Sie sind hier: > Start > Tätigkeitsberichte > 31. TB 2021 > 1. Überblick
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.05.2022
1. Überblick
1.1. Pandemiebekämpfung und Datenschutz
Auch im Jahr 2021 war die Pandemiebekämpfung mit erheblichen Belastungen der Menschen in Bayern verbunden.
Zu Beginn des Jahres 2021 etwa waren die bayerischen Schulen schlichtweg geschlossen; der Unterricht wurde zumeist mithilfe von Videokonferenzen und mebis organisiert. Für die Schülerinnen und Schüler bedeutete dies den zwangsläufigen Verzicht auf den Kontakt mit Gleichaltrigen - und gestresste Eltern, die oft auf beengtem Raum selbst im Homeoffice arbeiten mussten. Im Frühjahr kehrte man zwar allmählich zum Präsenzunterricht zurück, unbeschwert war dies gleichwohl nicht: Während des Präsenzunterrichts hatten die Schülerinnen und Schüler regelmäßig Masken zu tragen. Zudem mussten immer wieder ganze Klassen in Quarantäne geschickt werden. Im Frühjahr wurden regelmäßige Reihenselbsttests an Schulen, im Sommer auch für noch nicht eingeschulte Kinder eingeführt.
Der Besuch von Krankenhäusern, Heimen, Sporteinrichtungen, Freizeiteinrichtungen, personennahen Dienstleistungsbetrieben oder der Gastronomie wurde, soweit überhaupt möglich, an negative Testnachweise geknüpft und zudem von einer Kontaktdatenerfassung abhängig gemacht. Selbst- und Fremdschutz verhießen im Laufe des Jahres die Impfungen, an sie knüpften die Gesetzgeber in Bund und Ländern zudem ab dem Herbst gewisse Erleichterungen. Freilich wurden diese Erleichterungen auch an die Offenbarung des Impf- oder Teststatus geknüpft.
So notwendig diese beispielhaft genannten Maßnahmen zur Pandemiebekämpfung gewesen sein mögen: Sie schränkten grundrechtliche Freiheiten - darunter auch das Datenschutzgrundrecht - oft ganz erheblich ein. Dementsprechend führten sie bei mir zu zahlreichen Beschwerden von Bürgerinnen und Bürgern. Zugleich wandten sich Behörden mit Beratungsanfragen an mich, um eine datenschutzkonforme Ausgestaltung der Maßnahmen sicherzustellen. Diese Eingaben und Anfragen führten zu einem erheblichen Anstieg des Arbeitsaufkommens, obwohl ich im Jahr 2021 aus Gründen der Kontaktvermeidung weitgehend auf Vor-Ort-Kontrollen verzichten musste.
Im nachfolgenden Überblick werde ich auf einige datenschutzrechtlich bedeutsame Fragen zum Kontaktmanagement, zur Maskenpflicht, zum Test- und zum Impfmanagement in Bayern eingehen. Die Einzelheiten werden in den nachfolgenden Kapiteln des Tätigkeitsberichts näher beleuchtet.
1.1.1. Infektionsschutzgesetz und Bayerische Infektionsschutzmaßnahmenverordnungen
Die Regelungen zur Pandemiebekämpfung in ihrer Gesamtheit waren (und sind) komplex, zudem unterlagen sie auch im Jahr 2021 einem kontinuierlichen Wandel. Neben zahlreichen Spezialregelungen bildeten das Gesetz zur Verhütung und Bekämpfung von Infektionskrankheiten beim Menschen (Infektionsschutzgesetz - IfSG), und im Freistaat die Bayerischen Infektionsschutzmaßnahmenverordnungen (BayIfSMV) den rechtlichen Rahmen. Diese Regelungen bestimmten maßgeblich auch über die Zulässigkeit der Verarbeitung personenbezogener Daten im Zusammenhang mit der Bekämpfung der COVID-19-Pandemie.
Das Zusammenspiel von bundesgesetzlichen und landesrechtlichen Bestimmungen zur Pandemiebekämpfung kann vor allem am Beispiel des § 28a IfSG veranschaulicht werden, der einen Katalog besonderer Schutzmaßnahmen zur Verhinderung einer Ausbreitung von COVID-19 vorsieht. Die meisten dieser Schutzmaßnahmen setzten nicht zuletzt aufgrund ihrer Eingriffsintensität voraus, dass der Deutsche Bundestag zuvor eine "epidemische Lage von nationaler Tragweite" festgestellt hatte. Der Deutsche Bundestag traf die in § 5 Abs. 1 Satz 1 IfSG vorgesehene Feststellung einer solchen Lage mit Blick auf COVID-19 erstmals am 25. März 2020 und verlängerte diese Feststellung dann mehrmals. Für die Dauer der epidemischen Lage von nationaler Tragweite konnten die Länder nach § 32 in Verbindung mit § 28 Abs. 1 und § 28a Abs. 1 IfSG Rechtsverordnungen erlassen, die besondere Schutzmaßnahmen zur Verhinderung der Verbreitung von COVID-19 anordnen. Hiervon hat die Bayerische Staatsregierung Gebrauch gemacht. Im Berichtszeitraum wurden die 11., 12., 13., 14. und die 15. BayIfSMV erlassen und damit auch für die datenschutzrechtliche Beurteilung zahlreicher personenbezogener Datenverarbeitungsvorgänge relevant.
1.1.2. Kontaktmanagement und Datenminimierung
Zu Beginn der Pandemie standen bekanntlich weder Impfstoffe noch hinreichende Ressourcen für Testungen zur Verfügung. In dieser Zeit kam dem Kontaktmanagement eine besondere Rolle zu, die es weit in das Jahr 2021 hinein behielt. Zur Problematik der Kontaktdatenerfassung im Allgemeinen und zum polizeilichen Zugriff auf solche Kontaktdaten habe ich bereits im 30. Tätigkeitsbericht Stellung genommen (dort Nr. 1.1.1, 1.1.2).
Im Berichtszeitraum rückten nunmehr elektronische Hilfsmittel zum Kontaktmanagement stärker in den Vordergrund. Um die Kontaktnachverfolgung effektiver zu gestalten, beschaffte der Freistaat Bayern im Frühjahr 2021 eine Landeslizenz für die sog. Luca-App. Im Unterschied zur Corona-Warn-App (siehe dazu bereits mein 30. Tätigkeitsbericht, Nr. 1.1.3) sollte die von privater Hand entwickelte Luca-App die Kontaktverfolgung elektronisch, medienbruchfrei und insbesondere für die Gesundheitsämter leichter zugänglich durchführen. Es stellte sich allerdings bald nach ihren ersten Einsätzen heraus, dass die Luca-App erhebliche Datenschutzfragen aufwarf. Auf diese Fragen machte auch die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder wiederholt aufmerksam, zuletzt am 29. April 2021 und am 21. Mai 2021.
Zu technisch-organisatorischen Fragen im Zusammenhang mit dem Einsatz der Luca-App durch bayerische öffentliche Stellen sei auf Abschnitt Nr. 10.2.4 verwiesen.
Gegen Ende des Jahres zeigte sich zudem, dass die Luca-App den Erwartungen nicht gerecht werden konnte. Insbesondere gelang es nicht im erhofften Umfang, die Gesundheitsämter bei einer effektiven Nachverfolgung von Kontakten zu unterstützen. Mitunter mussten sich Gesundheitsämter auch mit unzutreffenden Kontaktangaben auseinandersetzen. Die datenschutzfreundlichere Corona-Warn-App (CWA) konnte die Gesundheitsämter jedenfalls bei hohen Infektionszahlen besser entlasten. Sie meldet die von ihr als kritisch identifizierten Kontakte nicht an die Gesundheitsämter, sondern ohne Personenbezug an die potentiell betroffenen Nutzerinnen und Nutzer der App.
Um die Bearbeitung von COVID-19-Kontaktfällen in den Gesundheitsämtern zu unterstützen und zu vereinheitlichen, wurde im November 2020 von Bund und Ländern der bundesweite Einsatz des elektronischen Verfahrens SORMAS (Surveillance Outbreak Response Management Analysis System) beschlossen. Ich habe die Einführung von SORMAS in Hinblick auf die bayerischen Gesundheitsämter begleitet. Die Implementierung verlief auch aus Datenschutzsicht nicht ohne Schwierigkeiten (vgl. Nr. 10.2.1).
1.1.4. Befreiung von der Maskenpflicht
Zu datenschutzrechtlichen Fragen im Zusammenhang mit einer Befreiung von der Maskenpflicht habe ich mich bereits in meinem 30. Tätigkeitsbericht 2020 unter Nr. 1.1.4 geäußert. Die Verpflichtung zum Tragen einer Mund-Nasen-Bedeckung war auch im Berichtszeitraum ein zentraler Baustein zur Eindämmung von COVID-19. In dem vom Bundesgesetzgeber festgelegten Katalog von Schutzmaßnahmen (§ 28a Abs. 1 IfSG) hat die Maskenpflicht als bewährtes Mittel einen festen Platz.
Ausnahmen von der Pflicht zum Tragen einer Maske sind insbesondere für Personen vorgesehen, denen die Verwendung wegen einer Behinderung oder aus gesundheitlichen Gründen nicht zumutbar ist. Auch im Hinblick auf die nachfolgende Darstellung der Rechtsentwicklung im Jahr 2021 möchte ich ausdrücklich klarstellen, dass ich das beschriebene Regel-Ausnahme-Verhältnis unter den Gesichtspunkten einer effektiven Pandemiebekämpfung nachvollziehen konnte und unterstützte.
Der frühen Rechtsprechung zufolge erforderte die Glaubhaftmachung einer Ausnahmesituation regelmäßig die Vorlage eines aussagekräftigen Attests. Diese ärztliche Bescheinigung sollte demzufolge nachvollziehbar und detailliert unter Angabe der Diagnose die daraus resultierenden Beeinträchtigungen beschreiben, die das Tragen der Mund-Nasen-Bedeckung unzumutbar machen. Diese Anforderung floss in den Wortlaut des § 1 Abs. 2 Nr. 2 11. BayIfSMV ein:
"(2) Soweit in dieser Verordnung die Verpflichtung vorgesehen ist, eine Mund-Nasen-Bedeckung zu tragen (Maskenpflicht), gilt:
- Kinder sind bis zum sechsten Geburtstag von der Tragepflicht befreit.
- Personen, die glaubhaft machen können, dass ihnen das Tragen einer Mund-Nasen-Bedeckung aufgrund einer Behinderung oder aus gesundheitlichen Gründen nicht möglich oder unzumutbar ist, sind von der Trageverpflichtung befreit; die Glaubhaftmachung erfolgt bei gesundheitlichen Gründen insbesondere durch eine ärztliche Bescheinigung, die die fachlich-medizinische Beurteilung des Krankheitsbildes (Diagnose), den lateinischen Namen oder die Klassifizierung der Erkrankung nach ICD 10 sowie den Grund, warum sich hieraus eine Befreiung der Tragepflicht ergibt, enthält.
- Das Abnehmen der Mund-Nasen-Bedeckung ist zulässig, solange es zu Identifikationszwecken oder zur Kommunikation mit Menschen mit Hörbehinderung oder aus sonstigen zwingenden Gründen erforderlich ist."
Die von § 1 Abs. 2 Nr. 2 11. BayIfSMV geforderte Glaubhaftmachung durch ein "sprechendes Attest" mit Beschreibung der Diagnose und der daraus resultierenden Beschwerden beim Maskentragen mag zwar im Allgemeinen dem Grundsatz der Verhältnismäßigkeit genügen, kann aber jedenfalls in Einzelfällen zu schwerwiegenden Beeinträchtigungen der Intimsphäre und damit zur unzumutbaren Offenbarung hochsensibler Daten führen. Auf diesen Umstand habe ich die Staatsregierung gemeinsam mit dem Präsidenten des Bayerischen Landesamts für Datenschutzaufsicht und dem Beauftragten für die Belange von Menschen mit Behinderung hingewiesen. Erfreulicherweise hat die Staatsregierung diese Bedenken aufgegriffen und die Anforderungen für die Befreiung von der Maskenpflicht in § 3 Abs. 1 Nr. 3 13. BayIfSMV geändert. Die seitdem fortgeführte Bestimmung verpflichtet Ärztinnen und Ärzte weiterhin zu aussagekräftigen Attesten. Hochsensible Diagnosen müssen darin aber nicht mehr offenbart werden:
"(1) Soweit in dieser Verordnung Maskenpflicht vorgesehen ist, gilt:
- Es ist eine medizinische Gesichtsmaske oder eine Mund-Nasen-Bedeckung (Maske) zu tragen.
- Kinder sind bis zum sechsten Geburtstag von der Tragepflicht befreit.
- Personen, die glaubhaft machen können, dass ihnen das Tragen einer Maske aufgrund einer Behinderung oder aus gesundheitlichen Gründen nicht möglich oder unzumutbar ist, sind von der Maskenpflicht befreit, solange dies vor Ort sofort insbesondere durch Vorlage eines schriftlichen ärztlichen Zeugnisses im Original nachgewiesen werden kann, das den vollständigen Namen, das Geburtsdatum und konkrete Angaben darüber enthalten muss, warum die betroffene Person von der Tragepflicht befreit ist.
- Die Maske darf abgenommen werden, solange es zu Identifikationszwecken oder zur Kommunikation mit Menschen mit Hörbehinderung oder aus sonstigen zwingenden Gründen erforderlich ist.
- Für Beschäftigte gilt die Verpflichtung während ihrer dienstlichen Tätigkeiten nur im Rahmen der arbeitsschutzrechtlichen Bestimmungen."
Über die veränderte Rechtslage informiert eine Gemeinsame Aktuelle Kurzinformation, die ich zusammen mit dem Bayerischen Landesamt für Datenschutzaufsicht herausgegeben habe. Insbesondere haben wir darauf hingewiesen, dass der Verantwortliche die Kenntnisnahme der erhobenen Informationen durch Unbefugte zuverlässig zu verhindern hat. Eine Dokumentation der ärztlich attestierten Befreiung von der Maskenpflicht durch Kontrollberechtigte ist grundsätzlich nicht geboten. Sofern sie im Einzelfall vorgeschrieben ist, darf die Tatsache der Befreiung, der ausstellende Arzt sowie gegebenenfalls der Gültigkeitszeitraum des Attests in die zu führenden Unterlagen aufgenommen werden. Eine Kopie des ärztlichen Zeugnisses ist unzulässig. Sobald sie für Nachweiszwecke nicht mehr erheblich sind, sind die erfassten Daten umgehend zu vernichten oder zu löschen (zur Veröffentlichung siehe auch Nr. 2.1).
1.1.5. Testmanagement
Neben der Maskenpflicht sollen auch Testungen maßgeblich zur Eindämmung der Verbreitung von COVID-19 beitragen. Auch wenn insbesondere Schnelltests weniger ergebnissicher als PCR-Tests sind, kann so zumindest ein beträchtlicher Teil infizierter und damit in der Regel auch infektiöser Personen festgestellt werden. Aus Sicht des Verordnungsgebers leisten Schnelltests im Rahmen eines Gesamtkonzepts zur Pandemiebekämpfung einen unverzichtbaren Beitrag. Als Datenschutz-Aufsichtsbehörde habe ich diese fachliche Bewertung respektiert. Dieser Umstand ändert freilich nichts daran, dass die Verantwortlichen zentrale Datenschutzgrundsätze wie die der Datenminimierung, Zweckbindung und der Vertraulichkeit zu wahren haben (zum Problem der Datenübermittlung siehe etwa Nr. 7.3.2 und Nr. 7.7).
Auch möchte ich im Zusammenhang mit der Teststrategie der Staatsregierung auch auf eine Entschließung der Datenschutzkonferenz hinweisen, welche die Beachtung des Grundsatzes der Rechtmäßigkeit im Zusammenhang mit der Verarbeitung des Nachweises negativer Testergebnisse in Beschäftigungsverhältnissen angemahnt hat.
Nicht zuletzt weise ich an dieser Stelle auch auf die anlassbezogene Reihentestung in einer Rehabilitations- und Pflegeeinrichtung hin (Nr. 7.3).
1.1.6. Insbesondere: Testungen an Schulen
Zahlreiche Beschwerden im Zusammenhang mit der Teststrategie der Staatsregierung betrafen die Testungen an den bayerischen öffentlichen Schulen. Dort kamen regelmäßig Corona-Selbsttests zum Einsatz. Diese Tests führen Schülerinnen und Schüler unter Aufsicht einer Lehrkraft durch.
In Beschwerden bei mir machten Erziehungsberechtigte geltend, durch die Selbsttestung an Schulen werde nicht nur die selbstbestimmte Entwicklung ihrer Kinder gefährdet, sondern auch das informationelle Selbstbestimmungsrecht beeinträchtigt: Bei einem Test "vor aller Augen" würden positive Ergebnisse sogleich im Klassenverband bekannt; daran könnten soziale Repressionen anknüpfen. Das sei bei einem Test zuhause nicht der Fall.
Die vorgebrachten Datenschutzbedenken konnte ich zwar grundsätzlich nachvollziehen. Gleichwohl erwies sich die fragliche Datenverarbeitung nicht als unzulässig. Nach meinem Dafürhalten hat der Verordnungsgeber insoweit nachvollziehbar angenommen, dass die häusliche Testung gegenüber der Testung an der Schule kein gleich effektives Mittel darstellt. Eine ordnungsgemäße Testung in häuslicher Umgebung konnte durch die Schule nicht gewährleistet werden. In dieser Einschätzung sah ich mich im Ergebnis durch mehrere Entscheidungen des Bayerischen Verwaltungsgerichtshofs bestätigt (siehe Nr. 9.1).
1.1.7. Transparenz der Verarbeitung: Positivbeispiel Impfmanagement
Der zentrale Baustein der Pandemiebekämpfung dürfte im Laufe des Jahres 2021 die Impfstrategie der Staatsregierung gewesen sein. Dementsprechend bildeten die technischen und organisatorischen Maßnahmen rund um das Bayerische Impfmanagement einen Schwerpunkt meiner aufsichtsbehördlichen Tätigkeit. Für die einzurichtenden Impfzentren in Bayern strebte das Bayerische Staatsministerium für Gesundheit und Pflege die Entwicklung einer einheitlichen bayerischen Softwarelösung für die elektronische Impfanmeldung und die Impfverwaltung (BayIMCO) an. Diese Software sollte die einheitliche Klärung der Impfberechtigung, die Erfassung des jeweiligen Impfstatus und eine für die Durchführung von Impfungen erforderliche Kommunikation mit Bürgerinnen und Bürger unterstützen. Dabei band mich das Gesundheitsministerium frühzeitig in die rechtliche wie auch technisch-organisatorische Beurteilung ein. Zudem legte es eine ausführliche Datenschutz-Folgenabschätzung vor und erstellte zudem ausführliche Datenschutzinformationen für die Bürgerinnen und Bürger; auch diese Informationen lagen mir rechtzeitig zur Prüfung vor (siehe Nr. 10.2.2).
1.1.8. Zwischenbilanz
Die vorangegangene Darstellung datenschutzrechtlicher Herausforderungen hat einen repräsentativen Ausschnitt von Verarbeitungsvorgängen aus dem Kontext der Pandemiebekämpfung in den Blick genommen. Die verstärkte Nutzung von Office-Anwendungen aus Drittländern (Nr. 2.2) oder die Durchführung elektronischer Fernprüfungen an Hochschulen (Nr. 9.2) sind Datenschutzthemen, die zwar nicht die Bekämpfung der COVID-19-Pandemie betreffen, jedoch in ihrem Verlauf unerwartet in den Mittelpunkt des Interesses gerückt sind.
Insgesamt unterstreichen meine aufsichtsbehördlichen Kontrollen, dass die verständige Beachtung der zentralen Datenschutzgrundsätze die zuständigen öffentlichen Stellen bei der Pandemiebekämpfung oft nicht behinderte, sondern bei ihrer Aufgabenerfüllung unterstützte. Das gilt namentlich für den Grundsatz der Datenminimierung, der letztlich eine Ausprägung des Erforderlichkeitsprinzips ist und vor überschießender Verarbeitung bewahrt (siehe etwa Nr. 1.1.2). Die öffentlichen Stellen sind auch gut beraten, den Grundsatz der Transparenz zu beachten, der maßgeblich zur Akzeptanz ihrer Maßnahmen beiträgt (zum Positivbeispiel BayIMCO siehe Nr. 1.1.7, Nr. 10.2.2).
1.2. Schlussbemerkung
Die nachfolgenden Beiträge geben einen Überblick zu meiner Tätigkeit im Jahr 2021. Sie zeigen, dass ich auch außerhalb des Themenkreises "Datenschutz in der COVID-19-Pandemie" zahlreiche Gesetzgebungsverfahren begleiten konnte. Das Aufkommen an behördlichen Beratungsanfragen, an Beschwerden wie auch an Meldungen von Datensicherheitsverletzungen ist unvermindert hoch, sodass ich insofern auch für diesen Berichtszeitraum nur eine kleine Zahl von Fällen auswählen konnte. Ich hoffe, dass meine Hinweise die bayerischen öffentlichen Stellen bei der Wahrnehmung ihrer datenschutzrechtlichen Verantwortung nachhaltig unterstützen.
- Vom 20. Juli 2000 (BGBl. I S. 1045), im Berichtszeitraum zuletzt geändert durch Gesetz vom 10. Dezember 2021 (BGBl. I S. 5162). [Zurück]
- Plenarprotokoll 19/154, 19169C. [Zurück]
- Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, Stellungnahme zu Kontaktnachverfolgungssystemen - insbesondere zu "Luca" der culture4life GmbH vom 29. April 2021, Internet: https://www.datenschutzkonferenz-online.de/media/st/20210429_DSK-Stellungnahme_LUCA.pdf (externer Link); Stellungnahme zur Verantwortlichkeit bei der Nutzung von Kontaktnachverfolgungssystemen wie der Luca App vom 21. Mai 2021, Internet: https://www.datenschutzkonferenz-online.de/media/st/DSK-Stellungnahme_Luca_Verantwortlichkeit.pdf (externer Link). [Zurück]
- Vgl. etwa Bayerischer Verwaltungsgerichtshof, Beschluss vom 8. September 2020, 20 NE 20.1999, BeckRS 2020, 21902. [Zurück]
- Vom 15. Dezember 2020 (BayMBl. Nr. 737). [Zurück]
- Vom 5. Juni 2021 (BayMBl. Nr. 384). [Zurück]
- Bayerischer Landesbeauftragter für den Datenschutz/Bayerisches Landesamt für Datenschutzaufsicht, Befreiung von der Maskenpflicht aus gesundheitlichen Gründen, Gemeinsame Aktuelle Kurz-Information 1, Stand 11/2021, Internet: https://www.datenschutz-bayern.de/datenschutzreform2018/gaki01.html. [Zurück]
- Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, Coronavirus: Impfnachweis, Nachweis negativen Testergebnisses und Genesungsnachweis in der Privatwirtschaft und im Beschäftigungsverhältnis gehören gesetzlich geregelt!, Entschließung vom 29. März 2021, Internet: https://www.datenschutzkonferenz-online.de/media/en/20210331_entschliessung_impfdatenverarbeitung.pdf (externer Link). [Zurück]
- Vgl. etwa Bayerischer Verwaltungsgerichtshof, Beschluss vom 12. Oktober 2021, 25 NE 21.2471, BeckRS 2021, 33613, Rn. 19; Beschluss vom 28. September 2021, 25 NE 21.2372, BeckRS 2021, 30952, Rn. 51. [Zurück]