Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 20.05.2020

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Gesundheitsämter im Zusammenhang mit Corona-Infektionen

Im Zuge der Corona-Pandemie verarbeiten bayerische Gesundheitsämter personenbezogene Daten, um Infektionen mit dem Coronavirus SARS-CoV-2 zu erkennen und dessen Weiterverbreitung zu verhindern.

Die personenbezogenen Daten zu festgestellten Infektionen und zu Verdachtsfällen stellen Gesundheitsdaten im Sinne von Art. 4 Nr. 15 Datenschutz-Grundverordnung (DSGVO) dar. Ihre Verarbeitung ist aufgrund der besonderen Schutzbedürftigkeit nach Art. 9 Abs. 1 DSGVO grundsätzlich untersagt; sie dürfen seitens der Gesundheitsämter nur ausnahmsweise verarbeitet werden, etwa unter den Voraussetzungen der einschlägigen infektionsschutzrechtlichen Vorschriften.

In diesem Zusammenhang haben mich bereits zahlreiche Anfragen erreicht. Nachfolgend habe ich Hinweise zu ausgewählten Fallkonstellationen zusammengestellt:

1. Erhebung von Listen mit personenbezogenen Daten der Bewohnerinnen und Bewohner sowie von Mitarbeiterinnen und Mitarbeitern in Pflegeeinrichtungen

Es haben mich Anfragen erreicht, ob Gesundheitsämter Listen mit personenbezogenen Daten der Bewohnerinnen und Bewohner sowie von Mitarbeiterinnen und Mitarbeitern in Pflegeeinrichtungen anfordern dürfen, bevor eine Infektion oder ein Verdachtsfall vorliegt. Erklärtes Ziel ist dabei, Kontaktpersonen möglichst schnell erreichen zu können, wenn es zu einer Infektion kommt oder ein Verdachtsfall auftritt.

Ich kann dieses Anliegen von Gesundheitsämtern vor dem Hintergrund der COVID-19-Pandemie grundsätzlich nachvollziehen. Gleichwohl bedarf es für eine solche Datenerhebung seitens der Gesundheitsämter in jedem Einzelfall einer eindeutigen gesetzlichen Grundlage, die ich aus folgenden Gründen derzeit nicht erkennen kann:

Weder das (Bundes-)Infektionsschutzgesetz und das (bayerische) Gesundheitsdienst- und Verbraucherschutzgesetz (GDVG) noch die bislang von Bund und Ländern im Zuge der COVID-19-Pandemie erlassenen spezifischen Gesetze und Verordnungen enthalten eine ausdrücklich auf eine solche Datenerhebung zugeschnittene Rechtsgrundlage. Somit könnte allenfalls eine Verarbeitungsbefugnis aus dem allgemeinen Datenschutzrecht herangezogen werden.

Die allgemeinen Verarbeitungsbefugnisse des Bayerischen Datenschutzgesetzes decken grundsätzlich keine Vorratsdatenspeicherung ab, weil sie auf die mit einer solchen Maßnahme verbundene Grundrechtsbeeinträchtigung nicht abgestimmt sind. Im Übrigen setzen diese Verarbeitungsbefugnisse voraus, dass die Verarbeitung für die Aufgabenerfüllung der verarbeitenden Stelle erforderlich ist.

Nach § 16 Abs. 1 Satz 1 Infektionsschutzgesetz berechtigt bereits die Annahme, dass Tatsachen vorliegen können, die zum Auftreten einer übertragbaren Krankheit führen könnten, die zuständige Behörde zu Verhütungsmaßnahmen; die Vorschrift beschränkt dies allerdings auf die hierfür notwendigen Maßnahmen.

Das Vorhalten der beschriebenen Listen beim Gesundheitsamt dürfte jedoch keine notwendige Verhütungsmaßnahme gegen eine Ausbreitung des neuartigen Corona-Virus sein. Zu einem Zeitpunkt, bei dem weder eine Infektion noch ein Verdachtsfall in der jeweiligen Pflegeeinrichtung gegeben ist, erscheint die Datenerhebung als tatsächlich ungeeignet. In entsprechenden Pflegeeinrichtungen sollten vielmehr etwa Abstandsgebote, Besuchsbeschränkungen sowie Regelungen zu sonstigen Hygiene-Maßnahmen beachtet werden. Die Veröffentlichungen des Bayerischen Staatsministeriums für Gesundheit und Pflege (u. a. Notfallplan Corona-Pandemie, Regelungen für Pflegeeinrichtungen, vom 3. April 2020; Handlungsanweisungen für Alten- und Pflegeheime und stationäre Einrichtungen der Eingliederungshilfe [gemeinschaftliches Wohnen], Stand: 2. April 2020) fordern das vorsorgliche Anlegen von Listen durch die Gesundheitsämter auch nicht als fachlichen Standard. Im Übrigen müssten solche Listen auch regelmäßig nachgeführt werden, damit sie bei einer Infektion oder einem Verdachtsfall auch den aktuellen Stand möglicher Kontaktpersonen wiedergeben.

Im Ergebnis läuft die anlassunabhängige Erhebung von Listen mit personenbezogenen Daten der Bewohnerinnen und Bewohner sowie von Mitarbeiterinnen und Mitarbeitern in Pflegeeinrichtungen auf eine Vorratsdatensammlung hinaus, die gesetzlich nicht abgedeckt ist. Sie ist auch in tatsächlicher Hinsicht für die Gesundheitsämter nicht erforderlich, wenn die Pflegeeinrichtungen Listen mit den notwendigen Angaben über Bewohnerinnen und Bewohner sowie Mitarbeiterinnen und Mitarbeiter führen und bereithalten, um im Bedarfsfall das Gesundheitsamt bei seiner etwaig erforderlich werdenden Kontaktrecherche zu unterstützen (bei den Pflegeeinrichtungen ist es keine Vorratsdatensammlung, da die personenbezogenen Daten ohnehin vorhanden sind). Es bleibt den Gesundheitsämtern unbenommen, eine solche Listenführung anzuregen.

2. Datenübermittlung von Testergebnissen an die Leitungen von Pflege- und Behinderteneinrichtungen

Bei anderen Anfragen ging es um die Frage, ob positive oder negative Coronatest-Ergebnisse von den Gesundheitsämtern direkt an die jeweiligen Pflege- und Behinderteneinrichtungen übermittelt werden dürfen. Betroffene Personen in den Einrichtungen vergessen mitunter ihre Testergebnisse; auch teilen Betreuerinnen und Betreuer sowie Angehörige die Ergebnisse externer Tests von Bewohnerinnen und Bewohnern nicht rechtzeitig der jeweiligen Pflege- oder Behinderteneinrichtung mit, sodass erforderliche Schutzmaßnahmen nicht rechtzeitig ergriffen werden können.

Eine unmittelbare Übermittlung von Testergebnissen an die Einrichtungsleitung halte ich in solchen Fällen grundsätzlich für zulässig, soweit sie zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist und die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben (Art. 6 Abs. 1 UAbs. 1 Buchst. d, Art. 9 Abs. 2 Buchst. c DSGVO). Falls diese Voraussetzungen nicht erfüllt sind, muss eine Einwilligung der betroffenen Person eingeholt werden (Art. 30 Abs. 2 Satz 1 Nr. 2 GDVG). Die Bedingungen für die Einwilligung sind Art. 7 DSGVO zu entnehmen.

Eine solche Übermittlung seitens der Gesundheitsämter sollte jedoch auf die Leitung der Einrichtung beschränkt bleiben.

3. Veröffentlichung von Daten der Bewohnerinnen und Bewohner sowie von Mitarbeiterinnen und Mitarbeitern in Pflegeeinrichtungen

Eine weitere Anfrage wollte geklärt wissen, ob Zahlen der mit dem neuartigen Coronavirus infizierten, davon genesenen oder daran verstorbenen Bewohnerinnen und Bewohnern sowie Mitarbeiterinnen und Mitarbeitern in Pflegeeinrichtungen durch das Gesundheitsamt veröffentlicht werden dürfen.

Fraglich ist hier zunächst, ob es sich um aggregierte Daten handelt, bei denen sich kein Personenbezug (mehr) herstellen lässt. Sollte dies der Fall sein, ist die Veröffentlichung kein datenschutzrelevanter Vorgang.

Falls ein Personenbezug hergestellt werden kann, bedarf es für eine Veröffentlichung einer Rechtsgrundlage. In einem vergleichbaren Fall hatte ich mich bereits hinsichtlich der Zulässigkeit einer Übermittlung an die Presse geäußert (siehe meinen 22. Tätigkeitsbericht 2006, Nr. 13.1.1., Internet: https://www.datenschutz-bayern.de, Rubrik "Tätigkeitsberichte"). Dabei ist immer zu hinterfragen, ob eine personenbeziehbare Veröffentlichung tatsächlich erforderlich ist.

Daten verstorbener Personen fallen grundsätzlich nicht in den Anwendungsbereich der Datenschutz-Grundverordnung.

4. Übermittlung von Daten positiv getesteter Personen an Gemeinden im Landkreis

Weiterhin bin ich gefragt worden, ob Kontaktdaten von mit dem neuartigen Coronavirus infizierten Personen an Gemeinden im Landkreis übermittelt werden dürfen. Der Grund für diese Weitergabe ist mir nicht näher dargelegt worden, weshalb ich diese Anfrage nur allgemein beantworten konnte.

Dabei ist zu beachten, dass die von Gesundheitsämtern im Zusammenhang mit einer Untersuchung oder Begutachtung, der sich die betroffene Person freiwillig unterzogen hat, erhobenen Daten grundsätzlich einem Verarbeitungsverbot unterliegen (siehe Art. 30 Abs. 1 Satz 3 GDVG). Ob eine Ausnahme von diesem Verarbeitungsverbot in Betracht kommt, ist im Einzelfall zu prüfen.

5. Weitergabe von personenbezogenen Daten durch Gesundheitsämter an die Polizei und Rettungsdienste

Bereits in einem frühen Stadium der COVID-19-Pandemie haben mich viele Anfragen erreicht, ob bayerische Gesundheitsämter Listen mit dem neuartigen Coronavirus infizierter Personen an Dienststellen der Bayerischen Polizei herausgeben dürfen, und ob im Einzelfall Informationen zu einer bestehenden Infektion mitgeteilt werden dürfen, damit Polizeibeamtinnen und Polizeibeamte im Fall eines Einsatzes Vorkehrungen gegen eine Ansteckungsgefahr treffen können.

Das Interesse von Einsatzkräften der Polizei, sich im Rahmen ihrer dienstlichen Tätigkeit vor einer Ansteckung zu schützen, kann ich gut nachvollziehen. Insgesamt bedarf es in diesen Zeiten geeigneter Maßnahmen, um insbesondere Angehörige systemrelevanter Berufe vor einer Infektion zu schützen.

Gleichwohl halte ich es - grundsätzlich im Einklang mit den Bayerischen Staatsministerien des Innern, für Sport und Integration sowie für Gesundheit und Pflege - für datenschutzrechtlich unzulässig, wenn bayerische Gesundheitsämter vorsorglich, also anlassunabhängig Listen infizierter Personen an Polizeidienststellen übermitteln.

Bei den personenbezogenen Daten zu festgestellten Infektionen handelt es sich - wie bereits ausgeführt - um Gesundheitsdaten, die nur unter den Voraussetzungen von Art. 9 Abs. 2 Datenschutz-Grundverordnung verarbeitet werden dürfen. Eine Rechtsgrundlage für eine anlassunabhängige Übermittlung von Infiziertendaten sieht das geltende Recht nicht vor. Sie wäre auch kaum mit dem datenschutzrechtlichen Grundsatz der Erforderlichkeit in Einklang zu bringen: Die Polizei erhielte Zugriff auf Gesundheitsdaten einer sehr großen Zahl von Personen, mit welchen sie niemals in Kontakt treten wird; im Ergebnis käme es zu einer Vorratsdatenspeicherung, die zudem über den Verlauf der Epidemie nach und nach anwüchse.

Eine anlassunabhängige Übermittlung von Infiziertendaten an die Polizei wäre im Übrigen zur Erreichung des mit ihr verbundenen Zwecks ungeeignet. Die Heranziehung der Listen im Rahmen der allgemeinen polizeilichen Tätigkeit erscheint in vielen Einsatzsituationen als kaum praktikabel, so etwa, wenn zunächst (noch ungeschützt) Personalien erfragt werden, um dann einen Abgleich mit den übermittelten Daten durchzuführen, deren Aktualität sich jedoch ständig überholen dürfte. Erst anschließend könnten eigene Schutzmaßnahmen ergriffen werden. Unabhängig davon könnte durch solche Listen auch nicht ausgeschlossen werden, dass die Polizistinnen und Polizisten mit infizierten Personen in Kontakt kommen, die bislang nicht getestet worden und/oder noch symptomfrei sind.

Die Frage, ob eine Datenweitergabe im Einzelfall zulässig ist, hängt von der jeweiligen Fallkonstellation ab. Zu einer solchen Fallkonstellation, bei der es um die Zulässigkeit einer Datenweitergabe an die Polizei im Rahmen einer zwangsweisen Vorführung einer Person im Auftrag des Gesundheitsamtes gegangen ist, habe ich mich bereits in meinem 27. Tätigkeitsbericht (siehe Nr. 7.4.2) geäußert. Im Übrigen ist im Einzelfall insbesondere zu prüfen, ob eine Datenweitergabe tatsächlich erforderlich ist.

Die Ausführungen sind auf eine entsprechende Weitergabe an Rettungsdienste übertragbar.

 

Abschließend möchte ich insgesamt noch darauf hinweisen, dass bei Datenerhebungen durch die Gesundheitsämter etwa bestehende Informationspflichten gegenüber den betroffenen Personen nach Art. 13 f. DSGVO erfüllt werden müssten.