Corona & Datenschutz: DSK sieht Handlungsbedarf
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mehrere Stellungnahmen zum Datenschutz während der Corona-Pandemie veröffentlicht.
Kontaktverfolgung per App:
Neben der stattlichen „Corona-App“ bieten mittlerweile viele Unternehmen digitale Lösungen zur Verarbeitung und Nachverfolgung von personenbezogenen Daten an. Prominentes Beispiel ist die Luca-App zur Nachverfolgung von Kontakten bei Besuchen in Ladengeschäften, Restaurants oder Konzerten. Das hinter Luca stehende Unternehmen hatte bei mehreren Aufsichtsbehörden um ein datenschutzrechtliches Votum gebeten. Zudem gibt es Bestrebungen einiger Gesundheitsämter die Luca-App einzusetzen.
Die DSK befürwortet grundsätzlich die digitale Kontaktverfolgung, da diese ermöglicht die Arbeit von Gesundheitsämtern effizienter zu gestalten und solche Apps zudem eine Erleichterung in Bezug auf die Dokumentationspflichten für Gastronomen und Veranstaltern bedeuten. Auch die sofortige Unterrichtung von Kontaktpersonen via App sieht die DSK als Vorteil an
Empfohlen wird in der – nicht nur auf die Luca-App bezogene – Stellungnahme eine Ende-zu-ende-Verschlüsselung der Daten, so dass auch der Betreiber des Kontaktverfolgungssystems die Daten nicht einsehen kann und ein sicherer Übertragungsweg der Daten gewährleistet ist. Die DSK fordert transparente und eindeutige Regelungen des Datenschutzes bei den Apps und mahnt an, dass die Freiwilligkeit der Teilnahme an der digitalen Erhebung sichergestellt sein muss. Die erhobenen Daten dürfen ausschließlich zweckgebunden für die Kontaktverfolgung verwendet werden, eine anderweitige Nutzung ist strengstens untersagt.
Die DSK kündigt kurzfristig eine eigenständige Orientierungshilfe für alle Betreiber von Kontaktverfolgungssystemen an, in der allgemeine Anforderungen an die digitalen Lösungen formuliert sein sollen. Zudem werden die Gesetzgeber dazu aufgefordert klare rechtliche Rahmenbedingungen zu schaffen.
Verarbeitung pandemiebezogener Gesundheitsdaten
Die DSK misst dem Nachweis von negativen Testergebnissen, einer überstandenen Infektion oder einer erfolgten Impfung zentrale Bedeutung insbesondere bei der Durchsetzung von Öffnungsschritten zu.
Daher ist eine klare und einheitliche Regelung durch den Gesetzgeber für die Voraussetzungen einer solchen Datenerhebung unerlässlich, so die DSK. Ohne eine entsprechende Rechtsgrundlage dürfen diese Daten nur mit – der freiwillig abgegebenen – Einwilligung der betroffenen Person erhoben werden. Da die einzelfallbezogene Prüfung der Wirksamkeit der Einwilligung komplex ist und mit Rechtsunsicherheiten belastet ist, fordert die DSK den Gesetzgeber auf „schnellstmöglich zu handeln“ und konkrete Regelungen zu erlassen.
Restaurant- oder Konzertbesuch nur mit Nachweis erlaubt?
Die DSK diskutiert ferner, inwieweit Angebote wie Restaurant-, Friseur-, Kino- und Konzertbesuche von dem Nachweis einer Impfung, eines Schnelltest-Ergebnisses oder einer überstandenen Infektion abhängig gemacht werden darf. Es stellt sich die Frage, ob insoweit – insbesondere durch Arbeitgeber – Gesundheitsdaten wie Körpertemperatur und Impfstatus fortlaufend erhoben werden dürfen.
Zunächst wird angemerkt, dass die Verarbeitung von Gesundheitsdaten in diesem Zusammenhang den Vorgaben der DSGVO genügen muss. Diese Daten stehen unter einem besonders strengen Schutz. Daher sind klare und konkrete gesetzliche Reglungen geboten, die eine Verarbeitung solcher Gesundheitsdaten ausdrücklich erlauben. In Bezug auf Angebote im privatwirtschaftlichen Bereich (Kino, Restaurant, Friseur) fehlt aber bisher an gesetzlichen Vorgaben. Folglich muss derzeit in jedem Einzelfall geprüft werden, ob und inwieweit die Verarbeitung dieser Daten zulässig ist. Auch hier wird gefordert, kurzfristig ein Gesetzgebungsverfahren auf den Weg zu bringen.
Alexa Frey, Rechtsanwältin, Fachanwältin für IT-Recht und Medizinrecht