Während mehr als zwei Jahren Pandemie mussten Bürger:innen an zahlreichen Stellen und aus unterschiedlichsten Gründen ihre Daten hinterlassen. Für die meisten dieser Daten sind mittlerweile die Rechtsgrundlagen entfallen oder die Fristen abgelaufen. Fraglich ist allerdings, ob alles auch gelöscht wurde. Die niedersächsische Datenschutzbeauftragte Barbara Thiel schlägt deshalb Alarm: „Es darf nicht sein, dass riesige Datensammlungen erhalten bleiben, für die es keine gesetzliche Grundlage mehr gibt.“ Ihr Baden-Württembergischer Kollege Stefan Brink fordert, „grundsätzlich alle pandemiebedingten Eingriffe nach der Pandemie auf den Prüfstand zu stellen und auch wieder zurückzunehmen.“
Dabei ist die Lage der Corona-Daten mehr als unübersichtlich. netzpolitik.org veröffentlicht deswegen erstmals eine Liste bekannter Orte, die im Rahmen der Pandemie Daten erhoben haben. Die Liste (PDF), die weder vollständig noch eine offizielle amtliche Aufstellung ist, hat Barbara Thiel uns auf Anfrage zusammengestellt. Abweichungen zu anderen Bundesländern sind möglich.
An zehntausenden Orten Daten gesammelt
- Zehntausende Betriebe – von Restaurants über Thermalbäder bis zum Friseur – haben Daten von Bürger:innen gesammelt. Hierbei ging es einmal um eine Sammlung von Kontaktdaten zur Nachverfolgung von Infektionen, sowie um Datensätze, die aufgrund von Zutrittsbeschränkungen erhoben wurden, bei denen überprüft wurde, ob jemand geimpft, genesen oder getestet ist.
- Auch in Schulen fielen verschiedene Datensätze an: Hier wurden Befreiungen von der Maskenpflicht oder der Präsenzpflicht gesammelt, zudem gab es auch hier Datensammlungen aufgrund von Zutrittsbeschränkungen. Ähnliche Daten wurden auch an Universitäten und Hochschulen erhoben.
- In Krankenhäusern, Alten- und Pflegeheimen wurden Daten von Zutrittsbeschränkungen und Daten zur Kontaktnachverfolgung erhoben. Arztpraxen erhoben Kontaktdaten zur Nachverfolgung ebenso wie staatliche Stellen und Behörden dies taten.
- In Impfzentren wurden Daten bei der Terminvereinbarung erhoben, diese sollten nach der zweiten Impfung wieder gelöscht werden.
- In Test-Zentren werden noch bis zum Ende des Jahre 2024 Datum, Uhrzeit und Testergebnis von Schnell- und PCR-Tests gespeichert werden.
- Apotheken speicherten den Bezugsschein für die kostenlosen Masken, mussten ihn aber sofort nach Ausgabe wieder löschen. Gleiches gilt für die Krankenkassen. Diese speicherten zudem auch Daten beim Versand des Anschreibens zur Priorisierung der Impftermine wegen Vorerkrankungen.
- Auch bei den mehr als 400 Gesundheitsämter werden fleißig Daten zusammengetragen. Einerseits sammelt das Amt Daten von Kontaktpersonen von Infizierten, die es nach vier Wochen löschen muss. Zum anderen werden die Meldungen einer Corona-Erkrankung auch beim Gesundheitsamt gespeichert. Die Angaben von bislang knapp 25 Millionen Menschen werden dort nun für die nächsten 15 Jahre gespeichert.
Dazu kommen zahlreiche Daten von Beschäftigten, die in ihren Betrieben nachweisen mussten, dass sie geimpft, genesen oder getestet sind. Auch diese Daten müssen mit dem Wegfall der Verordnungen gelöscht werden.
Eilig eingeführte Cloud-Dienste
Der baden-württembergische Datenschutzbeauftragte Stefan Brink weist zudem darauf hin, dass Betriebe, die während der Pandemie zügig eingeführten Cloud-Dienste (Home-Office-Anwendungen, Videokonferenzen) auch datenschutzkonform betreiben müssten. Teilweise gehe die Nutzung solcher Dienste mit einer sehr detaillierten Vollüberwachung der Beschäftigten einher. Auch müssten Hochschulen während der Pandemie eingeführte Online-Prüfungssoftware datenschutzkonform betreiben.
Barbara Thiel, die Landesbeauftragte für den Datenschutz Niedersachsen, sagt: „Es gab gute Gründe, während der Corona-Pandemie verschiedene personenbezogene Daten zu erheben und zu speichern. Die Pandemie ist zwar noch nicht vorbei, aber trotzdem sind in den vergangenen Wochen zahlreiche Rechtsgrundlagen für die Verarbeitung von Corona-Daten und damit auch für deren Speicherung weggefallen. Deshalb müssen die für die Datenverarbeitung verantwortliche Stellen sehr sorgfältig prüfen, welche Daten eventuell noch bei ihnen vorliegen und ob sie diese nicht schon längst hätten löschen müssen.“
Papierlisten ordnungsgemäß vernichten
Tipps für alle, die Daten auf Papier vorhalten, hat ein Sprecher der Berliner Datenschutzbeauftragten: „Die Verantwortlichen müssen die Daten ordnungsgemäß löschen bzw. vernichten, etwa mittels eines Aktenvernichters der Sicherheitsstufe P4. Es genügt nicht, Papier von Hand zu zerreißen oder einfache Aktenvernichter mit breitem Streifenschnitt zu verwenden. Falls eine digitale Anwendung genutzt wurde, muss möglicherweise ein Auftragsverarbeiter mit der Datenlöschung beauftragt werden, sofern dies nicht bereits vertraglich vorgesehen ist.“
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires