[datensicherheit.de, 11.01.2022] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) hat nach eigenen Angaben davon Kenntnis erlangt, „dass die Staatsanwaltschaft Mainz zusammen mit der lokalen Polizeibehörde und dem örtlichen Gesundheitsamt über die ,LUCA‘-App erfasste Kontaktdaten von Besuchern einer Mainzer Gastwirtschaft zu Ermittlungszwecken erhoben und genutzt hat“ – es seien umgehend aufsichtsrechtliche Verfahren eingeleitet worden.

Eindeutige Rechtslage zur datenschutzrechtlich unzulässigen Abfrage und Nutzung der LUCA-App-Daten…

Der LfDI RLP möchte demnach insbesondere die Umstände geklärt wissen, welche ungeachtet der eindeutigen Rechtslage zu der „datenschutzrechtlich unzulässigen Abfrage und Nutzung“ der ausschließlich zu Infektionsschutzzwecken erfassten Kontaktdaten geführt haben. Entsprechende Informationsersuchen seien bereits versendet worden.

Hintergrund sei ein Vorfall aus dem November 2021: „Nachdem vor einer Mainzer Gastwirtschaft ein 39-jähriger Mann mit schwersten Kopfverletzungen aufgefunden wurde, ersuchten die zuständigen Strafermittlungsbehörden das Gesundheitsamt um Bereitstellung der über die ,LUCA‘-App von dem Betreiber der Gastwirtschaft zu dem vermuteten Tatzeitpunkt erfassten Kontaktdaten.“

Gesundheitsamt hat Daten übermittelt, welche auf Anfrage vom LUCA-App-Betreiber zur Verfügung gestellt wurden

Das Gesundheitsamt sei dieser Aufforderung nachgekommen und habe die Daten von 21 Personen übermittelt, welche der Behörde auf Anfrage von dem App-Betreiber zur Verfügung gestellt worden seien. Die Betroffenen seien dann von der Polizei kontaktiert und zu dem Vorfall befragt worden. Mittlerweile hätten die beteiligten Behörden die Unzulässigkeit der erfolgten Datenverarbeitung eingeräumt.

„Für mich ist es zunächst einmal besorgniserregend, dass sowohl Staatsanwaltschaft als auch Gesundheitsamt die bereits vor einiger Zeit geänderte Rechtslage im Infektionsschutzgesetz und damit zusammenhängende datenschutzrechtliche Bestimmungen offensichtlich nicht kannten oder sich darüber hinweg gesetzt haben“, so der Kommentar des LfDI RLP, Prof. Dr. Dieter Kugelmann, zu diesem Vorfall.

Vorgehen im LUCA-App-Fall erschüttert Vertrauen der Bürger in Rechtmäßigkeit staatlichen Handelns

Aus § 28a Abs. 4 Satz 3 des Infektionsschutzgesetzes gehe eindeutig hervor, dass zum Zwecke des Infektionsschutzes erfasste Kontaktdaten lediglich zur Kontaktnachverfolgung verarbeitet werden dürften und eine anderen Zwecken dienende Datenverwendung unzulässig sei.

Professor Kugelmann warnt: „Das Vorgehen erschüttert das Vertrauen der Bürger in die Rechtmäßigkeit staatlichen Handelns und ist gerade in Zeiten einer die Gesellschaft als Ganzes herausfordernden ,Pandemie‘ das völlig falsche Signal.“ Er kündigt an, nach Aufklärung des Sachverhaltes die Ausübung sämtlicher ihm datenschutzrechtlich zur Verfügung stehender Befugnisse zu prüfen.

[datensicherheit.de, 28.08.2020] Die „Corona-Bekämpfungsverordnung Schleswig-Holstein“ verpflichte u.a. Gastronomen und Veranstalter zur Erfassung von Kontaktdaten ihrer Gäste. Diese Daten dürften aber nicht in falsche Hände gelangen. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD-SH) hat nach eigenen Angaben immer wieder auf Probleme hingewiesen: „Sammlungen per Liste, herumfliegende Zettel, in Einzelfällen sogar Missbrauch der Daten.“ Aufgeworfen wird die Frage in einer aktuellen Stellungnahme, ob es mit technischen Lösungen besser gehen würde.

Foto: Markus Hansen, ULD-SH

Marit Hansen zeigt sich offen für Entwicklung datenschutzfreundlicher Technik, die deutlich datensparsamer Kontaktdaten erheben könnte

Schon mehrfach Datenlecks bei Kontaktdaten-Servern vorgekommen

Für die Landesbeauftragte für Datenschutz Schleswig-Holstein, Marit Hansen, ist dies nach ULD-SH-Angaben nicht selbstverständlich: „Bei den Kontaktformularen sehen die Gäste, wie damit umgegangen wird. Gastronomen und Veranstalter können aktiv dafür sorgen, dass die Papierdaten so gelagert werden, dass sie für Unbefugte nicht zugänglich sind. Beim täglichen Schreddern nach der Aufbewahrungsfrist von vier Wochen bleiben nur noch kleine Schnipsel über – die Daten sind dann weg.“
Bei technischen Angeboten müsse man sich dagegen in der Regel auf Dienstleister verlassen. Leider seien schon mehrfach Datenlecks der Kontaktdaten-Server solcher Angebote vorgekommen. Das betreffe dann nicht nur ein einzelnes Restaurant, „sondern oft sind in solchen Fällen sämtliche gespeicherte Daten abrufbar“. Aus diesen Daten gehe hervor, „wer wann wo gegessen hat – und wer zur selben Zeit ebenfalls vor Ort war“.

Kontaktnachverfolgung nur im Infektionsfall zulässig

Nach Hansens Überzeugung sollten nicht nur Berufsgruppen wie Anwälte oder Journalisten darauf achten, „dass ihre Gesprächspartnerinnen und -partner nicht in ,Corona‘-Kontaktdatenbanken landen, bei denen es zu unerwünschten Abrufen kommen kann“. Im Prinzip betreffe es uns alle: „Es geht keinen etwas an, wo und wann wir essen gehen oder an Veranstaltungen teilnehmen.“ Deswegen sei die sichere Verwahrung der Daten so wichtig, die eben nur während der „Pandemie“ und nur für den Zweck der Kontaktnachverfolgung im Infektionsfall erfasst werden dürften.
Für Datenschutz und Datensicherheit von IT-Angeboten müsse der Betreiber ständig am Ball bleiben: „Pfusch geht nicht, Sorgfalt und Qualität sind stets mit Kosten verbunden.“ Die Landesbeauftragte für Datenschutz habe zwar Verständnis dafür, wenn man zur Vereinfachung technische Angebote wählen möchte, doch gebe sie zu bedenken: „Nicht jede Person hat ein Smartphone und kann ihre Daten per App oder Webbrowser melden. Das bedeutet für die Gastronomen und Veranstalter, dass ohnehin auch noch eine Lösung ohne Informationstechnik bereitgehalten werden muss.“

Marit Hansen offen für Entwicklung von Technik für datensparsame Erfassung der Kontaktdaten…

Offen zeigt sich Hansen demnach „für die Entwicklung datenschutzfreundlicher Technik, die deutlich datensparsamer Kontaktdaten erheben könnte – zum Beispiel mit pseudonymen digitalen Erreichbarkeitsadressen, die jeweils nur einmal verwendet werden und nicht den Namen und die Postadresse enthalten“.
Dies würde einige Datensicherheitsprobleme lösen. Doch es sei noch „Zukunftsmusik“ und in dieser Form bisher nicht in den aktuellen „Corona“-Verordnungen zugelassen. Heutzutage benötigten die Gesundheitsämter für ihre Aufgabe der Kontaktnachverfolgung den Namen und die Adresse.

Die häufigsten Fragen an das ULD zu Kontaktdaten

Das ULD verweist hierzu auf § 4 Abs. 2 „Corona-Bekämpfungsverordnung Schleswig-Holstein“ mit Stand v. 24.08.2020).

• Welche Kontaktdaten werden zum jeweiligen Datum abgefragt? Name, Anschrift und, soweit vorhanden, Telefonnummer oder E-Mail-Adresse.
• Wie lange werden die Daten aufbewahrt? Vier Wochen. Danach müssen sie vernichtet werden, z.B. geschreddert.
• Dürfen die Daten anderweitig verwendet werden? Nein! Die Kontaktdaten dürfen nicht für andere Zwecke (z.B. Werbung) verwendet werden.
• Wann muss ein Gastronom oder Veranstalter die Daten herausgeben? Nur wenn das Gesundheitsamt (die zuständige Behörde) die Daten anfordert. Das kann geschehen, wenn es darum geht, Infektionswege nachzuvollziehen und Personen, die sich angesteckt haben könnten, zu informieren.
• Woran muss ein Veranstalter oder Betreiber noch denken? Vor allem an die Datensicherheit: Bei Aufbewahrung und Umgang mit den Daten muss gewährleistet sein, dass Unbefugte darauf nicht zugreifen können.
• Und wenn der Datenschutz nicht eingehalten wird? Dann kann man sich beschweren. Das ULD geht jeder Beschwerde nach.

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 28.08.2020
Hinweise zur Erfassung von Kontaktdaten gemäß Corona-Bekämpfungsverordnung

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Sonderinformationen zu Datenschutz in der Corona-Krise

datensicherheit.de, 22.07.2020
Corona-Gästelisten: Kritik an Polizei-Zugriff

datensicherheit.de, 28.06.2020
Berlin: Musterformulare für Corona-Kontaktdatenerhebung / Maja Smoltczyk betont Notwendigkeit zur Einhaltung der DSGVO in der Gastronomie und anderen Dienstleistungsbetrieben

[datensicherheit.de, 04.08.2020] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) kritisiert in seiner aktuellen Stellungnahme, dass ganz offensichtlich Kontaktdaten, die zum Zweck der behördlichen Nachverfolgbarkeit von Infektionsketten erhoben werden sollen, zusehends durch die Polizei zum Zweck der Verfolgung von Straftaten verwendet würden.

HmbBfDI

HmbBfDI Prof. Dr. Johannes Caspar: Warnung vor negativen Folgen für eigentlichen Zweck der Datenerhebung

HmbBfDI: Jeder konkrete Fall bedarf einer Einzelabwägung

Die Möglichkeit, dass Strafverfolgungsbehörden diese Daten zu eigenen Zwecken nutzen, werde durch die Strafprozessordnung und das Bundesdatenschutzgesetz weitgehend unbeschränkt zugelassen. Zwar müsse eine entsprechende Datenverarbeitung, soweit sie zur Ermittlung oder Ahndung von Straftaten oder Ordnungswidrigkeiten erfolgt, dem Verhältnismäßigkeitsgrundsatz entsprechen – dies sei jedoch stets eine Frage des konkreten Falles und bedürfe insoweit einer Einzelabwägung, „die einen Einschätzungs-Spielraum eröffnet und auch häufig vom Vorverständnis des Rechtsanwenders getragen ist“.

HmbBfDI befürchtet Vertrauensverlust bei Betroffenen

Das führe dazu, dass die eigentlich zu Infektionszwecken erhobenen Daten, die vor dem Besuch von insbesondere Gaststätten, Beherbergungsbetrieben, Freizeiteinrichtungen oder von Veranstaltungen und Konzerten von den Betroffenen anzugeben sind, bei Bedarf in vielen Fällen im Rahmen von polizeilichen Ermittlungen genutzt würden. Das Vertrauen der Betroffenen, ihre Daten würden zur Infektionsbekämpfung und nicht zu anderweitigen Zwecken genutzt, werde so deutlich in Frage gestellt.

Laut HmbBfDI regelmäßige Kontrolle der Fälle unmöglich

Eine Kontrolle der Fälle, in denen die massenhaft auf Vorrat anfallenden Daten als willkommene Hilfe für die Aufgabenerfüllung der Strafverfolgungsbehörden genutzt werden, sei durch die örtlichen Datenschutzbehörden regelmäßig nicht möglich, da es oft schon an der Kenntnis über die Fälle der Zweckänderung fehle.

HmbBfDI fordert Bundesgesetzgeber zum Handeln auf

„Eine Lösung dieser unbefriedigenden und rechtlich unsicheren Situation liegt in der Hand des Bundesgesetzgebers. Er allein kann den Zugriff der Strafverfolgungsbehörden, der durch Bundesgesetz geregelt ist, begrenzen“, betont der HmbBfDI, Prof. Dr. Johannes Caspar. Der Rechtsstaat werde keinen Schaden erleiden, „wenn nicht bei jedem Bagatelldelikt der Zugriff der Strafverfolgungsbehörden auf die erfassten Daten von Kunden, Gästen oder anderweitigen Besuchern eröffnet ist“.

HmbBfDI betont Bedeutung der Akzeptanz der Datenerfassung und der Ehrlichkeit der Bürger

Hierbei sollte ein legislatives Maßhalten dem Grundsatz nach gelten und überlegt werden, einen Zugriff auf Fälle von Straftaten mit zumindest erheblicher Bedeutung zu beschränken. Anderenfalls würden die Akzeptanz der Datenerfassung und die Ehrlichkeit bei der Angabe des Namens durch Bürger untergraben. „Negative Folgen für den eigentlichen Zweck der Datenerhebung, die Nachverfolgbarkeit von Infektionsketten, sind programmiert“, warnt Professor Caspar.

Weitere Informationen zum Thema:

datensicherheit.de, 22.07.2020
Corona-Gästelisten: Kritik an Polizei-Zugriff / Prof. Dr. Dieter Kugelmann fordert „hohe Hürde“ zur Herausgabe der Kontaktdaten an die Polizei

datensicherheit.de, 28.06.2020
Berlin: Musterformulare für Corona-Kontaktdatenerhebung / Maja Smoltczyk betont Notwendigkeit zur Einhaltung der DSGVO in der Gastronomie und anderen Dienstleistungsbetrieben

[datensicherheit.de, 22.07.2020] Bundesweit häuften sich Berichte, wonach die Polizei auf die „Corona“-Gästelisten zugreife. Hierzu bezieht Prof. Dr. Dieter Kugelmann, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) sehr klar Stellung: „Die Gäste- und Kundenlisten werden zum Zweck der Nachverfolgung von Infektionen mit COVID-19 geführt. Wenn die Polizei nun auf die in Restaurants, Kneipen, Cafés und anderen Einrichtungen gesammelten Daten zugreifen möchte, sollte sie sich einen richterlichen Beschluss besorgen.“

Rechtssicherheit: Polizei sollte richterlichen Beschluss haben

Mit einem richterlichen Beschluss bestehe für alle Beteiligten Klarheit: „Die Polizei hat etwas in der Hand. Die Wirtin oder der Wirt weiß, dass die Herausgabe von einer unabhängigen Instanz angeordnet wurde und kann die Herausgabe auch guten Gewissens gegenüber den Gästen vertreten.“
Kugelmann führt aus: Es sei unbestritten, dass die Listen für die Arbeit der Polizei hilfreich sein könnten. Wer aber im Biergarten sitzt, dürfe nicht später von der Polizei aufgrund des Eintrags in eine „Corona“-Gästeliste befragt werden, wenn es um die Aufklärung einer Ordnungswidrigkeit, einer kleineren Sachbeschädigung oder eines Falschparkens in der Nähe geht.

Polizei darf über Gästelisten eben nicht einfach Zeugen für Kleinkriminalität finden

Die personenbezogenen Daten, die jemand beim Gaststättenaufenthalt angegeben hat, gäben in der Regel Aufschluss über seine Freizeitgestaltung. An Orten der Kommunikation, des Austauschs und der Freizeitgestaltung sei die Privatsphäre im Rahmen des Rechts auf informationelle Selbstbestimmung besonders schutzwürdig.
„Es kann also nicht sein, dass die Polizei über Gästelisten möglichst einfach Zeugen für Kleinkriminalität finden möchte. Würde eine solche Praxis Einzug halten, würden auch viele Menschen nicht mehr einsehen, ihre korrekten Daten auf die Listen zu setzen“, warnt der LfDR RLP. Anders könnte die Situation zu bewerten sein, wenn es um Ermittlungen zu schweren Straftaten wie Mord oder Totschlag geht, also um Fälle, in denen auch ein richterlicher Beschluss schnell und problemlos einzuholen sein dürfte.

Ausnahmen dürften auch für die Polizei nicht zur Regel werden

Die Kontaktdaten der Gaststättenbesucher würden unter anderem durch die Gaststättenbetriebe erhoben und gespeichert. Dies geschehe zu dem Zweck, im Falle einer Infektion den Gesundheitsbehörden mögliche Kontaktpersonen benennen zu können. Dazu sollten die Gaststättenbetriebe diese Daten einen Monat vorhalten und danach löschen – grundsätzlich sollten die Daten gem. § 7 Abs. 2 S. 1 i.V.m. § 1 Abs. 8 der „10. Coronabekämpfungsverordnung“ (10. CoBeVO) zu keinem anderen Zweck verarbeitet werden dürfen.
Professor Kugelmann bekräftigt: „Aus Datenschutz-Sicht sollte es eine hohe Hürde zur Herausgabe der Listen an die Polizei geben. Die Ausnahme darf eben nicht zur Regel werden. Gästelisten sind verpflichtend eingeführt worden, um die Pandemie einzudämmen und zu bekämpfen. Wenn die Polizei sie wirklich für ihre Arbeit braucht, dann bietet ein richterlicher Beschluss Rechtssicherheit.“

Weitere Informationen zum Thema:

datensicherheit.de, 28.06.2020
Berlin: Musterformulare für Corona-Kontaktdatenerhebung / Maja Smoltczyk betont Notwendigkeit zur Einhaltung der DSGVO in der Gastronomie und anderen Dienstleistungsbetrieben

[datensicherheit.de, 28.06.2020] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Maja Smoltczyk, weist Berliner Gewerbetreibende darauf hin, „dass bei der Erhebung von Kontaktdaten von Kundinnen und Kunden zur Nachverfolgung von ,Corona‘-Kontakten der Datenschutz stets zu wahren ist“. So seien laufende Listen, auf denen die Kontaktdaten der Gäste offen für Dritte einsehbar sind, unzulässig. Als Hilfestellung stellt die Berliner Aufsichtsbehörde für den Datenschutz auf ihrer Website Musterformulare zur Verfügung.

Abbildung: BlnBDI

BlnBDI: Ein Formular-Blatt pro Person!

Einträge in laufende Listen unzulässig

Die „SARS-CoV-2-Infektionsschutzverordnung“, welche die „SARS-CoV-2-Eindämmungsmaßnahmenverordnung“ ablöst, verpflichtet demnach Gastronomiebetriebe, Betriebe des Friseurhandwerks und viele andere Stellen in Berlin, Informationen zur Kontaktnachverfolgung von Gästen oder Kunden zu erheben.
In der Praxis würden Restaurantgäste oder Kunden anderer Gewerbebetriebe bei Eintritt in das Geschäft häufig dazu aufgefordert, sich mit ihrem Namen und ihren Adressdaten in laufende Listen einzutragen, auf denen sie auch die Kontaktdaten Dritter einsehen könnten. Dieses Vorgehen sei unzulässig.

Corona-Krise: Kontaktdaten sicher verwahren und fristgerecht vernichten

Bei der Datenerhebung müssten die Verantwortlichen strikt darauf achten, dass die Kunden „keinen Einblick in die personenbezogenen Daten anderer Gäste erhalten“. Um das zu gewährleisten, sollte sich jede Person auf einem gesonderten Blatt eintragen können. Die ausgefüllten Formulare dürften auch nicht offen herumliegen, sondern müssten für den Zeitraum der Aufbewahrung sicher vor dem Zugriff Dritter verwahrt bleiben.
Es empfiehlt sich laut BlnBDI, beispielsweise eine verschließbare Box aufzustellen, in welche die ausgefüllten Formulare eingeworfen werden. Diese sollte dann täglich geleert werden, um die Formulare ohne Zusatzaufwand nach Tagen sortiert aufbewahren und fristgerecht vernichten zu können.

Gäste und Kunden über Datenverarbeitung und Rechte informieren

Für eine datenschutzkonforme Umsetzung der Maßnahme müssten die Gäste zudem gemäß Artikel 13 der Datenschutz-Grundverordnung (DSGVO) ausreichend über die Verarbeitung ihrer Daten und ihre Rechte informiert werden. Dies könne in Form einer kurzen Datenschutzerklärung erfolgen, die entweder per Aushang im Eingangsbereich gut sichtbar angebracht oder als Informationsblatt einzeln ausgehändigt wird.
Aus dieser Erklärung müsse insbesondere hervorgehen, wer für die Datenverarbeitung verantwortlich ist und auf welche Rechtsgrundlage sie gestützt wird, für welchen Zweck und für wie lange die Daten erhoben werden, wer darauf zugreifen kann und welche Rechte die Betroffenen haben.

Rechtswidrige Datennutzung mit Bußgeld bewehrt

Die ausgefüllten Bögen müssten sicher aufbewahrt und nach Ablauf der Aufbewahrungsfrist „taggenau sicher vernichtet“ werden, etwa mittels eines Aktenvernichters. Es genüge nicht, die Formulare von Hand zu zerreißen.
Verantwortliche müssten unbedingt beachten, dass die erhobenen Daten ausschließlich zum Zweck der Kontaktnachverfolgung im Falle von bekanntgewordenen Infektionen verarbeitet und ggf. an das zuständige Gesundheitsamt übermittelt werden dürfen. Eine Nutzung der Daten zu sonstigen Zwecken, wie zum Beispiel Werbung, wäre rechtswidrig und könne mit Bußgeldern geahndet werden.

Vertrauen in der Corona-Krise Voraussetzung für sachgerechte Mitwirkung

„Wie bei der digitalen Kontaktnachverfolgung mittels Warn-App ist auch bei Maßnahmen, die der manuellen Nachverfolgung von möglichen Infektionsketten dienen, Vertrauen eine wichtige Voraussetzung. Wer befürchten muss, dass seine Daten nicht gut aufgehoben sind, ist eher dazu geneigt, Falschangaben zu machen. Mir ist bewusst, dass der Umgang mit so vielen Kundendaten nicht zum Kerngeschäft von Restaurantbetrieben oder Friseurgeschäften gehört und die gesetzlichen Vorgaben daher einige Unsicherheiten sowohl bei den Verantwortlichen als auch bei den Betroffenen hervorrufen“, so Smoltczyk.
Zur Unterstützung hat ihre Behörde Musterformulare auf der eigenen Website zur Verfügung gestellt. „Ich empfehle Berliner Verantwortlichen, diese zu verwenden oder sich inhaltlich daran zu orientieren.“

Weitere Informationen zum Thema:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Kontaktdatenerhebung durch Gewerbetreibende – Musterformulare der BlnBDI

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Hinweise zum Datenschutzgemäß Art. 13 Datenschutz-Grundverordnung (DS-GVO)zur verpflichtenden Kontaktnachverfolgung im Sinne derSARS-CoV-2-Infektionsschutzverordnung

datensicherheit.de, 26.05.2020
Personen-Listen in Gaststätten: Pro Gast ein Blatt