Kategorie: Coronavirus

Corona-Testseite des EU-Parlaments nicht datenschutzkonform

11. Januar 2022

Das Europäische Parlament verstößt mit seiner Corona-Testseite gegen das europäische Datenschutzrecht. Diese Entscheidung wurde vom Europäischen Datenschutzbeauftragten Wojciech Wiewiorowski (EDSB) bestätigt.

Der Entscheidung vorausgegangen war eine Beschwerde der Datenschutzorganisation „noyb (None of Your Business)“ um den österreichischen Datenschutz-Aktivisten Max Schrems. Diese wurde im Namen von sechs Mitgliedern des Europäischen Parlaments eingereicht. Die Gründe für die Beschwerde waren unter anderem ein irreführender Cookie-Banner und die illegale Übermittlung von Daten in die USA.

Insbesondere zu dem letzten Beschwerdegrund stellte der EDSB fest, dass das Parlament keine Nachweise erbringe, welche die Gewährleistung eines dem europäischen Recht äquivalenten Datenschutzstandard im Rahmen der Übermittlung an die USA zusichern konnten. Auch stellte der EDSB fest, dass die Differenzen der Cookie-Banner, die sich je nach gewählter Sprache ergeben, gegen das geltende Datenschutzrecht verstoßen.

Die Beschwerdegründe stellen einen Verstoß gegen die „DSGVO für EU-Institutionen“ fest (Verordnung (EU) 2018/1725) die nur für EU-Einrichtungen gilt und der DSGVO nachempfunden ist. Der EDSB erteilte aufgrund dieser Verstöße eine Unterlassungsanordnung mit einer Frist von einem Monat.

Datenschutz in Coronazeiten – eine Zusammenfassung

30. Dezember 2021

Seit Anbeginn der Coronapandemie wurde vielfach darüber diskutiert, ob und wie vonseiten der Arbeitgeber Gesundheitsdaten verarbeitet werden dürfen. Seit der nun bestehenden Präventionsmöglichkeit durch einen Impfschutz, konkretisiert sich die Diskussion hin zur Abfrage des Impfstatus durch den Arbeitgeber im Betrieb.

1. Verarbeitung von Gesundheitsdaten im Betrieb

Die Verarbeitung von Gesundheitsdaten im Beschäftigtenverhältnis kann mit Blick auf die arbeitgeberseitige Fürsorgepflicht gemäß §§ 611 a, 241 II BGB und nach § 167 II SGB IX  geboten und erforderlich sein. Ferner ist für Beschäftigte eine Verpflichtung vorgesehen, welche besagt, dass diese bei „begründeter Veranlassung“ zu einer ärztlichen Untersuchung der Arbeitsfähigkeit verpflichtet werden können.

2. Besondere Kategorien personenbezogener Daten nach der DSGVO

Art. 9 Abs. 1 DSGVO stuft Gesundheitsdaten als besondere Kategorie personenbezogener Daten und damit als besonders schützenswert ein. Art. 9 Abs. 1 DSGVO normiert für diese sensiblen Daten ein restriktives Verarbeitungsverbot, wonach diese nur in den abschließend geregelten Ausnahmefällen des Art. 9 Abs. 2 DSGVO verarbeitet werden dürfen. Bei der Verarbeitung von Gesundheitsdaten im Betrieb ist stets eine besondere Vorsicht geboten, da diese oftmals das Risiko mit sich bringt, dass einmal zugänglich gemachte Informationen zur Begründung einer negativen Gesundheitsprognose im Rahmen einer krankheitsbedingten Kündigung zweckentfremdend genutzt werden können.  

3. Präventionsmaßnahmen während der Pandemie

Den Arbeitgebern standen mehrere optionale Präventionsmaßnahmen zur Verfügung. So hatten zu Beginn der Pandemie Arbeitgeber gegenüber den Beschäftigten ein Fragerecht bei Rückkehr aus dem Urlaub hinsichtlich des Aufenthaltorts und, ob es sich bei diesem um ein Risikogebiet handelte. Außerdem stand dem Arbeitgeber auch zu, von dem Beschäftigten die Information zu erlangen, ob dieser in einer ebenfalls näher durch das RKI beschriebenen Weise, in direktem und ansteckungsrelevanten Kontakt mit einer infizierten Person stand. Ferner wurde auch über die Anwendung von Wärmebildkameras diskutiert, mit Hilfe derer man die Körpertemperatur eines Beschäftigten ermitteln wollte. Jedoch hielt die DSK den Einsatz vor dem Hintergrund des Erforderlichkeitsvorbehalts überwiegend für ungeeignet, da „eine erhöhte Körpertemperatur nicht zwangsläufig als symptomatisch für eine SARS-CoV-2-Infektion angesehen werden kann“.

4. Verarbeitung des Impfstatus im Betrieb

Grundrechte wurden in der Krisenzeit eingeschränkt und auch vorbehaltslos gewährleistete Grundrechte fanden im kollidierenden Verfassungsrecht eine Schranke. Diese Beschränkungen finden ihre Grundlage aber nicht in betrieblichen Regelungen oder Weisungen der Arbeitgeberseite, sondern bedürfen einer normklaren gesetzlichen Rechtsgrundlage, etwa durch den Bundesgesetzgeber im IfSG.

a. Rechtsgrundlage für Datenverarbeitung

Im Zuge der Entwicklung von Impfstoffen wurde die Debatte darüber, inwiefern der Impfstatus im Beschäftigtenkontext erhoben und verarbeitet, insbesondere gespeichert werden darf, immer lauter. Letztendlich hat sich ein gewisser Konsens dahingehend gebildet, dass eine Verarbeitung des Impfstatus an sich ausgeschlossen ist und nur in besonders vulnerablen Branchen, namentlich bei Heil-/Pflegeberufen erforderlich ist. Hintergrund ist auch, dass zumindest nach dem Leitbild des Gesetzgebers in §§ 23, 23 a des Infektionsschutzgesetzes eine Befugnisnorm für dort näher bezeichnete Arbeitgeber der Heil- und Pflegebranche normiert ist, den Impfstatus der Beschäftigten zu verarbeiten. Darüber hinaus bestehen in den deutschen Ländern Sonderregelungen, in Baden-Württemberg etwa die „CoronaVO Krankenhäuser und Pflegeeinrichtungen“, welche ebenfalls nähere Regelungen zur Abfrage des Immunisierungsstatus enthalten. Eine generelle Verarbeitungsgrundlage für die Abfrage des Impfstatus durch den Arbeitgeber ist bisher gesetzlich jedenfalls nicht normiert.

b. Lohnfortzahlung nach § 56 I IfSG

Auf Grund des jüngsten Beschlusses der Gesundheitsministerkonferenz vom 22.9.2021 wird zunehmend diskutiert, ob zumindest in den Fällen, in denen Beschäftigte gegenüber ihrem Arbeitgeber einen Anspruch auf Geldentschädigung nach § 56 I IfSG geltend machen, eine Abfrage des Impfstatus zulässig erfolgen kann. Kommt es zu einer so genannten Absonderungsverpflichtung eines Beschäftigten und zahlt der Arbeitgeber den Lohn des Beschäftigten weiter, so kann er sich den für die Dauer dieser Absonderung ansonsten entstandenen Verdienstausfall bei der zuständigen Behörde erstatten lassen. Der Arbeitgeber geht insoweit in Vorleistung und übernimmt die Auszahlung zunächst „stellvertretend als Zahlstelle für die zuständige Behörde“. Zu einer derartigen Erstattung kommt es jedoch nicht in Fällen, in denen die Quarantäne durch „Inanspruchnahme einer Schutzimpfung“ hätte vermieden werden können. Hierzu wird nun vertreten, dass in diesen Konstellationen die Abfrage und Nutzung des Impfstatus in Einklang mit 26 III BDSG, Art. 9 II Buchst. b DS-GVO erfolgt.

c. Keine Auskunftspflicht des Beschäftigten

Der Arbeitgeber darf den Impfstatus des Beschäftigten zwar durchaus erfragen, wenn er „stellvertretend“ die Entschädigung nach § 56 I IfSG für die zuständige Behörde ausbezahlt. Allerdings trifft den Beschäftigten insoweit keine Verpflichtung, dem Arbeitgeber den Impfstatus oder andere Gesundheitsdaten, etwa chronische Vorerkrankungen oder Umstände wie eine Schwangerschaft, zu offenbaren. Eine solche Verpflichtung ergibt sich weder aus dem IfSG noch aus dem BDSG, als grundrechtsrelevante und damit wesentliche Pflicht des Beschäftigten hätte insoweit eine normenklare, eindeutige Gesetzesgrundlage geschaffen werden müssen. Auch lässt sich eine vertragliche Pflicht des Beschäftigten, den Arbeitgeber im Rahmen seiner Bemühungen um eine Erstattung der verauslagten Lohnkosten zu unterstützen schon deswegen nicht begründen, weil mit Blick auf die Sensibilität der hierzu benötigten Daten eine solche Verpflichtung ihm nicht zumutbar wäre. Somit ist vielmehr von einer bloßen Obliegenheit des Beschäftigten auszugehen, wonach dieser ohne Auskunftserteilung zwar keine Rechtspflicht verletzt, aber möglicherweise tatsächliche Nachteile (wie eine Beendigung der Lohnweiterzahlung) zu erwarten hätte.

Fazit

Hinzuweisen ist hierbei noch auf den § 28b Abs. 1 IfSG. Nach dem § 28b Abs.1 IfSG dürfen Arbeitgeber und Beschäftigte in Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können, nur betreten, wenn sie geimpfte, genesene oder getestete Personen sind und einen Impf-, Genesenen- oder Testnachweis mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben.

Die Debatte um die Geltendmachung der Entschädigungsansprüche nach § 56 IfSG zeigt offensichtlich, warum die Verarbeitung von sensiblen Gesundheitsdaten außerhalb der betrieblichen Sphäre liegen sollte. Auch in der Praxis der Aufsichtsbehörde wird deutlich: Viele Beschäftigte und Betriebe sind verunsichert, die Rechtslage ist unklar und umstritten. Von Seiten der Aufsichtsbehörden werden ebenfalls unterschiedliche Ansichten vertreten, eine einheitlich Linie gemeinsam mit dem Bundesgesundheitsministerium, wäre wünschenswert. Es liegt nun also am Gesetzgeber, in diesem sensiblen Feld für Klarheit und Rechtsfrieden zu sorgen.

Schulen dürfen den Impfstatus von Schülerinnen und Schülern häufig nicht erheben

9. Dezember 2021

Seit den Änderungen des Infektionsschutzgesetzes (IfSG), die seit dem 24. November deutschlandweit gelten, dürfen Arbeitgeberinnen und Arbeitgeber den Impfstatus ihrer Beschäftigten abfragen und sind zur Kontrolle und Dokumentation des jeweiligen „G-Status“ ihrer Mitarbeitenden verpflichtet. Mit der Aktualisierung des IfSG hat der Gesetzgeber die von Arbeitgeberinnen und Arbeitgebern lang ersehnte Rechtsgrundlage für eine solche Abfrage und Dokumentation geschaffen.

Eine bundesweit einheitliche Rechtsgrundlage für die Abfrage und Dokumentation des Impfstatus von Schülerinnen und Schülern fehlt jedoch auch nach den Neuerungen des IfSG. Zwar dürfen Schulen den Impf-, Genesenen- oder Teststatus ihrer Lehrkräfte und Beschäftigten abfragen und dokumentieren. Den „G-Status“ von Schülerinnen und Schülern dürfen Schulen hingegen nur dann erheben, wenn die jeweiligen landesrechtlichen Regelungen eine entsprechende Rechtsgrundlage dafür vorsehen. Dies ist in einigen Bundesländern bereits der Fall und die Landesverordnungen sehen solche Regelungen grundsätzlich vor, so z.B. in NRW. In Hessen hingegen fehlt eine solche Rechtsgrundlage.

Die hessischen Corona-Schutzverordnung, die zwar explizit die Abfrage dieser Gesundheitsdaten vorsieht, enthält keine Rechtsgrundlage für die Dokumentation, d.h. Speicherung dieser Daten in einer Liste oder digitalen Datei. Die damit einhergehenden Probleme hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) in einer Stellungnahme vom 30.11.2021 verdeutlicht. Diese ergeben sich, so der Hessische Datenschutzbeauftragte insbesondere daraus, dass an den Schulen nach der Landesverordnung einerseits eine Testpflicht bestehe, um am Unterricht teilnehmen zu können, andererseits viele Schülerinnen und Schüler aber bereits über einen Impfnachweis verfügten, seitdem die STIKO im Sommer ihre Impfempfehlung für Kinder und Jugendliche ab 12 Jahren ausgesprochen hat. In diesen Fällen bestehe nach der derzeitigen Regelung in Hessen nicht die Möglichkeit, einen von den Schülerinnen und Schülern freiwillig vorgezeigten Impfausweis zu dokumentieren. Damit müssten die Schulen, sollte ein Impfausweis beispielsweise vergessen werden, auch trotz Impfung einen Test bei den betroffenen Schülern durchführen. Eine Möglichkeit für Schulen, die erneute Vorlage des Impfausweises zu vermeiden, besteht nach derzeitigen Regelungen in Hessen somit nicht.

Der HBDI ist bereits an das Hessische Kultusministerium herangetreten und hat empfohlen, eine entsprechende Lösung für dieses Problem zu finden. Es bleibt daher abzuwarten, wann diese umgesetzt wird und ob auch hier eine bundeseinheitliche Regelung getroffen wird.

Corona-Daten gelangen ins Netz

12. November 2021

In mehreren Berliner Corona-Testzentren hatten die Betreiber eine unsichere Software-Lösung benutzt. Dies hat dazu geführt hat, dass hunderttausende Nutzerdaten von Getesteten im Internet aufgetaucht sind. Betroffen sind diejenigen Kunden, die sich bei Testzentren „Schnelltest Berlin“ haben testen lassen. Das IT-Kollektiv „Zerforschung“ fand heraus, dass aufgrund einer nicht geschützten Schnittstelle verschiedener Testanbieter die Daten ins Netz gelangen konnten und somit für Dritte einsehbar waren.

Neben sensiblen, personenbezogenen Daten wie Name, Anschrift oder Telefonnummer befanden sich darunter offenbar auch Testergebnisse und Zertifikate des Robert-Koch-Instituts (RKI). Weiter fand Zerforschung heraus, dass sich auch Testzertifikate für PCR-Tests erstellen ließen. So konnten die Programmierer ein Zertifikat über ein negatives Corona-Testergebnis für einen von ihnen frei gewählten Namen ausstellen. In einem Versuch generierten sie einen PCR-Test, der mit negativem Ergebnis für einen fiktiven 177 Jahre alten Mann ausgestellt werden konnte. Hinzu kommt, dass das manipulierte Testzertifikat selbst den sogenannten BärCODE enthielt. Dieser markiert Zertifikate im Normalfall als offiziell und gilt als Sicherheitsmerkmal.

Nach Aufdeckung der Sicherheitslücken informierte Zerforschung die zuständigen Stellen. Der Betreiber der in Rede stehenden IT-Datenbank „WeCare Services“ hat auf Nachfrage gegenüber dem rbb die Datenpanne zugegeben und versichert, die Lücken seien inzwischen geschlossen. Kunden wurden bisher nicht über die Datenlücke informiert.

Der Zusammenschluss „Schnelltest Berlin“ ist nicht der einzige Anbieter, der Sicherheitsmängel aufweist. Auch andere Teststellen gehen unverantwortlich mit Daten um. Dementsprechend sind diese Fehler weitverbreitet, so Zerforschung gegenüber rbb24.

Weiterleitungen von Gerichtsentscheidung dürfen nur anonymisiert erfolgen

1. Oktober 2021

Gerichtsentscheidungen dürfen nur anonymisiert – d.h. ohne namentliche Nennung der betroffenen Personen – an andere Behörden weitergeleitet werden. Das entschied das Landgericht Köln unter Verweis auf die DSGVO mit Urteil vom 03.08.2021 (Az. 5 O 84/21). Einen Anspruch auf Schmerzensgeld für die unberechtigte Weiterleitung verneinte das Gericht.

Sachverhalt

Im Ursprungsfall wandte sich der Kläger gegen eine Allgemeinverfügung der Stadt Bergisch Gladbach, die ihm aufgrund der Corona-Pandemie die Schließung seines Geschäftslokals auferlegte. Nachdem das Verwaltungsgericht Köln zugunsten der Stadt entschieden hatte, leitete diese den Beschluss an andere Behörden zu deren Information weiter. Dabei unterließ sie jede Form der Anonymisierung, d.h. Unkenntlichmachung des Klägers.

In dem Verfahren vor dem LG Köln begehrte der Kläger deswegen von der Stadt Schmerzensgeld gem. Art. 82 DSGVO. Dazu behauptete er, durch die öffentliche Bekanntmachung des Beschlusses sei er Anfeindungen als Corona-Leugner ausgesetzt gewesen und seine Reputation habe gelitten. Die Stadt hingegen verwies darauf, dass der Fall bereits durch die Berichterstattung in einer Tageszeitung der Öffentlichkeit bekannt gewesen sei und dass es sich bei den personenbezogenen Daten des Klägers nicht um geheime Daten gehandelt habe.

Die Entscheidung

Nach Art. 82 DSGVO steht jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz zu. Das LG Köln sah in der Weiterleitung des Beschlusses an andere Behörden auch einen Verstoß gegen die DSGVO. Die Stadt hätte jedenfalls den Beschluss anonymisieren und die Identität des Klägers unkenntlich machen müssen.

Es verneinte jedoch einen Anspruch auf Schmerzensgeld gem. Art. 82 DSGVO. Als Begründung dafür führte es an, dass die vom Kläger beschriebenen Beeinträchtigungen nicht notwendigerweise auf die Offenlegung des Berichts zurückzuführen seien. Zu dem Zeitpunkt hätten sich auch andere Geschäftsinhaber gegen die Schließung gewehrt, so dass auch diese an den Beschluss hätten gelangen können. Zudem seien die Mitarbeiter der Verwaltung zur Verschwiegenheit verpflichtet.

Höchstes Bußgeld in der Geschichte der Datenschutzgrundverordnung geht an Amazon

24. August 2021

Medienberichten zufolge sieht sich der Digitalkonzern Amazon mit dem höchsten Bußgeld in der Geschichte der Datenschutzgrundverordnung konfrontiert. Wie die Nachrichtenagentur Bloomberg berichtete, hat die Luxemburger Datenschutzbehörde Commission nationale pour la protection des données (CNPD) dem Konzern ein Bußgeld in Höhe von 746 Millionen Euro auferlegt. Dies geht auch aus dem Quartalsbericht des Unternehmens hervor.

Dem Beschluss vorangegangen war eine Beschwerde der französischen Bürgerrechtsorganisation La Quadrature du Net und mehr als zehntausend Unterstützerinnen und Unterstützern aus Mai 2018. In dieser beanstandet die Organisation, dass Nutzerinnen und Nutzer den Einsatz personalisierter Werbung auf der Webseite des Online-Marktplatzes nicht ablehnen könnten. Dabei sähe die Datenschutzgrundverordnung eine freie Wahl diesbezüglich vor. Auch die Luxemburger Datenschutzbehörde sah den freien Willen der Nutzerinnen und Nutzer und damit das Recht auf informationelle Selbstbestimmung derer verletzt. Durch das von der Einverständniserklärung der Nutzerinnen und Nutzer losgelöste Werbe-Targeting durch den Konzern könnten Grundprinzipien der Datenschutzgrundverordnung verletzt worden sein.

Amazon hingegen wies den Vorwurf zurück und kündigte Berufung an. Laut einem Sprecher des Unternehmens gab es „keine Verletzung des Schutzes personenbezogener Daten, und es wurden keine Kundendaten an Dritte preisgegeben“. Weiterhin führte er aus, dass es im Hinblick darauf, wie Amazon Kundinnen und Kunden relevante Werbung anzeige, die Entscheidung der CNDP auf subjektiven und ungeprüften Auslegungen des europäischen Datenschutzes beruhe und die beabsichtigte Geldbuße selbst bei dieser Auslegung in keinem Verhältnis stünde. Als Reaktion auf diese Stellungnahme konterte La Quadrature de Net in seinem Beitrag über den Beschluss, dass Amazon insofern Recht habe, als dass die Entscheidung nicht Datenpannen zum Gegenstand hatte. Vielmehr ginge es um das Target-Advertising selbst und damit um ein Herzstück der Big-Tech-Unternehmen.

Nach der angekündigten Berufung werden die Gerichte entscheiden. Diese hatten in der Vergangenheit bei hohen Bußgeldern zumeist zugunsten der angeklagten Unternehmen mildere Strafen erlassen, als die Datenschutzbehörden. So musste die Fluggesellschaft British Airways wegen einer Datenschutzpanne 22 Millionen Euro Bußgeld bezahlen – statt zunächst verhängten 204 Millionen Euro. Diese Herabsetzung war jedoch insbesondere mit den wirtschaftlichen Einbußen des Unternehmens in der Corona-Pandemie begründet. Eine ähnliche Begründung würde aufgrund des enormen Zuwachses des Online-Händlers, insbesondere zu Beginn der Corona-Pandemie, jedoch nicht zu erwarten sein.

Zoom will Sammelklage mit Millionenzahlung beilegen

4. August 2021

In mehreren Klagen sieht sich der Videokonferenzanbieter Zoom Vorwürfen ausgesetzt, einerseits gegen Datenschutzvorgaben zu verstoßen und andererseits nicht genug gegen sog. „Zoombombing“ unternommen zu haben. Mit der Zahlung von 85 Millionen Dollar will Zoom diese Sammelklagen jetzt außergerichtlich erledigen. Aus Gerichtsdokumenten geht hervor, dass Zoom kein Fehlverhalten eingesteht. Der Vergleich muss noch von der zuständigen US-Bezirksrichterin angenommen werden.

Der Vorwurf, gegen Datenschutzvorgaben verstoßen zu haben, beruht auf der Weitergabe von personenbezogenen Daten der Nutzer an Facebook, LinkedIn und Google. Unter „Zoombombing“, dem anderen Vorwurf, versteht man das Zuschalten von fremden Personen mit dem Ziel, die Videokonferenz zu stören. Nutzer sind hierbei zum Teil schwer beleidigt worden. Um diese Störungen zu vermeiden, hat Zoom bereits im vergangenen Jahr mit Codes das zufällige Zuschalten zu fremden Videokonferenzen erheblich erschwert.

Ursprünglich war Zoom eine Anwendung, die hauptsächlich von Unternehmen genutzt wurde. Im Rahmen der Corona-Pandemie vergrößerte sich der Nutzerkreis stetig, sodass auch Home Office und Home Schooling über Zoom organisiert wurde bzw. wird.

Digitales EU-COVID-Zertifikat auf der Zielgeraden – ein Überblick zum „CovPass“

7. Juni 2021

Die EU-Kommission veröffentlichte Anfang Juni Neuigkeiten zum länger geplanten, digitalen Zertifikat: Die Technik für das Zertifikat ist offiziell online. Mit Bulgarien, Dänemark, Griechenland, Kroatien, Tschechien und Polen haben die ersten Länder den digitalen Nachweis bereits offiziell eingeführt und teilen Zertifikate aus. Auch Deutschland hat sich bereits an das sogenannte EU-Gateway angeschlossen, auch wenn das Zertifikat noch in der Testphase ist. Das kommende Zertifikat nennt sich „CovPass“ und ist ein Projekt des Robert-Koch-Instituts. Dieses präsentiert die App bereits im Internet. Sie soll spätestens bis Ende Juni für alle Bürger nutzbar sein.

Das digitale EU-COVID-Zertifikat beruht auf einer EU-Verordnung, die ab dem 1. Juli in Kraft tritt. Den Mitgliedsstaaten bleibt es aber freigestellt, das Zertifikat auch vorher schon zu verwenden, vorausgesetzt die nationale Variante besteht die technischen Tests. Es werden drei Zertifikate umfasst: ein Impfzertifikat, ein Testzertifikat und ein Genesungszertifikat. Es soll im Sommer ein unkompliziertes Reisen und einheitliche Sicherheitsstandards innerhalb Europas gewährleisten, es ist jedoch keine notwendige Voraussetzung für eine Reise.

Wem steht das Zertifikat zu?

Alle EU-Bürger können ein solches Zertifikat erhalten. Es gilt für Geimpfte, Genesene oder negativ Getestete. Als geimpft gilt jeder, der die entsprechenden Schutzimpfungen von Moderna, Astrazeneca, BioNTech oder Johnson & Johnson erhalten hat. Die letzte Impfung muss dabei mindestens 14 Tage her sein. Genesen ist der, der einen nachweislich positiven PCR-Test hatte, dieser darf nicht älter als 6 Monate sein. Für diejenigen, die weder geimpft noch genesen sind, gibt es die Möglichkeit, ein Zertifikat als negativ-getestete Person zu bekommen. Dafür muss ein aktueller Antigen-Test vorliegen oder ein PCR-Test, der nicht älter ist als 72 Stunden.

Wo bekomme ich das Zertifikat?

Ausstellen sollen das Zertifikat zunächst Impfzentren, Hausärzte und Krankenhäuser. Ob auch Apotheken bei Vorlage eines Impfausweises ein Zertifikat ausstellen dürfen, wird zur Zeit noch diskutiert. Das Zertifikat wird in digitalem Format ausgestellt, kann aber auf einem Smartphone und auf Papier vorgelegt werden. Es wird unentgeltlich ausgestellt.

Wie funktioniert das Zertifikat und was ist mit meinen Daten?

Das Zertifikat wurde während seiner Planungsphase u.a. aufgrund datenschutzrechtlicher Bedenken kritisiert. Mittlerweile hat sich die EU geeinigt. Das Zertifikat soll einen QR-Code und eine Signatur enthalten. Angezeigt werden Name und Geburtsdatum des Inhabers. Im QR-Code selbst verbergen sich Informationen zur Impfung oder zu Testergebnissen. Gespeichert werden konkret beim Impfzertifikat Impfstoff und Hersteller, Anzahl der verabreichten Dosen und Datum der Impfung; beim Testzertifikat die Art des Tests, Datum und Uhrzeit des Tests, Testzentrum und Ergebnis; und beim Genesungszertifikat Datum des positiven Testergebnisses und Geltungsdauer. Die EU-Kommission betont, dass alle persönlichen Daten allein auf dem mobilen Endgerät gespeichert werden. Entgegen der Befürchtung von Datenschützern gibt es also keine zentrale Stelle, die diese Daten speichert.

Jede ausstellende Stelle (bspw. ein Impfzentrum) hat zusätzlich eine eigene Signatur, welche in dem Zertifikat gespeichert wird. Diese Signatur wird zu Kontrollzwecken in einer EU-weiten Datenbank gespeichert und kann über das Gateway überprüft werden. Dies betrifft den einzelnen Bürger aber nicht in seinen Daten.

Das Zertifikat kann bei Bedarf vorgelegt und gescannt werden, bspw. am Flughafen. Wird das Zertifikat erkannt, soll ein grünes Licht bei dem Scanner leuchten, die Person darf passieren. Dabei soll nicht ersichtlich sein, weswegen das Zertifikat ausgestellt wurde. Umstehende (auch bspw. Mitarbeiter am Flughafen) wissen also nicht, ob die Person geimpft, genesen oder negativ getestet ist. Leuchtet das Licht rot, ist das Zertifikat nicht gültig. Bei diesem Vorgang werden keine personenbezogenen Daten an andere EU-Staaten weitergegeben.

Weitere Antworten zu Detailfragen, sowie eine aktuelle Übersicht aller Länder die bereits Zertifikate ausstellen, sind auf den Seiten der europäischen Kommission zu finden.

Verwaltungsgericht Hamburg – Testpflicht für Schüler im Klassenraum verletzt den Datenschutz

14. Mai 2021

Nach einer Entscheidung des Hamburger Verwaltungsgerichts muss sich ein Grundschüler nicht an seiner Schule auf Corona testen lassen, um am Präsenzunterricht teilnehmen zu dürfen. Laut Beschluss vom 29. April (Az.: 2 E 1710/21) reiche ein negatives Ergebnis aus einem anerkannten Schnelltestzentrum, welches maximal 24 Stunden alt sei.

Die Schulbehörde hat gegen die Eilentscheidung Beschwerde beim Oberverwaltungsgericht eingelegt, wie ein Gerichtssprecher am Mittwoch mitteilte. Der Schüler hatte sich zu Hause testen lassen und der Schule nur das Ergebnis mitteilen wollen. Einen solchen Selbsttest akzeptiere das Verwaltungsgericht nicht. Eine Bescheinigung von einem Testzentrum sei schon erforderlich.

Seit dem 6. April müssen sich Schüler in Hamburg zweimal pro Woche unter Aufsicht an der Schule testen, wenn sie am Präsenzunterricht teilnehmen wollen. Als einzige Alternative ist ein PCR-Test erlaubt, der nicht älter als 48 Stunden sein darf.

Laut Verwaltungsgericht verletzt die Testpflicht an der Schule den Datenschutz, zumindest wenn ein Test positiv ausfällt und das Ergebnis an das Gesundheitsamt weitergeleitet werden muss. „Die derzeitige Ausgestaltung der testabhängigen Zugangsbeschränkung verstößt nach summarischer Prüfung gegen die Vorschriften der Datenschutzgrundverordnung“, so laut Beschluss. Die Datenerhebung setze Freiwilligkeit voraus. Die Alternative Homeschooling bedeute allerdings einen Nachteil für den Schüler, er könne sich darum nicht freiwillig entscheiden. Damit stützt das Gericht die Linie des Thüringer Datenschutzbeauftragten Lutz Hasse. Er sieht durch die Testpflicht im Klassenraum die Rechte der betroffenen Schüler massiv beeinträchtigt und verlangt von Schulen zumindest eine Einverständniserklärung der Eltern für dieses Procedere einzuholen.

Weshalb Fotos vom Impfausweis besser nicht gepostet werden

5. Mai 2021

Die Impfung gegen das Corona-Virus ist für viele Menschen auf der ganzen Welt aktuell das Licht am Ende des Tunnels. Die Impfquote und Impf-Geschwindigkeit nimmt in Deutschland stetig zu. Viele Menschen teilen ihre Freude über die erhaltene Impfung mit einem Foto des Impfausweises in sozialen Medien. Doch das ist aus verschiedenen Gründen keine gute Idee.

Zunächst enthält der Impfausweis sensible Gesundheitsdaten. Ärztliche Befunde, Gesundheitskarten oder der Impfausweis enthalten vertrauliche Informationen, die in der Regel nicht auf sozialen Medien geteilt werden sollten. Neben den Freundinnen und Bekannten erhalten auch die Betreiber der Netzwerke die Daten. Im Zusammenspiel mit der in Deutschland bestehenden Impfpriorisierung können daraus Rückschlüsse auf bestimmte, ernste Vorerkrankungen gezogen werden. Selbst wenn diese Rückschlüsse falsch sind, weil beispielsweise eine Krankenpflegerin oder der Ehemann einer Schwangeren geimpft wurden, bleiben sie dennoch im Fundus der Netzwerke.

Außerdem können Impfpass-Fälscher die Daten nutzen, um mit Hilfe der Chargennummer oder des Impfstempels Fälschungen in Umlauf zu bringen. Vor dem Hintergrund der sich abzeichnenden Aufhebung einiger Beschränkungen für Geimpfte dürfte dies aktuell ein lukratives Geschäft sein. Das Impfzentrum in Frankfurt am Main hat deshalb bereits angekündigt, Anzeige zu erstatten.

Mit den Chargennummern können Menschen zudem Impf-Nebenwirkungen an das Paul-Ehrlich-Institut melden. Bei tatsächlichen Nebenwirkungen sind diese Angaben wichtig, um Menschleben zu schützen, allerdings können so auch falsche Nebenwirkungen gemeldet werden, die dann der Pandemiebekämpfung insgesamt großen Schaden zufügen können. Die Freude über den erhaltenen Schutz vor einer Sars-Cov2-Infektion sollte daher lieber ohne Foto des Impfausweises geteilt werden.

1 2 3 5