Im Zuge der Pandemie-Bekämpfung können sich Bürger_innen in Testzentren derzeit auf das Coronavirus testen lassen. Viele von den Testzentren bieten dabei an, das Ergebnis über Apps, per SMS oder E-Mail direkt auf das Handy zu schicken.

Testzentren arbeiten mit Gesundheitsdaten. Diese sind nach der Datenschutz-Grundverordnung besonders sensible Daten und somit auch besonders schutzbedürftig. In den vergangenen Wochen kam es immer wieder vor, dass aufgrund mangelnder technisch-organisatorischer Maßnahmen in Testzentren Ergebnisse der Tests offen im Internet von Unbefugten abgerufen werden konnten. In Baden-Württemberg und auch bundesweit wurden solche Fälle bekannt.

Der Landesbeauftragte Brink empfiehlt den verantwortlichen Stellen daher jetzt zu überprüfen, ob sie die datenschutzrechtlichen Anforderungen erfüllen und insbesondere eine angemessene Sicherheit durch technisch-organisatorische Maßnahmen gewährleisten.

Folgende datenschutzrechtlich relevante Aspekte sind u.a. zu beachten:

  • Wenn Testergebnisse über das Internet bereitgestellt werden, müssen sie besonders gut vor unbefugtem Zugriff geschützt werden. Der Zugang zu personenbezogenen Daten der einzelnen Testergebnisse darf für Dritte nicht einfach erratbar sein.
  • Es dürfen insbesondere keine leicht erratbaren Passwörter genutzt werden. Die Passwörter sind auf einem gesonderten sicheren Weg den betroffenen Personen zu übermitteln
  • Beim Versand von E-Mails und SMS gilt: Die Versender von Benachrichtigungs-E-Mails haben keine Rechtsgrundlage dafür, zu protokollieren, wann welcher Empfänger die E-Mails liest oder auf welchen Link klickt; auch dies ist grundsätzlich zu unterlassen.
  • Die Daten müssen wirksam verschlüsselt und auch für Auftragsverarbeiter unzugänglich gespeichert werden.
  • Es dürfen keine unnötigen Daten abgefragt werden.
  • Die Testergebnisse dürfen ohne besondere Rechtsgrundlage, die den speziellen Anforderungen an die Verarbeitung von Gesundheitsdaten aus Artikel 9 DS-GVO entspricht, nur an die betroffene Person übermittelt werden und nicht zu anderen Zwecken genutzt werden. Wenn ein Testergebnis an die Corona-Warn-App oder eine andere Kontaktnachverfolgungsapp übermittelt werden soll, benötigt das Testzentrum hierfür eine separate und auf den jeweiligen Zweck beschränkte ausdrückliche Einwilligung des Betroffenen (Artikel 9 Absatz 2 Buchstabe a DS-GVO), die sämtliche Anforderungen an die Freiwilligkeit und Widerruflichkeit von Einwilligungen erfüllen muss.
  • Soweit eine infektionsschutzrechtliche Verpflichtung der Betreiber der Testzentren besteht, im Falle positiver Testergebnisse personenbezogene Daten dem zuständigen Gesundheitsamt zu übermitteln, bleibt eine Übermittlung auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c, Artikel 9 Absatz 2 Buchstabe i DS-GVO zulässig. Aber auch bei dieser Übermittlung sind technische und organisatorische Maßnahmen zum Schutz der Daten, insbesondere der Gesundheitsdaten, einzuhalten.
  • Auch die übrigen in Testzentren verarbeiteten personenbezogenen Daten dürfen ohne Rechtsgrundlage nicht Dritten übermittelt und nicht zu anderen Zwecken genutzt werden. Es darf auch nicht Dritten oder Dienstleistern (etwa durch Tracking) ermöglicht werden, personenbezogene Daten zu anderen Zwecken zu nutzen (z.B. für Werbung)
  • Insbesondere ist die Übermittlung von Nutzungsdaten oder gar Testergebnissen an Tracking-, Statistik-, Analytics- und Werbe-Dienste ist grundsätzlich nur mit einer freiwilligen, vorherigen, aktiv und separat von anderen Erklärungen abgegebenen sowie jederzeit widerruflichen Einwilligung der betroffenen Person erlaubt. Es ist davon auszugehen, dass im Rahmen von Coronatests es kaum möglich sein wird, eine solche Einwilligung rechtskonform einzuholen. Daher sollte die Weitergabe von Nutzungsdaten oder Testergebnissen an Tracking-, Statistik-, Analytics- und Werbe-Dienste grundsätzlich unterlassen werden.
  • Ein Drittstaatentransfer von Gesundheitsdaten an Empfänger außerhalb der EU ist nicht ohne weiteres möglich. Anbieter und Auftragsverarbeiter sollten darauf verzichten.
  • Es sind Auftragsdatenverarbeitungsverträge nach Art. 28 DS-GVO zu schließen, aus denen sich die Verantwortlichkeiten klar ergeben.
  • Nicht mehr benötigte Daten müssen unverzüglich gelöscht werden.
  • Die Durchführung einer Datenschutz-Folgenabschätzung ist obligatorisch, da von Testzentren massenhaft Gesundheitsdaten verarbeitet werden.
  • Die Mitarbeitenden müssen zur Verschwiegenheit verpflichtet werden.
  • Es müssen den betroffenen Personen klare Datenschutzinformationen bereitgestellt werden.
  • Betreiber der Testzentren müssen jederzeit nachweisen können, dass sie die Datenschutz-Grundverordnung einhalten (Rechenschaftspflicht nach Artikel 5 Absatz 2 DS-GVO).
  • Die Systeme sollten zudem im Rahmen professioneller Sicherheits-Audits geprüft werden.

 

Weitere Informationen

Hinweise zu sicheren Passwörtern stehen auf der Homepage des Landesbeauftragten: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/02/Hinweise-zum-Umgang-mit-Passw%C3%B6rtern-1.0.1.pdf

Hinweise bei Fragen zum internationalen Datentransfer stehen auf der Homepage des Landesbeauftragten: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf

Grundlegende IT-Sicherheits-Anforderungen für Gesundheitsanwendungen sind in der technischen Richtliche BSI TR-03161 Sicherheitsanforderungen an digitale Gesundheitsanwendungen des Bundesamts für Sicherheit in der Informationstechnik dargestellt: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03161/tr-03161.html

Weitere Hinweise zur Sicherheit von Web-Anwendungen gibt es z.B. beim Open Web Application Security Project (OWASP), und die häufigsten Fehler sind in deren Top-10-Liste aufgeführt: https://owasp.org/www-project-web-security-testing-guide/
https://owasp.org/www-project-top-ten/ (englisch)

Weitere Informationen zum Thema Tracking (und Cookies) gibt die Orientierungshilfe für Anbieter von Telemedien der Datenschutzkonferenz der Ländern und des Bundes (https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf) sowie die Tracking-FAQ des LfDI Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/04/FAQ-zu-Cookies-und-Tracking.pdf

Informationen zum sicheren Versand von E-Mails finden sich in der Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Datenbei der Übermittlung per E-Mail“: https://www.datenschutzkonferenz-online.de/media/oh/20200526_orientierungshilfe_e_mail_verschluesselung.pdf

Die Pressemitteilung „LfDI empfiehlt Testzentren dringend, ihre Sicherheitsvorkehrungen bei der Datenverarbeitung zu überprüfen“ finden Sie hier: https://www.baden-wuerttemberg.datenschutz.de/?p=16991&preview=true

Veröffentlicht: 25.5.2021

Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de

Weitere Informationen zum Datenschutz und zur Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.