LfDI Stefan Brink: „Wir müssen gerade in dieser Phase der Pandemie sorgsam mit den personenbezogenen Daten der Bürger_innen umgehen. Es darf keine ‚Nebenwirkung‘ von Corona-Tests sein, dass persönliche und sensible Daten von vielen Menschen irgendwo im Internet landen und für Dritte einsehbar sind.“

In zahlreichen Impfzentren möchten derzeit viele Bürger_innen geimpft werden. Die Impfquote steigt und somit rückt das gemeinsame Ziel eines normalisierten Alltags ohne größere Risiken, am Coronavirus schwer zu erkranken, näher. In Testzentren können sich Bürger_innen kostenlos auf das Coronavirus testen lassen. Viele von den Testzentren bieten dabei als Service an, das Ergebnis über Apps, per SMS oder E-Mail direkt auf das Handy zu schicken.

Testzentren arbeiten mit Gesundheitsdaten der Bürger_innen. Diese nach der Datenschutz-Grundverordnung besonders sensiblen Daten sind besonders schutzbedürftig, denn sie sind höchstpersönlich, und mit ihnen lässt sich Schindluder treiben. In den vergangenen Wochen kam es allerdings immer wieder vor, dass aufgrund mangelnder technisch-organisatorischer Maßnahmen in Testzentren Ergebnisse der Test offen im Internet von Unbefugten abgerufen werden konnten. In Baden-Württemberg und auch bundesweit wurden zahlreiche solcher Fälle bekannt.

In (zu) vielen Fällen waren Testergebnisse für Dritte in großen Mengen einfach im Internet einsehbar, da die Betreiber grundlegende Maßnahmen der IT-Sicherheit missachtet haben. Dies kann und wird Aufsichts- und Bußgeldverfahren im Rahmen der Datenschutz-Grundverordnung nach sich ziehen.

Der Landesbeauftragte Brink empfiehlt den verantwortlichen Stellen daher sofort sorgsam zu überprüfen, ob sie die angemessene Sicherheit der Gesundheitsdaten Getesteter durch technisch-organisatorische Maßnahmen jederzeit gewährleisten können.

Da es sich bei den verarbeiteten Daten um besonders sensible Gesundheitsdaten handelt, sollten Verantwortliche u.a. beachten, dass die personenbezogenen Daten mit sicheren Passwörtern geschützt sind, wenn Testergebnisse über das Internet bereitgestellt werden. Der Zugang zu den Daten der einzelnen Testergebnisse darf für Dritte nicht einfach erratbar sein.

Außerdem müssen die Testzentren garantieren, dass die Daten der Nutzer_innen nicht zweckentfremdet werden, etwa zu eigenen Zwecken der Betreiber oder zu Werbezwecken. Das kann schon dann passieren, wenn sogenanntes Tracking im Netz stattfindet, also die Getesteten auf Veranlassung der Betreiber im Internet ausgeforscht und überwacht werden. Auch dies stellt einen gravierenden Verstoß dar, der Sanktionen nach sich zieht. Verantwortliche müssen stets nachweisen können, dass sie sich im Rahmen der Datenschutz-Grundverordnung bewegen und nicht mehr benötigte Daten unverzüglich löschen.

Werden Datenpannen bei Testzentren von den Verantwortlichen festgestellt – gehen dort etwa Daten von Getesteten verloren, werden Testergebnisse versehentlich den falschen Personen offenbart oder wird das Testzentrum gehackt –, müssen die verantwortlichen Stellen die Sicherheitslücken umgehend schließen und den Verstoß binnen 72 Stunden beim Landesbeauftragten melden.

Weitere Informationen

Eine Übersicht mit zahlreichen Sicherheitshinweisen für die Testzentren steht auf der Homepage des Landesbeauftragten: https://www.baden-wuerttemberg.datenschutz.de/pandemie-bekaempfung-datenschutz-in-testzentren/

 

Diese Pressemitteilung als PDF-Dokument aufrufen.

Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de

Weitere Informationen zum Datenschutz und zur Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.