Kontaktdaten: Risiken auch bei Erfassung mit Apps und Webservern

Bei technischen Angeboten zur Aufnahme von Kontaktdaten ist in der Regel ein Dienstleister gefragt

[datensicherheit.de, 28.08.2020] Die „Corona-Bekämpfungsverordnung Schleswig-Holstein“ verpflichte u.a. Gastronomen und Veranstalter zur Erfassung von Kontaktdaten ihrer Gäste. Diese Daten dürften aber nicht in falsche Hände gelangen. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD-SH) hat nach eigenen Angaben immer wieder auf Probleme hingewiesen: „Sammlungen per Liste, herumfliegende Zettel, in Einzelfällen sogar Missbrauch der Daten.“ Aufgeworfen wird die Frage in einer aktuellen Stellungnahme, ob es mit technischen Lösungen besser gehen würde.

Foto: Markus Hansen, ULD-SH

Marit Hansen zeigt sich offen für Entwicklung datenschutzfreundlicher Technik, die deutlich datensparsamer Kontaktdaten erheben könnte

Schon mehrfach Datenlecks bei Kontaktdaten-Servern vorgekommen

Für die Landesbeauftragte für Datenschutz Schleswig-Holstein, Marit Hansen, ist dies nach ULD-SH-Angaben nicht selbstverständlich: „Bei den Kontaktformularen sehen die Gäste, wie damit umgegangen wird. Gastronomen und Veranstalter können aktiv dafür sorgen, dass die Papierdaten so gelagert werden, dass sie für Unbefugte nicht zugänglich sind. Beim täglichen Schreddern nach der Aufbewahrungsfrist von vier Wochen bleiben nur noch kleine Schnipsel über – die Daten sind dann weg.“
Bei technischen Angeboten müsse man sich dagegen in der Regel auf Dienstleister verlassen. Leider seien schon mehrfach Datenlecks der Kontaktdaten-Server solcher Angebote vorgekommen. Das betreffe dann nicht nur ein einzelnes Restaurant, „sondern oft sind in solchen Fällen sämtliche gespeicherte Daten abrufbar“. Aus diesen Daten gehe hervor, „wer wann wo gegessen hat – und wer zur selben Zeit ebenfalls vor Ort war“.

Kontaktnachverfolgung nur im Infektionsfall zulässig

Nach Hansens Überzeugung sollten nicht nur Berufsgruppen wie Anwälte oder Journalisten darauf achten, „dass ihre Gesprächspartnerinnen und -partner nicht in ,Corona‘-Kontaktdatenbanken landen, bei denen es zu unerwünschten Abrufen kommen kann“. Im Prinzip betreffe es uns alle: „Es geht keinen etwas an, wo und wann wir essen gehen oder an Veranstaltungen teilnehmen.“ Deswegen sei die sichere Verwahrung der Daten so wichtig, die eben nur während der „Pandemie“ und nur für den Zweck der Kontaktnachverfolgung im Infektionsfall erfasst werden dürften.
Für Datenschutz und Datensicherheit von IT-Angeboten müsse der Betreiber ständig am Ball bleiben: „Pfusch geht nicht, Sorgfalt und Qualität sind stets mit Kosten verbunden.“ Die Landesbeauftragte für Datenschutz habe zwar Verständnis dafür, wenn man zur Vereinfachung technische Angebote wählen möchte, doch gebe sie zu bedenken: „Nicht jede Person hat ein Smartphone und kann ihre Daten per App oder Webbrowser melden. Das bedeutet für die Gastronomen und Veranstalter, dass ohnehin auch noch eine Lösung ohne Informationstechnik bereitgehalten werden muss.“

Marit Hansen offen für Entwicklung von Technik für datensparsame Erfassung der Kontaktdaten…

Offen zeigt sich Hansen demnach „für die Entwicklung datenschutzfreundlicher Technik, die deutlich datensparsamer Kontaktdaten erheben könnte – zum Beispiel mit pseudonymen digitalen Erreichbarkeitsadressen, die jeweils nur einmal verwendet werden und nicht den Namen und die Postadresse enthalten“.
Dies würde einige Datensicherheitsprobleme lösen. Doch es sei noch „Zukunftsmusik“ und in dieser Form bisher nicht in den aktuellen „Corona“-Verordnungen zugelassen. Heutzutage benötigten die Gesundheitsämter für ihre Aufgabe der Kontaktnachverfolgung den Namen und die Adresse.

Die häufigsten Fragen an das ULD zu Kontaktdaten

Das ULD verweist hierzu auf § 4 Abs. 2 „Corona-Bekämpfungsverordnung Schleswig-Holstein“ mit Stand v. 24.08.2020).

• Welche Kontaktdaten werden zum jeweiligen Datum abgefragt? Name, Anschrift und, soweit vorhanden, Telefonnummer oder E-Mail-Adresse.
• Wie lange werden die Daten aufbewahrt? Vier Wochen. Danach müssen sie vernichtet werden, z.B. geschreddert.
• Dürfen die Daten anderweitig verwendet werden? Nein! Die Kontaktdaten dürfen nicht für andere Zwecke (z.B. Werbung) verwendet werden.
• Wann muss ein Gastronom oder Veranstalter die Daten herausgeben? Nur wenn das Gesundheitsamt (die zuständige Behörde) die Daten anfordert. Das kann geschehen, wenn es darum geht, Infektionswege nachzuvollziehen und Personen, die sich angesteckt haben könnten, zu informieren.
• Woran muss ein Veranstalter oder Betreiber noch denken? Vor allem an die Datensicherheit: Bei Aufbewahrung und Umgang mit den Daten muss gewährleistet sein, dass Unbefugte darauf nicht zugreifen können.
• Und wenn der Datenschutz nicht eingehalten wird? Dann kann man sich beschweren. Das ULD geht jeder Beschwerde nach.

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 28.08.2020
Hinweise zur Erfassung von Kontaktdaten gemäß Corona-Bekämpfungsverordnung

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Sonderinformationen zu Datenschutz in der Corona-Krise

datensicherheit.de, 22.07.2020
Corona-Gästelisten: Kritik an Polizei-Zugriff

datensicherheit.de, 28.06.2020
Berlin: Musterformulare für Corona-Kontaktdatenerhebung / Maja Smoltczyk betont Notwendigkeit zur Einhaltung der DSGVO in der Gastronomie und anderen Dienstleistungsbetrieben