Datenschützer schlagen AlarmAn diesen Orten liegen deine Corona-Daten

Hier eine Adresse eintragen, dort die Personalausweisnummer, mal eben registrieren oder den Test vorzeigen. Während Corona wurden überall Daten gesammelt. Die müssen jetzt gelöscht werden, doch die Lage ist unübersichtlich. Wir veröffentlichen jetzt eine Liste, wo überall Daten liegen können.

Hand schreibt auf Papier Kontaktdaten
Corona-Daten liegen in unterschiedlichster Form vor – unter anderem auf Papier. – Alle Rechte vorbehalten IMAGO / Ralph Peters

Während mehr als zwei Jahren Pandemie mussten Bürger:innen an zahlreichen Stellen und aus unterschiedlichsten Gründen ihre Daten hinterlassen. Für die meisten dieser Daten sind mittlerweile die Rechtsgrundlagen entfallen oder die Fristen abgelaufen. Fraglich ist allerdings, ob alles auch gelöscht wurde. Die niedersächsische Datenschutzbeauftragte Barbara Thiel schlägt deshalb Alarm: „Es darf nicht sein, dass riesige Datensammlungen erhalten bleiben, für die es keine gesetzliche Grundlage mehr gibt.“ Ihr Baden-Württembergischer Kollege Stefan Brink fordert, „grundsätzlich alle pandemiebedingten Eingriffe nach der Pandemie auf den Prüfstand zu stellen und auch wieder zurückzunehmen.“

Dabei ist die Lage der Corona-Daten mehr als unübersichtlich. netzpolitik.org veröffentlicht deswegen erstmals eine Liste bekannter Orte, die im Rahmen der Pandemie Daten erhoben haben. Die Liste (PDF), die weder vollständig noch eine offizielle amtliche Aufstellung ist, hat Barbara Thiel uns auf Anfrage zusammengestellt. Abweichungen zu anderen Bundesländern sind möglich.

An zehntausenden Orten Daten gesammelt

  • Zehntausende Betriebe – von Restaurants über Thermalbäder bis zum Friseur – haben Daten von Bürger:innen gesammelt. Hierbei ging es einmal um eine Sammlung von Kontaktdaten zur Nachverfolgung von Infektionen, sowie um Datensätze, die aufgrund von Zutrittsbeschränkungen erhoben wurden, bei denen überprüft wurde, ob jemand geimpft, genesen oder getestet ist.
  • Auch in Schulen fielen verschiedene Datensätze an: Hier wurden Befreiungen von der Maskenpflicht oder der Präsenzpflicht gesammelt, zudem gab es auch hier Datensammlungen aufgrund von Zutrittsbeschränkungen. Ähnliche Daten wurden auch an Universitäten und Hochschulen erhoben.
  • In Krankenhäusern, Alten- und Pflegeheimen wurden Daten von Zutrittsbeschränkungen und Daten zur Kontaktnachverfolgung erhoben. Arztpraxen erhoben Kontaktdaten zur Nachverfolgung ebenso wie staatliche Stellen und Behörden dies taten.
  • In Impfzentren wurden Daten bei der Terminvereinbarung erhoben, diese sollten nach der zweiten Impfung wieder gelöscht werden.
  • In Test-Zentren werden noch bis zum Ende des Jahre 2024 Datum, Uhrzeit und Testergebnis von Schnell- und PCR-Tests gespeichert werden.
  • Apotheken speicherten den Bezugsschein für die kostenlosen Masken, mussten ihn aber sofort nach Ausgabe wieder löschen. Gleiches gilt für die Krankenkassen. Diese speicherten zudem auch Daten beim Versand des Anschreibens zur Priorisierung der Impftermine wegen Vorerkrankungen.
  • Auch bei den mehr als 400 Gesundheitsämter werden fleißig Daten zusammengetragen. Einerseits sammelt das Amt Daten von Kontaktpersonen von Infizierten, die es nach vier Wochen löschen muss. Zum anderen werden die Meldungen einer Corona-Erkrankung auch beim Gesundheitsamt gespeichert. Die Angaben von bislang knapp 25 Millionen Menschen werden dort nun für die nächsten 15 Jahre gespeichert.

Dazu kommen zahlreiche Daten von Beschäftigten, die in ihren Betrieben nachweisen mussten, dass sie geimpft, genesen oder getestet sind. Auch diese Daten müssen mit dem Wegfall der Verordnungen gelöscht werden.

Eilig eingeführte Cloud-Dienste

Der baden-württembergische Datenschutzbeauftragte Stefan Brink weist zudem darauf hin, dass Betriebe, die während der Pandemie zügig eingeführten Cloud-Dienste (Home-Office-Anwendungen, Videokonferenzen) auch datenschutzkonform betreiben müssten. Teilweise gehe die Nutzung solcher Dienste mit einer sehr detaillierten Vollüberwachung der Beschäftigten einher. Auch müssten Hochschulen während der Pandemie eingeführte Online-Prüfungssoftware datenschutzkonform betreiben.

Barbara Thiel, die Landesbeauftragte für den Datenschutz Niedersachsen, sagt: „Es gab gute Gründe, während der Corona-Pandemie verschiedene personenbezogene Daten zu erheben und zu speichern. Die Pandemie ist zwar noch nicht vorbei, aber trotzdem sind in den vergangenen Wochen zahlreiche Rechtsgrundlagen für die Verarbeitung von Corona-Daten und damit auch für deren Speicherung weggefallen. Deshalb müssen die für die Datenverarbeitung verantwortliche Stellen sehr sorgfältig prüfen, welche Daten eventuell noch bei ihnen vorliegen und ob sie diese nicht schon längst hätten löschen müssen.“

Papierlisten ordnungsgemäß vernichten

Tipps für alle, die Daten auf Papier vorhalten, hat ein Sprecher der Berliner Datenschutzbeauftragten: „Die Verantwortlichen müssen die Daten ordnungsgemäß löschen bzw. vernichten, etwa mittels eines Aktenvernichters der Sicherheitsstufe P4. Es genügt nicht, Papier von Hand zu zerreißen oder einfache Aktenvernichter mit breitem Streifenschnitt zu verwenden. Falls eine digitale Anwendung genutzt wurde, muss möglicherweise ein Auftragsverarbeiter mit der Datenlöschung beauftragt werden, sofern dies nicht bereits vertraglich vorgesehen ist.“

5 Ergänzungen

  1. Hallo,
    danke für die Infos. Wisst Ihr denn, wo mensch nachfragen kann, ob die Termine fürs Impfzentrum auch gelöscht wurden? Denn die sind ja jetzt geschlossen?
    Grüße,

    1. Meiner Erfahrung nach ist es bei solchen Sachen tatsächlich sinnvoller, einfach nichts zu machen. Einen Nachweis, dass wirklich gelöscht wurde, erhältst du eh nicht, und die meisten dieser Daten sind für die Betreiber relativ wertlos, und werden tatsächlich in absehbarer Zeit gelöscht werden. Datenschutz funktioniert in Deutschland einfach nicht, allen Gesetzen zum Trotz. Wenn du da nachfragst, stößt du einen Vorgang an, der leider meistens dazu führt, dass deine Daten erst recht aufbewahrt werden, verknüpft mit mit deinen Nachfragen und Einwänden. Einzig, wenn es Löschknöpfe gibt, so wie in der Luca app, sollte man sie vor dem löschen der App drücken.

  2. Was mir hier zudem fehlt ist die Nennung der digitalen Programme, die alle fleißig (immer noch) sammel/te/n. Dazu Namen aller Beteiligten wie z.b. die UBIRCH GmbH oder dcc-rules, Google und Co. Da ist die PDF leider absolut nicht aussagekräftig.

    Wie viele wissen… wenn Daten erst einmal weg sind, gibt es keinen Weg diese löschen zu lassen. Geschweige denn „zurückzuholen“ oder es nachweislich nachzuvollziehen.

    Das muss und sollte und überhaupt ist leider genauso realitätsfremd wie dass der hiesige Datenschutz für den Schutz von Daten zuständig ist. Nebelkerze eben.

    Der Schutz ihrer Daten ist uns sehr wichtig. Genau, deswegen werden auch immer mehr Daten erfasst. Genau hier liegt der Fehler.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.