Zurück zur Übersicht
21.02.2022

Datenschutz in Corona-Testzentren

Als bedeutendes Mittel zur Bekämpfung der Ausbreitung der Coronavirus-Krankheit-2019 (COVID-19) wurde schon seit geraumer Zeit das Testen genannt.

Das Bundesministerium für Gesundheit hat mit seiner Verordnung zum Anspruch auf Testung in Bezug auf einen direkten Erregernachweis des Coronavirus SARS-CoV-2 (Coronavirus-Testverordnung – TestV) vom 8. März 2021 die so genannte Bürgertestung eingeführt. Danach erhielten asymptomatische Personen einen Anspruch auf Testung mittels PoC-Antigen-Tests, wobei solche Testungen im Rahmen der Verfügbarkeit von Testkapazitäten mindestens einmal pro Woche in Anspruch genommen werden konnten. (Diese Tests waren für die Bürger*innen zunächst kostenlos, ab dem 11. Oktober 2021 mussten sie solche Tests vorübergehend selbst bezahlen, im November wurde die ursprüngliche Regelung wieder eingeführt).

Diese Regelungen fanden, wohl ganz im Sinne der dahinter stehenden Strategie zur Pandemiebekämpfung, große Resonanz. Nicht nur bei Menschen, die sich testen lassen wollten, sondern auch bei Unternehmern oder sonstigen Interessierten, die solche Tests anbieten wollten. Auch in Baden-Württemberg entstand rasch eine beeindruckende Testinfrastruktur mit einer Vielzahl neu eingerichteter Testzentren (zeitweise konnte man den Eindruck gewinnen, dass Testzentren „wie Pilze aus dem Boden schießen“), beispielsweise in rasch aufgestellten Zelten an zentralen Orten von Städten und Gemeinden. Die mit der genannten Verordnung sowie mit der „Allgemeinverfügung des Ministeriums für Soziales und Integration Baden-Württemberg“ vom 12. März 2021, „Beauftragung zur Durchführung von Bürgertestungen nach § 4a der Verordnung zum Anspruch auf Testungen in Bezug auf einen direkten Erregernachweis des Coronavirus SARS-CoV-2 des Bundesministeriums für Gesundheit (TestV) vom 8. März 2021“ gesetzten Hürden für Errichtung und Betrieb der entsprechenden Testzentren waren relativ niedrig, die Modalitäten der Abrechnung für deren Betreibende in ökonomischer Hinsicht offenbar recht attraktiv (erst im Juli 2021 hat das Bundesministerium für Gesundheit die ökonomischen Rahmenbedingungen geändert, u.a. durch Einführung von Regelungen zur Abrechnungsprüfung). Dies führte nicht nur dazu, dass, wie in der Presse immer wieder berichtet, Unregelmäßigkeiten bei der Abrechnung auffielen und auch strafrechtlich verfolgt wurden. Auch eine Vielzahl teilweise gravierender Datenschutzprobleme war zu beklagen.

Testzentren wurden (und werden) nicht nur von Ärzt*innen, Apotheker*innen, Organisationen des Rettungsdienstwesens und anderen Akteur*innen betrieben, die in vergleichbarer Weise mit datenschutzrechtlichen Anforderungen bei der Verarbeitung personenbezogener Daten, einschließlich besonders sensibler Gesundheitsdaten, typischerweise in hohem Maß vertraut sind. Auch Unternehmer, die sich zuvor, und leider auch bei Gründung ihrer Testzentren, mit solchen Anforderungen nicht oder nur in geringem Maß befasst hatten, haben kurzfristig solche Testzentren eröffnet. Getragen, wie es scheint, teilweise vor allem auch von einer Art „Goldgräberstimmung“, nicht von dem Willen, auch datenschutzrechtlichen Anforderungen oder den Grundsätzen der IT-Sicherheit gerecht zu werden.

Für besondere Probleme sorgte etwa der Einsatz elektronischer Anwendungen. Viele der Testzentren boten Getesteten den Service, das Testergebnis über Apps, per SMS oder E-Mail direkt auf das Handy zu schicken. Die bei der Verwendung solcher Anwendungen notwendigen Maßnahmen des technischen und organisatorischen Datenschutzes waren leider in vielen Fällen mangelhaft, zum Teil mit der Folge, dass Testergebnisse offen im Internet von Unbefugten abgerufen werden konnten. Der LfDI hat frühzeitig auf diese Probleme hingewiesen und den verantwortlichen Stellen empfohlen, sofort sorgsam zu überprüfen, ob sie die angemessene Sicherheit der Gesundheitsdaten Getesteter durch technisch-organisatorische Maßnahmen jederzeit gewährleisten können.

Da der Datenschutzaufsicht leider weiterhin massive Probleme bekannt wurden, hat sie sich erneut an die Öffentlichkeit gewandt und die zu beachtenden Anforderungen beispielhaft konkretisiert, etwa hinsichtlich des Schutzes für über das Internet bereitgestellte Testergebnisse. (Im weiteren Verlauf wurde bundesweit das Thema diskutiert und die massiven Sicherheitsrisiken für die Bürger*innen erkennbar und fassbar.)

Um die vielfältigen Aspekte dieser Problematik auch in ihrer Vereinzelung zu würdigen – es werden stets auch Einzelfälle betrachtet – hier zur Übersicht weitere bearbeitete Datenpannen (im Sinne des Artikels 33 Absatz 1 DSGVO in Verbindung mit Artikel 4 Nummer 12 DSGVO) bei Testzentren: Testergebnisse waren für Unbefugte einsehbar. Der E-Mail-Versand ging an die falsche Adresse. Die Kasse eines Schnelltestzentrums, in welcher u.a. die Testergebnisse aufbewahrt wurden, wurde entwendet. Es wurden fehlerhafte „Ausweise“ ausgestellt aufgrund einer falschen Excel-Tabelle. Das Vertauschen von Testergebnissen wurde festgestellt. Die Bescheinigung eines Corona-Tests-Ergebnisses wurde an den falschen Empfänger ausgehändigt. Bei der Bearbeitung solcher Datenpannen wurde insbesondere bei Bedarf auf die Verbesserung der technischen und organisatorischen Maßnahmen sowie auf die Erfüllung der Benachrichtigungspflicht nach Artikel 34 DSGVO hingewirkt und die verantwortlichen Stellen beraten, wie die Benachrichtigung bei einer großen Anzahl von Betroffenen umgesetzt werden kann, beispielsweise durch öffentliche Bekanntmachung. Zudem sahen wir uns immer wieder veranlasst, darauf hinzuweisen, dass bereits eine Terminbestätigung ein Gesundheitsdatum im Sinne des Artikels 4 Nummer 15 DSGVO darstellt. Für die Übermittlung des Testergebnisses wurde wiederholt empfohlen, soweit die Betroffenen insoweit freiwillig und informiert einwilligen, die Corona-Warn-App des Robert-Koch-Instituts als einen sicheren Übertragungsweg zu nutzen.

Ein weit verbreitetes Problem waren die bei vielen Testzentren fehlenden oder mangelnden Informationen nach Artikel 13 DSGVO, so dass für viele Menschen, die sich testen lassen wollten und gegebenenfalls getestet wurden, unklar war, wer für die Verarbeitung ihrer personenbezogener Daten überhaupt verantwortlich ist und an wen sie sich demnach wenden können, wenn sie beispielsweise von ihren jeweiligen Datenschutzrechten Gebrauch machen wollten, etwa von ihrem Recht auf Auskunft nach Artikel 15 DSGVO oder ihrem Recht auf Löschung nach Artikel 17 DSGVO. Die Frage nach dem Verantwortlichen klingt einfach, sie ist es aber nicht – ein bestimmter Arzt, ein bestimmter Ortsverband einer Rettungsdienstorganisation, ein bestimmter Kreisverband einer solchen Organisation, die Kassenärztliche Vereinigung Baden-Württemberg, eine Kommune, mehr als ein Akteur in gemeinsamer Verantwortung im Sinne des Artikels 26 DSGVO, gegebenenfalls mit welcher Aufteilung datenschutzrechtlich bedeutsamer Pflichten untereinander?

Dieses Problem zeigte sich leider auch bei Akteuren, die typischerweise im Umgang mit Gesundheitsdaten und anderen personenbezogenen Daten versiert sind und sein müssen. Angesichts der für meine Behörde unübersehbaren Vielzahl von Testzentren in Baden-Württemberg konnte sich die baden-württembergische Behörde nur punktuell mit diesem Problem befassen.

Bemerkenswert ist, dass sich in den Jahren seit dem Wirksamwerden der DSGVO am 25. Mai 2018 immer noch nicht die Selbstverständlichkeit herumgesprochen hat, dass ein fairer und sauberer Umgang mit personenbezogenen Daten u.a. rechtzeitige und vollständige Informationen nach Artikel 13 DSGVO voraussetzt, u.a. über den Namen und die Kontaktdaten des Verantwortlichen, wie von Artikel 13 Absatz 1 Buchstabe a DSGVO ausdrücklich angeordnet. Der LfDI wird sich damit weiter befassen. Er wird dabei auch die weitere Zusammenarbeit mit bewährten und wirkungsmächtigen Akteur*innen des baden-württembergischen Gesundheitswesens suchen, etwa mit den zuständigen Kammern, der Kassenärztlichen Vereinigung Baden-Württemberg und den einschlägigen Berufsverbänden.

Eine immer wieder gestellte Frage war die nach der Dauer, für die in solchen Testzentren angefallene personenbezogene Daten aufbewahrt werden dürfen oder müssen. Nachdem die oben genannte Coronavirus-Testverordnung vom 8. März 2021 dazu noch keine ausdrücklichen Regelungen enthalten hatte, hat das Bundesministerium für Gesundheit im Juli 2021 insofern für eine gewisse Klarheit gesorgt. Nach § 7 Absatz 5 der Coronavirus-Testverordnung in der am 11. Oktober 2021 in Kraft getretenen Fassung gilt:

„Die nach § 6 Absatz 1 berechtigten Leistungserbringer und die sonstigen abrechnenden Stellen haben die nach Absatz 4 in Verbindung mit Absatz 6 Nummer 1 zu dokumentierenden Angaben und die für den Nachweis der korrekten Durchführung und Abrechnung notwendige Auftrags- und Leistungsdokumentation bis zum 31. Dezember 2024 unverändert zu speichern oder aufzubewahren. Zur Auftrags- und Leistungsdokumentation zählen soweit erforderlich insbesondere

  1. bei nach § 6 Absatz 1 Nummer 2 beauftragten Leistungserbringern der Nachweis der Beauftragung,
  2. bei Leistungen nach § 4a die Öffnungszeiten des Leistungserbringers je Tag und die Anzahl der Tests durchführenden Personen je Tag,
  3. bei der Abrechnung von Leistungen nach § 12 Absatz 3 das einrichtungs- oder unternehmensbezogene Testkonzept und für jede abgerechnete Leistung die Unterschrift der die Testung durchführenden Person,
  4. bei der Abrechnung von Sachkosten nach § 11 der Kaufvertrag oder die Rechnung oder bei unentgeltlicher Bereitstellung einen Nachweis des Bezugs,
  5. für jede durchgeführte Testung der Vorname, der Familienname, das Geburtsdatum und die Anschrift der getesteten Person, die Art der Leistung, der Testgrund nach den §§ 2 bis 4b, der Tag, die Uhrzeit, das Ergebnis der Testung und der Mitteilungsweg an die getestete Person,
  6. bei Durchführung eines PoC-Antigen-Tests oder eines Antigen-Tests zur Eigenanwendung die individuelle Test-ID gemäß der Marktübersicht des Bundesamtes für Arzneimittel und Medizinprodukte nach § 1 Absatz 1 Satz 6,
  7. bei einem positiven Testergebnis ein Nachweis der Meldung an das zuständige Gesundheitsamt,
  8. die schriftliche oder elektronische Bestätigung der getesteten Person oder ihres gesetzlichen Vertreters über die Durchführung des Tests.

Das Nähere zur Auftrags- und Leistungsdokumentation, insbesondere von welchen einzelnen Angaben nach Satz 2 Nummer 1 bis 8 in den jeweiligen Fällen ganz oder teilweise abgesehen werden kann, regelt die Kassenärztliche Bundesvereinigung in ihren Vorgaben nach Absatz 6 Nummer 1. Das Ergebnis der Testung nach Satz 2 Nummer 5 und der Nachweis nach Satz 2 Nummer 7 sind abweichend von Satz 1 bis zum 31. Dezember 2022 unverändert zu speichern oder aufzubewahren.“

Damit scheint derzeit klar geregelt, wie lange die genannten Unterlagen zu speichern oder aufzubewahren sind. Allerdings stellt sich die Frage, welche Aufbewahrungsfristen gelten, wenn die soeben zitierten Regelungen des § 7 Absatz 5 der Coronavirus-Testverordnung, wie von deren § 19 Absatz 1 vorgesehen, am 31. März 2022 außer Kraft getreten sein werden. Es wird davon ausgegangen, dass insofern das Bundesministerium für Gesundheit, unter Umständen etwa auch im Kontakt mit dem Ministerium für Soziales, Gesundheit und Integration Baden-Württemberg oder auch mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, für Klärung sorgen kann, beispielsweise durch entsprechende Überarbeitung der Coronavirus-Testverordnung.

Quelle: LfDI Baden-Württemberg

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks