Im Zusammenhang mit Corona-Schnelltests erreichten den Hessischen Beauftragten für Datenschutz und Informationsfreiheit zahlreiche Anfragen zum gesetzeskonformen Umgang mit den Daten der Getesteten. Zudem beschwerten sich in einigen Fällen betroffene Bürgerinnen und Bürger über die Datenverarbeitung im Zusammenhang mit den Schnelltests. Hier finden die verantwortlichen Stellen und Einrichtungen Hinweise zur datenschutzkonformen Vorbereitung und Durchführung der Schnelltests.
Auch bei der Durchführung der Schnelltests müssen die Grundsätze des Datenschutzes der Zweckbindung, der Datenminimierung, der Speicherbegrenzung und der Datensicherheit beachtet werden.
Die Schnelltests werden von unterschiedlichen Einrichtungen wie kommunal betriebenen Testzentren, Ärztinnen und Ärzten, Apothekerinnen und Apothekern, Rettungs- und Hilfsorganisationen sowie auch Einzelhandelsunternehmen (im Folgenden: „Anbieter“) angeboten. Eine Übersicht über die Corona-Bürgerteststellen in Hessen ist unter www.corona-test-hessen.deÖffnet sich in einem neuen Fenster zu finden.
Daneben werden auch in Alten- und Pflegeheimen und in Unternehmen PoC-Antigen-Test durchgeführt. Aufgrund der Besonderheiten des Beschäftigtendatenschutzes behandelt dieser Beitrag nicht die Datenverarbeitung bei Schnelltests im Beschäftigtenverhältnis.
I. Datenerhebung und -übermittlung
Für eine rechtmäßige Verarbeitung von personenbezogenen Daten der Getesteten muss entweder deren Einwilligung oder eine gesetzliche Rechtgrundlage vorliegen. Die Anbieter müssen prüfen, auf welcher Rechtsgrundlage die jeweilige Datenverarbeitung beruht.
Nach dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DS-GVO) sind die Anbieter gesetzlich dazu verpflichtet, grundsätzlich nur die für die jeweiligen Verarbeitungszwecke erforderlichen Daten zu erheben.
Bei der Meldung eines positiven Testergebnisses an das zuständige Gesundheitsamt sind nach § 9 Abs. 1 Nr. 1 Infektionsschutzgesetz (IfSG) der Name, das Geschlecht, das Geburtsdatum, die Anschrift sowie die weiteren Kontaktdaten (z.B. E-Mail-Adresse, Telefonnummer) der getesteten Person mitzuteilen. Aus diesem Grund dürfen die Anbieter diese personenbezogenen Daten bei der Terminvereinbarung oder vor Ort erheben.
Auch die Datenübermittlung an das Gesundheitsamt ist auf der Grundlage des Art. 9 Abs. 2 Buchst. i DS-GVO in Verbindung mit §§ 6 Abs. 1 Nr. 1 Buchst. t, 8 Abs. 1 IfSG datenschutzrechtlich nicht zu beanstanden.
Weitere personenbezogene Daten dürfen nur erhoben werden, wenn der jeweilige Zweck dies erfordert. Dies könnte bei der freiwilligen Mitteilung zusätzlicher personenbezogener Daten zur Ausstellung eines Testzertifikats mit Angaben zu Staatsangehörigkeit und Personalausweisnummer zum Beispiel der Fall sein.
Nach § 6 Abs. 3 Nr. 4 Buchst. a der Corona-Testverordnung (TestV) hat die zu testende Person bei einem Bürgertest gegenüber dem Anbieter ihre Identität durch Vorlage eines amtlichen Lichtbildausweises nachzuweisen. Kopien von Ausweisdokumenten dürfen die Anbieter aber aus Gründen der Datensparsamkeit weder bei der Online-Registrierung anfordern noch vor Ort anfertigen.
Außerdem muss bei Bürgertestungen nach § 4a TestV gegenüber dem Anbieter ein Nachweis über den Testgrund als Anspruchsvoraussetzung für den kostenlosten Test vorgelegt werden (§ 6 Abs. 3 Nr. 4 Buchst. b TestV). Hierfür kann ein Muster-Dokument des Hessischen Ministeriums für Soziales und Integration Öffnet sich in einem neuen Fenster verwendet werden.
II. Datenschutzerklärung
Den zu testenden Bürgerinnen und Bürgern sind bei Erhebung ihrer Daten die in Art. 13 DS-GVO genannten Informationen mitzuteilen. Sie müssen etwa über den Namen und die Kontaktdaten des Verantwortlichen, die Zwecke und Rechtsgrundlagen der Datenverarbeitungen, die Empfänger von Daten und ihre Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung) informiert werden. An dieser Stelle sollte auch dargestellt werden, dass im Rahmen der Testungen nach Art. 9 Abs. 1 DS-GVO besonders geschützte Gesundheitsdaten verarbeitet werden.
Kopien der Datenschutzerklärung müssen vorrätig sein, damit ein Exemplar auf Nachfrage der betroffenen Person mitgegeben werden kann.
Bei einer Online-Terminvereinbarung ist ein Link auf eine entsprechende Datenschutzerklärung für Schnelltests zu verwenden. Die Verlinkung der allgemeinen Website-Datenschutzerklärung ohne Bezug zu der Datenverarbeitung im Zusammenhang mit den Testungen ist nicht ausreichend.
III. Speicherdauer
Nach dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e DS-GVO) sind die personenbezogenen Daten nur solange zu speichern, wie es die jeweiligen Zwecke der Datenverarbeitung erfordern. Die personenbezogenen Daten der Getesteten sind daher grundsätzlich frühestmöglich zu löschen bzw. zu vernichten.
Gemäß § 7 Abs. 5 S. 1 TestV haben die Anbieter die für den Nachweis der korrekten Durchführung und Abrechnung notwendige Auftrags- und Leistungsdokumentation bis zum 31. Dezember 2024 unverändert zu speichern oder aufzubewahren.
Nach§ 7 Abs. 5 S. 2 TestV zählen zur Auftrags- und Leistungsdokumentation insbesondere Name, Geburtsdatum und Anschrift der getesteten Person, sowie der Testgrund, Tag und Uhrzeit der Testung und das Testergebnis. Außerdem ist eine schriftliche oder elektronische Bestätigung der getesteten Person oder ihres gesetzlichen Vertreters über die Durchführung des Tests zu dokumentieren (§ 7 Abs. 5 S. 2 Nr. 8 TestV). Diese personenbezogenen Daten dürfen daher von den Anbietern nach Art. 6 Abs. 1 Buchst. c, Art. 9 Abs. 2 Buchst. g DS-GVO i.V.m. § 7 Abs. 5 TestV bis zum 31. Dezember 2024 gespeichert bzw. aufbewahrt werden. Für das Testergebnis selbst und den Nachweis der Meldung positiver Testergebnisse an das zuständige Gesundheitsamt sieht § 7 Abs. 5 S. 4 TestV jedoch eine kürze Aufbewahrungsfrist bis zum 31.12.2023 vor.
IV. Technische und organisatorische Maßnahmen
Die Anbieter müssen außerdem durch geeignete technische und organisatorische Maßnahmen sicherstellen, dass die personenbezogenen Daten der Getesteten ausreichend geschützt werden. Die Daten der Getesteten dürfen zum Beispiel im Test-Zelt vor Ort nicht für Dritte einsehbar sein, und die vom Anbieter mit der Durchführung der Schnelltests beauftragten Personen müssen datenschutzrechtlich sensibilisiert sein.
Einige neue Anbieter haben den Betrieb der Testungen in relativ kurzer Zeit gestartet. Auch in diesem Fall dürfen die IT-Sicherheitsvorkehrungen aber unter keinen Umständen vernachlässigt werden. Die Daten der Getesteten müssen sicher verschlüsselt und die Schnittstelle der IT-Systeme besonders geschützt werden.
Die elektronische Übermittlung der positiven Testergebnisse an das zuständige Gesundheitsamt kann durch Nutzung einer Inhaltsverschlüsselung datenschutzkonform erfolgen. Werden diese Daten z.B. per CSV-Export oder per PDF-Anhang einer E-Mail an das Gesundheitsamt übermittelt, ist eine Transportverschlüsselung regelmäßig nicht ausreichend.
Wird das Testergebnis den Getesteten elektronisch zur Verfügung gestellt, so muss dieses durch effektive Verifizierungsmechanismen ausreichend vor dem Zugriff unberechtigter Dritter geschützt werden. Passwörter müssen ausreichend komplex sein und dürfen insbesondere nicht leicht für Dritte zu erraten sein. Sie sollten sich nicht aus offenkundigen Eigenschaften der Person ableiten lassen. Das Geburtsdatum eignet sich daher bspw. nicht als Passwort.
Beim Einsatz eines externen Online-Terminvereinbarungsdienstes ist mit dem Betreiber dieses Dienstes in der Regel eine Auftragsverarbeitungsvereinbarung nach Art. 28 DS-GVO abzuschließen.
Im Falle einer „Datenpanne“ sind hessische Anbieter nach Art. 33 DS-GVO dazu verpflichtet, diese unverzüglich, jedenfalls innerhalb von 72 Stunden, dem HBDI zu melden. Erlangen Dritte Zugang zu den Testergebnissen, ist auch eine Meldung an die Betroffenen nach Art. 34 DS-GVO regelmäßig vorzunehmen.
Stand: 03.01.2023