Deutschland sei zu sehr auf den Datenschutz fixiert, heißt es dieser Tage gerne mal. Andere Länder wären in der Pandemiebekämpfung längst erfolgreicher. Auch, weil sie einfach machen würden und sich – anders als die Verantwortlichen hierzulande – nicht durch permanentes Verweisen auf den Datenschutz selbst im Wege stünden. Ist etwas dran an dieser These? Oder wird Datenschutz bei uns auch gerne mal als Feigenblatt und Ausrede genutzt, um von eigenen Fehlern und generellen Versäumnissen abzulenken?
Darum geht es im folgenden Update zum Thema „Datenschutz und Corona“. Es knüpft an eine bereits veröffentlichte DataGuard Trilogie unter gleichnamiger Überschrift an. Alle drei Blogposts sind weiterhin verfügbar und ergänzen die folgenden Einschätzungen im Hinblick auf spezifische Fragestellungen.
Teil 1: Darf die Telekom Handy-Standortdaten an das RKI übermitteln?
Teil 2: Wie geht das Ausland mit Datenschutz in Zeiten von Corona um?
Teil 3: Wie handhabt Bundesgesundheitsminister Spahn den Datenschutz in der Pandemie?
Das Wichtigste in Kürze
- Bei flächendeckender Inbetriebnahme von Corona-Testzentren wurden Datenschutz und das Recht auf informationelle Selbstbestimmung niedrig priorisiert
- Generell herrscht im Gesundheitswesen ein hohes Sicherheitsniveau bei der IT-Infrastruktur, welches bei Testzentren bislang jedoch nicht gesetzlich festgelegt ist
- Sensible Daten werden bei Antigen-Tests oftmals nur unzureichend datenschutzrechtlich geschützt
- Durch Implementierung technischer und organisatorischer Maßnahmen ließen sich Datenlecks recht einfach und zuverlässig schließen und vermeiden
In diesem Beitrag
- Datenschutz oder Gesundheitsschutz: Müssen wir uns als Gesellschaft für eines entscheiden?
- Datenlecks bei Corona-Teststellen sind keine Seltenheit?
- Wird beim Datenschutz mit zweierlei Maß gemessen?
- Wer darf sich eigentlich wie oft und von wem testen lassen?
- Wie könnte das Testen datenschutzrechtlich besser laufen?
- Fazit: Datenschutz steigert das Vertrauen in die Maßnahmen
Datenschutz oder Gesundheitsschutz: Müssen wir uns als Gesellschaft für eines entscheiden?
Die Corona-Politik der Bundesregierung steht in der öffentlichen Kritik. Im Sinne unserer Demokratie ist diese manchmal zu Recht, oft aber auch zu Unrecht geäußert. Dennoch ist es legitim zu fragen, warum in Staaten wie Israel oder Großbritannien bereits die große Mehrheit der Menschen gegen COVID-19 geimpft ist, hierzulande jedoch (noch) nicht. Gründe dafür ließen sich viele anführen. Leider ist jedoch allzu oft zu beobachten, dass Politiker reflexhaft versuchen, den Schwarzen Peter an den Datenschutz weiterzureichen.
Beispiel Bundeskanzlerin: Auf einem der vielen Gipfel dieses Jahres auf das schleppende Anlaufen der Impfkampagne angesprochen, hatte Angela Merkel als Begründung angeführt, dass Deutschland etwa im Vergleich zu Israel „in ganz anderer Weise mit Daten“ umgehe. Noch einen Schritt weiter ging der Baden-Württembergische Ministerpräsident. Winfried Kretschmer empfahl Deutschland in einem Interview mit dem Berliner Tagesspiegel sogar eine Diskussion über die Frage, „ob wir den Datenschutz in einer Pandemie weiterhin komplett unangetastet lassen“, oder ob die Menschen nicht doch „gewisse Einschränkungen in Kauf nehmen müssten“? Sind effektiver Gesundheitsschutz und Datenschutz tatsächlich nicht miteinander vereinbar, oder haben wir es hier eher mit einer Alibidiskussion zu tun?
Datenlecks bei Corona-Teststellen sind keine Seltenheit?
Die Praxis zeigt: Als es um die flächendeckende Einrichtung und Inbetriebnahme von Corona-Teststellen ging, hatten die politisch Verantwortlichen den Datenschutz und das Grundrecht auf informationelle Selbstbestimmung keineswegs ganz oben auf ihrer Prioritätenliste. Mit dramatischen Folgen: Beinahe regelmäßig berichten die Medien inzwischen über Datenpannen und mangelhaft gesicherte Teststellen-Server.
So veröffentlichen Journalisten mehrerer öffentlich-rechtlicher Medienhäuser Anfang April 2021 den Fall eines Betreibers von deutschlandweit neun Teststellen in Berlin, Hamburg, Leipzig, Dortmund und Schwerte. Durch eine Sicherheitslücke auf der Betreiber-Website waren individuell generierte Codes zum Abrufen der Testergebnisse von 17.000 Personen zeitweise öffentlich abrufbar: inklusive personenbezogener Daten wie E-Mail-Adresse, Name, Geschlecht, Alter und Anschrift. Mehr noch: Mithilfe der Abrufcodes ließen sich die Testergebnisse der Betroffenen dann auch tatsächlich herunterladen. Wer die Lücke nutzen wollte, konnte sich also laut DSGVO-Definition Zugang zu sensiblen Gesundheitsdaten verschaffen.
Wird beim Datenschutz mit zweierlei Maß gemessen?
Solche Pannen sind keine Einzelfälle. Deshalb hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) inzwischen sogar eine eigene Sonderabteilung nur für COVID-19-Testellen errichtet. Arne Schönbohm, Präsident des BSI, begründete dies gegenüber der Tagesschau mit dem Hinweis auf „gravierende Sicherheitslücken“ bei vielen Testanbietern. Dabei gebe es für die IT-Infrastruktur im Gesundheitswesen generell sehr hohe Sicherheitsanforderungen. „Bei dem Thema Testzentren ist es so“, sagte Schönbohm, „dass dort dieses Niveau letzten Endes eben bisher nicht gesetzlich vorgeschrieben ist.“ Offenbar haben die Verantwortlichen den rechtlichen Rahmen hier mit heißer Nadel gestrickt, um sehr schnell ein flächendeckendes Testangebot zu schaffen. Dies ist gelungen, jedoch leider zu Lasten des Datenschutzes.
Die verantwortlichen Politiker messen also offenbar mit zweierlei Maß. Mal verweisen sie auf den in Deutschland so hohen Datenschutz, um Missstände und Fehlentscheidungen bei der Pandemiebekämpfung zu erklären. Ein anderes Mal legen sie, scheinbar ohne größere Bedenken, selbst auf grundlegende Maßnahmen zum Datenschutz keinen großen Wert.
Wer darf sich eigentlich wie oft und von wem testen lassen?
Die rechtlichen Grundlagen für das Testen selbst sind in der vom Bundesministerium für Gesundheit erlassenen „Verordnung zum Anspruch auf Testung in Bezug auf einen direkten Erregernachweis des Coronavirus SARS-CoV-2 (Coronavirus-Testverordnung – TestV)“ formuliert. Demnach hat jeder Bürger der Bundesrepublik Deutschland Anspruch auf mindestens einen Schnelltest pro Woche. Bis zum 11. Oktober übernimmt der Bund noch die Kosten für Schnelltests, die individuell in Testzentren, Apotheken oder Praxen durchgeführt werden. Danach müssen ungeimpfte Bürger und Bürgerinnen die Kosten für die Tests selbst übernehmen. Ausnahme gelten für Menschen, die sich nicht impfen lassen können. Dazu zählen bspw. Schwangere.
Anders sieht es für Unternehmen aus, die ihrer Belegschaft Schnelltests anbieten möchten. Diese tragen die Kosten dafür selbst. Gleiches gilt für Betriebe des Einzelhandels und der Gastronomie, die ihren Kunden ein entsprechendes Testangebot machen möchten.
Zudem sollten Unternehmen dafür Sorge tragen, ihre Belegschaft vor einer möglichen Infektion durch Besucher zu schützen. Um daher sicherzustellen, ob Besucher Corona-positiv sind, haben wir ein allgemeingültiges Besucherauskunfts- und Verpflichtungsformular erstellt, das Sie in Ihrem Unternehmen noch heute einsetzen können – inklusive entsprechender Datenschutzerklärung.
Bereits seit längerer Zeit testberechtigt sind zudem bestimmte Einrichtungen wie Pflegeheime, Krankenhäuser, Arztpraxen, Reha-Einrichtungen und Tageskliniken. Diese dürfen Antigen-Tests eigenverantwortlich beschaffen und anwenden. Die dabei entstehenden Kosten werden mit den Kassenärztlichen Vereinigungen abgerechnet. Problematisch: Für jeden Test müssen personenbezogene Daten von der zu testenden Person erhoben und verarbeitet werden. Diese sensiblen Informationen werden oftmals leider so auf Servern abgelegt, dass die datenschutzrechtlichen Vorgaben der DSGVO allenfalls unzureichend erfüllt werden. Die Folge sind immer wieder eklatante Datenlecks und zum Teil hochsensible personenbezogene Informationen, die zu Tausenden abhandenkommen – sowohl aus den Testzentren als auch aus Impfzentren. Gerade bei Gesundheitsdaten, die nach Art. 9 DSGVO als personenbezogene Daten besonderer Kategorien einen erhöhten Schutzbedarf voraussetzen, darf dies nicht der Standard sein!
Wie könnte das Testen datenschutzrechtlich besser laufen?
Ohne an dieser Stelle nun die entsprechenden technischen und organisatorischen Maßnahmen (TOM) in Gänze beschreiben zu können, ließen sich die Datenlecks mit vergleichsweise einfachen Mitteln recht zuverlässig schließen. Die Meilensteine einer solchen Lösung könnten lauten:
- Anmeldung über ein Online-Portal mit Erfassung der persönlichen Daten
- Terminvergabe und -bestätigung durch Ausgabe eines QR-Codes
- Abfrage des QR-Codes als Test- oder Impfberechtigung beim Termin
- Verifizierung der Identität der Testperson wird vor Ort
- Durchführung des Tests oder der Impfung nach erfolgreicher Verifizierung
- Übermittlung des Testergebnisses an die im QR-Code verborgene E-Mail-Adresse in Form eines Anhangs
- Auslesen des geschützten Anhangs durch Einlesen des QR-Codes öffnen
Fazit: Datenschutz steigert das Vertrauen in die Maßnahmen
Die skizzierte Lösung zeigt: Ein verantwortungsvollerer Umgang mit personenbezogenen Daten und sensiblen Gesundheitsdaten wäre möglich und ist unverzichtbar – auch in Zeiten, in denen schnelles Handeln und Testen erforderlich ist. Der Aufwand dafür mag auf den ersten Blick sehr hoch erscheinen. Noch größer ist in jedem Fall der Nutzen, denn für das Vertrauen der Bevölkerung in die Test- und Impfzentren des Landes ist ein konsequenter Datenschutz unerlässlich. Nur er kann das Entstehen empfindlicher Datenlecks künftig verhindern und den Menschen das Gefühl zurückgeben, dass die Einrichtungen sorgsam und verantwortlich mit ihren persönlichen Daten und medizinischen Informationen umgehen.
Um dies zu erreichen, sollten die Test- und Impfeinrichtungen ihre Datenschutzbeauftragten intensiver einbinden und das eigene Verfahren jeweils datenschutzrechtlich überprüfen lassen. Nur so kann nachhaltige Sicherheit für Anbieter und Verbraucher entstehen. Nur so kommen wir auch datenschutzrechtlich gut durch die Pandemie.