Oberster Datenschützer: „Erschreckende Zunahme“ von Pannen
dpa/lsw Stuttgart. Impfnachweis, Corona-Test, 3G-Kontrolle - in der Corona-Pandemie werden an allen Ecken Daten abgerufen. Der oberste Datenschützer des Landes hat alle Hände voll zu tun. Und das ist erst der Anfang.
In der Corona-Krise sind im vergangenen Jahr so viele Datenpannen wie noch nie gemeldet worden. 2021 gingen mehr als 3100 Meldungen über Pannen ein, sagte der oberste Landesdatenschützer, Stefan Brink, am Mittwoch in Stuttgart. Das sei im Vergleich zum Vorjahr eine „erschreckende Zunahme“ und „absolut gravierend“. Damals waren etwa 2300 Datenpannen erfasst worden. Grund für viele Meldungen sei etwa eine Schwachstelle in Microsofts E-Mail-Software Exchange gewesen, heißt es in dem Tätigkeitsbericht Datenschutz für 2021.
Im Fokus von Brinks Arbeit standen 2021 Fragen rund um die Pandemie: Darf der Chef oder die Chefin Informationen über meinen Impfstatus ans Kollegium weitergeben? Dürfen Gastronomen die Daten zur Kontaktnachverfolgung auch nutzen, um Gäste etwa wegen einer nicht bezahlten Rechnung anzurufen? In beiden Fällen handelt es sich um persönliche Daten - laut dem Bericht dürfen sie weder weitergegeben noch für einen anderen Zweck genutzt werden.
Viel zu tun - auch in Zukunft
Die Zahl der Beschwerden über Datenschutzprobleme ging 2021 mit rund 4700 leicht zurück, sei aber laut Brink noch immer sehr hoch. Im Vorjahr waren 74 Beschwerden mehr gezählt worden. Auffällig sei, dass sich 2021 die Hälfte der Beschwerden gegen öffentliche Stellen und nicht gegen Privatpersonen oder Unternehmen richtete. In der Pandemie sei das Vertrauen in öffentliche Einrichtungen auf die Probe gestellt worden, erklärte Brink. Bürgerinnen und Bürger seien etwa skeptisch, welche Daten das Gesundheitsamt von ihnen habe.
Der Datenschutzbeauftragte kündigte an, voraussichtlich ab Frühjahr die große Masse an gesammelten und gespeicherten Daten in den Blick zu nehmen. Einige staatliche Regelungen, insbesondere die Corona-Verordnungen, müssten wieder zurückgenommen werden. „Ich sehe da schon erfreuliche Ansätze, zum Beispiel auch bei unserer Landesregierung, die die Kontaktnachverfolgung aufgibt in weiten Bereichen“, sagte Brink.
Mit der seit Mittwoch geänderten Corona-Verordnung müssen im Südwesten Kontaktdaten nur noch in Kliniken und Pflegeheimen sowie in Clubs und Discos erhoben werden.
Tabubruch 3G am Arbeitsplatz
Mit der 3G-Regelung am Arbeitsplatz im November 2021 wurde laut Brink ein elementares Tabu gebrochen, weil Arbeitgeber damit Einsicht in Gesundheitsdaten der Beschäftigten erhielten. Die Maßnahme habe geschmerzt, sagte Brink. „Das ist unsere Aufgabe, jetzt in naher Zukunft dafür zu sorgen, dass diese Daten datenschutzkonform verschwinden, dass sie gelöscht werden“, erklärt der Datenschützer. „Da gibt es eine Menge aufzuräumen.“
Schon vor dem Inkrafttreten der Regel hatten laut Bericht viele Betriebe beim Datenschutzbeauftragten angefragt, ob sie den Impfstatus zum Schutz der Beschäftigten abfragen dürfen. Einige Betriebe haben laut dem Bericht auch verbotenerweise Impfquoten erhoben. Zahlreiche Beschäftigte hätten sich deswegen beschwert.
Bedenken beim Impfregister
Anlässlich der Debatte um ein nationales Impfregister äußerte Brink Zweifel. „Ich kann eine Impfpflicht auch ohne Impfregister durchsetzen.“ Er sei als Datenschützer dafür, die Impfpflicht stichprobenartig zu kontrollieren. „Das erzeugt schon einen Überwachungsdruck“, sagte Brink.
Die Idee, Melderegister als Grundlage für ein Impfverzeichnis zu nehmen, sei schwierig. „Wir haben kein zentrales Bundesmelderegister“, erklärte Brink. Die Register der Länder seien zwar ziemlich genau, aber nicht fehlerfrei. Er rechne mit Fehlerquoten von zwei bis fünf Prozent. Außerdem gebe es Menschen, die bei einer Impfpflicht ausgenommen wären, zum Beispiel Schwangere. Jeder Fall müsse entsprechend einzeln geprüft werden, sagte Brink. „Ich kann nicht gegen eine Gruppe von schätzungsweise 15 bis 20 Millionen Menschen sozusagen ins Blaue hinein Bußgeldverfahren eröffnen“, sagte der Landesdatenschutzbeauftragte weiter.
© dpa-infocom, dpa:220209-99-45614/4