegenüber der Belegschaft den konkreten Namen einzelner Personen nennen, die sich mit dem Coronavirus (COVID-19) infiziert haben?

Daten über Infektionen sowie über Verdachtsfälle zählen zu jenen sensiblen Daten, für die das Datenschutzrecht einen besonderen Schutz vorsieht. Insbesondere soll verhindert werden, dass es zu einer Stigmatisierung einzelner Personen am Arbeitsplatz aufgrund eines Verdachts oder einer Infektion kommt.

Gleichzeitig sieht das Datenschutzrecht aber vor, dass Daten über den Gesundheitszustand in jenem Ausmaß verwendet werden können, das notwendig ist, um die Verbreitung des Virus einzudämmen und um die Mitmenschen zu schützen.

Im Sinne des Grundsatzes der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO ist daher im Einzelfall sorgfältig abzuwägen, ob es notwendig ist, gegenüber der Belegschaft den konkreten Namen einzelner Personen zu nennen, die sich infiziert haben, oder mit der allgemeinen Information, dass am Arbeitsplatz eine Infektion aufgetreten ist, das Auslangen gefunden werden kann. Eine individuelle Nennung von infizierten Personen kann sich dann als zulässig erweisen, wenn erhoben werden muss, wer mit diesen Personen vor Bekanntwerden der Infektion Kontakt hatte.

8. Wie verhält sich das Datenschutzrecht zum Arbeitsrecht im Kontext von COVID-19?

Gemäß Art. 88 DSGVO besteht die Möglichkeit („Öffnungsklausel") für den nationalen Gesetzgeber, spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext zu normieren.

Vor diesem Hintergrund gilt es bei den Fragen 1-7 (siehe oben) zu beachten, dass neben den Bestimmungen der DSGVO und des DSG auch die einschlägigen arbeitsrechtlichen Bestimmungen des ArbVG (und ggf. des AVRAG) Anwendung finden können.

So hat der Betriebsinhaber den Betriebsrat gemäß § 92a Abs. 1 ArbVG „in allen Angelegenheiten der Sicherheit und des Gesundheitsschutzes rechtzeitig anzuhören und mit ihm darüber zu beraten". Dies betrifft insbesondere die Fälle des § 92a Abs 1 Z 1 ArbVG, bei denen – vereinfach formuliert – neue Technologien zur (systematischen) Erhebung von Gesundheitsdaten von Arbeitnehmern eingeführt werden. Somit muss der Betriebsrat vor der Einführung von (systematischen) Maßnahmen zur Eindämmung von SARS-CoV-2 (Fiebermessung, PCR-Tests, Contact-Tracing, u.ä.) eingebunden werden. Die Datenschutzbehörde empfiehlt, die Einbindung des Betriebsrats zu dokumentieren.

Darüber hinaus gilt es zu beachten, dass gemäß § 96 Abs. 1 ArbVG in bestimmten Fällen die Zustimmung des Betriebsrats erforderlich ist.

Dies ist bei der Einführung von Personalfragebögen zur Befragung des Gesundheitszustandes der Mitarbeiter gemäß § 96 Abs. 1 Z 2 ArbVG (etwa Fragen zum Aufenthalt in Risikogebieten sowie zu Krankheitssymptomen) der Fall.

Ebenso zustimmungspflichtig ist gemäß § 96 Abs. 1 Z 3 ArbVG die Einführung von „Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer, sofern diese Maßnahmen (Systeme) die Menschenwürde berühren". Die Datenschutzbehörde vertritt vorerst die Auffassung, dass die systematische Erhebung des Gesundheitszustandes (wie etwa Fiebermessung oder PCR-Tests) darunter fallen. Sofern kein Betriebsrat eingerichtet ist, ist gemäß § 10 AVRAG die Zustimmung des Arbeitnehmers erforderlich.

Von einer Zulässigkeit derartiger Maßnahmen (siehe insbesondere Fragen 3 und 4) ist daher nur auszugehen, sofern die datenschutz- und arbeitsrechtlichen Bedingungen eingehalten werden.

9. Ich stehe im Verdacht, infiziert zu sein oder bin infiziert. Welche Daten können die Gesundheitsbehörden über mich verarbeiten?

Daten über den Gesundheitszustand können in jenem Ausmaß verwendet werden, das notwendig ist, um die Verbreitung des Virus einzudämmen und um Ihre Mitmenschen zu schützen.

Die Gesundheitsbehörden dürfen nach Art. 9 Abs. 2 lit. i DSGVO iVm § 4 Abs. 4 Epidemiegesetz 1950 jedenfalls folgende Datenkategorien von Ihnen verarbeiten:

  • Daten zur Identifikation von Erkrankten (Name, Geschlecht, Geburtsdatum, Sozialversicherungsnummer und bereichsspezifisches Personenkennzeichen gemäß § 9 E-GovG),
  • die für die anzeigepflichtige Krankheit relevanten klinischen Daten (Vorgeschichte und Krankheitsverlauf) und Labordaten,
  • Daten zum Umfeld des Erkrankten, soweit sie in Bezug zur anzeigepflichtigen Erkrankung stehen, und
  • Daten zu den getroffenen Vorkehrungsmaßnahmen.

Zum Schutz Ihrer Daten sind in § 4 Epidemiegesetz 1950 besondere Sicherheitsvorgaben normiert, die die Gesundheitsbehörden einzuhalten haben.

10. Müssen Unternehmer, die Massenveranstaltungen organisiert haben (Messe, Theater, Sportevent o.ä.), Daten von Besuchern an die Gesundheitsbehörden übermitteln?

Auf Verlangen der Bezirksverwaltungsbehörden besteht eine Pflicht von Veranstaltern zur Auskunftserteilung über Verdachtsfälle und Infektionen nach Art. 9 Abs. 2 lit. i DSGVO iVm § 5 Abs. 3 Epidemiegesetz 1950. Die Pflicht zur Auskunftserteilung erfasst auch die Übermittlung von Besucherdaten im notwendigen Ausmaß. Diese Auskunftserteilung kann insbesondere dann relevant werden, sofern es in Zukunft wieder zu Verschärfungen der Ausgangsbeschränkungen kommen sollte.

11. Welche Daten darf ein Bürgermeister verwenden, um Bürger in seinem Gemeindegebiet in der aktuellen Ausnahmesituation zu unterstützen?

Der Gesetzgeber hat mit dem 3. COVID-19-Gesetz, BGBl. I Nr. 23/2020 das Epidemiegesetz 1950 angepasst und eine weitere Rechtsgrundlage für Datenverarbeitungen eingeführt.

Nunmehr normiert § 3a Epidemiegesetz 1950, dass die Bezirksverwaltungsbehörde ermächtigt ist, dem Bürgermeister den Namen und die erforderlichen Kontaktdaten einer von einer Absonderungsmaßnahme nach Epidemiegesetz 1950 wegen COVID-19 betroffenen Person, die in seinem Gemeindegebiet wohnhaft ist, mitzuteilen, wenn und soweit es zur Versorgung dieser Person mit notwendigen Gesundheitsdienstleitungen oder mit Waren oder Dienstleistungen des täglichen Bedarfs unbedingt notwendig ist.

Diese Rechtsgrundlage ist im Lichte der datenschutzrechtlichen Grundsätze von Art. 5 DSGVO auszulegen, was auch in § 3a Abs. 3 bis Abs. 4 Epidemiegesetz 1950 zum Ausdruck kommt. Demnach ist eine Datenverarbeitung zu anderweitigen Zwecken untersagt und sind die Daten umgehend zu löschen, sofern ihre Verarbeitung nicht mehr erforderlich ist. Überdies sind geeignete Datensicherheitsmaßnahmen gemäß Art. 32 Abs. 1 DSGVO zu treffen.

Schließlich ist darauf hinzuweisen, dass diese Rechtsgrundlage gemäß § 50 Abs. 8 Epidemiegesetz 1950 mit Ablauf des 31.12.2020 außer Kraft tritt und somit zeitlich begrenzt ist.

12. Muss ich als betroffene Person an den sogenannten „Screening-Programmen" teilnehmen?

Der Gesetzgeber hat mit dem 16. COVID-19-Gesetz, BGBl. I Nr. 43/2020 das Epidemiegesetz 1950 erneut novelliert.

Nunmehr normiert § 5a Epidemiegesetz 1950 (idF BGBl. I Nr. 43/2020) zwar, dass der für das Gesundheitswesen zuständige Bundesminister, soweit dies zur Beurteilung der bereits gesetzten Bekämpfungsmaßnahmen, zur Planung der weiteren Bekämpfungsstrategie, zum Schutz bestimmter von der Pandemie besonders betroffener Personengruppen oder zur Sicherung der Funktionsfähigkeit des Gesundheitssystems notwendig ist, Screeningprogramme durchführen kann. Diese Screeningprogramme zielen – vereinfach formuliert – darauf ab, das Vorkommen von Infektionen innerhalb bestimmter Regionen oder Bevölkerungsgruppen festzustellen.

Nach dem ausdrücklichen Wortlaut von § 5a Abs. 3 Epidemiegesetz 1950 ist eine Teilnahme (und damit verbunden, die Datenverarbeitung) jedoch nur mit ausdrücklicher Einwilligung der betroffenen Personen gemäß Art. 9 Abs. 2 lit. a DSGVO zulässig.

Dies beutet daher, dass Sie nicht an Screening-Programmen teilnehmen müssen, sofern Sie dies nicht wollen. Die Nichtteilnahme darf auch nicht dazu führen, dass Sie seitens einer Behörde in irgendeiner Form benachteiligt werden.

13. Kann die Teilnahme an Veranstaltungen, die ein Zusammenströmen größerer Menschenmengen mit sich bringen, an die Bedingung geknüpft werden, dass ich als betroffene Person die Verwendung einer Contact-Tracing-App („Kontakttagebuch-App") nachweisen muss?

Nein.

Nach § 15 Abs. 1 Z 2 Epidemiegesetz idF BGBl. I Nr. 43/2020 kann die Teilnahme an derartigen Veranstaltungen zwar an die Einhaltung bestimmter Voraussetzungen oder Auflagen gebunden werden.

Allerdings hält § 15 Abs. 3 leg. cit. ausdrücklich fest, dass solche behördlich angeordneten Voraussetzungen oder Auflagen nicht die Verwendung von Contact-Tracing-Technologien umfassen dürfen.

14. Was ist aus datenschutzrechtlicher Sicht beim Einsatz von Home-Office zu beachten?

Aus datenschutzrechtlicher Sicht sind beim Thema Home-Office insbesondere die Vorgaben für die Datensicherheit gemäß Art. 32 Abs. 1 DSGVO zu beachten.

Die Datenschutzbehörde stellt auf ihrer Webpage ein entsprechendes Informationsblatt zur Verfügung. Es wird angeregt, dass Arbeitgeber dieses Informationsblatt mit ihren ArbeitnehmerInnen teilen.

15. Dürfen Kommunikationsanbieter die Bewegungsprofile von Handynutzern der Regierung zur Verfügung stellen, um die Ausbreitung von Infektionen einzudämmen?

Dies ist gemäß Art. 9 e-DSRL iVm § 102 Abs. 1 Z 1 TKG 2003 zulässig, sofern ausschließlich Daten ohne Personenbezug („anonyme Daten") übermittelt werden. Anhand dieser anonymen Daten können Bewegungsströme analysiert und kann folglich überprüft werden, inwiefern die Ausgangsbeschränkungen eingehalten werden. Es müssen entsprechende Anonymisierungstechniken eingesetzt werden, um sicherzustellen, dass ein Rückschluss auf konkrete Personen nicht mehr oder nur mit unverhältnismäßig hohem Aufwand möglich ist.

Im gegenständlichen Kontext und nach derzeitiger nationaler Rechtslage ist die Weitergabe eines individuellen Bewegungsprofils, das einer konkreten Person zuordenbar sind, nur auf Grundlage einer jederzeit widerrufbaren Einwilligung der konkreten Person gemäß Art. 9 e-DSRL iVm § 102 Abs. 1 Z 2 TKG 2003 möglich.

16. Muss ich Organen des öffentlichen Sicherheitsdienstes Informationen über eine (mögliche) Infektion mit SARS-CoV-2 mitteilen?

Gemäß § 28a Abs. 1b Epidemiegesetz idF BGBl. I Nr. 103/2020 können sich die Gesundheitsbehörden der Organe des öffentlichen Sicherheitsdienstes bedienen, um folgende Informationen von kranken, krankheitsverdächtigen oder ansteckungsverdächtigen Personen zu erheben:

  • die Erhebung von Identitäsdaten (Name, Wohnsitz),
  • die Erfragung allfäliger Krankheitssymptome und
  • die Erhebung von Kontaktdaten (Telefonnummer, E-Mail-Adresse)

Darüber hinaus sind die Organe des öffentlichen Sicherheitsdienstes ermächtigt, zu diesem Zweck ZMR-Abfragen durchzuführen.

Diese von den Organen des öffentlichen Sicherheitsdienstes erhobenen Daten dürfen ausschließlich zum Zweck der Kontaktierung der betroffenen Person verarbeitet werden und sind nach Übermittlung an die zuständige Gesundheitsbehörde zu löschen.

17. Muss ich bei Betreten einer Gaststätte dem Betreiber der Gaststätte meine Kontaktdaten für ein mögliches Contact-Tracing durch die zuständige Gesundheitsbehörde zur Verfügung stellen?

Hierzu ist zunächst festzuhalten, dass der Anwendungsbereich der DSGVO erfüllt ist, sofern die Gästeprotokolle nach bestimmten Merkmalen (Dateisystem) iSd Art. 4 Z 6 der Verordnung strukturiert werden. Spätestens bei der Übermittlung der Gästeprotokolle an die Gesundheitsbehörden (im Falle einer bestätigen Infektion) ist aber ohnedies vom Anwendungsbereich der DSGVO auszugehen.

Unabhängig vom Anwendungsbereich der DSGVO unterliegen aber auch unstrukturierte Gästeprotokolle dem Anwendungsbereich des Grundrechts auf Geheimhaltung nach § 1 Abs. 1 DSG, der im Lichte der DSGVO auszulegen ist.

Weiters ist festzuhalten, dass bei derartigen Sachverhalten das Verbotsprinzip gemäß Art. 9 Abs. 1 DSGVO greift. Dies deshalb, da die Information über eine mögliche Infektion eines gewissen Besucherkreises ein potenziell sensibles Datum darstellt und spätestens ab diesem Zeitpunkt auch ein Tatbestand von Art. 9 Abs. 2 DSGVO erfüllt sein muss.

Somit kann ein derartiges Contact-Tracing jedenfalls nicht (allein) auf berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden.

Ebenso wenig kann ein derartiges Contact-Tracing auf Art. 9 Abs. 1 lit. c DSGVO gestützt werden, da dieser Tatbestand nach Auffassung der Datenschutzbehörde eine unmittelbare Gefährdung voraussetzt und andere Tatbestände in Betracht kommen (vgl. ErwGr 46 DSGVO).

In Frage kommt jedenfalls eine Einwilligung gemäß Art. 9 Abs. 1 lit. a DSGVO, sofern der Zutritt zur Gaststätte bei Verweigerung der Bekanntgabe der Kontaktdaten nicht verweigert wird, andernfalls von keiner freiwilligen Einwilligung auszugehen ist.

In Frage kommt weiters die Schaffung einer qualifizierten gesetzlichen Grundlage im nationalen Recht gemäß Art. 9 Abs. 2 lit. i DSGVO, auf deren Basis die oben genannten Daten durch den Betreiber der Gaststätte erhoben werden.

Hierbei gilt zu beachten, dass diese gesetzliche Grundlage nach dem ausdrücklichen Verordnungstext von Art. 9 Abs. 2 lit. i DSGVO angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorsehen muss. Weiters muss die Rechtsgrundlage klar und präzise sowie ihre Anwendung für die Rechtsunterworfenen vorhersehbar sein (vgl. ErwGr 41 DSGVO).

Eine nationale Norm hat diesen Anforderungen zu genügen, um als qualifizierte Rechtsgrundlage gemäß Art. 9 Abs. 2 lit. i DSGVO für eine solche Datenverarbeitung herangezogen werden zu können.

18. Ist die Erhebung meiner Kontaktdaten in Wiener Gaststätten für ein mögliches Contact-Tracing durch die zuständige Gesundheitsbehörde zulässig?

Zwischenzeitig wurde für den Raum Wien auf Grundlage von § 5 Abs. 3 Epidemiegesetz die Verordnung des Magistrats der Stadt Wien betreffend Auskunftserteilung für Contact Tracing im Zusammenhang mit Verdachtsfällen von COVID-19 kundgemacht.

In der genannten Bestimmung wird u.a. verordnet, dass die Betreiber von Betriebsstätten der Gastronomie den zuständigen Gesundheitsbehörden auf Verlangen folgende Informationen zur Verfügung zu stellen haben:

  • Vorname, Nachname
  • Telefonnummer
  • E-Mail-Adresse
  • Tischnummer

Um dieser Verpflichtung nachzukommen, wird es notwendig sein, dass die Betreiber die angeführten Datenkategorien von ihren Gästen erheben.

Die Schaffung einer solchen rechtlichen Verpflichtung ist aus datenschutzrechtlicher Sicht dem Grunde nach zulässig (siehe Frage 17). Ob allerdings die gewählte Rechtsgrundlage (§ 5 Epidemiegesetz) die genannten Anforderungen erfüllt, ist fraglich.

Es gilt aber zu beachten, dass diese erhobenen Daten gemäß § 2 der Verordnung ausschließlich zum Zwecke der Nachverfolgung der Kontakte bei Auftreten eines Verdachtsfalles von COVID-19 gespeichert und verarbeitet werden dürfen sowie, dass diese Daten vier Wochen nach Erhebung zu löschen sind.

Weiters ergibt sich aus § 1 der Verordnung, dass die erhobenen Daten ausschließlich den zuständigen Gesundheitsbehörden übermittelt werden dürfen. Die Übermittlung an andere Empfänger (etwa Sicherheitsbehörden) ist nach Auffassung der Datenschutzbehörde daher unzulässig.

Personen, die sich durch die Datenerhebung in ihren Rechten verletzt erachten, haben die Möglichkeit, Beschwerde vor der Datenschutzbehörde zu erheben.

19. Welche Leitlinien hat der Europäische Datenschutzausschuss zum Thema Datenschutz und COVID-19 bislang veröffentlicht?

Der Europäische Datenschutzausschuss hat in seinen Leitlinien 04/2020 zur Verwendung von Standortdaten und Instrumenten zur Ermittlung von Kontaktpersonen im Zusammenhang mit dem Ausbruch von COVID-19 einerseits Ausführungen zum Thema Standortdaten und Anonymisierung getroffen (siehe Frage 12) und andererseits Empfehlungen und funktionelle Anforderungen an sogenannte „Corona-Apps" (elektronische Kontakttagebücher) formuliert.

Darüber hinaus hat der Europäische Datenschutzausschuss in seinen Leitlinien 3/2020 über die Verarbeitung von Gesundheitsdaten zum Zwecke der wissenschaftlichen Forschung im Zusammenhang mit dem Ausbruch von COVID-19 Ausführungen zum Verhältnis Grundrecht auf Datenschutz und Freiheit der Wissenschaft nach Art. 13 EU-GRC getroffen.

Beide Leitlinien sind derzeit auf Englisch verfügbar.

Dokumente