Ab Montag werden bundesweit Schnelltests für Friseure, Kosmetikstudios, Massagepraxen und andere „körpernahe Dienstleistungen“ vorgeschrieben sein, wenn der Kunde nicht durchgängig Maske trägt. Ein Testkonzept fehlt, Verwirrung garantiert. Und dass Testergebnisse Gesundheitsdaten sind, hat man vollständig übersehen.
Beispiel Nordrhein-Westfalen:
§ 12 i.V.m. § 4 Abs. 4 Satz 1 der neuen CoronaSchVO schreibt die Erhebung von Testdaten für alle „körpernahen Dienstleister“ vor, wenn nicht durchgängig eine Maske getragen werden kann (CoronaSchVO NRW v. 5.3.2021). Weiter heißt es in § 4 Abs. 4 Satz 2 CoronaSchVO:
„Das Ergebnis muss von einer der in der Coronatestungsverordnung vorgesehenen Teststelle schriftlich oder digital bestätigt werden.“ (Hervorhebung hinzugefügt)
Sucht man in der „Coronatestungsverordnung“ des Landes NRW nach einer Definition, welche „Teststellen“ dort „vorgesehen“ sind, findet man nichts (CoronaTestVO v. 19.2.2021). Vielleicht kommt ja noch über das Wochenende eine neue Fassung der CoronaTestVO mit einer Definition, was unter einer „Teststelle“ zu verstehen ist. Zum jetzigen Zeitpunkt kann sich jedenfalls keiner der betroffenen Dienstleister in dem großen Flächenland auf den Montag einrichten.
Sensible Gesundheitsdaten
Auch an Datenschutz hat offenkundig keiner der Verantwortlichen gedacht. Testergebnisse, die ab Montag tausendfach erhoben werden müssen, sind Gesundheitsdaten (Art. 4 Nr. 15 DSGVO) und daher als sensible Daten besonders geschützt (Art. 9 DSGVO). Sie dürfen nur dann erhoben werden, wenn der Betroffene ausdrücklich einwilligt oder wenn ein anderer der Erlaubnistatbestände des Art. 9 Abs. 2 DSGVO vorliegt.
- Keine Einwilligung:
Eine Einwilligung kommt – jedenfalls nach den strengen Maßstäben deutscher Datenschützer – nicht in Betracht, da sie stets „freiwillig“ sein muss (Art. 4 Nr. 11 DSGVO). Und von „Freiwilligkeit“ kann nicht ernsthaft die Rede sein, wenn es ohne Preisgabe des Gesundheitsdatums keinen Haarschnitt und keine Maniküre gibt. Selbst bei großzügigster Auslegung des Kopplungsverbots, das in Art. 7 Abs. 4 DSGVO geregelt ist, wird man zu keinem anderen Ergebnis kommen müssen (Plath in Plath (Hrsg.), DSGVO/BDSG, 3. Aufl. 2018, Art. 7 Rz. 18). - Öffentliche Gesundheitsbelange:
Bleibt noch die Möglichkeit, die Erhebung der Testdaten auf Art. 9 Abs. 2 Satz 1 lit. i DSGVO zu stützen – der Erforderlichkeit der Datenerhebung zum
„Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren“.
Ein gangbarer Weg, aber nur dann, wenn die gesetzliche Vorschrift zur Datenerhebung
„angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person“
vorsieht (Plath in Plath (Hrsg.), DSGVO/BDSG, 3. Aufl. 2018, Art. 9 Rz. 25 ff.). Von derartigen „Maßnahmen“, die eine Geheimhaltung und einen angemessenen Schutz der Testergebnisse vorsehen, fehlt zumindest in der neuen CoronaSchVO NRW v. 5.3.2021 jede Spur. Proteste der Datenschützer, Streit und Klagen sind vorprogrammiert.
Datenschutzkonforme Lösungen?
Die neuen Vorschriften zu Schnelltests wurden eilig gestrickt. So sinnvoll diese Vorschriften auch sein mögen, es fehlt an einem soliden Testkonzept und an durchdachten Lösungen, die auch die Vorgaben der DSGVO berücksichtigen.
Zeit genug hätte man gehabt, denn Schnelltests gibt es nicht erst seit gestern. Hätte man – wie von vielen Experten gefordert – schon spätestens seit dem vergangenen Herbst breitflächig Schnelltests eingesetzt, hätte man sich die jetzige Hau-Ruck-Aktion ersparen können und datenschutzkonforme Lösungen gewiss gefunden.
