Wie würde sich der Abänderungsantrag auf das COVID-19-Maßnahmengesetz in letzter Konsequenz auf Datenschutz und Datensicherheit auswirken?

OBER sticht UNTER? NUR – wer ist OBER und wer ist UNTER?
Ungewissheit besteht für Datenschutz und Datensicherheit, wenn der Abänderungsantrag in dieser Form bewilligt wird.

Am 14.09.2020 wurde ein Abänderungsantrag auf das Epidemiegesetz 1950, das Tuberkulosegesetz und das COVID-19-Maßnahmengesetz eingebracht.

Aus Punkt 9. geht folgendes hervor, Originalzitat:

„(5) Die Bezirksverwaltungsbehörde kann die Einhaltung von Voraussetzungen und Auflagen – auch durch Überprüfung vor Ort – kontrollieren. Dazu sind die Organe der Bezirksverwaltungsbehörde und die von ihnen herangezogenen Sachverständigen berechtigt, Veranstaltungsorte zu betreten und zu besichtigen, sowie in alle Unterlagen Einsicht zu nehmen und Beweismittel zu sichern. Der für eine Veranstaltung Verantwortliche hat den Organen der Bezirksverwaltungsbehörde und den von diesen herangezogenen Sachverständigen das Betreten und die Besichtigung des Veranstaltungsortes zu ermöglichen, diesen die notwendigen Auskünfte zu erteilen und die erforderlichen Unterlagen vorzulegen.“

Als Cybersecurity-Analysten haben wir es bei snapSEC immer wieder, insbesondere bei der Analyse von Bedrohungen oder Attacken mit sehr sensiblen Datenbeständen zu tun, welche auch teilweise physisch oder mittels Zugriff vor Ort bei uns am Betriebsstandort verfügbar sind.

Zur wohl neuerlich anstehenden Verschärfung der COVID-19-Gesetzgebung und deren Auswirkungen auf unser aller wirtschaftlichen Tätigkeit mache ich mir offen gesagt vor diesem Hintergrund wegen der Bestimmung in Punkt 9. des Abänderungsantrags der Regierung zum COVID-19-Maßnahmengesetzt große Sorgen und es stellen sich mir nachfolgende Fragen:

• Wie geht man im Falle einer Kontrolle um?
• Da das Gesetz keine Einschränkungen vorsieht, darf man die Herausgabe zum Bsp. von sensiblen Kundendaten verweigern?
• Wie geht man mit der Weitergabe von Daten an „Sachverständige“ dh unter Umständen private Dritte vor?
• Wie kann man sich hier vor allfälligen negativen Folgen iS eines data breach gem. DSGVO schützen?
• Wie geht man ggf. mit Klagen von Kunden um, bei denen durch Einsicht von Dritten in die Daten gegen NDAs verstoßen wird?
• Wer kommt bei Bruch von NDAs ggf. für Pönalien bzw. Strafen auf?
• Welche Beweismittel darf die Behörde sichern?
• Kann eine derartig weite Ermächtigung der Bezirksverwaltungsbehörde und deren Gehilfen tatsächlich rechtlich gedeckt sein?

Ich freue mich über einen regen Diskurs dazu,

herzlichst, Ihr Michael KARL