FAQs zu verschiedenen Datenschutz-Fragen, die sich im Zusammenhang mit der Corona-Pandemie stellen

Was ist bei der Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie zu beachten?
Kann der Arbeitgeber Beschäftige anweisen, ihre private Mailadresse oder Telefonnummer zur Verfügung zu stellen?

Antworten auf verschiedene Szenarien zu dieser Fragestellung finden sich hier.

Was muss beim Arbeiten im Homeoffice berücksichtigt werden?

Hinweise zum Datenschutz im Homeoffice gibt es hier.

Was ist beim Schulunterricht von zu Hause zu beachten?

Hinweise zu datenschutzkonformen Instrumenten, die sowohl schulisches Miteinander als auch Lerninhalte transportieren können, finden sich hier.

Was ist von der Corona-Warn-App für Handys zu halten?

Hierzu hat sich der LfDI in seiner Pressemitteilung vom 16. Juni 2020 geäußert.

Dürfen die Gesundheitsämter Daten über Corona-Infizierte an die Polizei übermitteln?

Mit der Corona-Pandemie stellen sich eine ganze Reihe von Fragen zur Zulässigkeit der Weitergabe der Identität infizierter Personen. Im Fokus stehen dabei die Gesundheitsämter, die nach den Vorgaben des Infektionsschutzgesetzes eine zentrale Rolle bei der Bekämpfung von übertragbaren Infektionskrankheiten spielen und aufgrund dessen über entsprechende aussagekräftige Datenbestände verfügen. Sie verfügen mit gutem Grund über einschlägige und weit reichende personenbezogene Daten, die von großer Sensibilität sind. Daher bestehen strenge rechtliche Vorgaben für die Verarbeitung und insbesondere die Übermittlung dieser Daten. Bundesweit wird derzeit insbesondere darüber diskutiert, ob eine Bereitstellung von Listen infizierter Personen oder zumindest von Örtlichkeiten, in denen sich infizierte Personen aufhalten, zum Schutz von Einsatzkräften den Polizei- und Ordnungsbehörden bereit gestellt werden dürfen.

Datenschutzrechtlich ist zu differenzieren: Eine Unterrichtung über in einem bestimmten Verwaltungsbereich besonders betroffene Gebiete wie z.B. Stadtbezirke, einzelne Ortschaften oder Straßenzüge, in denen Infektionsfälle auftreten, ist datenschutzrechtlich unproblematisch, solange daraus nicht auf die Identität einzelner Personen geschlossen werden kann. Denn ohne Personenbezug unterliegt die Verarbeitung derartiger Informationen nicht dem Datenschutz. Hier geht es eher um allgemeine Einschätzungen der Risiken.

Anders verhält es sich, wenn Angaben über einzelne Infizierte oder sogar eine Auflistung von Personen, bei denen eine Infektion festgestellt wurde, durch die Gesundheitsbehörden bereit gestellt werden sollen. In diesen Fällen sind die datenschutzrechtlichen Vorgaben, die für die Behörden des öffentlichen Gesundheitsdienstes gelten, heranzuziehen, insbesondere das Infektionsschutzgesetz (IfSchG) sowie das Landesgesetz über den öffentlichen Gesundheitsdienst (ÖGdG):

1. Datenweitergabe an die Kreisordnungsbehörde zur Bekämpfung von Infektionskrankheiten

Um die nach dem Infektionsschutzgesetz vorgesehenen Schutzmaßnahmen zur Bekämpfung übertragbarer Krankheiten wie z.B. Quarantäne oder berufliches Tätigkeitsverbot treffen zu können sind die Gesundheitsämter befugt, die hierzu zuständigen Behörden – in Rheinland-Pfalz die Kreisordnungsbehörden – über festgestellte erkrankte Personen zu unterrichten (§ 11 Abs. 3 Nr. 1, Abs. 2 Nr. 1 und Nr. 2 ÖGdG in Verbindung mit §§ 25 Abs. 3, 16 Abs. 6 IfSchG). Die Befugnis ist insoweit auf den Einzelfall beschränkt. Zuständig für den Erlass der Maßnahmen sind dann regelmäßig die Kreisordnungsbehörden. Die der Kreisordnungsbehörde bereit gestellten Daten dürfen nur für Zwecke des Infektionsschutzgesetzes genutzt werden. 

Eine auf § 11 Abs. 3 Nr. 1, Abs. 2 Nr. 1 und Nr. 2 ÖGdG in Verbindung mit §§ 25 Abs. 3, 16 Abs. 6 IfSchG gestützte Datenweitergabe muss daher immer im Zusammenhang mit einer konkreten beabsichtigten Schutzmaßnahme im Sinne von § 28 IfSchG stehen. 

2. Datenweitergabe an Polizei- und Ordnungsbehörden zum Schutz von Einsatzkräften

Sofern keine Maßnahmen nach dem Infektionsschutzgesetz getroffen oder überwacht werden sollen sind die Gesundheitsämter nach den Bestimmungen des § 11 Abs. 3 Nr. 1, Abs. 2 Nr. 3 ÖGdG befugt, personenbezogen Daten an Dritte wie z.B. Polizei- und Ordnungsbehörden zu übermitteln, wenn dies im Einzelfall u.a. erforderlich ist zur Abwehr von gegenwärtigen Gefahren für das Leben oder die Gesundheit einer dritten Person, sofern die genannten Rechtsgüter das Geheimhaltungsinteresse der betroffenen Person erheblich überwiegen. Hiernach wäre es zum Schutz von Einsatzkräften, die als dritte Personen zu werten wären, zulässig, diese auf eine konkrete Anfrage hin über das Vorliegen einer übertragbaren Krankheit bei einem Betroffenen zu informieren, wenn ein Einsatz mit Personenkontakt wie z.B. der Vollzug eines Haftbefehls oder eine Durchsuchung unmittelbar bevorsteht und zu befürchten ist, dass aufgrund konkreter Umstände ein erhöhtes Ansteckungsrisiko der Einsatzkräfte bestehen könnte. 

Zum Zweck des Eigenschutzes von Einsatzkräften kommt eine entsprechende Anfrage an die Gesundheitsbehörde und die Verarbeitung der dann erhaltenen Daten in Betracht. Da es sich um Gesundheitsdaten handelt, sind die erhöhten Anforderungen an die Verarbeitung zu beachten (Art. 9 Abs. 2 lit. c und i Datenschutz-Grundverordnung i.V.m. § 19 Abs. 2 Nr. 1 LDSG).

Außerhalb dieses Rahmens besteht nach der derzeitigen Rechtslage keine Befugnis der Gesundheitsämter, den Polizei- und Ordnungsbehörden personenbezogene Angaben über infizierte Personen zur Verfügung zu stellen. Insbesondere die Übermittlung von Listen infizierter Personen wäre derzeit datenschutzrechtlich unzulässig. Sie könnte stigmatisierenden Charakter tragen und wäre kaum auf bestimmte Infektionen zu beschränken. Daher ist die Übermittlung solcher Listen in diesem Zusammenhang nach geltendem Recht unzulässig.

Was ist bei der Veröffentlichung von Angaben zu Infektionsfällen zu beachten?

Zunächst ist zu unterscheiden zwischen der Veröffentlichung bzw. einer Offenlegung von entsprechenden Daten und der Übermittlung solcher Daten zu einem bestimmten Zweck an eine (andere) öffentliche Stelle.

Zur Übermittlung kann verwiesen werden auf die Erläuterungen im

Sonder-Newsletter „Corona-Pandemie“ vom 02.04.2020 unter der Überschrift „Datenübermittlungen vom Gesundheitsamt an öffentliche Stellen

sowie in den

FAQ unter "Dürfen die Gesundheitsämter Daten über Corona-Infizierte an die Polizei übermitteln?" Ziffer 2. „Datenweitergabe an Polizei- und Ordnungsbehörden zum Schutz von Einsatzkräften“.

Die Veröffentlichung bzw. eine Offenlegung personenbezogener Daten zu Infektionsfällen insbesondere im Internet ist zur Erledigung von Aufgaben des Gesundheitsamtes nach dem Infektionsschutzgesetz nicht erforderlich.

Für eine Veröffentlichung anonymer Daten zu Infektionsfällen ist Folgendes zu berücksichtigen. Anonyme Daten unterliegen nicht dem Datenschutzrecht, eine Verarbeitungserlaubnis gemäß Art. 6 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) wird dazu nicht benötigt.

Zu beachten ist aber, dass Individuen nicht nur direkt mit bestimmten bzw. personenbezogenen Daten identifiziert werden können. Für eine direkte Identifizierung sind eindeutige Merkmale wie etwa Name, Adresse oder Sozialversicherungsnummer nötig.

Ein Rückschluss auf natürliche Personen ist jedoch auch indirekt mit bestimmbaren bzw. personenbeziehbaren Daten und/oder erworbenem Zusatzwissen möglich. Bei einer indirekten Identifizierung wird auf Basis mehrerer Merkmale, die für sich genommen keine eindeutige Zuordnung zulassen, auf das Individuum geschlossen. Z. B. kann eine genaue Berufsbezeichnung in Zusammenhang mit einer genauen Ortsangabe zu einer Identifikation einer spezifischen Person führen (personenbeziehbare Daten). Ähnlich kann sich aus einer konkreten Angabe wie z.B. „Alter 95 Jahre“ z.B. bei kleinräumigen Zuordnungen wie Ortsgemeinden oder Ortsteilen mit geringer Einwohnerzahl eine personenbeziehbarkeit ergeben.

Eine Veröffentlichung von Infektionszahlen auf kommunaler Ebene sollte daher nur mit Altersklassen anstelle konkreter Angaben zum Lebensalter („70 – 80 Jahre“ statt „76 Jahre“ und auf Stadt-/Verbandsgemeindeebene als tiefster regionaler Gliederungsstufe erfolgen.

Vor einer Veröffentlichung von Daten im Internet ist bei der Bewertung, ob es sich um anonyme oder gegebenenfalls noch personenbeziehbare Daten handelt, auch zu berücksichtigen, dass die Veröffentlichung im Internet weltweit einen ungleich größeren Personenkreis als beispielsweise jede auflagenbegrenzte schriftliche Veröffentlichung erreicht. Darüber hinaus können im Internet veröffentlichte Daten grundsätzlich auf einfache Weise beliebig verknüpft werden. Gerade die Speicherung von Daten und deren Verknüpfung mit anderen Datenbeständen sind im privaten Bereich, also bei der Verarbeitung durch Private und gerade auch große Technologieunternehmen, nicht beherrschbar. Sind die Veröffentlichungen überdies suchmaschinenfähig, werden betroffene Personen gegebenenfalls zu einem allgemein verfügbaren Rechercheobjekt.

Maßstab für die Bewertung, ob schon anonyme oder noch personenbeziehbare Daten vorliegen, sollte daher das Statistikrecht mit der dort üblichen Zusammenfassung in Kategorien sein.

Dürfen Supermärkte, Drogerien und andere Einzelhändler die Körpertemperatur ihrer Kunden erfassen?

Bevor ein Ladengeschäft betreten werden darf, wäre es möglich, dass dort zunächst die Körpertemperatur des potentiellen Kunden gemessen wird, z.B. mittels einer Wärmebildkamera. Beim Überschreiten einer gewissen Temperatur könnte dem Kunden der Zutritt verwehrt werden bzw. er könnte zu weiteren Erklärungen über seinen Gesundheitszustand aufgefordert werden. Solche Maßnahmen sollen verhindern, dass Personen, die ein mögliches Covid-19-Symptom aufweisen, nämlich eine erhöhte Körpertemperatur, das Ladengeschäft betreten. 

Bei der Feststellung der Körpertemperatur von Personen handelt es sich um die Erhebung von personenbezogenen Daten, und zwar von Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DS-GVO. Bei der Auswertung dieser Daten mit dem Ziel, bestimmten Personen den Zugang zu verweigern, werden diese Gesundheitsdaten weiterverarbeitet. 

Die Verarbeitung solcher Gesundheitsdaten ist gem. Art. 9 Abs. 1 DS-GVO untersagt, außer in den in Art. 9 Abs. 2 DS-GVO genannten Ausnahmefällen. 

Eine solche Ausnahme liegt vor, wenn die betroffenen Personen in die Verarbeitung dieser Daten zu genau bestimmten Zwecken ausdrücklich eingewilligt hätten. Eine konkludente Einwilligung durch Betreten des Geländes nach Kenntnisnahme der Hinweise ist aber nicht ausreichend im Sinne von Art. 9 Abs. 2 lit. a DS-GVO, der von einer ausdrücklichen Einwilligung spricht. Die weiteren Anforderungen an eine wirksame Einwilligung ergeben sich aus Art. 7 DS-GVO. Insbesondere muss die Einwilligung freiwillig abgegeben werden. An dieser Freiwilligkeit fehlt es hier in der Regel, da die betroffenen Personen – je nach Einsatzszenario – teilweise erhebliche Nachteile erleiden würden, wenn sie nicht in die Maßnahme einwilligen bzw. ihnen keine Alternativen zur Verfügung stehen (Art. 7 Abs. 4 DS-GVO). 

Auch liegen die Voraussetzungen des Art. 9 Abs. 2 lit. i DS-GVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c BDSG, dem Infektionsschutzgesetz bzw. den Landesverordnungen zur Eindämmung der Corona-Pandemie nicht vor. Denn die Maßnahme ist weder tauglich, um vor einem weiteren Infektionsrisiko zu schützen, weil die Körpertemperatur nicht sicher eine Infektion mit Corona-Virus indiziert, noch sind spezifische Vorkehrungen zum Schutz der betroffenen Personen ersichtlich. 

Eine Rechtsgrundlage für die Erhebung der Körpertemperatur und deren weitere Verarbeitung liegt nicht vor und ist daher in den dargestellten Szenarien datenschutzrechtlich nicht zulässig.

Was ist bei der Erfassung von Kontaktdaten datenschutzrechtlich zu beachten?

Ab 24. November 2021 gilt die Achtundzwanzigste Corona-Bekämpfungsverordnung Rheinland-Pfalz vom 23. November 2021 (28. CoBeLVO). Bei den erlaubten bzw. geöffneten Einrichtungen gehört zu den zahlreichen Hygiene-und Schutzmaßnahmen weiterhin, die Kontaktnachverfolgbarkeit zu gewährleisten.

Zur Erhebung von Kontaktdaten (Vor- und Zuname, Anschrift und Telefonnummer) sowie Datum und Zeit der Anwesenheit sind zahlreiche Verantwortliche verpflichtet.

                    Die Kontaktdaten, die eine Erreichbarkeit der Person sicherstellen, sowie Datum und Zeit der Anwesenheit der Person sind von den genannten Verantwortlichen unter Einhaltung der datenschutzrechtlichen Bestimmungen zu erheben. Dabei haben die zur Datenerhebung Verpflichteten insbesondere sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist. Die Kontaktdaten müssen wahrheitsgemäß sein und eine Kontaktnachverfolgung ermöglichen. Die Verantwortlichen sind verpflichtet, eine Plausibilitätsprüfung vorzunehmen, d.h. sie müssen prüfen, ob die angegebenen Kontaktdaten vollständig sind und ggf. offenkundig falsche Angaben enthalten. Personen, die die Erhebung ihrer Kontaktdaten verweigern oder offenkundig falsche oder unvollständige Angaben machen, sind von dem Besuch oder der Nutzung der Einrichtung oder von der Teilnahme an der Ansammlung oder Zusammenkunft durch den Betreiber der Einrichtung oder Veranlasser der Ansammlung oder sonstigen Zusammenkunft auszuschließen. Eine Pflicht, sich den Personalausweis vorlegen zu lassen bzw. diesen vorzulegen, ergibt sich hieraus nicht.

                    Die Daten dürfen zu einem anderen Zweck als der Aushändigung auf Anforderung an das zuständige Gesundheitsamt nicht verwendet werden und sind vier Wochen nach Erhebung zu löschen. Sich aus anderen Rechtsvorschriften ergebende Datenaufbewahrungspflichten (z.B. im Hotelbereich nach dem Bundesmeldegesetz) bleiben unberührt.

                    Die oder der zur Datenerhebung Verpflichtete soll in der Regel eine digitale Erfassung der Daten anbieten. In diesem Fall entfällt die Verpflichtung zur Plausibilitätsprüfung, sofern durch das eingesetzte Erfassungssystem eine Prüfung der angegebenen Telefonnummer erfolgt (beispielsweise mittels SMS-Verifikation). Dabei sind die Vorgaben des Datenschutzes (insbesondere bei der Fremdspeicherung von Daten) und die vollständige datenschutzkonforme Löschung der Daten nach vier Wochen in eigener Verantwortung sicherzustellen. Zudem sind die Daten im Bedarfsfall jederzeit dem zuständigen Gesundheitsamt auf Verlangen kostenfrei in einem von diesem nutzbaren Format zur Verfügung zu stellen. Personen, die in die digitale Datenerfassung nicht einwilligen, ist in jedem Fall eine papiergebundene Datenerfassung anzubieten. Das zuständige Gesundheitsamt kann, soweit dies zur Erfüllung seiner nach den Bestimmungen des Infektionsschutzgesetzes (IfSG) und dieser Verordnung obliegenden Aufgaben erforderlich ist, Auskunft über die Kontaktdaten verlangen; die Daten sind unverzüglich zu übermitteln. Eine Weitergabe der übermittelten Daten durch das zuständige Gesundheitsamt oder eine Weiterverwendung durch dieses zu anderen Zwecken als der Kontaktnachverfolgung ist ausgeschlossen. An das zuständige Gesundheitsamt übermittelte Daten sind von diesem unverzüglich irreversibel zu löschen, sobald die Daten für die Aufgabenerfüllung nicht mehr benötigt werden (§ 3 Abs. 4 28. CoBeLVO). Es besteht also für viele Verantwortliche eine rechtliche Verpflichtung, personenbezogene Daten ihrer Kunden, Gäste oder Besucher zu erheben. Die Datenverarbeitung ist daher gem. Art. 6 Abs. 1 lit. c DS-GVO i.V.m. § 32 S. 1, 28 Abs. 1 Satz 1 und 2 IfSG und § 3 Abs. 4 28. CoBeLVO grundsätzlich zulässig. Hierbei ist aus datenschutzrechtlicher Sicht jedoch Folgendes zu beachten: 

                    • Die Kontaktdaten müssen in einer Form erhoben werden, durch die Dritte keine Möglichkeit haben, diese zur Kenntnis zu nehmen. Dies kann z.B. so erfolgen, dass jeder Kunde, Gast oder Besucher ein einzelnes Blatt vorgelegt bekommt, auf dem er seine Daten eintragen kann. Sollten die Daten in einer Liste erfasst werden, ist sicherzustellen, dass die bereits auf der Liste vorhandenen Daten nicht zur Kenntnis genommen werden können.
                      Bei einer elektronischen Erfassung bzw. Speicherung sollten mit Blick auf die vorgeschriebene Löschung (s.u.) tagesbezogene Dateien bzw. Einträge erstellt werden. Auch hier muss sichergestellt werden, dass die Daten nicht unbefugt zur Kenntnis genommen werden können bzw. Kunden keinen Einblick in die Daten anderer Kunden erhalten.
                      Das Verlangen einer Unterschrift stellt die Erhebung eines zusätzlichen personenbezogenen Datums dar, wofür es in der Verordnung keine Rechtsgrundlage gibt. Von der Einholung der Unterschrift zu den Kontaktdaten ist daher von den Verantwortlichen abzusehen.

                    • Die betroffenen Personen müssen zum Zeitpunkt der Datenerhebung entsprechend den Anforderungen der Datenschutz-Grundverordnung (Art. 13 DS-GVO) informiert werden. Dabei sind mitzuteilen

                      - Name und Kontaktdaten des Verantwortlichen und ggf. eines Datenschutzbeauftragten,
                      - Zweck und Rechtsgrundlage der Datenverarbeitung,
                      - (mögliche) Empfänger der Daten,
                      - Dauer der Speicherung,
                      - Betroffenenrechte und Beschwerderecht bei einer Aufsichtsbehörde,
                      - Folgen, wenn die Kontaktdaten nicht angegeben werden.

                      Diese Information kann gut einsehbar ausgelegt oder ausgehängt werden. Auch kann auf dem Kontaktformular selbst informiert werden. Es sollte ein Exemplar zur Verfügung stehen, dass der Gast oder Kunde auf Wunsch mitnehmen kann.

                      Eine Bestätigung der Kenntnisnahme der Information muss der Verantwortliche nicht einfordern.

                      Ein Muster für eine mögliche Information hat der LfDI in seinem Internetangebot zur Verfügung gestellt. 
                    • Die Daten sind so aufzubewahren, dass unberechtigte Dritte keinen Zugang hierzu erhalten, z.B. in einem geschützten Bereich oder einem verschließbaren Schrank.

                    • Nach Ablauf von vier Wochen sind die erhobenen Kontaktdaten – taggenau – zu löschen. Für den Löschvorgang gelten die allgemeinen datenschutzrechtlichen Anforderungen, d.h. das Speichermedium ist so zu vernichten, dass die Daten nicht mehr einer Person zugeordnet werden können.

                      Dies sollte bei Papierunterlagen so erfolgen, dass das Papier in einem Aktenvernichter geschreddert oder einem Dienstleister zur fachgerechten Entsorgung übergeben wird (Sicherheitsstufe P3 nach DIN 66399-2).

                      Bei einer elektronischen Speicherung sind die Daten nach Ablauf der Aufbewahrungsfrist so zu löschen, dass eine Wiederherstellung ausgeschlossen, zumindest jedoch wesentlich erschwert wird. Ein „Löschen“ durch bloßes Verschieben in den Papierkorb ist nicht ausreichend. Soweit die Daten in Buchungs-, Kundendaten- oder Kassensystemen erfasst werden, sollten entsprechende Löschfunktionen vorhanden sein; bei einer Erfassung in separaten Dateien muss die Löschung ggf. manuell erfolgen.

                      Sofern die Speicherung mehrerer Kundendatensätze in einer Datei oder Datenbank erfolgt, wären die Einzeldatensätze beim Erreichen des Löschzeitpunktes aus der Datei oder Datenbank mit den Bordmitteln des Dateiprogramms oder Datenbanksystems zu löschen. Nach Aufhebung der Speicherverpflichtung, sind die Datei selbst bzw. die zur entsprechenden Datenbank gehörenden Dateien, mit einem (wie oben beschriebenen) sicheren Verfahren zu löschen.

                    Der LfDI hat zur Information der Verantwortlichen in den Betrieben, die die Daten sammeln müssen, ein Merkblatt zusammengestellt.

                    Wie bewertet der LfDI die Corona Warn App des Robert Koch Instituts?

                    Die Corona-Warn-App ist aus "Datenschutz-Sicht okay". Ausführliche Pressemitteilung des LfDI zu diesem Thema.

                    Darf der Handel oder mein Arbeitgeber von mir verlangen, dass die die Corona Warn App auf meinem Handy installiere?

                    Der LfDI warnt davor, dass die freiwillige Corona Warn App nicht zur „Eintrittskarte“ in Geschäfte, zu Veranstaltungen oder zum Arbeitsplatz werden darf. Ausführliche Pressemitteilung des LfDI zu diesem Thema.

                    Was ist bei der Gästeregistrierung zur Kontaktnachverfolgung über Apps und Browseranwendungen zu beachten?

                    Möchte ein Gastronom oder Veranstalter zur Kontaktnachverfolgung nicht die Papierform verwenden, sondern die Datenerfassung mittels einer App oder einer Browseranwendung durchführen, kann er sich dabei mittlerweile einer Vielzahl von Anbietern bedienen. Jeder Dienst ist dabei unterschiedlich, jedoch sind folgende Punkte bei allen Angeboten zu beachten:

                    • Der Gastronom oder Veranstalter bleibt Verantwortlicher für die Verarbeitung der personenbezogenen Daten seiner Gäste im Sinne der DS-GVO.
                    • Der Anbieter von Gästeregistrierungs-Apps oder Anwendungen verarbeitet die Daten der Gäste für den Gastronom oder Veranstalter in der Regel im Auftrag.
                    • Zwischen dem Gastronom oder Veranstalter und dem Anbieter der App oder Anwendung ist daher ein Auftragsverarbeitungsvertrag zu schließen. Dieser muss den Vorgaben des Art. 28 Abs. 3 DS-GVO entsprechen.
                    • Der Gastronom oder Veranstalter bleibt für die Löschung der Daten nach Ablauf der Aufbewahrungsfrist verantwortlich. Er kann jedoch den Anbieter der App oder Anwendung mit der Löschung beauftragen. Dem Gastronom oder Veranstalter obliegt es zu überprüfen, ob der Anbieter der App oder Anwendung die Daten nach Ablauf der Aufbewahrungsfrist tatsächlich löscht. Der Gastronom oder Veranstalter sollte daher das Konzept und den Vertrag mit dem Anbieter der App oder Anwendung genau prüfen und sich über das Löschprocedere informieren.
                    • Der Gastronom oder Veranstalter unterliegt bei der Datenerhebung mittels einer App oder einer Browseranwendung den Informationspflichten nach Art. 13 DS-GVO. Diese Informationen hat der Gastronom oder Veranstalter vor der Registrierung zur Verfügung zu stellen. Diese Information kann in der App oder der Anwendung erfolgen, bevor personenbezogene Daten der Gäste erhoben werden oder im Restaurant oder Veranstaltungsgebäude. Die verantwortliche Stelle für diese Information ist der Gastronom oder Veranstalter und auch als solcher in den Informationen zu nennen. Die Information kann auch im Restaurant oder Veranstaltungsgebäude durch Aushang oder Auslage auf den Tischen erfolgen. Dabei kann in diesem Dokument für weitere Informationen auf einen Link oder einen QR-Code verwiesen werden, unter dem die vollständigen Informationen zu finden sind.
                    • Die personenbezogenen Daten der Gäste, die im Rahmen der Kontaktnachverfolgung erhoben werden, dürfen nicht zu Werbezwecken verwendet werden. Dies umfasst auch Lockangebote wie Gutscheine bei Nutzung der App oder Browseranwendung beim Restaurantbesuch oder beim Auschecken/Verlassen des Restaurants oder der Veranstaltung.
                    • Der Gastronom oder Veranstalter hat sicherzustellen, dass er einen Anbieter wählt, der die Daten sicher vor Zugriffen Unberechtigter aufbewahrt und eine verschlüsselte Übermittlung der Daten gewährleistet. Hilfestellungen bei der Entscheidung für den richtigen Anbieter können sein, ob der Anbieter sich an die Vorgaben und Empfehlungen der Orientierungshilfe der Datenschutzkonferenz zu Datenschutzanforderungen an App-Entwickler und App-Anbieter hält.
                    • Der Gastronom oder Veranstalter kann Gäste nicht dazu verpflichten, über ihre eigenen Endgeräte eine App oder Browseranwendung zu nutzen. Die Registrierung über eine solche App oder Browseranwendung muss immer freiwillig sein und darf nicht zur Voraussetzung für den Besuch des Restaurants oder der Veranstaltung gemacht werden. Daher muss eine Alternative zur Datenerfassung über Geräte des Gastronomen oder Veranstalters oder in Papierform gegeben sein.
                    • Nach der rheinland-pfälzischen Corona-Bekämpfungsverordnung sind Betreiber von bestimmten Einrichtungen verpflichtet, zur Kontaktnachverfolgung die Daten der Gäste zu erheben. Bei den Angeboten mancher App-Anbieter zur Gästeregistrierung hat der Gastronom oder Veranstalter jedoch keine direkten Zugriffsmöglichkeiten auf die erhobenen Daten. Stattdessen soll diese das Gesundheitsamt an den jeweiligen Anbieter verweisen, wenn eine Kontaktnachverfolgung notwendig ist. Ob der Gastronom oder Veranstalter bei diesem Vorgehen seinen Verpflichtungen nach der Corona-Bekämpfungsverordnung nachkommt, ist keine datenschutzrechtliche Frage, sondern mit den zuständigen Gesundheitsämtern zu klären.
                    • Für die Nutzung einiger Apps oder Browseranwendungen ist eine vorherige Registrierung der Gäste erforderlich. In diesem Fall schließt der Gast mit dem Betreiber der App oder Anwendung direkt einen Nutzungsvertrag. Dieser Nutzungsvertrag kann weitere Funktionen/Dienste (Platzreservierung, Essensbestellung, Terminvereinbarung etc.) neben der Kontaktnachverfolgung beinhalten. Der Einsatz eines solchen Dienstes in seinem Restaurant oder bei seiner Veranstaltung entbindet den Gastronom oder Veranstalter nicht von seiner Pflicht zur Kontaktnachverfolgung, sodass zwingend eine Alternative für Gäste anzubieten ist, die einen solchen Vertrag mit dem Anbieter der App oder Anwendung nicht schließen wollen. Die Verarbeitung zur Nutzung der weitergehenden Funktionen/Dienste (Platzreservierung, Essensbestellung, Terminvereinbarung etc.) erfolgt auf Grundlage anderer rechtlicher Grundlagen als die Datenverarbeitung zur Kontaktnachverfolgung.

                    Was ist beim 2G- bzw. 3G-Nachweis zu beachten?

                    Nach der aktuell gültigen Corona-Bekämpfungsverordnung Rheinland-Pfalz (28. CoBeLVO) gilt  für den Besuch von Einrichtungen, die Teilnahme an Veranstaltungen und die Inanspruchnahme von Dienstleistungen die sog. 2G- oder 3G-Regel.  Entweder dürfen nur noch Geimpfte oder Genesene eingelassen werden oder auch Personen, die einen negativen Testnachweis vorlegen.

                    Geimpfte und Genesene sowie Personen mit negativem Testergebnis müssen ihren entsprechenden Nachweis vor Betreten der Einrichtung oder der Inanspruchnahme der Dienstleistung vorlegen und dies bei über 16-Jährigen zusammen mit einem amtlichen Lichtbildausweis (§ 3 Abs. 6 CoBeLVO). Der Verantwortliche muss sich also davon überzeugen, dass der Gast oder die Besucherin bzw. der Besucher auch tatsächlich Inhaber des Nachweises ist.

                    Geimpften und genesenen Personen gleichgestellt sind Kinder im Alter bis zwölf Jahre und drei Monaten sowie Personen, die sich aus medizinischen Gründen nicht impfen lassen können. Diese Personen müssen eine ärztliche Bescheinigung vorlegen, aus der sich mindestens nachvollziehbar die Grundlage für die ärztliche Diagnose ergeben muss. Zudem muss ein Testnachweis (Schnelltest durch geschultes Personal oder PCR-Test, bei Minderjährigen auch ein Selbsttest unter Aufsicht) erbracht werden (§ 3 Abs. 7 28. CoBeLVO).

                    Durch die Kenntnisnahme des 2G- bzw. 3G-Nachweises werden personenbezogene Gesundheitsdaten durch die Verantwortlichen der genannten Einrichtungen verarbeitet. Diese Datenverarbeitung findet ihre Rechtgrundlage in Art. 9 Abs. 2 lit. i, Art. 6 Abs. 1 lit. b oder c DS-GVO i.V.m. § 32 Satz 1, § 28 Abs. 1 Satz 1 und 2 IfSG und § 3 28. CoBeLVO. Dabei ist datenschutzrechtlich Folgendes zu beachten:

                    Auf Grundlage des 2G- oder 3G-Nachweises ist lediglich darüber zu entscheiden, ob die betroffene Person die Einrichtung betreten darf oder nicht. Eine Dokumentation der Prüfung oder auch eine Kopie des Nachweises durch den Betreiber der Einrichtung sind weder nach der Verordnung noch nach dem Infektionsschutzgesetz erforderlich und können damit auch nicht darauf als Rechtsgrundlage gestützt werden. Auch ersetzt eine Kopie des Nachweises nicht die ggf. erforderliche Kontakterfassung, da z. B. in der Testbescheinigung mehr Daten enthalten sind als für die Kontakterfassung gem. § 3 Abs. 4 28. CoBeLVO erforderlich sind. Die Erfassung der Kontaktdaten hat also unabhängig hiervon in datenschutzgerechter Weise zu erfolgen (vgl. FAQ „Was ist bei der Erfassung von Kontaktdaten datenschutzrechtlich zu beachten?“)

                    Auch ergibt sich aus der Corona-Bekämpfungsverordnung keine Rechtsgrundlage dafür, die Daten im Falle eines positiven Ergebnisses bei zulässigen Schnelltests vor Ort an Dritte, z.B. das Gesundheitsamt, zu übermitteln. Bei einem positiven Ergebnis ist lediglich der Zutritt zu verweigern. Nach § 2 Abs. 2 der Landesverordnung zur Absonderung bei Verdacht einer SARS-CoV-2-Infektion Rheinland-Pfalz (CoronaVAbsondV) muss sich die positiv getestete Person unverzüglich absondern und einen PCR-Test machen lassen. Derzeit sind weder eine Melde- noch eine Hinweispflicht des Betreibers der Einrichtung gegenüber der positiv getesteten Person ersichtlich.

                    Die betroffenen Personen müssen zum Zeitpunkt der Datenerhebung durch den Betreiber der Einrichtung entsprechend den Anforderungen der Datenschutz-Grundverordnung (Art. 13 DS-GVO) informiert werden. Dabei sind mitzuteilen

                    • Name und Kontaktdaten des Verantwortlichen und ggf. eines Datenschutzbeauftragten,
                    • Zweck und Rechtsgrundlage der Datenverarbeitung,
                    • Hinweis, dass die Daten nicht an Dritte weitergegeben werden,
                    • Hinweis, dass die Daten nicht gespeichert werden,
                    • Betroffenenrechte und Beschwerderecht bei einer Aufsichtsbehörde,
                    • Folgen, wenn keine Testbescheinigung vorgelegt bzw. kein Selbsttest durchgeführt wird.

                    Die Information kann auch verknüpft werden mit der über die ggf. erforderliche Kontakterfassung. Sie kann gut einsehbar ausgelegt oder ausgehängt werden. Auch kann ein separates Blatt hierfür verwendet werden. Es sollte ein Exemplar zur Verfügung stehen, dass die Besucherin oder der Besucher auf Wunsch mitnehmen kann.

                    Eine Bestätigung der Kenntnisnahme der Information muss der verantwortliche Betreiber der Einrichtung nicht einfordern.

                    Was ist bei der Planung von Vereinsveranstaltungen datenschutzrechtlich im Rahmen der 26. CoBeLVO zu beachten?
                    Kann der Immunisierungsstatus vorab im Rahmen der Planung von Vereinstätigkeiten abgefragt und gespeichert werden?

                    Sollen im Rahmen der Planung einer Veranstaltung, der Trainings- oder Wettkampforganisation oder beim Proben- und Auftrittsbetrieb der Breiten- und Laienkultur im Vorfeld von Teilnehmenden der Immunisierungsstatus abgefragt werden, ist dies mittels ausdrücklicher, freiwilliger und ausreichend informierter Einwilligung durch die Teilnehmenden grundsätzlich möglich. 

                    Regelungen der 26. CoBeLVO:

                    Nach der aktuell gültigen Corona-Bekämpfungsverordnung Rheinland-Pfalz (26. CoBeLVO) gilt für den Sport und die Breiten- und Laienkultur: Training und Wettkampf im Amateur- und Freizeitsport sowie Proben- und Auftrittsbetrieb im Innen- und Außenbereich sind mit maximal 25 nicht-immunisierten Personen (und im Übrigen lediglich genesene oder geimpfte oder diesen gleichgestellte Personen) zulässig. Bei Warnstufe 2 reduziert sich diese Personenanzahl der Nicht-Immunisierten auf 10 Personen, bei Warnstufe 3 auf 5 Personen. Eine andere Zählung gilt, wenn die Gruppe ausschließlich aus Kindern und Jugendlichen bis 17 Jahre besteht. 

                    Ähnliche Regelungen gelten auch für übrige Veranstaltungen.

                    Datenschutzrechtlicher Hintergrund:

                    Vereine stehen damit vor dem Problem, dass Planung und Durchführung 26. CoBeLVO-konformer Trainings und Spiele, Proben und Auftritte praktisch nur dann realisierbar sind, wenn bereits im Vorfeld der Planung eine Abfrage der Teilnehmenden bezüglich des Immunisierungsstatus erfolgen kann.

                    Möchten Vereine Veranstaltungen 26. CoBeLVO-konform planen, ist dies im Vorfeld nur praktikabel möglich, wenn der Verein bzw. der Veranstalter einen Überblick darüber hat, welche Teilnehmenden welchen Immunisierungsstatus haben. Hierbei ist zu beachten, dass es sich bei der Information, ob eine Person bereits immunisiert ist oder nicht, um ein besonders geschütztes gesundheitsbezogenes Datum im Sinne des Art. 9 Abs. 1 DS-GVO handelt. Im Rahmen der Planung von Veranstaltungen, Trainings oder Proben ist die Verarbeitung dieser Information daher nur zulässig, wenn die betroffene Person bzw. bei Kindern und Jugendlichen die sorgeberechtigte Person (siehe hierzu weiter unten: Einwilligung bei Kindern und Jugendlichen), hierin freiwillig und informiert eingewilligt hat. Es spricht nicht gegen die Freiwilligkeit der Einwilligung, wenn eine Teilnahme an einem Training, Wettkampf oder an einer sonstigen Veranstaltung von der Angabe des Immunisierungsstatus abhängig gemacht wird. Der jeweilige Immunisierungsstatus ist aufgrund der Regelungen der 26. CoBeLVO zur Planung und Durchführung der Veranstaltung erforderlich. 

                    Im Rahmen der 26. CoBeLVO ist die Zulässigkeit von Trainings- bzw. Wettkampf- oder sonstigen Veranstaltungen abhängig von der Teilnahme der Zahl der nicht-immunisierten Personen (vgl. § 5 Abs. 2 S. 1, § 5 Abs. 4, § 12 Abs. 1, § 17 Abs. 2 26. CoBeLVO). Hinzu kommt, dass die 26. CoBeLVO die Zahl der zugelassenen nicht-immunisierten Personen von verschiedenen Warnstufen abhängig macht, soweit die Gruppe nicht ausschließlich aus Kindern und Jugendlichen besteht. So ist es denkbar, das nach dem Verkauf der Tickets bzw. nach Vergabe der Teilnahmeplätze kurz vor der Veranstaltung eine andere Warnstufe und damit eine andere Zahl zugelassener nicht-immunisierter Personen gilt. In diesem Fall ist es für die Durchführung der Veranstaltung erforderlich, dass der Veranstalter die Möglichkeit hat, die Planung anzupassen. Dies ist wiederum nur möglich, wenn er bis zum Veranstaltungsbeginn die Möglichkeit hat, die Zahl der nicht-immunisierten Personen einzuschätzen.

                    Wie lange darf ich den Immunisierungsstatus speichern?

                    Im Rahmen der Verarbeitung des Immunisierungsstatus ist insbesondere zu beachten, dass personenbezogene Daten nur solange verarbeitet werden dürfen, wie dies zur Erfüllung des Zwecks erforderlich ist. Unter Berücksichtigung des oben Genannten können daher verschiedene Löschfristen einschlägig sein. Geht es um die Organisation einmaliger Zusammenkünfte oder z.B. um die Erfassung von nicht regelmäßigen Gästen, etwa bei (Auftritten, Wettkämpfen, Spielen etc.), sind die Daten daher grundsätzlich spätestens nach Durchführung der Veranstaltung zu löschen. Für die Planung- und Durchführung regelmäßiger Trainings- oder Wettkampfveranstaltungen oder Proben kann der Immunisierungsstatus jedoch ggf. auch länger gespeichert werden. Spätestens dann, wenn eine Planung bzw. Durchführung auch ohne Kenntnis des Immunisierungsstatus wieder möglich ist, ist dieser jedoch zu löschen. 

                    Ebenso sollte beachtet werden, dass der Immunisierungsstatus nur verarbeitet werden darf, soweit dessen Kenntnis geeignet und erforderlich für den verfolgten Zweck ist. Diesbezüglich ist etwa im konkreten Einzelfall zu prüfen, ob eine Planung der Veranstaltung und eine Erfassung des Immunisierungsstatus z.B. viele Wochen oder gar Monate vor der Veranstaltung überhaupt für eine Planung geeignet sind. Unter Berücksichtigung ständig neuer Erkenntnisse zum Impf- und Infektionsgeschehen dürfte die Erfassung im Rahmen langfristiger Planungen daher nicht geeignet und damit nicht zulässig sein. Ebenso ist die Erfassung im Vorfeld ausschließlich in jenen Fällen möglich, in denen die Kenntnis des Immunisierungsstatus zwingend für die 26. CoBeLVO-konforme Planung und Durchführung der Veranstaltung erforderlich ist. 

                    Welche Daten darf ich genau verarbeiten?

                    Insbesondere ist auch das Gebot der Datenminimierung zu beachten. Auch hier ist auf Art und den Zweck der Zusammenkunft abzustellen. Geht es um die kurzfristige Organisation einmaliger Zusammenkünfte oder z.B. um die Erfassung von nicht regelmäßigen Gästen reicht es in der Regel aus, im Rahmen der Einwilligung die Immunisierung im Sinne einer bloßen „JA/NEIN“ Abfrage vorzunehmen. Erfolgt eine längerfristige Planung, so kann auch eine Abfrage und Speicherung dahingehend erforderlich sein, wie lange der Nachweis gültig ist. Unzulässig ist in der Regel die Abfrage, welche Art der Immunisierung (geimpft/genesen) vorliegt, da diese für die Erfüllung des Zwecks nicht erforderlich ist. 

                    Unabhängig von der Verarbeitung des Immunisierungsstatus im Vorfeld, ist dieser ggf. durch Vorzeigen, etwa beim Einlass, im Rahmen der geltenden Corona-Bekämpfungsverordnung vor Ort auch ergänzend nachzuweisen.

                    Wie sieht es aus, wenn ich mit Freunden, Bekannten oder der Familie teilnehmen möchte?

                    Datenschutzrechtlich ist zu beachten, dass jede Person, deren Gesundheitsdaten verarbeitet werden sollen, individuell in diese Verarbeitung einwilligen muss. Diese individuellen Einwilligungen müssen durch den Verein oder den Veranstalter auch für jede einzelne Person sicher dokumentiert werden. Dies bedeutet, dass eine Person nicht z.B. mehrere Karten kaufen oder mehrere Personen anmelden kann und dann ohne weiteres für diese Personen die Angabe über den Immunisierungsstatus abgibt. Insbesondere von technisch-organisatorischer Seite ist zu gewährleisten, dass jede einwilligende Person informiert wird und die Einwilligungserklärung jeder betroffenen Person individuell vorliegt und jede einzelne Einwilligung dokumentiert wird. 

                    Einwilligung bei Kindern und Jugendlichen:

                    Für eine wirksame Einwilligung in die Verarbeitung personenbezogener Daten muss die Person nicht volljährig sein. Sie muss jedoch einwilligungsfähig sein. Einwilligungsfähigkeit liegt vor, wenn die einwilligende Person nach ihrer geistigen und sittlichen Reife imstande ist, Wesen, Bedeutung und Tragweite des fraglichen Eingriffs zu erkennen und sachgerecht zu beurteilen. Dies bedeutet im konkreten Fall, dass der junge Mensch fähig sein muss, selbstständig eine Entscheidung darüber treffen zu können, ob der Immunisierungsstatus verarbeitet werden soll. Eine feste Altersgrenze für diesen Fall sieht weder die DS-GVO noch das deutsche Datenschutzrecht vor. Vor diesem Hintergrund ist Folgendes zu beachten: Im Rahmen der Einwilligung macht es einen Unterschied, ob diese anonym per Internet oder z.B. gegenüber einem Vereinsmitglied persönlich erfolgt. Eine Beurteilung der Einsichtsfähigkeit des Jugendlichen bei einer anonymen Einwilligung über das Internet wird wohl kaum möglich sein, während im Rahmen des persönlichen Kontaktes die Einwilligungsfähigkeit eingeschätzt werden kann. Aufgrund der Sensibilität von Gesundheitsdaten sollte daher bei Zweifeln an der erforderlichen Einsichtsfähigkeit die Einwilligung der Sorgeberechtigten eingeholt werden. Dies sollte insbesondere gelten, wenn die Einwilligung ohne persönlichen Kontakt zu der betroffenen Person erfolgt.

                    Bei allein sorgeberechtigten Eltern muss nur der sorgeberechtigte Elternteil einwilligen. Sind die Eltern gemeinsam sorgeberechtigt, müssen sie im gegenseitigen Einvernehmen für das Kind entscheiden (§ 1627 BGB). Bei Routineentscheidungen des täglichen Lebens bedarf es lediglich der Einwilligung eines Elternteiles. Bei Angelegenheiten von erheblicher Bedeutung verlangt § 1687 Abs. 1 BGB jedoch die Einwilligung beider Sorgeberechtigten. Wann eine Angelegenheit von erheblicher Bedeutung vorliegt, ist im Einzelfall zu entscheiden. Aufgrund der Sensibilität des Immunisierungsstatus als gesundheitsbezogenes Datum sollte im Zweifel die Einwilligung beider Sorgeberechtigten eingeholt werden.

                    Werden Jugendliche einsichtsfähig, können sie die von den Sorgeberechtigten erteilte Einwilligung widerrufen. 

                    Welche Anforderungen im Hinblick auf die Einwilligung müssen eingehalten werden?

                    Insbesondere sind folgende Punkte zu beachten:

                    Erforderlich ist eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder sonstigen eindeutigen bestätigenden Handlung, durch die die betroffene Person bzw. deren Sorgeberechtigte ihr Einverständnis zur Datenverarbeitung unmissverständlich erteilt. 

                    Stillschweigen, bereits  angeklickte Kästchen oder Untätigkeit der betroffenen Person stellen keine Einwilligung dar. Für die Erteilung von Einwilligungen ist vielmehr ein aktives Verhalten der betroffenen Personen erforderlich (etwa Unterschrift einer Einwilligungserklärung bzw. aktives Setzen eines Hakens in einem Web-Formular).

                    Die Einwilligung hat in informierter Weise zu erfolgen. 

                    Die vorformulierte Einwilligungserklärung muss in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden. Es dürfen keine missverständlichen Klauseln enthalten sein und die betroffene Person muss mindestens darüber informiert werden, wer der Verantwortliche ist und zu welchen Zwecken ihre personenbezogenen Daten verarbeitet werden sollen. Darüber hinaus ist die betroffene Person über die Art der verarbeiteten Daten, über ihr Recht, die Einwilligung jederzeit zu widerrufen, ggf. über die Verwendung der Daten für eine automatisierte Entscheidungsfindung und über mögliche Risiken von Datenübermittlungen in Drittländer ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien nach Artikel 46 DS-GVO zu informieren.

                    Ebenso ist der Verantwortliche nach Art. 7 Abs. 1 DS-GVO ausdrücklich verpflichtet, die Erteilung der Einwilligung nachweisen zu können.

                    Weitere Informationen zu den Anforderungen an eine wirksame Einwilligung finden Sie unter:

                    FAQs zu Ansprüchen auf Informationszugang im Zusammenhang mit der Corona-Pandemie

                    Bürgerinnen und Bürger können auf Informationszugang gerichtete Anträge mit inhaltlichem Bezug zur Corona-Pandemie stellen. Ob und wenn ja in welchem Umfang der Informationszugang durch die angefragte Stelle im Falle eines solchen Antrags zu eröffnen ist, hängt maßgeblich von der Fragestellung ab.

                    In welchem Umfang können Informationen zu Verstößen gegen die Corona-Bekämpfungsverordnung angefragt werden?

                    Denkbar sind Anfragen an Ordnungsbehörden zu Verstößen gegen die Corona-Bekämpfungsverordnung (CoBeLVO). Beispielsweise könnten die Ordnungsbehörden zu einzelnen auf Grund von Verstößen gegen § 12 CoBeLVO i.V.m. dem 15. Abschnitt des Infektionsschutzgesetzes eingeleiteten Straf- und Ordnungswidrigkeitenverfahren angefragt werden. Eine solche Anfrage an eine Ordnungsbehörde könnte bspw. lauten: „Gegen welche Restaurants hat Ihre Behörde ein Ordnungswidrigkeitenverfahren eingeleitet, weil diese über den in § 1 Abs. 1 Nr. 2 CoBeLVO erlaubten Umfang hinaus geöffnet hatten?“ oder „Gegen welche Personen hat Ihre Behörde aufgrund der Annahme von unerlaubten Ansammlungen nach § 4 CoBeLVO ein Bußgeld nach § 12 CoBeLVO i.V.m. § 73 Abs. 2 Infektionsschutzgesetz verhängt?“.

                    Bei solchen Anfragen ist zunächst zu prüfen, ob die Regelungen zur Auskunft nach dem Ordnungswidrigkeitengesetz (OWiG) dem Landestransparenzgesetz nach § 2 Abs. 3 LTranspG als besondere Rechtsvorschriften vorgehen. Dies ist grundsätzlich der Fall, außer das Auskunftsbegehren bezieht sich allein auf verfahrensübergreifende Merkmale und ist nicht auf personenbezogene Daten Dritter gerichtet. Dies wäre bspw. der Fall, wenn lediglich nach der Anzahl von OWiG-Verfahren oder Verstößen gefragt wird. Im Anwendungsbereich des LTranspG ist zudem die teilweise Bereichsausnahme für Strafverfolgungs- und Strafvollstreckungsbehörden in § 3 Abs. 4 LTranspG und bei laufenden OWiG- oder Strafverfahren sind die in § 14 Abs. 1 Nr. 2 LTranspG geregelten entgegenstehenden Belange zu beachten.

                    Ist das OWiG vorrangig anzuwenden, regelt § 475 StPO den Umfang des Auskunftsrechts von Dritten (Privatpersonen und sonstigen Stellen, nicht des Betroffenen selbst). Die Vorschrift gilt gemäß § 46 Abs. 1, § 49b OWiG für das Bußgeldverfahren sinngemäß. Nach § 475 Abs. 1 StPO können Privatpersonen und sonstige Stellen Auskünfte aus Akten erhalten, soweit sie hierfür ein berechtigtes Interesse darlegen.

                    Als berechtigtes Interesse gelten alle nachvollziehbar durch die Sachlage gerechtfertigten Interessen tatsächlicher, wirtschaftlicher oder ideeller Art, sofern die Rechtsordnung ihnen nicht in Form eines Verbotes die Anerkennung versagt. Es muss also nicht der Grad des rechtlichen Interesses erreicht sein. Ein Beispiel ist die Verfolgung oder Abwehr rechtlicher Ansprüche, die Norm ist aber nicht hierauf beschränkt.

                    Denkbar wäre bspw., dass gegen den Anfragenden selbst ein OWiG-Verfahren aufgrund eines Verstoßes gegen die CoBeLVO i.V.m. dem Infektionsschutzgesetz geführt wird und er sich auf ein ähnliches Verfahren im Rahmen seiner Verteidigung berufen will, wozu er dessen Akteninhalt benötigt. Ein Zeuge hat ohne besondere Umstände kein berechtigtes Interesse i.S.d. Norm, insbesondere nicht daran, die Aussagen anderer Zeugen zu kennen. Die Darlegung erfordert einen schlüssigen Tatsachenvortrag, der Grund und Intensität des Auskunftsinteresses erkennen lässt, und damit weniger als die Glaubhaftmachung. Formelhafte Behauptungen sind hierfür nicht ausreichend, vielmehr ist im Einzelnen darzulegen, warum und wofür die Auskunft verlangt wird. Allerdings ist zu berücksichtigen, dass der Antragsteller den Akteninhalt noch nicht kennt und seinen Nutzen daher nur prognostisch bewerten kann.

                    Auskünfte sind zu versagen, wenn der hiervon Betroffene ein schutzwürdiges Interesse an der Versagung hat. Die Entscheidung ergeht nach pflichtgemäßem Ermessen. Ist die Auskunft nach § 475 Abs. 1 StPO i.V.m. § 46 Abs. 1, § 49b OWiG zu versagen, kann diese dann auch nicht über das LTranspG beansprucht werden, da § 475 Abs. 1 StPO insoweit vorrangig und abschließend ist.

                    In welchem Umfang können Informationen zu Allgemeinverfügungen zur Bekämpfung des Coronavirus angefragt werden?

                    Die Kommunen oder das Ministerium für Soziales, Arbeit, Gesundheit und Demografie (MSAGD) können zu Allgemeinverfügungen zur Bekämpfung des Coronavirus nach § 11 CoBeLVO angefragt werden (bspw. „Wurde in meiner Kommune eine Allgemeinverfügung erlassen? Mit welchem Inhalt?“). Solche Allgemeinverfügungen können die Kommunen im Einvernehmen mit dem MSAGD erlassen. Entgegenstehende Belange sind bei einem solchen Antrag nach Inkrafttreten der jeweiligen Allgemeinverfügung (Abschluss des Willensbildungsprozesses) nicht erkennbar, so dass der Informationszugang zu eröffnen ist.

                    In welchem Umfang können Informationen zu Infektionen angefragt werden?

                    Denkbar sind auch Anfragen zu Infektionen. Das Infektionsschutzgesetz enthält in § 16 datenschutzrechtliche Vorgaben, jedoch kein Auskunftsrecht bzw. kein Recht auf Informationszugang. Daher sind Anfragen an Landesbehörden zu Infektionen und dem Infektionsschutz nach den Vorgaben des Landestransparenzgesetzes zu prüfen.

                    Als entgegenstehende Belange kommen Betriebs- und Geschäftsgeheimnisse nach § 16 Abs. 1 S. 1 Nr. 1 LTranspG in Betracht, bspw. bei der Anfrage „Wie viele Beschäftigte des Unternehmens X sind infiziert?“. Eine solche Information könnte als Geschäftsgeheimnis nach § 5 Abs. 6 LTranspG zu qualifizieren sein: Die Information ist betriebsbezogen, nicht offenkundig und das Unternehmen hat einen Geheimhaltungswillen sowie je nach Einzelfall ein berechtigtes Geheimhaltungsinteresse. Das berechtigte Geheimhaltungsinteresse kann vorliegen, wenn bspw. im Fall des „Lahmliegens“ eines Unternehmens aufgrund von Quarantäne oder ähnlichen Maßnahmen ein Konkurrent diese Information für sein eigenes Marktverhalten ausnutzen kann.

                    Je nach Anfrage könnten durch den Informationszugang personenbezogene Daten Dritter offenbart werden (§ 16 Abs. 1 S. 1 Nr. 2 LTranspG). Ob dies der Fall ist, hängt davon ab, ob die jeweilige Anfrage allgemein gehalten ist („Welcher Ortsteil ist am stärksten betroffen?“) oder auf eine oder mehrere identifizierbare Person/en gerichtet ist („Ist mein Nachbar infiziert?“), wobei der Übergang fließend ist (bspw. bei der Frage „Wie viele Personen in meiner Straße sind infiziert?“).

                    Da eine Einwilligung meist nicht vorliegen dürfte, laufen Anfragen bei entgegenstehenden Belangen nach § 16 Abs. 1 LTranspG auf ein Drittbeteiligungsverfahren (§ 16 Abs. 2 i.V.m. § 13 LTranspG) und infolgedessen auf eine Abwägungsentscheidung durch die informationspflichtige Stelle hinaus. Eine Ausnahme wäre im Fall von Personenbezug die Unkenntlichmachung, wenn diese möglich und vom Antragsteller gewünscht ist (§ 16 Abs. 1 S. 2 LTranspG, VV LTranspG Nr. 16.1.7).

                    Zumindest in Bezug auf die Anfragen zu bestimmten Personen, dürfte im Rahmen der Abwägung das öffentliche Informationsinteresse i.S.d. LTranspG in der Regel hinter den Interessen der infizierten Person zurücktreten, zumal es sich um besonders geschützte Gesundheitsdaten handelt (vgl. Art. 9 Abs. 1 DSGVO) und der Zugang zu diesen Informationen die Gefahr birgt, die betroffene Person erheblich zu stigmatisieren. Im Rahmen der Abwägung überwiegt das Interesse der Öffentlichkeit an den Informationen zu konkret infizierten Personen das Interesse des Einzelnen daher wohl regelmäßig nicht.

                    In welchem Umfang können Informationen zu Auswertungen, Gutachten und Erhebungen bzgl. der Corona-Infektionen angefragt werden?

                    Fragen im Hinblick auf statistische Auswertungen und Erhebungen oder Gutachten bzgl. der Infektionen könnten etwa lauten:

                    • „Welcher Ortsteil ist am stärksten betroffen?“
                    • „Wie viele Personen befinden sich im Land/der Gemeinde aktuell in Quarantäne?“
                    • „Welche Altersstruktur weisen die Infizierten auf?“
                    • „Ist der Infektionsort/die Infektionsart bekannt, wenn ja, wo/welche Schwerpunkte sind auszumachen?“ 

                    Denkbar sind ebenso Fragen zu Gutachten, Prognosen und Analysen wie etwa:

                    • „Gibt es Gutachten bzgl. der Verbreitung/Risikoabschätzung bzw. ist eine Einsicht in diese Gutachten möglich?“, oder der Zugang zu entsprechenden Datenbanken wird angefordert. 

                    Ein solcher Anspruch setzt grundsätzlich voraus, dass die transparenzpflichtige Stelle auch tatsächlich konkret über die angeforderten Erhebungen, Auswertungen, Gutachten etc. verfügt. Liegen solche nicht vor, umfasst der Anspruch keine Pflicht zur Informationsbeschaffung (vgl. VV-LTranspG, Nr. 4.2). Daraus folgt, dass nur die tatsächlich verfügbaren Informationen zugänglich zu machen sind. Liegen also beispielsweise Rohdaten vor, so können diese zwar vom Zugangsanspruch umfasst sein, ein Anspruch auf Auswertung oder Einordnung oder Begutachtung durch die transparenzpflichtige Stelle besteht jedoch zumindest im Rahmen des LTranspG nicht. 

                    Als entgegenstehende Belange kommen insbesondere folgende in Betracht: 

                    Personenbezogene Daten

                    Unter Umständen sind personenbezogene Daten betroffen (§ 16 Abs. 1 S. 1 Nr. 2 LTranspG), sofern die Erhebungen etc. solche Daten enthalten oder Rückschlüsse erlauben. 

                    Statistikgeheimnis

                    Hinsichtlich des Zugangs zu Statistiken ist im Rahmen der entgegenstehenden Belange das Statistikgeheimnis (§ 16 Abs. 1 S. 1 Nr. 3 LTranspG) zu beachten. Danach hat ein Informationszugang zu unterbleiben, soweit die Informationen dem Statistikgeheimnis unterliegen. Demnach sind Einzelangaben über sachliche und persönliche Verhältnisse, die für eine Statistik gemacht werden, geheim zu halten (vgl. § 1 Abs. 2 S. 1 LStatG i.V.m. § 16 Abs. 1 S. 1 BStatG). 

                    Rechte am geistigen Eigentum

                    Beim Zugang zu Gutachten, Analysen und auch Datenbanken kommen im Hinblick auf die entgegenstehenden Belange insbesondere Rechte am geistigen Eigentum (Urheberrecht) in Betracht (§ 16 Abs. 1 S. 1 Nr. 1 Alt. 1 LTranspG). So können umfangreiche Gutachten ggf. die nötige Schöpfungshöhe im Rahmen des Werkbegriffs als Werk der Wissenschaft (vgl. § 1 Var. 2, § 2 Abs. 1 Nr. 1 und Nr. 7 UrhG) erreichen und damit schutzfähig sein. Insbesondere sollte im weiteren Verfahren darauf geachtet werden, dass/ob sich die Behörde entsprechende Nutzungsrechte hat einräumen lassen, welche diesen entgegenstehenden Belang ausräumen könnten. 

                    Entsprechendes gilt auch für Datenbanken bzw. Sammelwerke (vgl. § 4 UrhG) oder etwa Details zu Risikoanalysen, welche ggf. mittels bestimmter Computerprogramme/Algorithmen erstellt werden. Auch hier kann der Zugang zum Programmcode/Algorithmus unter den Schutz des UrhG fallen (vgl. § 1 Abs. 1 Nr. 1 Var. 4 UrhG). 

                    Geschäftsgeheimnisse

                    Sofern die erforderliche Schöpfungshöhe für einen urheberrechtlichen Schutz nicht erreicht sein sollte, liegen in der genauen Funktionsweise etwa eines Algorithmus oder in Details bzgl. eines Verfahrens zur Erstellung einer Analyse möglicherweise Geschäftsgeheimnisse. 

                    Drittbeteiligungsverfahren, Abwägung, teilweiser Zugang:

                    Bezüglich der o.g. möglichen entgegenstehenden Belange wird im Hinblick auf das Drittbeteiligungsverfahren, dem Abwägungserfordernis und der möglichen Unkenntlichmachung entsprechender Daten auf die Ausführungen zu „In welchem Umfang können Informationen zu Infektionen angefragt werden?“ (siehe oben) verwiesen. 

                    Noch nicht aufbereitete Daten

                    Der Zugang zu Rohdaten bzgl. der Corona-Sachlage kann u.a. abzulehnen sein, soweit es sich um Material handelt, das gerade vervollständigt wird oder welches sich auf noch nicht aufbereitete Daten bezieht (§ 14 Abs. 1 S. 2 Nr. 11 Var. 1, Var. 3 LTranspG). Der Zugang ist jedoch nur dann zu verwehren, wenn die Aufbereitung objektiv erforderlich, beabsichtigt und möglich ist. Nicht aufbereitet im Sinne der Norm sind jedoch nur solche Daten, die inhaltlich unvollständig sind (vgl. VV-LTranspG, Nr. 14.1.2.11). Damit kann der Anspruch nicht schon mit dem bloßen Hinweis darauf abgelehnt werden, es handele sich um unbearbeitete Rohdaten. Bei der Zählung von Fällen sind Informationen zugänglich zu machen, wenn und soweit sie abgrenzbar sind, etwa durch Stichtagsangaben. Da sich der Anspruch nicht allein auf interpretierte oder ausgewertete Daten bezieht, kann auch ein Anspruch auf Zugang zu bloßen Rohdaten bestehen. Hinsichtlich des Verfahrens ist zu beachten, dass die Behörde, die sich auf diese Belange beruft, dem Antragssteller u.a. mitzuteilen hat, ob/wann die Informationen zugänglich gemacht werden können und welche Stelle das Material bearbeitet (vgl. § 12 Abs. 4 S. 3 und 4 LTranspG).

                    In welchem Umfang können Informationen zum weiteren Vorgehen und geplanten Maßnahmen angefragt werden?

                    Ein auf Informationen zum weiteren Vorgehen und geplanten Maßnahmen gerichteter Antrag ist ggf. abzulehnen, soweit es sich etwa um Informationen zum aktuellen behördlichen Entscheidungsprozess bzw. um interne Mitteilungen, Entwürfe zu Entscheidungen sowie Arbeiten und Beschlüsse zu ihrer unmittelbaren Vorbereitung handelt, soweit und solange durch die vorzeitige Bekanntgabe der Information der Erfolg der Entscheidung oder bevorstehender behördlicher Maßnahmen vereitelt würde, es sei denn, das öffentliche Interesse an der Bekanntgabe überwiegt; vereitelt würde der Erfolg einer Maßnahme, wenn sie nicht, anders oder wesentlich später zustande käme (vgl. § 15 Abs. 1 Nr. 1 LTranspG). Auch in diesem Fall läuft es im Ergebnis auf eine Abwägung des Informationsinteresses mit dem öffentlichen Interesse an der Bekanntgabe heraus. Soweit ausnahmsweise kein atypischer Fall vorliegt, ist ein Informationszugang daher i.d.R. abzulehnen. Oftmals werden derartige Anfragen durch eine Auskunft beantwortet werden können.