≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Tätigkeitsberichte > 30. TB 2020 > 3. Schwerpunkt II: Datenschutzrechtliche Themen im Zusammenhang mit der COVID-19-Pandemie

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.05.2021

3. Schwerpunkt II: Datenschutzrechtliche Themen im Zusammenhang mit der COVID-19-Pandemie

Die COVID-19-Pandemie wirft auch im Bereich des Datenschutzes zahlreiche Probleme auf. Im Berichtszeitraum nahm die Beratung von Normgebern und öffentlichen Stellen wie auch die Bearbeitung von Beschwerden mit diesem Kontext einen erheblichen Teil der verfügbaren zeitlichen Ressourcen in Anspruch. Die nachfolgenden Beiträge werfen insofern nur einige Schlaglichter. Ergänzend hinweisen möchte ich auf die Materialien, die auf meiner Homepage https://www.datenschutz-bayern.de in einer eigenen Rubrik "Corona-Pandemie" bereitgestellt sind. Dort ist auch die Aktuelle Kurz-Information 33 "Befreiung von der Maskenpflicht an bayerischen öffentlichen Schulen" abrufbar, die fortlaufend der Entwicklung des Infektionsschutzrechts sowie der dazu ergehenden Rechtsprechung angepasst wird und daher nicht in diesem Bericht dokumentiert ist.

3.1. Filmaufnahmen im Krankenhaus: Einwilligung

Mich haben Beschwerden erreicht, die sich auf die Sendung "ARD extra: Die Corona-Lage" vom 14. April 2020 bezogen. Die Filmaufnahmen sollten unter anderem die hohe Belastung des Klinikpersonals im Blick haben. Neben Klinikpersonal wurde dabei auch die Behandlung eines sterbenden Patienten sowie eines weiteren schwer erkrankten Patienten mit Nennung der Zimmernummer gezeigt.

Mir war bewusst, dass die Kliniken extreme Herausforderungen bei der Bewältigung der COVID-19 Pandemie zu bewältigen hatten und es im Grundsatz ein legitimes Anliegen ist, auf die besonderen Belastungen des Klinikpersonals aufmerksam zu machen. Dennoch entbindet dieser Umstand die Kliniken weder von den rechtlichen Vorgaben der Datenschutz-Grundverordnung noch von der Beachtung der ärztlichen Schweigepflicht.

Auch wenn bei der Ausstrahlung im Fernsehen die Patienten durch Verpixelung unkenntlich gemacht wurden, ist vorgelagert zu berücksichtigen, dass Medienvertreterinnen und Medienvertretern gegenüber im Rahmen der Filmaufnahmen zwangsläufig personenbezogene Daten der Patientinnen und Patienten sowie des Klinikpersonals offen gelegt werden, vgl. Art. 4 Nr. 2 DSGVO. Bereits diese Offenlegung bedarf nach Art. 6 Abs. 1 DSGVO einer Rechtsgrundlage, und soweit Gesundheitsdaten der Patientinnen und Patienten betroffen sind, ist Art. 9 Abs. 2 DSGVO zu beachten

Art. 4 DSGVO

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

[...]

  1. "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

[...]

Nach meinem Verständnis kann das verantwortliche Klinikum sich dabei nicht auf eine nachgelagerte Einwilligung der betroffenen Personen gegenüber der Rundfunkanstalt berufen (hier: Filmaufzeichnung und -ausstrahlung). Vielmehr muss das Klinikum vor der Weitergabe personenbezogener Daten an eine Rundfunkanstalt selbst die Einwilligung der betroffenen Personen einholen. Eine andere Rechtsgrundlage etwa auf gesetzlicher Basis sehe ich nicht.

Ich empfehle Kliniken dringend, künftig bei vergleichbaren Medienanfragen eine tragfähige Rechtsgrundlage für die Offenlegung von Patienten- und Beschäftigtendaten sicherzustellen.

3.2. Weitergabe von personenbezogenen Daten durch Gesundheitsämter an die Polizei und Rettungsdienste

Bereits in einem frühen Stadium der COVID-19-Pandemie haben mich viele Anfragen erreicht, ob bayerische Gesundheitsämter allgemein Listen mit SARS-CoV-2 infizierter Personen an Dienststellen der Bayerischen Polizei herausgeben dürfen und ob im Einzelfall Informationen zu einer bestehenden Infektion mitgeteilt werden dürfen, damit Polizeibeamtinnen und Polizeibeamte im Fall eines Einsatzes Vorkehrungen gegen eine Ansteckungsgefahr treffen können.

Das Interesse von Einsatzkräften der Polizei, sich im Rahmen ihrer dienstlichen Tätigkeit vor einer Ansteckung zu schützen, konnte ich gut nachvollziehen. Insgesamt bedurfte und bedarf es in Zeiten der COVID-19-Pandemie geeigneter Maßnahmen, um insbesondere Angehörige systemrelevanter Berufe vor einer Infektion zu schützen.

Gleichwohl halte ich es - grundsätzlich im Einklang mit den Bayerischen Staatsministerien des Innern, für Sport und Integration sowie für Gesundheit und Pflege - für datenschutzrechtlich unzulässig, wenn bayerische Gesundheitsämter vorsorglich, also anlassunabhängig, Listen infizierter Personen an Polizeidienststellen übermitteln.

Bei den personenbezogenen Daten zu festgestellten Infektionen handelt es sich um Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO.

Art. 4 DSGVO

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck: [...]

  1. "Gesundheitsdaten" personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen; [...].

Diese Gesundheitsdaten dürfen nur unter den zusätzlichen Voraussetzungen von Art. 9 Abs. 2 DSGVO verarbeitet werden. Eine Rechtsgrundlage für eine anlassunabhängige Übermittlung von Infiziertendaten sieht das geltende Recht jedoch nicht vor. Sie wäre auch kaum mit dem datenschutzrechtlichen Grundsatz der Erforderlichkeit in Einklang zu bringen: Die Polizei erhielte auf diese Weise Zugriff auf Gesundheitsdaten einer sehr großen Zahl von Personen, mit welchen sie niemals in Kontakt treten wird; im Ergebnis käme es zu einer Vorratsdatenspeicherung.

Eine anlassunabhängige Übermittlung von Infiziertendaten an die Polizei wäre im Übrigen zur Erreichung des mit ihr verbundenen Zwecks ungeeignet. Die Heranziehung der Listen im Rahmen der allgemeinen polizeilichen Tätigkeit erscheint in vielen Einsatzsituationen als kaum praktikabel, so etwa, wenn zunächst (noch ungeschützt) Personalien erfragt werden, um dann einen Abgleich mit den übermittelten Daten durchzuführen, deren Aktualität sich jedoch ständig überholen dürfte. Erst anschließend könnten eigene Schutzmaßnahmen ergriffen werden. Unabhängig davon könnte durch solche Listen auch nicht ausgeschlossen werden, dass die Polizistinnen und Polizisten mit infizierten Personen in Kontakt kommen, die bislang nicht getestet worden und/oder noch symptomfrei sind.

Die Frage, ob eine Datenweitergabe im Einzelfall zulässig ist, hängt von der jeweiligen Fallkonstellation ab. Zu einer Fallkonstellation, bei der es um die Zulässigkeit einer Datenweitergabe an die Polizei im Rahmen einer zwangsweisen Vorführung einer Person im Auftrag des Gesundheitsamtes gegangen ist, habe ich mich bereits in meinem 27. Tätigkeitsbericht 2016 unter Nr. 7.4.2 geäußert.

Maßgeblich für die Übermittlung personenbezogener Daten durch die Gesundheitsämter an die Polizei sind Art. 30, 31 Gesundheitsdienst- und Verbraucherschutzgesetz (GDVG). Danach dürfen personenbezogene Daten offenbart werden, wenn dies zur Abwehr von Gefahren für Freiheit, Leben oder Gesundheit Dritter erforderlich ist (Art. 31 Abs. 5 Satz 1 Nr. 1, Art. 30 Abs. 2 Satz 2 Halbsatz 1 GDVG).

Art. 31 GDVG

Mitteilungen, Datenübermittlungen

(5) 1Außer in den in den Abs. 1 bis 4 genannten Fällen und unbeschadet der Einschränkungen nach den Art. 6 und 8 des Bayerischen Datenschutzgesetzes dürfen die Behörden für Gesundheit, Veterinärwesen und Verbraucherschutz personenbezogene Daten, die keine Geheimnisse im Sinn des Art. 30 Abs. 1 sind, an die zuständigen öffentlichen Stellen nur übermitteln,

  1. in den Fällen des Art. 30 Abs. 2 Satz 1 Nr. 1 und 2 sowie Satz 2,

[...].

2Eine Datenübermittlung nach Satz 1 ist nicht zulässig, soweit personenbezogene Daten der ärztlichen Schweigepflicht unterliegen.

Art. 30 GDVG

Datenschutz, Geheimhaltungspflichten

(2) 1[...] 2Abweichend von Abs. 1 dürfen personenbezogene Daten von den Behörden für Gesundheit, Veterinärwesen und Verbraucherschutz an öffentliche Stellen offenbart oder an andere Teile der öffentlichen Stelle, deren Bestandteil die Behörde für Gesundheit, Veterinärwesen und Verbraucherschutz ist, übermittelt werden, wenn dies zur Abwehr von Gefahren für Freiheit, Leben oder Gesundheit Dritter erforderlich ist; die betroffene Person soll hierauf hingewiesen werden. 3[...]

Nach der gesetzlichen Regelung kommt es entscheidend darauf an, ob die Mitteilung der konkreten Krankheit beziehungsweise des konkreten Krankheitsverdachts erforderlich ist, um Gefahren für die Gesundheit der begleitenden Polizeikräfte abzuwehren.

Falls eine Weitergabe im Einzelfall an die Polizei zulässig sein sollte, ist die betroffene Person vom Gesundheitsamt auf diese Datenübermittlung an die Polizei grundsätzlich hinzuweisen ("Soll-Vorschrift", siehe Art. 30 Abs. 2 Satz 2 Halbsatz 2 GDVG). Ausnahmen von dieser Informationspflicht wären begründungspflichtig.

Diese Ausführungen sind auf eine entsprechende Weitergabe an Rettungsdienste übertragbar.

3.3. Corona-Tests: Übermittlung von Ergebnissen an die Leitungen von Pflege- und Behinderteneinrichtungen

Datenverarbeitungen im Zusammenhang mit der COVID-19-Pandemie betreffen häufig Gesundheitsdaten, so etwa wenn es um die Infektion einer Person mit SARS-CoV-2 oder einem insoweit bestehenden Verdacht geht. Gesundheitsdaten unterliegen gemäß Art. 9 Abs. 1 DSGVO einem grundsätzlichen Verarbeitungsverbot, das nur in den von Art. 9 Abs. 2 DSGVO ausdrücklich genannten Fällen beiseitetritt. Diese datenschutzrechtliche Vorgabe mussten im Berichtszeitraum auch die bayerischen Gesundheitsämter berücksichtigen, wenn sie auf Grund infektionsschutz- oder gesundheitsrechtlicher Befugnisse personenbezogene Daten von Bürgerinnen und Bürgern verarbeiteten, die mit SARS-CoV-2 infiziert waren oder in einem entsprechenden Verdacht standen.

In diesem Zusammenhang erreichten mich zahlreiche Anfragen. Unter anderem wurde die Frage aufgeworfen, ob die Gesundheitsämter positive oder negative Ergebnisse von Corona-Tests direkt an Pflege- und Behinderteneinrichtungen übermitteln dürfen. Entsprechende Übermittlungen werden damit begründet, dass betroffene Personen in den Einrichtungen mitunter ihre Testergebnisse vergessen; auch teilen Betreuerinnen und Betreuer sowie Angehörige die Ergebnisse externer Tests von Bewohnerinnen und Bewohnern nicht rechtzeitig der jeweiligen Pflege- oder Behinderteneinrichtung mit, sodass erforderliche Schutzmaßnahmen nicht rechtzeitig ergriffen werden können.

Ich habe die folgenden datenschutzrechtlichen Hinweise gegeben:

Eine unmittelbare Übermittlung von Testergebnissen an die Einrichtungsleitung halte ich grundsätzlich für zulässig, soweit sie zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist und die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben (Art. 6 Abs. 1 UAbs. 1 Buchst. d, Art. 9 Abs. 2 Buchst. c DSGVO).

Falls diese Voraussetzungen nicht gegeben wären, könnte die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, gemäß Art. 9 Abs. 2 Buchst. i DSGVO zulässig sein, wenn dies erforderlich und in einem nationalen Gesetz vorgesehen ist, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorsieht.

Für Datenverarbeitungen im Zusammenhang mit der Pandemiebekämpfung kommen grundsätzlich die Vorschriften des Infektionsschutzgesetzes (IfSG) in Betracht. Für die vorliegende Fallkonstellation - Weitergabe von Daten von positiv oder negativ auf SARS-CoV-2 getesteten Personen an Pflege- oder Behinderteneinrichtungen - bestehen nach dem Infektionsschutzgesetz allerdings insoweit keine Unterrichtungspflichten, Mitteilungspflichten oder entsprechende Befugnisse des Gesundheitsamtes.

Das Infektionsschutzgesetz erachte ich jedoch nicht als abschließend, so dass grundsätzlich ergänzend auch das Gesundheitsdienst- und Verbraucherschutzgesetz (GDVG) herangezogen werden kann, welches Gesundheitsbehörden Verarbeitungsbefugnisse vermitteln kann.

Maßgeblich für die Übermittlung personenbezogener Daten durch die Gesundheitsämter ist unter anderem Art. 30 GDVG.

Art. 30 GDVG

Datenschutz, Geheimhaltungspflichten

(1) 1Die Behörden für Gesundheit, Veterinärwesen und Verbraucherschutz dürfen Geheimnisse, die Amtsangehörigen in der Eigenschaft als Arzt, Tierarzt oder als andere gemäß § 203 Abs. 1 oder 3 des Strafgesetzbuchs (StGB) zur Wahrung des Berufsgeheimnisses verpflichtete Person

  1. in Wahrnehmung der in Art. 13 und 14 genannten Aufgaben,
  2. im Zusammenhang mit einer Untersuchung oder Begutachtung, der sich der Betroffene freiwillig unterzogen hat oder
  3. bei einer Beratung von Tierhaltern

anvertraut oder sonst bekannt geworden sind, bei der Erfüllung einer anderen Aufgabe als der, bei deren Wahrnehmung die Erkenntnisse gewonnen wurden, nicht verarbeiten. 2Ebenso dürfen die Behörden für Gesundheit, Veterinärwesen und Verbraucherschutz Geheimnisse, die den in Satz 1 genannten Personen außerhalb ihres dienstlichen Aufgabenbereichs anvertraut oder sonst bekannt geworden sind, bei der Erfüllung ihrer Aufgaben nicht verarbeiten. 3Die Behörden für Gesundheit, Veterinärwesen und Verbraucherschutz dürfen Geheimnisse nach den Sätzen 1 und 2 nicht offenbaren oder an andere Teile der öffentlichen Stelle, deren Bestandteil die Behörde für Gesundheit, Veterinärwesen und Verbraucherschutz ist, übermitteln. 4Persönliche Geheimhaltungspflichten der Amtsangehörigen bleiben unberührt. 5Die Wahrung der Geheimhaltungspflichten und Verwertungsverbote ist von den Behörden für Gesundheit, Veterinärwesen und Verbraucherschutz durch angemessene Maßnahmen auch organisatorisch sicherzustellen.

Diese Vorschrift regelt zunächst besondere Geheimhaltungspflichten der Gesundheitsbehörden. Sie dürfen danach beispielsweise Geheimnisse, die Amtsangehörigen in der Eigenschaft als Arzt im Zusammenhang mit einer Untersuchung oder Begutachtung, der sich die betroffene Person freiwillig unterzogen hat, anvertraut oder sonst bekannt geworden sind, nicht offenbaren (Art. 30 Abs. 1 Satz 3 GDVG). Damit wird sichergestellt, dass persönliche Geheimnisse, in die eine Bürgerin oder ein Bürger "aus freien Stücken" Bediensteten einer Behörde des öffentlichen Gesundheitsdienstes Einsicht gewährt hat, nicht in anderem Zusammenhang personenbezogen verwertet werden.

Bei Personen, die sich freiwillig einem Test auf SARS-CoV-2 durch das Gesundheitsamt unterziehen, dürfte ein solcher Fall von Art. 30 Abs. 1 Satz 3 GDVG ohne weiteres gegeben sein. Hiervon umfasst sehe ich zudem auch die Fallkonstellation, dass eine Ärztin oder ein Arzt ihrer oder seiner Meldepflicht nach § 8 IfSG nachgekommen ist und die Behörden für Gesundheit auf diesem Weg Kenntnis von einer Infektion mit SARS-CoV-2 erhalten haben (siehe Wortlaut in Art. 30 Abs. 1 Satz 1 GDVG: "sonst bekannt geworden sind").

Allerdings gilt das Verarbeitungsverbot nach Art. 30 Abs. 1 GDVG nicht, soweit die Verarbeitung durch Rechtsvorschrift ausdrücklich zugelassen ist oder die betroffene Person in die Verarbeitung ausdrücklich eingewilligt hat (Art. 30 Abs. 2 Satz 1 GDVG). Eine Vorschrift, die die Verarbeitung, also die Übermittlung der Testergebnisse von einem Gesundheitsamt an Pflege- oder Behinderteneinrichtungen ausdrücklich erlaubt, kann ich derzeit nicht erkennen. Somit verbliebe die Einholung einer Einwilligung der betroffenen Person als Rechtsgrundlage für die entsprechende Datenübermittlung durch das Gesundheitsamt. Die Bedingungen für die Einwilligung sind hier Art. 7 und Art. 9 Abs. 2 Buchst. a DSGVO zu entnehmen.

Eine Übermittlung seitens des Gesundheitsamtes - auch auf Grundlage von Art. 6 Abs. 1 UAbs. 1 Buchst. d, Art. 9 Abs. 2 Buchst. c DSGVO - sollte jedoch ausschließlich an die jeweilige Leitung der Pflege- beziehungsweise Behinderteneinrichtung gerichtet sein (Rechtsgedanke des Art. 14 Abs. 5 Satz 3 GDVG).

3.4. Speicherdauer von Daten zur Kontaktnachverfolgung

Beschäftigt hat mich auch die Speicherdauer der Kontaktdaten, die zur Nachverfolgung bei einer Sars-CoV-2-Infektion erhoben werden. So hatte eine Hilfsorganisation in Bayern in den Datenschutzinformationen nach Art. 13 DSGVO bezüglich der Kontaktdaten von Besucherinnen und Besuchern in Pflegeeinrichtungen die Speicherdauer auf fünf Jahre festgelegt. Dieser lange Zeitraum war gewählt worden, um bei eventuell stattfindenden "staatsanwaltlichen Ermittlungen" auskunftsfähig zu sein. Diese Argumentation hat mich nicht überzeugt.

Da die Speicherdauer im vorliegenden Fall nicht ausdrücklich geregelt ist, sind die allgemeinen Grundsätze zur Aufbewahrung personenbezogener Daten heranzuziehen. Insbesondere gelten die Grundsätze der Erforderlichkeit und der Zweckbindung. Personenbezogene Daten sind demnach zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind (Art. 17 Abs. 1 Buchst. a DSGVO).

Zweck der Datenerhebung war die Nachverfolgung von Infektionsketten im Zusammenhang mit einer Sars-CoV-2-Infektion. Ich habe die Auffassung vertreten, dass bei einer zu erwartenden Inkubationszeit von zwei Wochen und einem zeitlichen Sicherheitsaufschlag eine Aufbewahrung von vier Wochen noch als erforderlich angesehen werden kann.

Zum Beispiel wurde für die Kontaktdatenerhebung in Gastronomiebetrieben im "Hygienekonzept-Gastronomie" der Bayerischen Staatsregierung geregelt, dass die Betreiber der Gastronomie die personenbezogenen Daten nach Ablauf eines Monats vernichten müssen.

Da der Zweck der Kontaktdatenerhebung bei Besucherinnen und Besuchern in Pflegeheimen sowie Besucherinnen und Besuchern eines Gastronomiebetriebes vergleichbar ist, sollte die Erforderlichkeit der Aufbewahrungsfrist nach denselben Kriterien bewertet werden.

Die Hilfsorganisation hat sich letztlich meiner Argumentation angeschlossen und die Speicherdauer von fünf Jahren datenschutzgerecht auf einen Monat verkürzt.

3.5. Elektronische Kommunikation beim Umgang mit COVID-19-Fällen

Die Infektionsbekämpfung im Rahmen der COVID-19-Pandemie bringt zum einen neue Anforderungen und Datenflüsse im Gesundheitsbereich mit sich, zeigt zum anderen jedoch auch die bestehenden Defizite insbesondere hinsichtlich einer zuverlässigen, sicheren und datenschutzkonformen elektronischen Kommunikation zwischen den beteiligten Stellen. Zu rechtlichen Fragestellungen bezüglich der Datenübermittlung zwischen den verschiedenen Stellen siehe Beiträge Nr. 3.2 und Nr. 3.3 dieses Tätigkeitsberichts.

3.5.1. Gesundheitsämter, Labore, Kontakt-Tracing

Die COVID-19-Pandemie hat aufgezeigt, wie schwierig sich die Kommunikation insbesondere zwischen Gesundheitsämtern, Ärzten und Krankenhäusern, Landesamt für Gesundheit und Lebensmittelsicherheit (LGL), Laboren, Pflegeeinrichtungen sowie Bürgerinnen und Bürgern im Hinblick auf den schnellen Austausch von Informationen etwa zu Testaufträgen, Infektionen oder Testergebnissen gestaltet. So war es zu Anfang der COVID-19-Pandemie ein gängiges Verfahren, dass die Listen mit Patientennamen, die in einem Testzentrum auf SARS-CoV-2 getestet werden sollten, zwar elektronisch in einer Excel-Tabelle erfasst, dann aber ausgedruckt und per Fax an die jeweils zuständigen Testzentren verschickt wurden. Dort wurden die Listen in mühsamer und fehleranfälliger Handarbeit wieder abgetippt, um dann im elektronischen System zur Testverwaltung die Ergebnisse zu dokumentieren.

Auch die Weiter- und Rückübermittlung der Testergebnisse von den Laboren zu den Einsendern erfolgte häufig per Fax oder per unverschlüsselter E-Mail. Auf die Problematik des Faxversands von medizinischen Unterlagen insbesondere hinsichtlich des hohen Risikos eines Fehlversands durch Vertippen habe ich bereits hingewiesen, so etwas in meiner Orientierungshilfe "Datensicherheit beim Telefax-Dienst". Zudem führte der mehrfache Medienbruch zu deutlichen zeitlichen Verzögerungen, unnötigem Mehraufwand und hoher Fehleranfälligkeit, was im Falle von COVID-19-Testergebnissen auch Risiken für Leib und Leben mit sich bringen kann. Unverschlüsselte und unsignierte E-Mails bieten für personenbezogene Gesundheitsdaten kein ausreichendes Schutzniveau, um insbesondere Vertraulichkeit und Integrität zu gewährleisten.

Die Kontaktverfolgung (Contact-Tracing) durch die Gesundheitsämter erfolgte zu Beginn komplett "von Hand", vor allem telefonisch. Jedes Gesundheitsamt stand zudem vor der Frage, wie die Kontaktpersonen, die Ergebnisse der Befragungen und vergleichbare Informationen dokumentiert werden sollen. Bayernweit soll hierfür nunmehr die Software SORMAS des Helmholtz-Zentrums für Infektionsforschung zum Einsatz kommen, die den Gesundheitsämtern eine einheitliche Möglichkeit zur Dokumentation und zum Datenaustausch bietet sowie Möglichkeiten zur täglichen elektronischen Kontaktaufnahme zwischen den betroffenen Index-/ Kontaktpersonen und dem Gesundheitsamt ermöglicht.

Im Zusammenhang mit der Einführung der Corona-Warn-App des Bundes wurde nunmehr auch an der elektronischen Anbindung der Labore gearbeitet, damit die Ergebnisse schnell und ohne die zu Beginn erforderliche Zwischenschaltung eines Call-Centers in die App eingebunden werden können.

Große Schwierigkeiten bereitete und bereitet in vielen Bereichen immer noch die sichere elektronische Kommunikation mit Bürgerinnen und Bürgern. Da weder die Verschlüsselung von E-Mails noch Lösungen wie das BayernPortal flächendeckend genutzt werden und die Verwendung der im Privatbereich verbreiteten Messenger-Dienste aus Datenschutzsicht kritisch zu sehen ist, kommen derzeit für viele Einzelbereiche unterschiedliche Apps zum Einsatz, insbesondere Contact-Tracing-Apps, Warn-Apps sowie Apps zur Übermittlung der Testergebnisse für Reiserückkehrer. Dabei handelt es sich jedoch zumeist um Insellösungen des jeweiligen Anbieters, die keine Daten mit anderen Lösungen austauschen können. Zudem müssen die Fragen der IT-Sicherheit und des Datenschutzes für jede App neu konzipiert und geprüft werden.

Es zeigt sich somit, dass in den letzten Monaten zwar für Teilbereiche elektronische Kommunikationsplattformen geschaffen wurden, es fehlt jedoch immer noch eine einheitliche IT-Basisinfrastruktur für eine sichere elektronische Kommunikation zwischen allen Beteiligten. Es wäre wünschenswert, wenn sich die derzeitigen technischen Entwicklungen nicht nur mit einzelnen Teilbereichen und Anwendungsfällen beschäftigen würden, sondern insbesondere auch eine Weichenstellung in Richtung einer sicheren bayern- oder bundesweiten Basisinfrastruktur vorgenommen würde. Hierbei sollte auch geprüft werden, inwieweit schon vorhandene Lösungen wie zum Beispiel die Telematikinfrastruktur oder das BayernPortal/Bürgerkonto genutzt werden könnten.

Ein weiterer denkbarer Ansatz speziell im Bereich des Infektionsschutzes wäre es, etwa beim LGL eine zentrale Plattform für alle Arten von Infektionskrankheiten zu schaffen und schon für andere Bereiche bestehende IT-Lösungen dementsprechend zu modernisieren und in Richtung eines zentralen Portals auszubauen.

3.5.2. Krankenhäuser

Auch im Bereich der Krankenhäuser haben sich im Rahmen der veränderten Arbeitsbedingungen durch die COVID-19-Pandemie einige Defizite bezüglich der elektronischen Kommunikation gezeigt. So entstand beispielsweise aufgrund von Quarantäneregelungen vielfach der Bedarf, aus dem häuslichen Umfeld auf sensible Patientendaten zuzugreifen und aus der Ferne an der Behandlung beteiligt zu werden. Dabei waren aufgrund der Krisensituation jedoch nicht, wie zuletzt in meinem 26. Tätigkeitsbericht unter Nr. 2.3.5 gefordert, ausreichend dienstliche Geräte vorhanden, so dass vielfach auf Privatgeräte zurückgegriffen wurde.

Auch deutlich wurde der Bedarf an schneller elektronischer Kommunikation mit externen Stellen wie beispielsweise Vor-/Nachbehandlerinnen und behandlern oder Gesundheitsämtern sowohl für organisatorische als auch für medizinische Fragestellungen. In der Regel verfügten die Krankenhäuser jedoch nicht über geeignete und datenschutzkonforme Messenger- und Videokonferenzdienste, so dass auf die üblichen, aus dem Privatbereich bekannten Dienste, die in der Regel von US-amerikanischen Anbietern bereitgestellt werden, zurückgegriffen wurde. Wie die von mir veröffentlichten Sonderinformationen zur Bewältigung der Corona-Pandemie zeigten, war dies aufgrund der Neuheit der Situation grundsätzlich für einen Übergangszeitraum tolerierbar. Nunmehr muss jedoch geprüft werden, welche Kommunikationsformen weiterhin benötigt werden und wie diese Lösungen datenschutzgerecht umgesetzt werden können, gerade auch vor dem Hintergrund der Rechtsprechung des Europäischen Gerichtshofs zu Übermittlungen personenbezogener Daten an Drittländer. Zudem gibt es in der Datenschutz-Grundverordnung keine Ausnahmeregelungen für Krisenzeiten, so dass beispielsweise die in meinem 29. Tätigkeitsbericht unter Nr. 12.5 aufgestellten Anforderungen an Messenger-Dienste auch weiterhin gelten. Bezüglich der Telearbeit verweise ich auch auf Nr. 3.7 dieses Tätigkeitsberichts.

Einige Krankenhäuser hatten sich zudem zu Beginn der COVID-19-Pandemie mit der Frage an mich gewandt, ob die Beschränkungen der vorhandenen Berechtigungskonzepte krisenbedingt erweitert oder aufgehoben werden dürfen, um einen flexiblen Personaleinsatz zu ermöglichen. Auch hier gilt, dass eventuell vorgenommene Erweiterungen nunmehr dahingehend überprüft werden müssen, welche Berechtigungen tatsächlich erforderlich waren oder im Fall wieder ansteigender Zahlen COVID-19 erforderlich sind und wie diese entsprechend im Berechtigungskonzept umgesetzt werden können. Zugriffsrechte, die es ermöglichen, dass alle Mitarbeiter ohne Einschränkung auf die Daten aller Patienten zugreifen können, entsprechen nicht dem Erforderlichkeitsprinzip und damit nicht den Anforderungen des Datenschutzes. Die in der Orientierungshilfe Krankenhausinformationssysteme (2. Fassung) formulierten Anforderungen gelten auch für Krisenzeiten. Gleichzeitig sind dort auch Lösungsmöglichkeiten für Zugriffe in Notfallsituationen definiert.

Dass gerade in Krisenzeiten besonderes Augenmaß hinsichtlich der zusätzlichen Ermöglichung von Zugriffen besteht, bestätigen auch einige Meldungen von Krankenhäusern nach Art. 33 DSGVO die "Neugier-Zugriffe" auf Daten von Angehörigen betrafen (siehe Beitrag Nr. 12.10). Mitarbeitende sollten deutlich darauf hingewiesen werden, dass auch bei berechtigter Sorge um Familienmitglieder ein Zugriff aus privaten Gründen, selbst mit Einwilligung der betroffenen Person, nicht zulässig ist. Ein Zugriff darf nur erfolgen, wenn ein Behandlungszusammenhang besteht und der Zugriff dienstlich erforderlich ist.

3.6. Telearbeit in Zeiten von COVID-19, Nutzung von Privatgeräten (Bring your own Device, BYOD)

Zur Telearbeit und insbesondere zur Verwendung von Privatgeräten (Bring your own Device, BYOD) habe ich mich zuletzt in meinem 26. Tätigkeitsbericht 2014 unter Nr. 2.3.5 geäußert. Auch nach Geltungsbeginn der Datenschutz-Grundverordnung haben diese Forderungen weiterhin Bestand. Dennoch haben die COVID-19-Pandemie und die damit verbundene große Verbreitung von Homeoffice und Telearbeit, die schnellstmöglich umgesetzt werden musste, dazu geführt, dass in vielen Bereichen für die Arbeit von zu Hause nur Privatgeräte zur Verfügung standen.

Derzeit zeichnet sich ab, dass Telearbeit weiterhin in viel größerem Umfang auch von öffentlichen Stellen genutzt werden soll, als es bisher der Fall war. Neben einem erhöhten Bedarf an elektronischer Kommunikation und Arbeitsorganisation beispielsweise im Rahmen von Videokonferenzen und Kollaborationsplattformen sowie der Nutzung von Messengerdiensten steigt auch der Bedarf für einen Vollzugriff auf Fachverfahren mittels der privaten Geräte der Beschäftigten.

Ich erhalte daher nach wie vor sehr viele Anfragen, in welcher Form Telearbeit insbesondere mit Privatgeräten zulässig ist und wie diese datenschutzgerecht ausgestaltet werden kann. Insbesondere wird häufig nach konkreten Produktempfehlungen sowie auslagerbaren Tätigkeiten gefragt. Leider kann ich diese Fragen nicht pauschal beantworten, da die Eignung und insbesondere auch die erforderlichen technisch-organisatorischen Maßnahmen immer stark vom Anwendungsfall abhängen und sich die Verfahrensweisen sowie die IT-Ausstattung der öffentlichen Stellen, selbst wenn es sich um die gleiche Behörde wie etwa ein Landratsamt handelt, unterscheiden.

Schwerpunkt dieses Beitrags sind insbesondere die Fragestellungen hinsichtlich der Nutzung von Privatgeräten und des Zugriffs auf Fachverfahren. Für das Thema Videokonferenz siehe auch Nr. 12.4 dieses Tätigkeitsberichts, für die Probleme hinsichtlich der Verwendung von Produkten von US-Anbietern im Zusammenhang mit dem Urteil des Europäischen Gerichtshofs zu Schrems II siehe auch Nr. 11.2 dieses Tätigkeitsberichts.

Möchte der Verantwortliche seinen Beschäftigten den Zugriff auf Fachverfahren über Privatgeräte ermöglichen, muss er für den konkreten Anwendungsfall systematisch prüfen, unter welchen Bedingungen dies möglich ist. Der in der Datenschutz-Grundverordnung hierfür formulierte risikobasierte Ansatz erfordert immer eine Abwägung der Risiken für die Rechte und Freiheiten der von einer Verarbeitung betroffenen Personen. Dies gilt auch für Verarbeitungen, die im Rahmen von Telearbeit durchgeführt werden sollen.

Im ersten Schritt ist daher zu klären, welche Daten im Rahmen der Telearbeit und eventuell auf Privatgeräten verarbeitet werden sollen. Daten eines Jugendamts, eines Gesundheitsamts oder eines Ausländeramts, werden oftmals besonders schutzbedürftig sein (vgl. Art. 9 Abs. 1 DSGVO). Es ist dann naheliegend, dass diese Daten, wenn überhaupt, nur sehr eingeschränkt oder mit hohen technisch-organisatorischen Schutzmaßnahmen im Homeoffice, insbesondere auf Privatgeräten verarbeitet werden dürfen. Sollen dagegen beispielsweise Dienstanweisungen, organisatorische Regelungen oder anderweitige Dokumente ohne oder mit geringem Personenbezug bearbeitet werden, stellen sich aus Datenschutzsicht deutlich geringere Anforderungen.

Gerade bei der Verwendung von Privatgeräten muss jedoch immer auch berücksichtigt werden, dass diese Sicherheitsrisiken für die gesamte IT der öffentlichen Stelle mit sich bringen können, so etwa durch darauf befindliche Schadsoftware (wie Viren, Trojaner, Keylogger).

Soll allgemein Telearbeit für alle Bereiche beispielsweise einer Gemeinde oder eines Landratsamts ermöglicht werden, richten sich die Gesamtbewertung und somit die erforderlichen Maßnahmen nach dem maximalen Schutzbedarf der verarbeiteten Daten.

Dies zeigt deutlich, dass der Verantwortliche für die Entscheidung über Telearbeit und die Nutzung von Privatgeräten eine mehrstufige Prüfung vornehmen und geeignete Schutzmaßnahmen definieren und umsetzen muss. Es bietet sich an, sich hierbei an der Methodik der Datenschutz-Folgenabschätzung (DSFA) zu orientieren, zumal insbesondere bei einer Verarbeitung von Daten nach Art. 9 Abs. 1 DSGVO ohnehin zu prüfen ist, ob eine DSFA erforderlich ist. Auch wenn die Prüfung der Erforderlichkeit zu dem Schluss kommt, dass keine DSFA erforderlich ist, sind insbesondere folgende Prüfungsschritte schriftlich zu dokumentieren, um die Rechenschaftspflichten zu erfüllen:

  • Welche Verarbeitung ist geplant?
  • Im Fall einer Auftragsverarbeitung: Wie sind die Verpflichtungen der Auftragsverarbeiter klar definiert und vertraglich geregelt?
  • Welche Kategorien personenbezogener Daten werden verarbeitetet?
  • Welche Kategorien von Personen sind von der Verarbeitung betroffen?
  • Werden Daten in Drittländer, insbesondere außerhalb der Europäischen Union übermittelt?
  • Mit Hilfe welcher Betriebsmittel erfolgt die Datenverarbeitung?
  • Wie wird die Erfüllung der Datensicherheitsziele gewährleistet?
  • Wie wird die Erfüllung der Schutzbedarfsziele gewährleistet?
  • Wie wird die Einhaltung der Datenschutz-Grundverordnung gewährleistet (Risikogesamtbewertung)?
  • Wie bewertet die oder der behördliche Datenschutzbeauftragte die Erforderlichkeit einer DSFA?

Auch bezüglich einer Nutzung von Privatgeräten ist eine ausführliche Analyse insbesondere der Datensicherheitsziele nötig. Hierbei ist beispielsweise die Frage zu klären, ob in der gewählten Lösung Daten (temporär) auf dem Privatgerät gespeichert werden, welche Risiken ein eventuell von Schadsoftware befallenes Privatgerät hinsichtlich einer unbefugten Kenntnisnahme der Daten oder der Angriffsmöglichkeiten auf die IT der öffentlichen Stelle eröffnet.

Auch die Frage, wie die über das Privatgerät zugreifbaren Daten geschützt werden, wenn das Privatgerät an andere Personen weitergegeben oder von Familienmitgliedern gemeinsam genutzt wird, ist detailliert zu bewerten.

Ich halte nach wie vor an meiner grundsätzlichen Bewertung aus dem 26. Tätigkeitsbericht 2014 unter Nr. 2.3.5 bezüglich der Verwendung von Privatgeräten fest. Kommt die schriftlich dokumentierte Risikoanalyse des Verantwortlichen zu dem Ergebnis, dass dank geeigneter technischer und organisatorischer Sicherheitsmaßnahmen keine hohen Risiken bestehen, kann in diesem konkreten Fall die Nutzung von Privatgeräten aber akzeptabel sein.

3.7. Gemeindegenaue statistische Daten zu COVID-19-Erkrankungen?

In der COVID-19-Pandemie stellt der Öffentliche Gesundheitsdienst in Bayern täglich statistische Daten zu Erkrankungen und Todesfällen, teilweise auch zu Hospitalisierungen bereit. Üblich sind "kreisgenaue" Aufstellungen, die auch in den Datenbestand des Bayerischen Landesamtes für Gesundheit und Lebensmittelsicherheit eingehen. Aus der Bürgerschaft wurde ich aber bereits mehrmals gefragt, ob die Gesundheitsämter auch "gemeindegenaue" statistische Daten herausgeben müssen. Insofern ist zu bemerken:

Als Rechtsgrundlage für einen Zugang zu gemeindegenauen statistischen Daten (insbesondere: Gesamtzahl der gemeldeten Erkrankungen seit Ausbruch der COVID-19-Pandemie) kommt Art. 39 Abs. 1 Satz 1 BayDSG in Betracht. Dort heißt es:

"Jeder hat das Recht auf Auskunft über den Inhalt von Dateien und Akten öffentlicher Stellen, soweit ein berechtigtes, nicht auf eine entgeltliche Weiterverwendung gerichtetes Interesse glaubhaft dargelegt wird und

  1. bei personenbezogenen Daten eine Übermittlung an nicht öffentliche Stellen zulässig ist und
  2. Belange der öffentlichen Sicherheit und Ordnung nicht beeinträchtigt werden."

Der Zugangsanspruch ist für den Bereich des Öffentlichen Gesundheitsdienstes nicht ausgeschlossen. Bürgerinnen und Bürger, die einen Zugang zu gemeindegenauen statistischen Daten begehren, können ein berechtigtes Interesse jedenfalls glaubhaft darlegen, wenn sie diese Angaben für ihre Wohnsitzgemeinde oder für Gemeinden der näheren Umgebung begehren. Die Daten dienen sodann einer Einschätzung persönlicher Gesundheitsrisiken. Auskunft kann aber nur hinsichtlich eines Datenbestandes verlangt werden, der auch vorhanden ist. Gesundheitsämter sind - zumal in der gegenwärtigen, mancherorts durch Ressourcenknappheit gekennzeichneten Situation - nicht verpflichtet, begehrte, jedoch nicht vorhandene Daten zu ermitteln oder Rohdaten nur für den Zweck auszuwerten, einem Gesuch nach Art. 39 Abs. 1 Satz 1 BayDSG zu entsprechen.

Im Übrigen unterliegen personenbezogene Angaben über eine Erkrankung als Gesundheitsdaten dem in Art. 30 Abs. 1 Satz 3 Gesundheitsdienst- und Verbraucherschutzgesetz angeordneten Verarbeitungsverbot. Eine Übermittlung an eine nicht öffentliche Stelle wäre somit grundsätzlich unzulässig. Da eine Regelung zu örtlichen Statistiken über das Infektionsgeschehen bei der COVID-19-Pandemie nicht besteht, können aus datenschutzrechtlicher Sicht im Rahmen von Art. 39 Abs. 1 Satz 1 BayDSG nur aggregierte anonymisierte Daten bereitgestellt werden. Welche Anforderungen insofern zu stellen sind, hängt von der konkreten Lage ab.

Ob eine Bereitstellung von aggregierten anonymisierten Daten möglich ist, haben die Behörden des Öffentlichen Gesundheitsdienstes im Einzelfall zu entscheiden. Von Bedeutung sind insofern insbesondere die folgenden Gesichtspunkte:

  • die Einwohnerzahl der Gemeinde,
  • Berichtszeiträume (täglich/wöchentlich),
  • die aktuelle Entwicklung des Infektionsgeschehens,
  • Datenkategorien (etwa: Gesamtzahl der Erkrankungen seit Beginn der COVID-19-Pandemie, Zahl der genesenen, hospitalisierten oder verstorbenen Patientinnen und Patienten, Zahl der "aktiven" Fälle).

Beispiel: Ist für eine Gemeinde von 15.000 Einwohnern eine Gesamtzahl von 20 gemeldeten Erkrankungen seit Beginn der COVID-19-Pandemie auszuweisen, kann ein Rückschluss auf konkrete erkrankte Personen in der Regel nicht gezogen werden. Wird demgegenüber an einem bestimmten Tag in einer Gemeinde mit 1000 Einwohnern "vor aller Augen" ein Bürger durch den Rettungsdienst abgeholt, ließe die Bekanntgabe einer einzigen Neuinfektion für diese Gemeinde und das nämliche Datum jedenfalls den Verdacht zu, dass der betreffende Bürger an COVID-19 erkrankt ist.

Bei Gemeinden mit mindestens 10.000 Einwohnern erhebe ich im Regelfall keine datenschutzrechtlichen Bedenken gegen die Bekanntgabe täglich aufsummierter Gesamtzahlen der Erkrankungen seit Beginn der COVID-19-Pandemie. Was den tagesaktuellen Stand an Patientinnen und Patienten, die genesen, noch nicht genesen, stationär behandelt oder verstorben sind, wird das Risiko einer Rekonstruktion des Personenbezugs durch eine lediglich kreisgenaue Darstellung minimiert.

Grundsätzlich kann Art. 39 Abs. 1 Satz 1 BayDSG Zugang zu vorhandenen aggregierten anonymisierten Daten über das Infektionsgeschehen der COVID-19-Pandemie verschaffen. Vor dem Hintergrund des jeweiligen Lagebildes müssen die Gesundheitsämter allerdings den Aggregierungsgrad so wählen, dass die Rekonstruktion eines Personenbezugs ausgeschlossen ist.

  1. Vgl. Europäischer Gerichtshof, Urteil vom 29. Juli 2019, C 40/17, Rn. 102. [Zurück]
  2. Siehe Landtags-Drucksache 18/6945, S. 1 und Landtags-Drucksache 14/11831, S. 33; vgl. auch Bundestags-Drucksache 14/2530. [Zurück]
  3. Neuer Wortlaut seit dem 1. August 2020, siehe das Gesetz zur Änderung des Gesundheitsdienst- und Verbraucherschutzgesetzes und anderer Gesetze vom 24. Juli 2020 (GVBl. S. 372, vorher „übermitteln“ anstatt „offenbaren“); damit sollte laut Gesetzesbegründung nur eine Anpassung an die Begrifflichkeiten der Datenschutz-Grundverordnung erfolgen (siehe Landtags-Drucksache 18/8331, S. 21). [Zurück]
  4. Siehe Landtags-Drucksache 10/8972, S. 14. [Zurück]
  5. Nähere Ausführungen dazu bei Bayerischer Landesbeauftragter für den Datenschutz, Die Einwilligung nach der Datenschutz-Grundverordnung, Stand 10/2018, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018 – Orientierungs- und Praxishilfen – Einwilligung“. [Zurück]
  6. Internet: https://www.datenschutz-bayern.de/technik/orient/telefax.htm. [Zurück]
  7. Internet: https://www.datenschutz-bayern.de/corona/sonderinfo.html. [Zurück]
  8. Internet: https://www.datenschutz-bayern.de, Rubrik „Veröffentlichungen“. [Zurück]
  9. Nähere Informationen zur DSFA auf https://www.datenschutz-bayern.de, Rubrik „DSFA“, dort auch Formulare „DSFA-Erforderlichkeitsprüfung“ sowie „DSFA-Bericht“. [Zurück]