Die Bundesregierung hat die Corona-Listen, die in Bars und Restaurants ausliegen, nicht vor dem Zugriff der Polizei geschützt. Damit die Menschen den Corona-Maßnahmen auch vertrauen können, braucht es dringend ein Begleitgesetz. Ein Kommentar von Markus Reuter (Netzpolitik.org).


Die Bemühungen der Kontaktverfolgung werden durch fehlenden Datenschutz konterkariert.
CC-BY 2.0 Edwin van Buuringen

Die Bundesregierung muss sich entscheiden, ob sie in der Bekämpfung der Corona-Pandemie effektive und nachvollziehbare Kontaktlisten aus Restaurants und Bars für die Gesundheitsämter haben will – oder solche, in denen jede Menge Quatsch- und Fantasiedaten stehen, weil die Menschen dem System nicht vertrauen können. Derzeit entscheidet sie sich für letzteres.

Seit Wochen ist klar, dass Länderpolizeien diese Vorratsdatenspeicherung aller Gastronomiebesucher:innen für Ermittlungen nutzen. Am Anfang hieß es, nur für schwere Verbrechen, mittlerweile ist klar, dass die Listen für alles Mögliche abgefragt werden, wenn es denn der Strafverfolgung dienen könnte.

Das schafft Misstrauen bei den Barbesucher:innen und Ratlosigkeit für die Gastronomie, die das umsetzen muss, wenn sie keine Strafen riskieren will.

Nutzung per Begleitgesetz einschränken

Dabei trifft die Polizei ausnahmsweise mal keine Schuld. Sie muss sogar auf diese bequemen Listen zugreifen, die womöglich Ermittlungsansätze liefern können. Sie ist dazu verpflichtet und wird es weiter tun, solange es ihr nicht ausdrücklich verboten wird.

Bis dahin werden verantwortungs- und datenschutzbewusste Menschen falsche Angaben – aber eine funktionierende Mailadresse – in den Listen hinterlassen. Doch dieser kleine Hack kann nicht die Lösung für Versäumnisse der Bundesregierung sein.

Deswegen ist die große Koalition jetzt gefragt: Wenn Sie es ernst meint mit der Kontaktverfolgung, dann verabschiedet sie endlich ein Begleitgesetz zur Pandemie, das Bürger:innen schützt und die Pandemie bekämpft. Das wäre schon bei der Corona-Warn-App nötig gewesen. Aber die Kontaktlisten zeigen noch anschaulicher, dass eine Vorratsdatenspeicherung aller Restaurantgäste eben eine harte Auflage ist, die zeitlich beschränkt und ausschließlich zur Bekämpfung der Pandemie eingesetzt werden darf.


Foto: CC-BY 2.0 Edwin van Buuringen

Text: Markus Reuter/Netzpolitik.org

strafbar

5. April 2020

Niedersachsen, unser Bundesland, entwickelt in der Corona-Krise zunehmend autoritäre Strukturen und ist damit ganz weiter vorn in Deutschland. Neben einem unsäglichen, verfassungswidrigen, weil gänzlich unverhältnismäßigen Kontaktverbot  in dieser Landesverordnung -die angeblich korrigiert werden soll, aber noch nicht ist- geraten jetzt auch sog. Coronavirus-Listen der niedersächsischen Polizei in den Blick. „Die Gesundheitsämter hatten Listen erkrankter an die Polizeidienststellen übermittelt. „Die Anschriften der unter häuslicher Quarantäne stehenden Personen nach einem positiven Test auf Corona sind seitens der Gesundheitsämter an die Polizei zu übermitteln“, lautete die Anordnung in Niedersachsen.

Das ist schlicht illegal, und es ist zudem strafbar. Daher hat die Niedersächsische Landesdatenschutzbeauftragte den Gesundheitsämtern in Niedersachen verboten, Listen Corona-Infizierter an die Polizei zu übermitteln.

In Bremen wurden bereits weitergegebene Gesundheitsdaten nach der Netzpolitk.org-Berichterstattung offenbar wieder gelöscht. Auch die deutsche Datenschutzkonferenz hat sich jetzt zu den Vorgängen positioniert; denn nicht nur Niedersachsen wird rechtswidrig gehandelt.

Netzpolitk.org informierte heute, am Sonntag „über die Lage“, wie es in diesen Tagen so militärisch-knapp formuliert wird:

In mehreren Bundesländern hatte die Polizei Daten von Menschen gesammelt, die mit dem Coronavirus infiziert wurden. Bald dürfte dies nur noch in Mecklenburg-Vorpommern der Fall sein. In Baden-Württemberg und Bremen wurde die Übermittlung bereits gestoppt, nachdem Datenschützer:innen interveniert hatten. Nun erfolgte auch in Niedersachsen die Anweisung, keine sensiblen Gesundheitsdaten mehr herauszugeben.

Ein Dokument legt jedoch nahe, die Behörden von Innenminister Boris Pistorius und Sozialministerin Carola Reimann (beide SPD) könnten zunächst versucht haben, ein mögliches Veto der Landesdatenschutzbeauftragten Barbara Thiel zu umgehen.

An diesem Freitag hat diese den niedersächsischen Gesundheitsämtern offiziell untersagt, Listen von Coronavirus-Infizierten an die Polizei zu übermitteln. Die Maßnahme sei unverhältnismäßig und verstoße gegen den Datenschutz. Darüber hat Thiels Behörde nach eigenen Angaben auch die Kabinettsreferate informiert.

Weitergabe der Listen ist strafbar

Unter anderem unterlägen die Daten der ärztlichen Schweigepflicht, wie ein Sprecher der Datenschutzbeauftragten netzpolitik.org mitteilte. „Wer sie unbefugt übermittelt, macht sich nach § 203 StGB strafbar“, so Johannes Pepping.

Mehr als 5.000 Menschen sind in Niedersachsen laut dem Robert Koch-Institut an Covid-19 erkrankt. Zwei Polizeidirektionen hatten bereits bestätigt, sensible Gesundheitsdaten erhalten zu haben.

Insgesamt fünf Direktionen hatten am 1. April in Abstimmung mit dem niedersächsischen Innenministerium eine identische Stellungnahme abgegeben. Darin behaupteten sie noch, es gebe lediglich Überlegungen, „landesweit einheitlich eine Übermittlung von Quarantänelisten der Gesundheitsämter“ sicherzustellen. Das Innenministerium und das Sozialministerium hätten hierzu im Austausch gestanden.

Offenbar war diese Darstellung mindestens irreführend. netzpolitik.org liegt ein Schreiben vor*, das belegt, dass das Sozialministerium die Weitergabe von Listen schon am 31. März verbindlich angeordnet hatte.

Landesdatenschutzbeauftragte dementiert, am Verfahren beteiligt gewesen zu sein

Adressiert war es per E-Mail an Landkreise und kreisfreie Städte, unter anderem auch an das Landesinnenministerium. „Die Anschriften der unter häuslicher Quarantäne stehenden Personen nach einem positiven Test auf Corona sind seitens der Gesundheitsämter an die Polizei zu übermitteln“, schrieb die für Gesundheit zuständige Abteilungsleiterin des Sozialministeriums. Nach Ablauf der Quarantänezeit sollten sie „zeitnah“ demnach gelöscht werden.

Das Innenministerium versuchte am Freitag, zu erklären, warum die frühere Aussage dennoch der Wahrheit entsprochen habe: Sie habe sich nur darauf bezogen, wie innerhalb der Polizeidirektion mit den Listen umgegangen werde.

In seinem Schreiben hatte das Sozialministerium auch angegeben, in das Verfahren hinter der Anordnung an die Gesundheitsämter sei auch die Landesdatenschützerin Thiel eingebunden gewesen. Deren Sprecher dementierte dies. „Wir wurden nicht beteiligt, sondern maximal auf einer Arbeitsebene über Vorüberlegungen informiert“, sagte Pepping. Auf eine Anfrage hierzu hat das Sozialministerium bislang nicht reagiert.

Bei seiner Anordnung hatte es sich auf das Niedersächsisches Polizei- und Ordnungsbehördengesetz berufen. Darin heißt es: „Die Verwaltungs- und Polizeibehörden können untereinander personenbezogene Daten übermitteln, wenn die Übermittlung zur Erfüllung der Aufgabe der Gefahrenabwehr erforderlich ist.“ Der Datenschutzbeauftragten zufolge könne dies bei den besonders schützenswerten Gesundheitsdaten jedoch nicht angewandt werden.

Bremens Gesundheitssenatorin räumt Fehler ein

Auch in Bremen hatte es eine Übermittlung Daten von Coronavirus-Infizierten an die Polizei gegeben. Die Datenschutzbeauftragte Imke Sommer ließ diese nach dem Bekanntwerden stoppen. Gesundheitssenatorin Claudia Bernhard (Linke) erklärte nun auf Twitter, die Daten seien „fälschlicherweise“ weitergegeben worden. Nach unserer Berichterstattung wurden sie offenbar gelöscht.

In den übrigen Bundesländern werden der Polizei nach Angaben der jeweiligen Innenministerien keine entsprechenden Listen übermittelt. Als letztes hat dies inzwischen auch Sachsen-Anhalt netzpolitik.org mitgeteilt.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben sich jetzt auf Grundsätze bei der Bewältigung der Corona-Pandemie“ geeinigt. Bürger*innen müssten sich demnach darauf verlassen können, dass Freiheitsrechte wie das Grundrecht auf informelle Selbstbestimmung nur eingeschränkt würden, wenn es zwingend erforderlich und angemessen ist.

In ihrer Erklärung stellte die Datenschutzkonferenz zudem klar: „Krisenzeiten ändern nichts daran, dass die Verarbeitung personenbezogener Daten stets auf einer gesetzlichen Grundlage zu erfolgen hat.“ Die Einhaltung der Grundsätze leiste einen Beitrag zur Freiheit in der demokratischen Gesellschaft.“

* Netzpolitik.org: Wir veröffentlichen Dokumente im Volltext, wann immer es möglich ist. In diesem Fall haben wir dies nicht getan, um unsere Quellen zu schützen.


Der wiedergegebene Netzpolitik.org-Beitrag stammt von Daniel Laufer Creative Commons BY-NC-SA 4.0.