Der Landesbeauftragte Dr. Stefan Brink: „Die pandemiebedingten Einschränkungen der Bürgerrechte schützen ein hohes Gut der Verfassung – das Recht auf Leben und körperliche Unversehrtheit. Wir haben nach Kräften die Pandemiebekämpfung unterstützt. Hier einen vernünftigen Ausgleich mit unseren Freiheitsrechten zu finden, war und ist auch die Aufgabe des Datenschutzes. Es ist nun aber folgerichtig, grundsätzlich alle pandemiebedingten Eingriffe nach der Pandemie auf den Prüfstand zu stellen und auch wieder zurückzunehmen.“
Die Pandemiebekämpfung ist seit über zwei Jahren eine außerordentliche gesellschaftliche und staatliche Herausforderung. Zum Schutz der Gesundheit wurden dabei auch Bürgerrechte eingeschränkt, etwa die Berufsfreiheit, die Reisefreiheit, die Versammlungsfreiheit – und auch das Grundrecht auf informationelle Selbstbestimmung, der Datenschutz.
Wo immer möglich hat der Landesbeauftragte im Zuge der Pandemie-Bekämpfung darauf hingewirkt, dass Eingriffe in die informationelle Selbstbestimmung datenschutzkonform und damit schonend und rechtssicher ausgestaltet wurden.
Diese Eingriffe in das Grundrecht auf informationelle Selbstbestimmung dienten der Pandemiebekämpfung. Nach der Pandemie verlieren sie jedoch ihre Rechtfertigung. Der Landesbeauftragte wird daher, sobald die Pandemie überwunden ist, alle pandemiebedingten Grundrechtseingriffe auf den Prüfstand stellen.
Er wird unter anderem auf Akteure des Gesundheitswesens (beispielsweise Betreiber von Testzentren und Apotheken) wegen dort im Rahmen der Pandemiebekämpfung verarbeiteten Daten, aber auch auf andere Unternehmen und öffentliche Stellen zugehen, die 3G-Nachweise ihrer Beschäftigten und Kund_innen gespeichert haben. Wo angezeigt wird er auf eine rasche Löschung beziehungsweise Sperrung dieser Daten dringen. Das ist wichtig, um eine Zweckentfremdung oder gar den Missbrauch dieser sensiblen Daten zu verhindern. Gesundheitsinformationen, wie etwa Informationen zu Schwangerschaften oder zu Autoimmunerkrankungen von Beschäftigten dürfen künftig nicht zweckwidrig dazu genutzt werden, etwa um Arbeitsverträge zu beenden oder eine Beförderung zu versagen.
Auch wird der Landesbeauftragte die Eingriffsbefugnisse des Staates, die mit der Pandemiebekämpfung begründet wurden, auf den Prüfstand stellen: Aufgrund der Corona-Pandemie wurden zahlreiche und zum Teil auch neuartige Datenverarbeitungen nötig, vom Immunisierungsstatus über Kontaktangaben bis zum Nachweis über das Ergebnis eines Corona-Tests. Erfasste und gespeicherte Daten müssen gelöscht werden, wenn sie für die Pandemiebekämpfung nicht mehr benötigt werden.
Wenn aus der Erfahrung der Pandemie dauerhafte Regelungen notwendig sein sollen, weil beispielsweise in bestimmten Bereichen die Entwicklung der Digitalisierung fortgeführt werden soll, wird der Landesbeauftragte diese konsequent unterstützen und, wo nötig, kritisch begleiten.
Den Bürger_innen dienende und nützliche Entwicklungen während der Pandemie, wie etwa Online-Veranstaltungen an Hochschulen oder die Einführung einer datenschutzkonformen digitalen Bildungsplattform für den Schulbetrieb sowie rechtssichere und praktikable Homeoffice-Techniken oder Videokonferenzsysteme sollen auch aus Sicht des LfDI etabliert und fortentwickelt werden. Der Landesbeauftragte wird alle datenschutzkonformen digitalen Lösungen intensiv unterstützen und dabei auch konsequent auf den Einsatz von angemessenen technisch-organisatorischen Maßnahmen dringen.
Der Landesbeauftragte Brink: „Die Pandemie hat gezeigt, wie wichtig und nützlich Digitalisierung sein kann. Wir sollten unbedingt auch nach der Pandemie weiterhin mit Hochdruck die digitale Entwicklung fördern und frühzeitig datenschutzkonforme Lösungen etablieren.“
Weitere Informationen:
Bereiche, in denen Eingriffe in die informationelle Selbstbestimmung erfolgten:
Kontaktdatenerfassung zur Nachverfolgung aufgrund der Corona-Verordnungen
Es ist sicherzustellen, dass zur Kontaktdatenerfassung nach der CoronaVO Verpflichtete (etwa in der Gastronomie) die erfassten Daten wieder löschen. Sofern die Daten analog erfasst wurden, sind diese datenschutzkonform zu entsorgen und nicht etwa in den Hausmüll zu werfen. Sofern die Daten digital erfasst wurden, sind diese entsprechend datenschutzkonform zu löschen beziehungsweise zu überschreiben. Der Landesbeauftragte wird stichprobenartige Prüfungen bei zur Kontaktdatenerfassung Verpflichteten vornehmen. Soweit Hochschulen etwa bei Präsenzveranstaltungen Kontaktdaten Studierender erfasst haben, ist sicherzustellen, dass auch diese fristgerecht datenschutzkonform gelöscht werden.
Privatwirtschaft (3G Arbeitsplatz)
Nach dem Wegfall des § 28b IfSG („3G-Regel am Arbeitsplatz“) besteht vorbehaltlich der Heil-/Pflegebranche (vgl. §§ 23a, 20a, 36 IfSG) keine Rechtsgrundlage mehr für die Erhebung des Geimpft-/ Getestet-/ Genesenenstatus durch Arbeitgebende.
Als Konsequenz sind daher die seit Inkrafttreten des § 28b IfSG erhobenen Daten nun durch die Arbeitgebende unverzüglich zu löschen, sofern hieraus nicht arbeitsgerichtliche Streitigkeiten entstanden sind und Arbeitgeber die Verarbeitung auf eine andere Rechtsgrundlage stützen können, etwa bei in Streit stehender Lohnfortzahlung.
Vor diesem Hintergrund plant der LfDI, stichprobenartig Betriebe zu kontrollieren und Arbeitgebende im Falle eines Verstoßes zur sofortigen Löschung aufzufordern. Dies betrifft ausdrücklich nicht im IfSG näher bezeichnete Betriebe, insbesondere der Heil-/Pflegebranche (vgl. §§ 23a, 20a, 36 IfSG).
Cloud-Dienste
Aufgrund der Pandemie haben viele Arbeitgebende zügig Cloud-Dienste eingeführt, etwa zur Unterstützung der Bürokommunikation (Office Dienste, Videokonferenzsysteme). Diese wurden aber nicht immer datenschutzkonform konfiguriert. Verantwortliche können sich nicht darauf verlassen, dass Voreinstellungen der Anbieter die Vorgaben der DS-GVO erfüllen. Teilweise geht die Nutzung solcher Dienste mit einer sehr detaillierten Vollüberwachung der Beschäftigten einher. Arbeitgebende sollten daher sowohl die genutzten Dienste einer kritischen Prüfung unterziehen als auch deren Einstellungen überprüfen. Der LfDI geht bereits Beschwerden betroffener Personen in dem Bereich nach. Er wird zudem stichprobenartige Kontrollen durchführen.
Zutritt zu kommunalen Verwaltungen
In der CoronaVO, die vom 23.02. bis zum 18.03.22 galt, war gem. § 17a CoronaVO a.F. ein Zutritt zu Verwaltungsgebäuden kommunaler Verwaltungen in der Alarmstufe für Bürger grundsätzlich nur mit Nachweis ihrer Immunisierung oder eines negativen PCR/Schnelltests möglich. Nachdem hiervon der Zugang der Bürger_innen auch zu Einrichtungen der kommunalen Daseinsvorsorge betroffen war, ist nun – nach Wegfall der Vorschrift in der neuen CoronaVO – sicherzustellen, dass allen Bürger_innen auch ohne die vorherige Erhebung ihres sogenannten 3G-Status wieder Zugang zu Gebäuden der kommunalen Verwaltung gewährt wird. Noch vorhandene Nachweisdaten sind zu löschen.
Test- und Impfzentren
Im Zuge der Pandemiebekämpfung wurden viele Test- und Impfzentren in Betrieb genommen, sodass eine Vielzahl von personenbezogenen Daten sowie auch Gesundheitsdaten, welche unter besonderem Schutz der DS-GVO stehen, verarbeitet wurden. Insbesondere in den Jahren 2020 und 2021 musste der Landesbeauftragte feststellen, dass es in diesen Einrichtungen bei der Datenverarbeitung zu Verletzungen der Sicherheit personenbezogener Daten (sogenannte Datenpannen) gekommen ist. Zu diesen Sicherheitsverletzungen zählen beispielsweise Rundmails mit einem offenen Verteiler, welche sensiblen Daten (z. B. Daten über den Impfstoff und -termin sowie Daten über Testergebnisse oder Ähnliches) beinhalteten, oder Datensätze von Test- und Impfzentren, die zeitweise im Internet offen einsehbar waren.
Der Landesbeauftragte wird in nächster Zeit stichprobenartige Kontrollen durchführen, um die Einhaltung datenschutzrechtlicher Vorschriften zu überprüfen und Fehlerquellen, welche gegebenenfalls zu einer Datenpanne führen können, frühzeitig zu beseitigen. Im Vordergrund der Kontrolle soll dabei insbesondere die Überprüfung der datenschutzkonformen Aufbewahrung beziehungsweise Speicherung der erhobenen Daten stehen. Er wird auch die Auswertung der bereits durchgeführten Kontrollen von Testzentren zu Ende bringen. Dabei bezieht er im Bedarfsfall auch Gesundheitsämter sowie das Sozialministerium ein.
Bei der weiteren Zusammenarbeit mit dem Sozialministerium und der Kassenärztlichen Vereinigung Baden-Württemberg (KVBW) wird es insbesondere auch um die Frage gehen, welche (Arten von) personenbezogenen Daten aufgrund der Verordnung zum Anspruch auf Testung in Bezug auf einen direkten Erregernachweis des Coronavirus SARS-CoV-2 (Coronavirus-Testverordnung) weiter gespeichert werden müssen, beispielsweise bis zum 31. Dezember 2022 und 31. Dezember 2024, und welche dagegen rasch gelöscht werden dürfen und müssen, weil sie weder zur Pandemiebekämpfung, noch zur Abrechnung, Abrechnungskontrolle oder einem sonstigen Zweck mehr gebraucht werden.
Apotheken
Die Apotheken waren in die Pandemie-Bekämpfung umfangreich involviert, da sie an einen berechtigten Personenkreis die Schutzmasken aushändigten (vgl. Coronavirus-Schutzmasken-Verordnung bis zum 15. April 2021), Corona-Tests durchführten und COVID-19-Impfzertifikate ausstellten.
In diesen unterschiedlichen Zusammenhängen wurden sensible personenbezogene Daten verarbeitet. Entsprechend der Hinweise und Beschwerden, die den LfDI erreichten, empfiehlt er, dass Apotheken über die berufsrechtliche Verschwiegenheitspflicht der Apotheker_innen hinaus auch darauf achten, dass das Recht auf informationelle Selbstbestimmung gewahrt ist. Dies gilt insbesondere, wenn die Apotheken besonders sensible Gesundheitsdaten beispielsweise in Gestalt des Impfstatus verarbeiten. Demnach sollten Apotheker_innen sachgerechte Maßnahmen treffen, um über die Verschwiegenheitspflicht hinaus die Grundsätze der Verarbeitung personenbezogener Daten, insbesondere die Löschpflichten umzusetzen.
Kindergärten/Kindertagesstätten
Während der Corona-Pandemie wurden in Kindertageseinrichtungen neue Datenverarbeitungen (beispielsweise die Verarbeitung personenbezogener Daten von Kindern im Zusammenhang mit der Testpflicht) nötig. Sollten die Kindertageseinrichtungen noch entsprechende personenbezogene Daten speichern, müssen sie diese datenschutzkonform löschen, wenn sie für die Pandemiebekämpfung nicht mehr gebraucht werden.
Schulen
Schulen mussten während der Pandemie rasch auf Online-Unterricht umstellen und haben teilweise Videokonferenz- oder Cloudsysteme genutzt, die nicht datenschutzkonform betrieben wurden. Der Landesbeauftragte wird hierzu die ihm bekannten betroffenen Schulen in den nächsten Wochen auffordern, die Nutzung der nicht datenschutzkonformen Systeme zu beenden, auch weil das Kultusministerium Baden-Württemberg den öffentlichen Schulen in der Zwischenzeit gut funktionierende und datenschutzkonforme Systeme anbietet. Der Landesbeauftragte unterstützt weiterhin das Kultusministerium nach Kräften bei der Einführung einer datenschutzkonformen digitalen Bildungsplattform und führt die kooperative Zusammenarbeit intensiv fort.
Schulen haben teilweise datenschutzwidrig etwa Atteste zur Maskenbefreiung sowie Nachweise zum Impf-, Sero- und Teststatus gespeichert. Um sicherzustellen, dass nach Überwindung der Pandemie die genannten Unterlagen an den Schulen nicht mehr vorhanden sind, wird der LfDI dies stichprobenartig kontrollieren.
Online-Prüfungen an Hochschulen
Mit Online-Prüfungen an Hochschulen hat sich der Landesbeauftragte in der letzten Zeit intensiv befasst und dazu auch eine Handreichung herausgegeben. Auch wenn Präsenzprüfungen wieder stattfinden dürfen, werden Online-Prüfungen voraussichtlich weiterhin angeboten und nachgefragt werden. Der LfDI steht mit Hochschulen, Studierenden(-vertretungen) sowie dem Wissenschaftsministerium Baden-Württemberg weiterhin im Austausch und berät Hochschulen bei der Suche nach passgenauen, datenschutzkonformen Lösungen. Gegebenenfalls wird er auch hier Kontrollen durchführen.
Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de
Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.
Mastodon
