Informationen zur Speicherung von vorgelegten Test-, Genesenen- und Impfnachweisen im Zusammenhang mit COVID-19
Ausgangslage
Das Unabhängige Landeszentrum für Datenschutz (ULD) erhielt in den letzten Wochen eine Vielzahl an Beschwerden von Gästen hinsichtlich des Fotografierens, Scannens und Speicherns von Test-, Genesenen- und Impfnachweisen durch Gaststätten und Beherbergungsbetriebe im Zusammenhang mit den landesrechtlichen Vorgaben zur Pandemiebekämpfung. Auch würden Gäste derzeit von Beherbergungsbetrieben vermehrt dazu aufgefordert, die Test-, Genesenen- und Impfnachweise vorab per E-Mail zu übermitteln, auf einen Server hochzuladen oder anderweitig vorab zu übermitteln.
Rechtliche Bewertung
Vorgaben hinsichtlich des Test-, Genesenen- und Impfstatus von Personen finden sich in der jeweils gültigen Corona-Bekämpfungsverordnung Schleswig-Holstein (Corona-BekämpfVO) – gegebenenfalls in Verbindung mit Allgemeinverfügungen der Landkreise und kreisfreien Städte, die sich ihrerseits jedoch im Rahmen der Landesverordnung halten müssen. Nach der Corona-Bekämpfungsverordnung gilt für bestimmte Einrichtungen (u. a. Gaststätten und Beherbergungsbetriebe), dass z. B. eine Beherbergung von Personen oder Bewirtung von Gästen innerhalb geschlossener Räume nur zulässig ist, wenn diese im Sinne von § 2 Nummer 2, 4 oder 6 COVID-19-Schutzmaßnahmen-Ausnahmenverordnung (SchAusnahmV) geimpft, genesen oder getestet sind. Demnach müssen die Einrichtungen gewährleisten, dass diese Vorgaben eingehalten werden. Hierzu reicht in der Regel jedoch eine kurze Einsichtnahme in die entsprechenden Nachweise vor Ort aus. Zudem kann der Umstand vermerkt werden, dass kontrolliert wurde. Auf Grundlage der aktuellen Corona-BekämpfVO besteht jedoch keine Verpflichtung, diese Nachweise der Gäste in irgendeiner Form zu speichern.
Bei Informationen hinsichtlich des Test-, Genesenen- oder Impfstatus einer Person handelt es sich um Gesundheitsdaten im Sinne des Art. 4 Nr. 15 Datenschutz-Grundverordnung (DSGVO). Diese Daten unterliegen einem höheren Schutzbedarf und es sind zudem auch höhere Anforderungen an die Wirksamkeit der technischen organisatorischen Maßnahmen gemäß Art. 24 Abs. 1 DSGVO zu stellen. Dies gilt auch für die Übermittlung von Test-, Genesenen- und Impfnachweisen per E-Mail oder durch ein Hochladen auf einen Server. Eine Rechtsgrundlage zur Verarbeitung dieser Daten kann sich nur aus Art. 6 Abs. 1 in Verbindung mit Art. 9 Abs. 2 DSGVO (und gegebenenfalls weiteren landesrechtlichen Regelungen) ergeben.
Ergebnis
Nach der aktuell gültigen Corona-BekämpfVO besteht für Gaststätten und Beherbergungsbetriebe keine Verpflichtung, Test-, Genesenen- und Impfnachweise von Gästen zu speichern. Dementsprechend besteht insbesondere keine Verpflichtung, solche Nachweise der Gäste vor Anreise per E-Mail zu erheben. Eine Obliegenheit zur Speicherung von Test-, Genesenen- und Impfnachweisen der Gäste könnte sich auch nur aus der Corona-BekämpfVO/Art. 9 Abs. 2 DSGVO ergeben.
Ohne eine Rechtsgrundlage dürfen Test-, Genesenen- und Impfnachweise von Gästen nicht gespeichert werden. Test-, Genesenen- und Impfnachweise, die ohne entsprechende Rechtsgrundlage erhoben wurden, sind umgehend zu löschen. Die Verarbeitung von Gesundheitsdaten ohne Rechtsgrundlage ist nicht rechtmäßig.
Es wird darauf hingewiesen, dass bei festgestellten Verstößen gegen die Datenschutz-Grundverordnung die Landesbeauftragte für Datenschutz nach Art. 58 Abs. 2 DSGVO befugt ist, eine Verwarnung auszusprechen oder Maßnahmen anzuordnen, um die Datenverarbeitung in Einklang mit den Vorgaben der Datenschutz-Grundverordnung zu bringen. Darüber hinaus können nach Art. 83 Abs. 4-6 DSGVO bestimmte Verstöße gegen die Datenschutz-Grundverordnung mit einem Bußgeld geahndet werden.
Stand: 1. November 2021, Grundlage ist die Corona- Bekämpfungsverordnung des Landes Schleswig-Holstein (verkündet am 15. September mit den Änderungen vom 13. Oktober, in Kraft ab 17. Oktober).