Sicherheit

Kontaktdaten-Erfassung: Risiken auch bei Apps und Webservern

Die Corona-Bekämpfungsverordnung Schleswig-Holstein verpflichtet u. a. Gastronomen und Veranstalter zur Erfassung von Kontaktdaten ihrer Gäste. Diese Daten dürfen aber nicht in falsche Hände gelangen. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat immer wieder auf Probleme hingewiesen: Sammlungen per Liste, herumfliegende Zettel, in Einzelfällen sogar Missbrauch der Daten. Geht es mit technischen Lösungen besser?

Für Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, ist dies nicht selbstverständlich: „Bei den Kontaktformularen sehen die Gäste, wie damit umgegangen wird. Gastronomen und Veranstalter können aktiv dafür sorgen, dass die Papierdaten so gelagert werden, dass sie für Unbefugte nicht zugänglich sind. Beim täglichen Schreddern nach der Aufbewahrungsfrist von vier Wochen bleiben nur noch kleine Schnipsel über – die Daten sind dann weg. Bei technischen Angeboten muss man sich dagegen in der Regel auf Dienstleister verlassen. Leider sind schon mehrfach Datenlecks der Kontaktdaten-Server solcher Angebote vorgekommen. Das betrifft dann nicht nur ein einzelnes Restaurant, sondern oft sind in solchen Fällen sämtliche gespeicherte Daten abrufbar. Aus diesen Daten geht hervor, wer wann wo gegessen hat – und wer zur selben Zeit ebenfalls vor Ort war.“

Nach Hansens Überzeugung sollten nicht nur Berufsgruppen wie Anwälte oder Journalisten darauf achten, dass ihre Gesprächspartnerinnen und -partner nicht in Corona-Kontaktdatenbanken landen, bei denen es zu unerwünschten Abrufen kommen kann. „Im Prinzip betrifft es uns alle: Es geht keinen etwas an, wo und wann wir essen gehen oder an Veranstaltungen teilnehmen. Deswegen ist die sichere Verwahrung der Daten so wichtig, die eben nur während der Pandemie und nur für den Zweck der Kontaktnachverfolgung im Infektionsfall erfasst werden dürfen. Für Datenschutz und Datensicherheit von IT-Angeboten muss der Betreiber ständig am Ball bleiben: Pfusch geht nicht, Sorgfalt und Qualität sind stets mit Kosten verbunden.“ Die Landesbeauftragte für Datenschutz hat zwar Verständnis dafür, wenn man zur Vereinfachung technische Angebote wählen möchte, doch sie gibt zu bedenken: „Nicht jede Person hat ein Smartphone und kann ihre Daten per App oder Webbrowser melden. Das bedeutet für die Gastronomen und Veranstalter, dass ohnehin auch noch eine Lösung ohne Informationstechnik bereitgehalten werden muss.“

Offen ist Hansen für die Entwicklung datenschutzfreundlicher Technik, die deutlich datensparsamer Kontaktdaten erheben könnte – zum Beispiel mit pseudonymen digitalen Erreichbarkeitsadressen, die jeweils nur einmal verwendet werden und nicht den Namen und die Postadresse enthalten. „Das würde einige Datensicherheitsprobleme lösen. Doch es ist noch Zukunftsmusik und in dieser Form bisher nicht in den aktuellen Corona-Verordnungen zugelassen.“ Heutzutage benötigen die
Gesundheitsämter für ihre Aufgabe der Kontaktnachverfolgung den Namen und die Adresse.

Das ULD gibt auf seiner Webseite Hinweise zur Kontaktdatenerfassung auf Papier und in elektronischer Form:
https://www.datenschutzzentrum.de/artikel/1336-.html  

Die häufigsten Fragen an das ULD zu Kontaktdaten
(siehe § 4 Abs. 2 Corona-Bekämpfungsverordnung, Stand: 24.08.2020):

Welche Kontaktdaten werden zum jeweiligen Datum abgefragt?
Name, Anschrift und, soweit vorhanden, Telefonnummer oder E-Mail-Adresse.

Wie lange werden die Daten aufbewahrt?
Vier Wochen. Danach müssen sie vernichtet werden, z. B. geschreddert.

Dürfen die Daten anderweitig verwendet werden?
Nein! Die Kontaktdaten dürfen nicht für andere Zwecke (z. B. Werbung) verwendet werden.

Wann muss ein Gastronom oder Veranstalter die Daten herausgeben?
Nur wenn das Gesundheitsamt (die zuständige Behörde) die Daten anfordert. Das kann geschehen, wenn es darum geht, Infektionswege nachzuvollziehen und Personen, die sich angesteckt haben könnten, zu informieren.

An was muss ein Veranstalter oder Betreiber noch denken?
Vor allem an die Datensicherheit: Bei Aufbewahrung und Umgang mit den Daten muss gewährleistet sein, dass Unbefugte darauf nicht zugreifen können.

Und wenn der Datenschutz nicht eingehalten wird?
Dann kann man sich beschweren. Das ULD geht jeder Beschwerde nach. 

Die Informationen der Landesbeauftragten für Datenschutz zu Themen der Corona-Pandemie werden unter dem folgenden Link bereitgestellt und regelmäßig aktualisiert:
https://www.datenschutzzentrum.de/corona/ 

Firmenkontakt und Herausgeber der Meldung:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstr. 98
24171 Kiel
Telefon: +49 (431) 98812-00
Telefax: +49 (431) 98812-23
http://www.Datenschutzzentrum.de

Ansprechpartner:
Unabhängiges Landeszentrum für Datenschutz
Telefon: +49 (431) 988-1200
Fax: +49 (431) 988-1223
E-Mail: mail@datenschutzzentrum.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel