Für die Übermittlung von Corona-Testergebnissen reicht eine Transportverschlüsselung aus.
Die Durchführung von Testungen auf das COVID-19-Virus erfolgte in der Regel bei Testzentren, die das Ergebnis nach Testauswertung übermittelten. Dabei war es in den meisten Fällen so, dass eine E-Mail mit dem Testergebnis, sei es als PDF-Anhang oder eindeutigem Link zur Webseite des Testzentrums versendet wurde. Mitunter musste zum Öffnen der PDFDatei oder zum Abruf des Ergebnisses auf der Webseite noch ein Passwort eingegeben werden – häufig das Geburtsdatum der getesteten Person.
Datenschutzbeschwerden, die einen derartigen Sachverhalt adressierten, wurden vom BayLDA so bewertet, dass kein Datenschutzverstoß gegen die Sicherheit der Verarbeitung nach Art. 32 DSGVO beim Versand per E-Mail vorliegt, sofern eine Transportverschlüsselung der am Versand beteiligten Email-Server nach Stand der Technik umgesetzt war.
Damit wird sichergestellt, dass beim Transport über das Internet keine unverschlüsselten personenbezogenen Daten übertragen werden. Allerdings ist die E-Mail auf dem Server der beteiligten Email-Provider im Klartext vorhanden. Mit Blick auf den risikoorientierten Ansatz der DSGVO bei der Auswahl von technischen und organisatorischen Maßnahmen sind hierbei spezifische Risiken zu bewerten: Eine Ausleitung der Corona-Testergebnisse bei Internetknotenpunkten ist insbesondere dann nicht möglich, wenn die kryptographischen Algorithmen die Perfect Forward Secrecy Eigenschaft (PFS) unterstützen – diese ist Stand der Technik und mittlerweile bei den meisten Email-Servern vorhanden. Der Zugriff auf Email-Konten bei Hostern ist durch starke Passwörter und ggf. dem Einsatz von Zwei-Faktor-Authentifizierungsmethoden abzusichern. Der Fehlversand an falsche Mail-Empfänger kommt bei einer digitalen Terminvergabemaske und geeigneter Software in der Regel nicht vor. Weitere Restrisiken, die ein hohes Risiko mit sich bringen und eine zusätzliche Inhaltsverschlüsselung (z.B. PDF mit von der getesteten Person vergebenem Passwort) erforderlich machen, sind der Ansicht des BayLDA nach nicht vorhanden.
Für Corona-Testzentren gilt demnach aber, dass diese gründliche Sorgfalts- und Nachweispflichten bei der Auswahl eines Email-Providers bzw. der Konfiguration eines selbst betriebenen Systems haben – bei letzterem ist auch auf ein wirksames Patch-Management zu achten.
Quelle: BayLDA
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks