Ist die aktuelle Corona-Kontaktdatenerfassung in Hessen nach Neufassung des § 28a Infektionsschutzgesetz in Teilen rechtswidrig?
Diese Frage richtet ein Hessischer Bürger an den Hessischen Datenschutzbeauftragten. Seine Anfrage hat er der Bürgerrechtsgruppe dieDatenschützer Rhein Main zur Veröffentlichung in anonymisierter Form zur Verfügung gestellt.
Hintergrund der Anfrage ist die Praxis der Polizeibehörden aus mehreren Bundesländern (auch Hessen), die in den letzten Monaten Corona-Kontaktlisten nach eigenem Gutdünken für eigene Zwecke genutzt haben.
Beim Blick in die vom anfragenden Bürger genannten Rechtsgrundlagen erscheinen seine Fragen und seine Kritik an der hessischen Corona-Kontakt- und Betriebsbeschränkungsverordnung berechtigt.
- § 28a Abs. 1 Ziff. 17 Infektionsschutzgesetz (IfSG) lautet: „Notwendige Schutzmaßnahmen im Sinne des § 28 Absatz 1 Satz 1 und 2 zur Verhinderung der Verbreitung der Coronavirus-Krankheit-2019 (COVID-19) können für die Dauer der Feststellung einer epidemischen Lage von nationaler Tragweite nach § 5 Absatz 1 Satz 1 durch den Deutschen Bundestag insbesondere sein… 17. Anordnung der Verarbeitung der Kontaktdaten von Kunden, Gästen oder Veranstaltungsteilnehmern, um nach Auftreten einer Infektion mit dem Coronavirus SARS-CoV-2 mögliche Infektionsketten nachverfolgen und unterbrechen zu können.“
- § 28a Abs. 4 Infektionsschutzgesetz (IfSG) lautet: „Im Rahmen der Kontaktdatenerhebung nach Absatz 1 Nummer 17 dürfen von den Verantwortlichen nur personenbezogene Angaben sowie Angaben zum Zeitraum und zum Ort des Aufenthaltes erhoben und verarbeitet werden, soweit dies zur Nachverfolgung von Kontaktpersonen zwingend notwendig ist. Die Verantwortlichen haben sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist. Die Daten dürfen nicht zu einem anderen Zweck als der Aushändigung auf Anforderung an die nach Landesrecht für die Erhebung der Daten zuständigen Stellen verwendet werden und sind vier Wochen nach Erhebung zu löschen. Die zuständigen Stellen nach Satz 3 sind berechtigt, die erhobenen Daten anzufordern, soweit dies zur Kontaktnachverfolgung nach § 25 Absatz 1 erforderlich ist. Die Verantwortlichen nach Satz 1 sind in diesen Fällen verpflichtet, den zuständigen Stellen nach Satz 3 die erhobenen Daten zu übermitteln. Eine Weitergabe der übermittelten Daten durch die zuständigen Stellen nach Satz 3 oder eine Weiterverwendung durch diese zu anderen Zwecken als der Kontaktnachverfolgung ist ausgeschlossen…“
- In der hessischen Corona-Kontakt- und Betriebsbeschränkungsverordnung (Stand: 26.11.2020) ist in § 1 Abs. 2a Ziff. 3 für „Zusammenkünfte von Glaubensgemeinschaften“ geregelt: „Name, Anschrift und Telefonnummer der Teilnehmerinnen und Teilnehmer ausschließlich zur Ermöglichung der Nachverfolgung von Infektionen von der Veranstalterin oder dem Veranstalter erfasst werden; diese haben die Daten für die Dauer eines Monats ab Beginn der Zusammenkunft, Trauerfeierlichkeit oder Bestattung geschützt vor Einsichtnahme durch Dritte für die zuständigen Behörden vorzuhalten und bei bestätigter Infektion mindestens einer Teilnehmerin oder eines Teilnehmers diesen zu übermitteln sowie unverzüglich nach Ablauf der Frist sicher und datenschutzkonform zu löschen oder zu vernichten; die Bestimmungen der Art. 13, 15, 18 und 20 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr… (Datenschutz-Grundverordnung)… zur Informationspflicht und zum Recht auf Auskunft zu personenbezogenen Daten finden keine Anwendung; die Teilnehmerinnen und Teilnehmer sind über diese Beschränkungen zu informieren“.
- Eine inhaltlich gleiche Regelung für andere „Zusammenkünfte… und Veranstaltungen“ findet sich in § 1 Abs. 2b Ziff. 2 der Verordnung.
Ob mit dieser Regelung in der hessischen Corona-Kontakt- und Betriebsbeschränkungsverordnung der Zugriff von Ermittlungsbehörden auf die Kontaktdaten ausgeschlossen ist, geht aus dem Wortlaut leider nicht hervor. Dass hier Fragen berechtigt und notwendig sind, wird auch beim Blick in die Neunte Bayerische Infektionsschutzmaßnahmenverordnung vom 30.11.2020 deutlich, in der in §4 Abs. 3 ausdrücklich festgelegt ist: „Die Befugnisse der Strafverfolgungsbehörden bleiben unberührt.“
Und dann fallen noch <Kleinigkeiten> auf, so z. B., dass die Frist für die Aufbewahrung der Kontaktdaten nach § 28a Abs. 4IfSG vier Wochen beträgt, nach der hessischen Corona-Kontakt- und Betriebsbeschränkungsverordnung aber auf einen Monat festgelegt wird.
Auf die Stellungnahme des Hessischen Datenschutzbeauftragten zur oben dokumentierten Anfrage darf man gespannt sein.
Passt!
In der Bayerischen Staatszeitung (!) erschien heute ein Beitrag unter der Überschrift
Corona-App und Datenschutz: Vertrauen verspielt
Der Verfasser schreibt darin u. a.:
Wie schnell Daten zur Infektionsbekämpfung zweckentfremdet werden, zeigt das Beispiel Gastronomie… Die Corona-Gästelisten wurden statt zum Contact-Tracing bisher anscheinend eher von der Polizei zur Ermittlung von Straftaten genutzt. Zwei Dutzend Fälle sind offiziell bekannt – darunter auch Kleinstdelikte wie Beleidigungen. Wie viele Gäste mithilfe der Listen über mögliche Infektionsrisiken informiert wurden, weiß das bayerische Gesundheitsministerium hingegen nicht. Künftig sollen die Restaurantbesuche aber auch in der Corona-Warn-App gespeichert werden. Statt Lockerungen beim Datenschutz zu fordern, sollte eine Garantie abgegeben werden, dass die Daten nicht für andere Zwecke missbraucht werden…
Quellenangabe zum Nachlesen:
https://www.bayerische-staatszeitung.de/staatszeitung/politik/detailansicht-politik/artikel/corona-app-und-datenschutz-vertrauen-verspielt.html#topPosition
Es ist erfreulich zu lesen, dass das InfSchG, was die Zweckbestimmung betrifft, so eindeutig ist. So werden die Kontaktdaten ausschließlich der Nachverfolgung von Infektionsketten zugewiesen. Damit ist der Wille des Gesetzgebers eindeutig. Die Verwendung zu Zwecken der Strafverfolgung oder der Gefahrenabwehr hat sich damit erledigt. Landesrecht wie die Bayerische Verordnung kann hiervon nicht abweichen. Bundesrecht, wie das InfSchG, geht Landesrecht immer vor. Selbst Bundesrecht, wie in der Strafprozessordnung wird durch die speziellere Regelungen des InfSchG verdrängt.
Eine ähnlich strege Zweckbindung haben wir bereits bei den Mautdaten. Jetzt bleibt zu hoffen, dass sich die öffentliche Verwaltung, insbesondere Staatsanwaltschaft und Polizei, auch daran halten.
Von Roland Schäfer