Praxiswissen

3 Min

Datenschutz in Zeiten von Massentests und Impfkampagnen

DataGuard
DataGuard

Deutschland sei zu sehr auf den Datenschutz fixiert, heißt es dieser Tage gerne mal. Andere Länder wären in der Pandemiebekämpfung längst erfolgreicher. Auch, weil sie einfach machen würden und sich – anders als die Verantwortlichen hierzulande – nicht durch permanentes Verweisen auf den Datenschutz selbst im Wege stünden. Ist etwas dran an dieser These? Oder wird Datenschutz bei uns auch gerne mal als Feigenblatt und Ausrede genutzt, um von eigenen Fehlern und generellen Versäumnissen abzulenken?

Darum geht es im folgenden Update zum Thema „Datenschutz und Corona“. Es knüpft an eine bereits veröffentlichte DataGuard Trilogie unter gleichnamiger Überschrift an. Alle drei Blogposts sind weiterhin verfügbar und ergänzen die folgenden Einschätzungen im Hinblick auf spezifische Fragestellungen.

Teil 1: Darf die Telekom Handy-Standortdaten an das RKI übermitteln?
Teil 2: Wie geht das Ausland mit Datenschutz in Zeiten von Corona um?
Teil 3: Wie handhabt Bundesgesundheitsminister Spahn den Datenschutz in der Pandemie?

 

 

Das Wichtigste in Kürze

  • Bei flächendeckender Inbetriebnahme von Corona-Testzentren wurden Datenschutz und das Recht auf informationelle Selbstbestimmung niedrig priorisiert
  • Generell herrscht im Gesundheitswesen ein hohes Sicherheitsniveau bei der IT-Infrastruktur, welches bei Testzentren bislang jedoch nicht gesetzlich festgelegt ist
  • Sensible Daten werden bei Antigen-Tests oftmals nur unzureichend datenschutzrechtlich geschützt
  • Durch Implementierung technischer und organisatorischer Maßnahmen ließen sich Datenlecks recht einfach und zuverlässig schließen und vermeiden

In diesem Beitrag

Datenschutz oder Gesundheitsschutz: Müssen wir uns als Gesellschaft für eines entscheiden?

Die Corona-Politik der Bundesregierung steht in der öffentlichen Kritik. Im Sinne unserer Demokratie ist diese manchmal zu Recht, oft aber auch zu Unrecht geäußert. Dennoch ist es legitim zu fragen, warum in Staaten wie Israel oder Großbritannien bereits die große Mehrheit der Menschen gegen COVID-19 geimpft ist, hierzulande jedoch (noch) nicht. Gründe dafür ließen sich viele anführen. Leider ist jedoch allzu oft zu beobachten, dass Politiker reflexhaft versuchen, den Schwarzen Peter an den Datenschutz weiterzureichen.

Beispiel Bundeskanzlerin: Auf einem der vielen Gipfel dieses Jahres auf das schleppende Anlaufen der Impfkampagne angesprochen, hatte Angela Merkel als Begründung angeführt, dass Deutschland etwa im Vergleich zu Israel „in ganz anderer Weise mit Daten“ umgehe. Noch einen Schritt weiter ging der Baden-Württembergische Ministerpräsident. Winfried Kretschmer empfahl Deutschland in einem Interview mit dem Berliner Tagesspiegel sogar eine Diskussion über die Frage, „ob wir den Datenschutz in einer Pandemie weiterhin komplett unangetastet lassen“, oder ob die Menschen nicht doch „gewisse Einschränkungen in Kauf nehmen müssten“? Sind effektiver Gesundheitsschutz und Datenschutz tatsächlich nicht miteinander vereinbar, oder haben wir es hier eher mit einer Alibidiskussion zu tun?

Datenlecks bei Corona-Teststellen sind keine Seltenheit?

Die Praxis zeigt: Als es um die flächendeckende Einrichtung und Inbetriebnahme von Corona-Teststellen ging, hatten die politisch Verantwortlichen den Datenschutz und das Grundrecht auf informationelle Selbstbestimmung keineswegs ganz oben auf ihrer Prioritätenliste. Mit dramatischen Folgen: Beinahe regelmäßig berichten die Medien inzwischen über Datenpannen und mangelhaft gesicherte Teststellen-Server.

So veröffentlichen Journalisten mehrerer öffentlich-rechtlicher Medienhäuser Anfang April 2021 den Fall eines Betreibers von deutschlandweit neun Teststellen in Berlin, Hamburg, Leipzig, Dortmund und Schwerte. Durch eine Sicherheitslücke auf der Betreiber-Website waren individuell generierte Codes zum Abrufen der Testergebnisse von 17.000 Personen zeitweise öffentlich abrufbar: inklusive personenbezogener Daten wie E-Mail-Adresse, Name, Geschlecht, Alter und Anschrift. Mehr noch: Mithilfe der Abrufcodes ließen sich die Testergebnisse der Betroffenen dann auch tatsächlich herunterladen. Wer die Lücke nutzen wollte, konnte sich also laut DSGVO-Definition Zugang zu sensiblen Gesundheitsdaten verschaffen.

Wird beim Datenschutz mit zweierlei Maß gemessen?

Solche Pannen sind keine Einzelfälle. Deshalb hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) inzwischen sogar eine eigene Sonderabteilung nur für COVID-19-Testellen errichtet. Arne Schönbohm, Präsident des BSI, begründete dies gegenüber der Tagesschau mit dem Hinweis auf „gravierende Sicherheitslücken“ bei vielen Testanbietern. Dabei gebe es für die IT-Infrastruktur im Gesundheitswesen generell sehr hohe Sicherheitsanforderungen. „Bei dem Thema Testzentren ist es so“, sagte Schönbohm, „dass dort dieses Niveau letzten Endes eben bisher nicht gesetzlich vorgeschrieben ist.“ Offenbar haben die Verantwortlichen den rechtlichen Rahmen hier mit heißer Nadel gestrickt, um sehr schnell ein flächendeckendes Testangebot zu schaffen. Dies ist gelungen, jedoch leider zu Lasten des Datenschutzes.

Die verantwortlichen Politiker messen also offenbar mit zweierlei Maß. Mal verweisen sie auf den in Deutschland so hohen Datenschutz, um Missstände und Fehlentscheidungen bei der Pandemiebekämpfung zu erklären. Ein anderes Mal legen sie, scheinbar ohne größere Bedenken, selbst auf grundlegende Maßnahmen zum Datenschutz keinen großen Wert.

Wer darf sich eigentlich wie oft und von wem testen lassen?

Die rechtlichen Grundlagen für das Testen selbst sind in der vom Bundesministerium für Gesundheit erlassenen „Verordnung zum Anspruch auf Testung in Bezug auf einen direkten Erregernachweis des Coronavirus SARS-CoV-2 (Coronavirus-Testverordnung – TestV)“ formuliert. Demnach hat jeder Bürger der Bundesrepublik Deutschland Anspruch auf mindestens einen Schnelltest pro Woche. Bis zum 11. Oktober übernimmt der Bund noch die Kosten für Schnelltests, die individuell in Testzentren, Apotheken oder Praxen durchgeführt werden. Danach müssen ungeimpfte Bürger und Bürgerinnen die Kosten für die Tests selbst übernehmen. Ausnahme gelten für Menschen, die sich nicht impfen lassen können. Dazu zählen bspw. Schwangere.

Anders sieht es für Unternehmen aus, die ihrer Belegschaft Schnelltests anbieten möchten. Diese tragen die Kosten dafür selbst. Gleiches gilt für Betriebe des Einzelhandels und der Gastronomie, die ihren Kunden ein entsprechendes Testangebot machen möchten.

Zudem sollten Unternehmen dafür Sorge tragen, ihre Belegschaft vor einer möglichen Infektion durch Besucher zu schützen. Um daher sicherzustellen, ob Besucher Corona-positiv sind, haben wir ein allgemeingültiges Besucherauskunfts- und Verpflichtungsformular erstellt, das Sie in Ihrem Unternehmen noch heute einsetzen können – inklusive entsprechender Datenschutzerklärung.

 

Corona Selbstauskunft Besuchertemaplte

Bereits seit längerer Zeit testberechtigt sind zudem bestimmte Einrichtungen wie Pflegeheime, Krankenhäuser, Arztpraxen, Reha-Einrichtungen und Tageskliniken. Diese dürfen Antigen-Tests eigenverantwortlich beschaffen und anwenden. Die dabei entstehenden Kosten werden mit den Kassenärztlichen Vereinigungen abgerechnet. Problematisch: Für jeden Test müssen personenbezogene Daten von der zu testenden Person erhoben und verarbeitet werden. Diese sensiblen Informationen werden oftmals leider so auf Servern abgelegt, dass die datenschutzrechtlichen Vorgaben der DSGVO allenfalls unzureichend erfüllt werden. Die Folge sind immer wieder eklatante Datenlecks und zum Teil hochsensible personenbezogene Informationen, die zu Tausenden abhandenkommen – sowohl aus den Testzentren als auch aus Impfzentren. Gerade bei Gesundheitsdaten, die nach Art. 9 DSGVO als personenbezogene Daten besonderer Kategorien einen erhöhten Schutzbedarf voraussetzen, darf dies nicht der Standard sein!

Wie könnte das Testen datenschutzrechtlich besser laufen?

Ohne an dieser Stelle nun die entsprechenden technischen und organisatorischen Maßnahmen (TOM) in Gänze beschreiben zu können, ließen sich die Datenlecks mit vergleichsweise einfachen Mitteln recht zuverlässig schließen. Die Meilensteine einer solchen Lösung könnten lauten:

  • Anmeldung über ein Online-Portal mit Erfassung der persönlichen Daten
  • Terminvergabe und -bestätigung durch Ausgabe eines QR-Codes
  • Abfrage des QR-Codes als Test- oder Impfberechtigung beim Termin
  • Verifizierung der Identität der Testperson wird vor Ort
  • Durchführung des Tests oder der Impfung nach erfolgreicher Verifizierung
  • Übermittlung des Testergebnisses an die im QR-Code verborgene E-Mail-Adresse in Form eines Anhangs
  • Auslesen des geschützten Anhangs durch Einlesen des QR-Codes öffnen

Fazit: Datenschutz steigert das Vertrauen in die Maßnahmen

Die skizzierte Lösung zeigt: Ein verantwortungsvollerer Umgang mit personenbezogenen Daten und sensiblen Gesundheitsdaten wäre möglich und ist unverzichtbar – auch in Zeiten, in denen schnelles Handeln und Testen erforderlich ist. Der Aufwand dafür mag auf den ersten Blick sehr hoch erscheinen. Noch größer ist in jedem Fall der Nutzen, denn für das Vertrauen der Bevölkerung in die Test- und Impfzentren des Landes ist ein konsequenter Datenschutz unerlässlich. Nur er kann das Entstehen empfindlicher Datenlecks künftig verhindern und den Menschen das Gefühl zurückgeben, dass die Einrichtungen sorgsam und verantwortlich mit ihren persönlichen Daten und medizinischen Informationen umgehen.

Um dies zu erreichen, sollten die Test- und Impfeinrichtungen ihre Datenschutzbeauftragten intensiver einbinden und das eigene Verfahren jeweils datenschutzrechtlich überprüfen lassen. Nur so kann nachhaltige Sicherheit für Anbieter und Verbraucher entstehen. Nur so kommen wir auch datenschutzrechtlich gut durch die Pandemie.

Zurück zum Seitenanfang
Veröffentlicht am Aktualisiert am
Tags Praxiswissen

Über den Autor

DataGuard DataGuard
DataGuard

Mehr Artikel ansehen

Diese Themen sollten Sie nicht verpassen:

Weitere Artikel

Welche IT-Systeme gibt es?
Informationssicherheit

6 Min

Welche IT-Systeme gibt es?

Erfahren Sie, wie IT-Systeme moderne Unternehmen stärken, von Hardware und Software bis hin zu Cloud Computing und Cybersicherheit.

Weiterlesen
Risikoanalyse IT-Sicherheit
Informationssicherheit

6 Min

Risikoanalyse IT-Sicherheit

Priorisieren von Risiken in der IT-Sicherheit durch Identifizierung, Bewertung und proaktive Minderung von Bedrohungen und Schwachstellen.

Weiterlesen
IT-Sicherheit: Grundlagen
Informationssicherheit

6 Min

IT-Sicherheit: Grundlagen

Schützen Sie Ihre Daten vor Cyberbedrohungen mit den Grundprinzipien der IT-Sicherheit. Bleiben Sie informiert und verteidigen Sie Ihre IT-Sicherheit.

Weiterlesen
Was ist IT-Grundschutz?
Informationssicherheit

5 Min

Was ist IT-Grundschutz?

Schützen Sie Ihre IT-Systeme mit IT-Grundschutz: Ein Rahmen für effektive Sicherheitskontrollen und Schutz kritischer Daten.

Weiterlesen
Was sind die häufigsten Compliance-Verstöße?
Informationssicherheit

6 Min

Was sind die häufigsten Compliance-Verstöße?

Entdecken Sie mit uns die Bedeutung der Compliance für Unternehmen. Von häufigen Verstößen bis hin zu Präventionsmaßnahmen.

Weiterlesen
Was ist Compliance im Unternehmen?
Informationssicherheit

5 Min

Was ist Compliance im Unternehmen?

Erfahren Sie alles über Compliance: Definition, Bedeutung, Arten, Herausforderungen und Vorteile. Wir decken die Welt der Einhaltung von Vorschriften ab.

Weiterlesen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt durchstarten

  • Datenschutzkonforme und transparente Einholung von Einwilligungen
  • Konform mit DSGVO, CCPS, LGPD, ePrivacy
  • Langfristig wertvollere Daten
  • Zentraler Überblick: Ihre Single Source of Truth
  • Persönlicher Support durch Experten bei jedem Schritt
  • Einfache Integration in alle Ihre Marketing-Tools und CRM

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Jetzt Termin vereinbaren