Datenschutz bei SARS-CoV-2 Schnelltests

Im Zusammenhang mit Corona-Schnelltests erreichten den Hessischen Beauftragten für Datenschutz und Informationsfreiheit zahlreiche Anfragen zum gesetzeskonformen Umgang mit den Daten der Getesteten. Zudem beschwerten sich in einigen Fällen betroffene Bürgerinnen und Bürger über die Datenverarbeitung im Zusammenhang mit den Schnelltests. Hier finden die verantwortlichen Stellen und Einrichtungen Hinweise zur datenschutzkonformen Vorbereitung und Durchführung der Schnelltests.

Fotolia_211494201_S.jpg

Laboratory assistant in goggles and a lab coat with a test tube

SARS-CoV-2 Schnelltests werden mittlerweile von unterschiedlichen Einrichtungen, Institutionen und Unternehmen angeboten. Teilweise sind die verantwortlichen Anbieter erstmals mit der Organisation und Durchführung einer medizinischen Untersuchung befasst.

Auch bei der Durchführung des Schnelltests müssen die Grundsätze des Datenschutzes der Zweckbindung, der Datenminimierung, der Speicherbegrenzung und der Datensicherheit beachtet werden.

Im Rahmen der Nationalen Teststrategie[1] werden SARS-CoV-2 Schnelltests flächendeckend in Hessen eingesetzt. Nach der Corona-Testverordnung – („TestV“) haben Bürgerinnen und Bürger Anspruch auf mindestens einen kostenlosen PoC-Antigen-Test pro Woche („Bürgertest“)[2].

Diese Bürgertests werden von unterschiedlichen Einrichtungen wie kommunal betriebenen Testzentren, Ärztinnen und Ärzten, Apothekerinnen und Apothekern, Rettungs- und Hilfsorganisationen sowie auch Einzelhandelsunternehmen (im Folgenden: „Anbieter“) angeboten. Eine Übersicht über die Corona-Bürgerteststellen in Hessen ist unter https://www.corona-test-hessen.de/ zu finden.

Daneben werden in Alten- und Pflegeheimen, an Schulen und in Unternehmen PoC-Antigen-Test durchgeführt. Aufgrund der Besonderheiten des Beschäftigtendatenschutzes behandelt dieser Beitrag nicht die Datenverarbeitung bei Schnelltests im Beschäftigtenverhältnis.

I. Datenerhebung und -übermittlung

Für eine rechtmäßige Verarbeitung von personenbezogenen Daten der Getesteten muss entweder deren Einwilligung oder eine gesetzliche Rechtgrundlage (insb. bei Pflichttests) vorliegen. Die Anbieter müssen prüfen, auf welcher Rechtsgrundlage die jeweilige Datenverarbeitung beruht.

Nach dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO) sind die Anbieter gesetzlich dazu verpflichtet, grundsätzlich nur die für die jeweiligen Verarbeitungszwecke erforderlichen Daten zu erheben.

Bei der Meldung eines positiven Testergebnisses an das zuständige Gesundheitsamt sind nach § 9 Abs. 1 Nr. 1 IfSG der Name, das Geschlecht, das Geburtsdatum, die Anschrift sowie die weiteren Kontaktdaten (z.B. E-Mail-Adresse, Telefonnummer) der getesteten Person mitzuteilen. Aus diesem Grund dürfen die Anbieter diese personenbezogenen Daten bei der Terminvereinbarung oder vor Ort erheben.

Auch die Datenübermittlung an das Gesundheitsamt ist auf der Grundlage des Art. 9 Abs. 2 lit. i DS-GVO i.V.m. §§ 6 Abs. 1 Nr. 1 lit. t, 8 Abs. 1 IfSG datenschutzrechtlich nicht zu beanstanden.

Weitere personenbezogene Daten dürfen nur erhoben werden, wenn der jeweilige Zweck dies erfordert. Dies könnte bei der freiwilligen Mitteilung zusätzlicher personenbezogener Daten zur Ausstellung eines Testzertifikats mit Angaben zu Staatsangehörigkeit und Personalausweisnummer z.B. der Fall sein.

Nach § 6 Abs. 3 Nr. 4 TestV hat die zu testende Person bei einem Bürgertest gegenüber dem Anbieter ihre Identität durch Vorlage eines amtlichen Lichtbildausweises nachzuweisen.
Kopien von Ausweisdokumenten dürfen die Anbieter aber aus Gründen der Datensparsamkeit weder bei der Online-Registrierung anfordern noch vor Ort anfertigen.

II. Datenschutzerklärung

Den zu testenden Bürgerinnen und Bürgern sind bei Erhebung ihrer Daten die in Art. 13 DS-GVO genannten Informationen mitzuteilen. Sie müssen z.B. über den Namen und die Kontaktdaten des Verantwortlichen, die Zwecke und Rechtsgrundlagen der Datenverarbeitungen, die Empfänger von Daten und ihre Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung) informiert werden. An dieser Stelle sollte auch dargestellt werden, dass im Rahmen der Testungen nach Art. 9 Abs. 1 DS-GVO besonders geschützte Gesundheitsdaten verarbeitet werden.

Bei einer Online-Terminvereinbarung ist ein Link auf eine entsprechende Datenschutzerklärung für Schnelltests zu verwenden. Die Verlinkung der allgemeinen Website-Datenschutzerklärung ohne Bezug zu der Datenverarbeitung im Zusammenhang mit den Testungen ist nicht ausreichend.

III. Speicherdauer

Nach dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DS-GVO) sind die personenbezogenen Daten nur solange zu speichern, wie es die jeweiligen Zwecke der Datenverarbeitung erfordern. Die personenbezogenen Daten der Getesteten sind daher grundsätzlich frühestmöglich zu löschen bzw. zu vernichten.

Gemäß § 7 Abs. 5 S. 1 TestV haben die Anbieter die für den Nachweis der korrekten Durchführung und Abrechnung notwendige Auftrags- und Leistungsdokumentation bis zum 31. Dezember 2024 unverändert zu speichern oder aufzubewahren.

Die TestV regelte bis zum 30.06.2021 nicht näher, welche konkreten Daten von dieser Auftrags- und Leistungsdokumentation umfasst sind. Der HBDI vertrat daher die Auffassung, dass ein Personenbezug zu den Getesteten aus diesen Abrechnungsunterlagen nicht mehr erkennbar sein sollte.

Mit Wirkung zum 01.07.2021 wurde die TestV neugefasst. In § 7 Abs. 5 S. 2 TestV ist nun ausdrücklich geregelt, dass zur Auftrags- und Leistungsdokumentation insbesondere Name, Geburtsdatum und Anschrift der getesteten Person, sowie der Testgrund, die Uhrzeit und das Testergebnis zählen. Diese personenbezogenen Daten dürfen daher von den Anbietern nach Art. 6 Abs. 1 lit. c, Art. 9 Abs. 2 lit. g DS-GVO i.V.m. § 7 Abs. 5 TestV bis zum 31. Dezember 2024 gespeichert bzw. aufbewahrt werden.

IV. Technische und organisatorische Maßnahmen

Die Anbieter müssen außerdem durch geeignete technische und organisatorische Maßnahmen sicherstellen, dass die personenbezogenen Daten der Getesteten ausreichend geschützt werden. Die Daten der Getesteten dürfen z.B. im Test-Zelt vor Ort nicht für Dritte einsehbar sein, und die vom Anbieter mit der Durchführung der Schnelltests beauftragten Personen müssen datenschutzrechtlich sensibilisiert sein.

Einige neue Anbieter haben den Betrieb der Testungen in relativ kurzer Zeit gestartet. Auch in diesem Fall dürfen die IT-Sicherheitsvorkehrungen aber unter keinen Umständen vernachlässigt werden. Die Daten der Getesteten müssen sicher verschlüsselt und die Schnittstelle der IT-Systeme besonders geschützt werden.

Die elektronische Übermittlung der positiven Testergebnisse an das zuständige Gesundheitsamt kann durch Nutzung einer Inhaltsverschlüsselung datenschutzkonform erfolgen. Werden diese Daten z.B. per CSV-Export oder per PDF-Anhang einer E-Mail an das Gesundheitsamt übermittelt, ist eine Transportverschlüsselung regelmäßig nicht ausreichend.

Wird das Testergebnis den Getesteten elektronisch zur Verfügung gestellt, so muss dieses durch effektive Verifizierungsmechanismen ausreichend vor dem Zugriff unberechtigter Dritter geschützt werden.

Beim Einsatz eines externen Online-Terminvereinbarungsdienstes ist mit dem Betreiber dieses Dienstes in der Regel eine Auftragsverarbeitungsvereinbarung nach Art. 28 DS-GVO abzuschließen.

Im Falle einer „Datenpanne“ sind hessische Anbieter nach Art. 33 DS-GVO dazu verpflichtet, diese unverzüglich, jedenfalls innerhalb von 72 Stunden, dem HBDI zu melden. Erlangen Dritte Zugang zu den Testergebnissen, ist auch eine Meldung an die Betroffenen nach Art. 34 DS-GVO regelmäßig vorzunehmen.

[1] Siehe Schaubild des Bundesgesundheitsministeriums unter https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/3_Downloads/C/Coronavirus/Nationale_Teststrategie_kurz.pdf

[2] § 4a TestV; Neufassung der TestV vom 24.06.2021 unter https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/3_Downloads/C/Coronavirus/Verordnungen/CoronavirusTestV_BAnz_AT_25.06.2021_V1.pdf

Stand: 28.06.2021

SERVICE