26 März 2020

Gesundheitsnot kennt Datenschutzgebot

Die Bekämpfung der Ausbreitung des Corona-Virus soll die Gesundheit der Menschen schützen. Muss gegen den Schutz von Leben und Gesundheit jeder andere Schutzzweck zurückstehen, auch der Datenschutz? Die Antwort im Rechtsstaat lautet: nein. Denn die Aussage „Not kennt kein Gebot“ ist freiheitsfeindlich und hat in der rechtsstaatlichen Demokratie keinen Platz. Es gilt der Primat des Rechts einschließlich des Datenschutzrechts. Gesundheitsschutz geht dem Datenschutz nicht ohne Weiteres vor (1). Eine besondere Rolle spielen die während der Pandemie besonders relevanten Gesundheitsdaten, deren Verarbeitung besonderen Schutz genießt (2). Das Corona-Virus bedroht nicht nur die Gesundheit der Menschen, es kann auch die Ausübung von Freiheit in der Demokratie bedrohen. Gegenmittel ist die Einhaltung des Rechts insgesamt, die nicht nur im Verfassungsstaat zwingend ist, sondern auch Akzeptanz für belastende staatliche Maßnahmen zur Bekämpfung einer Pandemie sichert (3).

1. Datenschutz in Zeiten des Corona-Virus

Ausgangsbeschränkungen und Kontaktverminderungen führen zu einer erheblichen Steigerung des Umfangs digitaler Kommunikation. Home Office und die Absage von Konferenzen oder persönlichen Besprechungen machen digitale Formen der Kommunikation notwendig. Telefon- und Videokonferenzen erweisen sich als ebenso hilfreich wie E-Mail, Messengerdienste oder andere online-basierte Werkzeuge der Zusammenarbeit. Die Kommunikation geht remote. Dabei sind die allgemeinen Regeln des Datenschutzes zu beachten. Die Datenschutz-Grundverordnung (DSGVO) und die sonstigen datenschutzrechtlichen Bestimmungen gelten, und sie kennen ebenso wenig einen Ausnahmezustand wie das Grundgesetz.  Allerdings eröffnet auch das Datenschutzrecht Spielräume in der Anwendung, die von den Datenschutzaufsichtsbehörden umsichtig genutzt werden sollten. Dabei ist zwischen Anforderungen an die Datenverarbeitung durch Unternehmen oder Behörden im Allgemeinen und der Verarbeitung von Gesundheitsdaten im Besonderen zu unterscheiden.

Sind das Führen und Aktualisieren von Verzeichnissen der Verarbeitungstätigkeiten (Art. 30 DSGVO) oder das Melden von Verletzungen des Datenschutzrechts (Art. 33 DSGVO) nicht verzichtbar, wenn Unternehmen oder Behörden mit den Auswirkungen einer Pandemie beschäftigt sind? Müssen die Rechte der betroffenen Personen auf Auskunft oder Löschung (Art. 15, 17 DSGVO) nicht vernachlässigt werden, wenn die Verantwortlichen für sich neue Kommunikationsformen nutzen? Das Datenschutzrecht ist nicht durch einen Notstand außer Kraft gesetzt und selbst dafür wäre keine rechtliche Grundlage ersichtlich. Die technischen und organisatorischen Anforderungen (Art. 25, 32 DSGVO) gewinnen im Gegenteil besonderes Gewicht, weil sie in engem Zusammenhang mit der Datensicherheit stehen. Je mehr Kommunikation nicht persönlich, sondern netzbasiert stattfindet, desto wichtiger ist der Schutz dieser Kommunikation. Die Wahrung von Betriebs- und Geschäftsgeheimnissen oder die Vertraulichkeit von Gesprächen ist auch bei digitaler Kommunikation mittels Videokonferenz oder bei Nutzung von Collaboration Tools für die Beteiligten von zentraler Bedeutung. Dies gilt für unternehmensinterne Kommunikation wie für Schulen oder Hochschulen, für die Kooperation von Behörden wie für die internationale Kooperation in der Wirtschaft. Die zahlreichen Anfragen an die Datenschutzaufsichtsbehörden zeigen, dass hier ein großer Bedarf an Aufklärung und Information besteht, den zu stillen eine wichtige Aufgabe der Behörden ist.

Auch scheinbar kleinteilige Regeln des Datenschutzrechts sind geltendes Recht. Während einer Pandemie kann selbstverständlich an der grundsätzlichen Priorität von Maßnahmen des Gesundheitsschutzes insoweit kein Zweifel bestehen. Diese Prioritätensetzung leitet die Ausübung des Ermessens der zuständigen Behörden bei Aufsicht und Kontrolle. Die Auflösung des Konflikts erfolgt auf der Anwendungsebene. Die datenschutzrechtlich Verantwortlichen, die bereits über ein effektives Datenschutzmanagement verfügen, können in Krisenzeiten darauf aufbauen. Ist das vorhandene Datenschutzmanagement defizitär, bedarf es der Nachsteuerung. Beim Einfordern dieser Nachsteuerung ist eine gewisse Nachsicht angezeigt. Die Ansetzung und Einhaltung von Fristen kann großzügig gehandhabt werden. Die Verhängung von Geldbußen nach Art. 83 DSGVO ist vor dem Hintergrund der wirtschaftlichen Situation vieler Verantwortlicher zurückhaltend auszuüben. Hier wirkt sich aus, dass die Pandemie vielfach einen Zustand der Schwebe geschaffen hat, auf den teils schnell reagiert werden musste. Die Fehleranfälligkeit der Durchführung und des Managements von Datenverarbeitungen ist in dieser Situation erhöht. Die Bewertungsmaßstäbe des Beschäftigtendatenschutzes, wenn etwa der Arbeitgeber eine private Erreichbarkeit des Arbeitnehmers verlangt, sind ein Beispiel für die Möglichkeit angemessener Rechtsanwendung. Während einer Pandemie kann die Erforderlichkeit einer Datenverarbeitung, die ein zentrales Grundprinzip für die Beurteilung der Zulässigkeit darstellt, im Kontext der aktuellen Situation bewertet und damit die im Beispiel genannte Herausgabe der Informationen verlangt werden. Datenschutzrecht gilt, aber seine Anwendung in Zeiten der Pandemie ist mit Augenmaß und Fingerspitzengefühl zu gewährleisten.

2. Art. 9 DSGVO und die Bekämpfung der Pandemie

Besonders hohe Anforderungen sind an die Verarbeitung von Gesundheitsdaten zu stellen (Art. 9 DSGVO). Einschlägige Verantwortliche sind etwa Ärztinnen und Ärzte, Krankenhäuser oder Gesundheitsämter. Die Bekämpfung der Pandemie erfordert die schnelle und effektive Verarbeitung großen Mengen von Daten. Rechtsgrundlagen sind die einschlägigen innerstaatlichen Gesetze, insbesondere das Infektionsschutzgesetz. Dessen Bestimmungen zur Datenverarbeitung sind an der DSGVO zu messen.

Die Verarbeitung von Gesundheitsdaten ist nach Art. 9 Abs. 1 DSGVO verboten, wenn nicht einer der Erlaubnistatbestände des Art. 9 Abs. 2 DSGVO vorliegt. Nach Art. 9 Abs. 2 lit. c DSGVO kann die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person erfolgen. Die Bestimmung zielt auf den Einzelfall des Vorliegens einer Gefahr für Leib und Leben, etwa bei Bewusstlosigkeit von Personen. Dann sollen die personenbezogenen Daten ohne Einwilligung verarbeitet werden können. Eine Verallgemeinerung über den Einzelfall hinaus ist von der Vorschrift nicht bezweckt und nicht gedeckt. Sie kommt als Rechtfertigung für abstrakt-generelle Regeln nicht in Betracht.

Die Verarbeitung von Gesundheitsdaten ist nach Art. 9 Abs. 2 lit. i DSGVO zulässig aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren (so auch § 22 Abs. 1 lit. c BDSG). Dieses Interesse besteht im Fall der Bekämpfung einer Pandemie, die nicht auf das Gebiet der Bundesrepublik Deutschland beschränkt ist. Bereits die Meldepflichten im Infektionsschutzgesetz werden auf diese Rechtfertigung gestützt. Damit liegt eine Grundlage für gefahrenabwehrrechtliche Maßnahmen vor, wobei allerdings die strenge Zweckbindung zu beachten ist, die gegenüber Dritten wie z.B. Arbeitgebern besteht (Erwägungsrund 54 S. 4). Als Auffangregelung kommt Art. 9 Abs. 2 lit. g DSGVO in Betracht, der die Verarbeitung von Gesundheitsdaten aus Gründen eines erheblichen öffentlichen Interesses zulässt, allerdings aufgrund seiner Unbestimmtheit restriktiv zu handhaben ist. 

Alle diese Rechtsgrundlagen des Art. 9 DSGVO verlangen aber eine Abwägung des Gesundheitsschutzes mit anderen Rechtsgütern. Das einschlägige Recht muss angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorsehen. Damit stimmen die Anforderungen der DSGVO mit denen des Grundgesetzes überein. Das Datenschutzrecht des Art. 9 DSGVO behindert die Maßnahmen zur Bekämpfung der Pandemie nicht, gibt ihnen aber einen Rahmen vor und macht sie begründungsbedürftig. 

3. Akzeptanz durch transparente Rechtsstaatlichkeit

Datenschutz als Grundrechtsschutz steht pars pro toto für den Rechtsgüterschutz während einer Pandemie. Die Geltung des Rechts ist von seiner Anwendung zu unterscheiden. Der besonderen Ausnahmesituation ist auf der Anwendungsebene Rechnung zu tragen. Wenn Legislative oder Exekutive Regelungen schaffen, also insbesondere beim Erlass von Gesetzen, Rechtsverordnungen oder Allgemeinverfügungen ist eine umfassende Abwägung am Maßstab der Verhältnismäßigkeit vorzunehmen.

Für tiefgreifende Eingriffe in Grundrechte gilt erst recht, was für jeden Eingriff gilt: Es bedarf einer guten und offen kommunizierten Begründung. Der Appell an scheinbare Evidenzen genügt nicht. Die Bereitschaft der Bevölkerung, soziale Kontakte zu minimieren, stieg und steigt mit der Nachvollziehbarkeit der Gründe für diese Minimierung. Transparenz hilft bei der Steigerung der Effektivität der Maßnahmen, zumal wenn es auf die Mitwirkung und Einsicht der Menschen besonders ankommt. Dabei können die gesetzlich verbürgten Rechte auf Informationsfreiheit und Transparenz eine unterstützende Rolle spielen. Je mehr der Bevölkerung die Argumente einleuchten, desto eher werden die Maßnahmen auch befolgt und können Wirkung entfalten.  

Eine weitere Steigerung der Befolgungsintensität wird erreicht, wenn die Sorgfalt in der Abwägung deutlich wird. Der Wunsch nach Klarheit hinsichtlich der zu befolgenden Regelungen ist das eine, aber zumindest mittelfristig spielt die Nachvollziehbarkeit der Abwägung zwischen Gesundheitsschutz, Versammlungsfreiheit, Religionsfreiheit, dem Recht auf freie Entfaltung der Persönlichkeit und weiteren Rechten eine wichtige Rolle. Dazu zählt auch das Recht auf informationelle Selbstbestimmung. Effektiver und wahrnehmbarer Grundrechtsschutz schafft Akzeptanz für belastende Maßnahmen. Die Einhaltung datenschutzrechtlicher Regeln ist Teil auch der gesellschaftlichen Spielregeln. In Zeiten großer Ungewissheit dient Regelhaftigkeit der sozialen Stabilität. 

Die freiheitliche Demokratie ist dazu fähig, mit Pandemien fertig zu werden. Eine Überlegenheit autoritärer Staaten oder gar von Diktaturen besteht nicht. Denn die geeigneten und erforderlichen Maßnahmen können auch im Rechtsstaat ergriffen werden, aber nach sorgfältiger Abwägung aller Rechtsgüter und im Rahmen der Rechtsordnung. Eine autoritäre Regierung, die ohne Rücksicht auf die Freiheit einseitig das Ziel des Gesundheitsschutzes verfolgt, handelt möglicherweise kurzfristig effektiv zur Erreichung des Ziels der Eindämmung der Pandemie. Sie nimmt aber nicht nur erhebliche negative psycho-soziale Folgen für die Menschen in Kauf, sondern auch Einbußen an Freiheit ohne hinreichende Legitimation. Solche Einbußen hätten in der Demokratie zumindest mittelfristig erhebliche belastende Folgewirkungen für die Haltung und das Verhältnis der Einzelnen zum politischen System. Demokratisch legitimierte Parlamente und Regierungen sollten es sich nicht leicht machen mit der Entscheidung, in Freiheiten der Bürgerinnen und Bürger einzugreifen. Darin liegt nicht Schwäche, sondern Stärke. Denn auf Dauer festigt dies das Vertrauen in die staatlichen Entscheidungen und damit die Akzeptanz der freiheitlichen staatlichen Ordnung.  


SUGGESTED CITATION  Kugelmann, Dieter: Gesundheitsnot kennt Datenschutzgebot, VerfBlog, 2020/3/26, https://verfassungsblog.de/gesundheitsnot-kennt-datenschutzgebot/, DOI: 10.17176/20200327-005643-0.

4 Comments

  1. Mark Obrembalski Do 26 Mrz 2020 at 21:43 - Reply

    „Denn die Aussage „Not kennt ein Gebot“ ist freiheitsfeindlich und hat in der rechtsstaatlichen Demokratie keinen Platz.“

    Da fehlt offenbar ein „k“ an entscheidender Stelle.

  2. Timo Fr 27 Mrz 2020 at 00:38 - Reply

    Nö, da steht immernoch „Not kennt ein Gebot“ 🙂

    • Maximilian Steinbeis Fr 27 Mrz 2020 at 07:01 - Reply

      ja, kruzefix! Teaser vergessen. So, jetzt ist’s aber korrigiert. (Zweifellos ein Freud’sches Versäumnis, Not kennt ja auch ein Gebot)

Leave A Comment Antworten abbrechen

WRITE A COMMENT

1. We welcome your comments but you do so as our guest. Please note that we will exercise our property rights to make sure that Verfassungsblog remains a safe and attractive place for everyone. Your comment will not appear immediately but will be moderated by us. Just as with posts, we make a choice. That means not all submitted comments will be published.

2. We expect comments to be matter-of-fact, on-topic and free of sarcasm, innuendo and ad personam arguments.

3. Racist, sexist and otherwise discriminatory comments will not be published.

4. Comments under pseudonym are allowed but a valid email address is obligatory. The use of more than one pseudonym is not allowed.




Explore posts related to this:
Coronavirus, Datenschutz, Pandemic


Other posts about this region:
Deutschland

Explore posts related to this:
Coronavirus, Datenschutz, Pandemic


Other posts about this region:
Deutschland
4 comments Join the discussion