Berichten des WDR und der Tagesschau vom 22.06.2021 zufolge https://www.tagesschau.de/investigativ/wdr/sicherheitsluecken-testzentren-101.html https://www.tagesschau.de/multimedia/audio/audio-109019.html sollen IT-Aktivisten mit vergleichsweise geringem Aufwand den Zugang zu Buchungs- und Testbestätigungen der Testkette Coronapoint entschlüsselt haben. Sie könnten danach rund 175.000 PDFs mit Buchungsbestätigungen oder Testergebnissen abrufen, die mehrere zehntausend Menschen vor allem in Nordrhein-Westfalen beträfen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll laut dem Bericht der Tagesschau bestätigt haben, dass es sich um ein „gravierendes IT-Sicherheits- und Datenschutzproblem“ handle. Dabei sollen die vielen Tausend Datensätze nicht nur Namen, Geburtsdaten, Adressen, Telefonnummern, Passwörter und Testergebnisse enthalten – sondern in vielen Fällen auch die Personalausweisnummern von Kunden.
Identitätsdiebstahl wäre mit den o.g. Daten leicht möglich. Kriminelle können damit erheblichen finanziellen Schaden für die Betroffenen verursachen, u.a. durch die Eröffnung zahlungspflichtiger Accounts, Kreditaufnahme oder den Abschluss von Onlinegeschäften.
Unabhängig von der Sicherheitslücke ist die Abfrage der Personalausweisnummer als solche in den meisten Fälle nicht erforderlich und würde daher unter Umständen gegen die Vorschriften des Datenschutzrechts verstoßen. Nach Art. 5 Abs. 1 lat. c DSGVO dürfen grundsätzlich nur Daten erhoben werden, die „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“)“. Der Grundsatz der Datenminimierung fließt ebenfalls in die Beurteilung der freiwilligen Einwilligung zur Datenerhebung. So muss gemäß Art. 7 Abs. 4 DSGVO bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, „dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind“ (s.g. Koppelungsverbot). Bei den kostenlosen Corona-Schnelltests kann die Erhebung der Passnummer beispielweise dann erforderlich sein, um ein negatives Testergebnis bei Auslandsreisen nachzuweisen.
In der Praxis in NRW ergibt sich ein völlig anderes Bild. Eine Stichprobe von WDR und SZ unter den 200 umsatzstärksten Testzentren in NRW habe ergeben (laut dem o.g. Bericht der Tagesschau u.a.), dass rund jedes dritte Zentrum bei der Online-Buchung auch eine Rubrik für die Personalausweisnummer hätte. Ein ausdrücklicher Hinweis darauf, dass diese Angabe kein Pflichtfeld, sondern nur freiwillig und in den meisten Fällen sogar unnötig wäre, sei nur durch wenige Betreiberinnen bzw. Betreiber zugefügt worden.
Es stellt sich darüber hinaus die Frage: Was passiert am Ende der Testzentren mit den enormen Datensätzen, wenn also die Tausende Testbetreiberinnen und -betreiber schließen und sich nicht mehr für die Sicherung der gesammelten Daten zuständig fühlen? In NRW handelt es sich dabei um schätzungsweise Hundert Millionen Einzeldateien, die nach § 13 Abs. 4 Coronavirus-Testverordnung bis Ende 2024 für Abrechnungskontrollen aufbewahrt bzw. gespeichert werden müssen. Klare Standards für den Umgang mit und die Sperrung der Daten gibt es heute jedenfalls in NRW nicht. Die CoronaTeststruktur VO NRW enthält nämlich zu wenige Regelungen zur Datensicherung. In § 5 Abs. 5 S. 5 der VO heißt es lediglich, dass nach Ablauf der gesetzliche Aufbewahrungsfristen die Daten sicher zu vernichten sind.
Bund und Länder sollen sich jedoch der Verantwortung für die Sicherung der Millionen höchstsensiblen Datensätzen nicht durch Flucht in das Privatrecht entziehen. Die vielen Testungen waren und bleiben nämlich eine der wichtigsten Strategien zur Bekämpfung der Pandemie, wie dies sich auch aus § 1 Abs. 1 S. 1 CoronaTeststruktur VO NRW ergibt. „Dabei geht es sowohl um die bessere Aufdeckung und Unterbrechung von Infektionsketten als auch um die Zugangssteuerung zu Angeboten und Einrichtungen mit höheren Infektionsrisiken“ (§ 1 Abs. 1 S.2 der o.g. VO). Um die Teststruktur in NRW aufzubauen, hat sich das Land privater Anbieter bedient. Millionen von Menschen waren an die Durchführung von Tests für die Betätigung vieler Angelegenheiten des Alltags angewiesen. Die Sicherung der Daten soll dementsprechend in erster Linie eine Angelegenheit des Staates und mithin der Länder bleiben und nicht an die privaten Betreiberinnen und Betreiber von Testzentren verschoben werden, insbesondere weil viele Betreiberinnen und Betreiber in diesem Bereich neu und im Hinblick auf den Datenschutz unerfahren sind.
Vor diesem Hintergrund frage ich die Landesregierung:
- Warum wurden den Testzentren im Vorfeld nicht aufgefordert, ein plausibles Konzept zur Datenerhebung sowie Datensicherung mit dem Antrag zur Betreibung von Testzentren vorzulegen?
- Welche Maßnahmen hat die Landesregierung im Vorfeld getroffen, um zu gewährleisten, dass Testzentren personenbezogene Daten der getesteten Personen rechtmäßig erheben, aufbewahren und löschen werden?
- Inwiefern werden Schulungen in Datenschutz für die Betreiberinnen und Betreiber von Testzentren in NRW durch das Land NRW angeboten?
- Welche Kontrollmaßnahmen plant die Landesregierung zur Überwachung der Datensicherheit?
- Welche Maßnahmen einschließlich Änderungen der vorhandenen Verordnungen in NRW sieht die Landesregierungen vor, um künftig rechtmäßige Erhebung von und sicheren Umgang mit personenbezogenen Daten bei den Testzentren zu gewährleisten?