Die Corona-Pandemie hat weitreichende Auswirkungen auf alle Lebensbereiche. Viele als selbstverständlich angesehene Gegebenheiten sind durch die Krise ins Wanken geraten. Jeder spürt die Veränderungen und die außergewöhnliche Situation, in der sich Deutschland und letztlich die ganze Welt befinden. Hat in diesen herausfordernden Zeiten die seit fast zwei Jahren geltende Datenschutzgrundverordnung (DSGVO) Pause oder nur eine eingeschränkte Wirkung? Ist sie wie manches Grundrecht ausgesetzt oder zumindest stark in ihrer Wirkung beschränkt worden? „Uns erreichen derzeit eine Menge von Anfragen aus Unternehmen. Die Verunsicherungen sind groß“, berichtet UIMC-Geschäftsführer Dr. Jörn Voßbein. Tatsächlich lohnt es sich einmal genau die datenschutzrechtliche Lage in Zeiten der Pandemie zu analysieren. Drei Beispiele helfen dabei:
Erstes Beispiel: Einem Unternehmen unterläuft eine Datenpanne. Ein solcher Vorfall muss gemäß DSGVO innerhalb von 72 Stunden bei den Aufsichtsbehörden angezeigt werden. Gilt diese Frist auch in Zeiten der Corona-Pandemie? Ja, aber – Grundsätzlich ist die DSGVO hier unerbittlich. Sie fordert, dass die Meldung nach Art. 33 Abs. 1 DSGVO „unverzüglich und möglichst binnen 72 Stunden“ zu erfolgen hat. Anders als bei Art. 12 Abs. 3 DSGVO (Ausübung der Rechte der Betroffenen) könnten hierbei die pandemiebedingten Einschränkungen Berücksichtigung finden und die Frist etwas nach hinten schieben, aber zwei Dinge bleiben zu beachten: 1) Die bemerkte Sicherheitslücke beim Datenschutz muss sofort geschlossen werden und 2) darf die Meldung an die Aufsichtsbehörden nicht unnötig verzögert werden. UIMC rät dazu, immer mit dem Datenschutzbeauftragten in Kontakt zu treten und den Sachverhalt transparent darzulegen.
Zweites Beispiel: Ein Betrieb erhält ein Schreiben mit Fristsetzung zur Antwort von einer Datenschutz-Aufsichtsbehörde. Hat diese Frist in diesen Ausnahmezeiten bestand? Antwort: Nicht unbedingt, aber bitte immer Rücksprache halten. Die Hamburger Datenschutzbehörde gibt sich in Corona-Zeiten milde und schreibt: „[ ] Von uns gesetzte Fristen für Antworten an uns werden während der Zeit der Pandemie großzügiger bemessen.“ Vorsicht! Diese Aussage sollte nicht auf alle Datenschutzbehörden in Deutschland und Österreich übertragen werden. Was ist aus Unternehmenssicht zu tun? Eine angestrebte Fristverlängerung sollte bei der Aufsichtsbehörde beantragt und zugleich der Kontakt zum zuständigen Datenschutzbeauftragten gesucht werden.
Drittes Beispiel: Werden auch in der Corona-Krise Bußgeldverfahren eingeleitet? Antwort: In Hamburg ist man großzügig. Wie es woanders ausschaut, sollte erfragt und nicht am konkreten Fall getestet werden. Sonst wird es womöglich teuer. Die Hamburger Datenschutzbehörde erklärt: „In laufenden Bußgeldverfahren werden derzeit bis auf weiteres keine Bußgeldbescheide erlassen, um die Unternehmen und Gewerbetreibende im gegenwärtigen Anpassungsprozess an die zahlreichen Veränderungen der Corona-Krise zu entlasten.“ Wie lang der Anpassungsprozess dauern wird, ist momentan nicht abzusehen.
Fazit: „Die Corona-Krise hat nicht zu einer datenschutzfreien Zeit geführt. Das ist absolut nachvollziehbar. Allerdings ist allen Akteuren bewusst, dass die Unternehmen sich derzeit in einer Ausnahmesituation befinden und deshalb gemeinschaftliche Lösungen sinnvoll sind“, erklärt UIMC-Geschäftsführer Dr. Jörn Voßbein.