FAQs zu Datenschutz und Corona-Schutzimpfungen

Auf welcher Rechtsgrundlage dürfen Informationen über die zu impfende Person wie etwa Name und Anschrift, aber auch Angaben zu Kontraindikationen und Vorerkrankungen, vor der Impfung erhoben und gespeichert werden?

Rechtslage

Die Durchführung von Corona-Schutzimpfungen ist freiwillig. Es besteht keine Impfpflicht. Sobald ein Bürger das Impfangebot annimmt, entsteht rechtlich ein Behandlungsvertrag. Dieser wird zwischen der Einrichtung, die die Impfung durchführt, und dem einzelnen Bürger geschlossen. Solange der Deutsche Bundestag nicht die Feststellung der Corona-Pandemie aufgehoben hat, erfolgen die Corona-Schutzimpfungen regelmäßig über die Impfzentren bzw. die ihnen angegliederten mobilen Impfteams. Der zugrunde liegende Behandlungsvertrag wird in diesem Fall zwischen dem Betreiber der Impfzentren – in Rheinland-Pfalz das Land vertreten durch das Ministerium für Soziales, Arbeit, Gesundheit und Demografie (MSAGD) - und der impfwilligen Person geschlossen.

Nach den datenschutzrechtlichen Vorgaben der Art. 6 Abs. 1 lit. b und Art. 9 Abs. 2 lit. h Datenschutz-Grundverordnung (DS-GVO) dürfen alle Daten, die zur Erfüllung eines Vertrags erforderlich sind, verarbeitet werden. Dabei umfasst diese Befugnis auch solche Datenverarbeitungen, die zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person erforderlich sind. Zudem erstreckt sich die Zulässigkeit auch auf solche Verarbeitungen, die der Vertragspartner aufgrund rechtlicher Vorgaben, denen er unterliegt, zwingend vornehmen muss. Im Zusammenhang mit den Corona-Schutzimpfungen sind dies insbesondere Vorgaben zur Dokumentation der Behandlung aus dem Zivilrecht und dem ärztlichen Berufsrecht sowie zur Qualitätssicherung nach dem Infektionsschutzrecht.

Bedeutung für die Datenverarbeitung im Rahmen der Corona-Schutzimpfung

Sobald Bürger das staatliche Angebot zur Durchführung einer Corona-Schutzimpfung annehmen möchten und sich zu diesem Zweck um einen Impftermin bemühen, dürfen sämtliche Daten, die für eine erfolgreiche Impfung erforderlich sind, erhoben und gespeichert werden. Dies betrifft im Vorfeld einer Impfung neben Angaben zu Namen und Anschrift bzw. Erreichbarkeitsdaten der Bürger auch solche Daten, auf deren Grundlage abgeklärt werden kann, ob eine Impfung medizinisch überhaupt indiziert ist, also Fragen zu Kontraindikationen und Vorerkrankungen. Kommt es zu einer Impfung, dürfen darüber hinaus die hierbei angefallenen Daten – also z.B. Tag der Impfung, verabreichter Impfstoff, erfolgte Aufklärung und Einwilligung, Nebenwirkungen – zum Zwecke der Dokumentation und medizinischen Qualitätssicherung verarbeitet werden. 

Praktische Bedeutung

Im Vorfeld der Impfung sind die an einer Impfung interessierten Bürger auf die bestehenden Befugnisse zur Datenverarbeitung hinzuweisen. In Rheinland-Pfalz erfolgt dies durch das in diesem Zusammenhang bereit gestellte Informationsblatt.

Unter welchen Voraussetzungen dürfen Dritte Terminanmeldungen für an einer Corona-Schutzimpfung interessierte Bürgerinnen und Bürger vornehmen?

Rechtslage

Sofern an einer Corona-Schutzimpfung interessierte Bürgerinnen und Bürger einen Impftermin vereinbaren wollen, ist dies in Rheinland-Pfalz entweder telefonisch oder online über das Internet möglich. Dabei müssen die Bürger die für eine Terminvereinbarung erforderlichen Daten – neben Namen und Anschrift auch Angaben zur Vorerkrankungen und Kontraindikationen – an die mit der Terminvergabe befassten Stellen übermitteln. Teilweise sind die Bürgerinnen und Bürger jedoch nicht in der Lage oder willens, die Online-Terminanmeldung selbst vorzunehmen. Sie können dann Dritte wie z.B. nahe Angehörige, Freunde oder Mitarbeiter von Pflegediensten bitten, für sie die Registrierung vorzunehmen. Da diese zum Zwecke der Terminanmeldung personenbezogene Daten der Impfwilligen verarbeiten müssen, bedarf es hierzu jeweils einer Einwilligung der Bürgerinnen und Bürger.

Nach Art. 7 Abs. 1 Datenschutz-Grundverordnung muss der Verantwortliche – also im Falle einer Bevollmächtigung zur Terminanmeldung der beauftragte Dritte – nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Ausdrückliche formelle Anforderungen an die Einwilligung wie etwa die Schriftlichkeit der Erklärung gibt es nicht. 

Praktische Bedeutung: Anforderung an die Einwilligung

Regelmäßig stellt eine schriftlich abgegebene Erklärung jedoch den besten Nachweis für die Erteilung einer Einwilligung dar. Solange den Bürgerinnen und Bürgern, die für die Anmeldung zu einem Impftermin die Unterstützung durch eine dritte Person brauchen, die Ausstellung einer solchen Erklärung zumutbar ist, sollte dies daher auch erfolgen. Dies gilt insbesondere dann, wenn die Bevollmächtigten nicht aus dem familiären oder persönlichen Umfeld der Betroffenen stammen, sondern Mitarbeiterinnen oder Mitarbeiter von externen Einrichtungen, Verwaltungen oder Organisationen sind. Allerdings kann es auch in solchen Fällen gerechtfertigt sein, auf die Ausstellung einer schriftlichen Einwilligungserklärung zu verzichten, wenn eine persönliche Aushändigung der Erklärung den Bürgerinnen und Bürgern zum Beispiel aus Gründen der Kontaktvermeidung oder der eingeschränkten Mobilität nicht zugemutet werden kann oder die Terminanmeldung unangemessen verzögern würde. Erfolgt die Bevollmächtigung zur Terminanmeldung telefonisch, sollten die Dritten dies dokumentieren, um der datenschutzrechtlichen Rechenschaftspflicht entsprechen zu können. 

Wer darf bevollmächtigt werden?

Grundsätzlich steht es jeder Bürgerin und jedem Bürger frei zu entscheiden, welche Person oder Stelle sie/er um Unterstützung bei der Anmeldung zu einem Impftermin bittet. Vor dem Hintergrund der bei der Anmeldung anzugebenden Informationen zu Vorerkrankungen und Kontraindikationen bieten sich neben Personen aus dem familiären oder persönlichen Umfeld vorrangig Mitarbeiterinnen und Mitarbeiter aus Einrichtungen oder Organisationen an, die ohnehin mit der Gesundheitsversorgung der Betroffenen befasst sind, also z.B. aus Pflegediensten oder Arztpraxen. Da diese die gesundheitlichen Verhältnisse der an einer Impfung interessierten Bürgerinnen und Bürger kennen, wäre deren Einbindung aus Sicht des Datenschutzes daher primär anzustreben. 

Darüber hinaus sind allerdings auch andere Stellen wie z.B. Sozialverbände, Verwaltungen oder Parteien nicht daran gehindert, ihre Unterstützung bei der Terminanmeldung anzubieten. In diesen Fällen sollte den Betroffenen allerdings im Vorfeld dargelegt werden, in welcher Weise die für die Anmeldung erforderlichen Daten verarbeitet werden, insbesondere welche Personen die Angaben zur Gesundheit der Bürgerinnen und Bürger zur Kenntnis nehmen können und welche Vorkehrungen zum Schutz der Daten getroffen wurden. Zudem muss die Vertraulichkeit der Datenverarbeitung sichergestellt und eine zweckändernde Nutzung der Daten ausgeschlossen sein. Angesichts der datenschutzrechtlichen Rechenschaftspflicht sollten diese Stellen ihre Tätigkeit ausreichend dokumentieren.

Löschung von Daten durch die Bevollmächtigten

Die von den Bevollmächtigten zur Terminanmeldung verarbeiteten Daten dürfen von diesen nur solange gespeichert werden, wie dies hierzu erforderlich ist. Spätestens nach Durchführung des vereinbarten Impftermins müssen diese Daten daher gelöscht werden.

Wie transparent ist die Datenverarbeitung bei den Corona-Schutzimpfungen in Impfzentren oder ihnen angegliederten mobilen Impfteams?

Rechtslage

Nach den allgemeinen datenschutzrechtlichen Vorgaben aus Art. 12 Abs. 1 und Art. 13 Datenschutz-Grundverordnung (DS-GVO) haben die für eine Verarbeitung personenbezogener Daten Verantwortlichen den hiervon betroffenen Personen diverse Informationen über die Datenverarbeitung in präziser, transparenter, verständlicher und leicht zugänglicher Form bereitzustellen. Dies gilt selbstverständlich auch für die Datenverarbeitungen im Zusammenhang mit der Durchführung der Corona-Schutzimpfungen während der epidemischen Lage.

Umsetzung in Rheinland-Pfalz

Das Land Rheinland-Pfalz vertreten durch das Ministerium für Soziales, Arbeit, Gesundheit und Demografie (MSAGD) hat zur Erfüllung dieser datenschutzrechtlichen Informationspflichten ein Informationsblatt entwickelt, das allen an einer Corona-Schutzimpfung interessierten Bürgerinnen und Bürgern zur Verfügung gestellt wird. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit hat daran mitgewirkt. Das Informationsblatt kann im Internet unter diesem Link abgerufen werden.

Praktische Bedeutung

Angesichts des zur Bekämpfung der Corona-Pandemie bestehenden staatlichen Impfangebots und der Freiwilligkeit der Impfungen kommt der Transparenz der Datenverarbeitung eine besondere Bedeutung zu. Denn damit können die Bürgerinnen und Bürger im Vorfeld einer Impfung auch datenschutzrechtliche Aspekte berücksichtigen und in ihre Impfentscheidung einfließen lassen.

Welche Stelle ist für die Datenverarbeitung im Zusammenhang mit den Corona-Schutzimpfungen durch Impfzentren und mobile Impfteams verantwortlich?

Rechtslage

Während der Corona-Pandemie werden die Schutzimpfungen gegen die Infektion durch Impfzentren und diesen angegliederten mobilen Impfteams erbracht. Dabei können die Länder im Hinblick auf deren Errichtung, Organisation und Betrieb mit den Kassenärztlichen Vereinigungen und anderen geeigneten Dritten wie z.B. Krankenhäusern oder Betriebsärzten zusammenarbeiten. Sobald die Feststellung der epidemischen Lage durch den Deutschen Bundestag aufgehoben wird, sind die Impfungen auf den üblichen Wegen – insbesondere durch die niedergelassenen Ärzte – erhältlich. 

Grundlage für die Organisation des Impfgeschehens während der pandemischen Lage ist § 6 der Coronavirus-Impfverordnung (Corona-ImpfV). Danach werden die Impfzentren durch die Länder oder in deren Auftrag errichtet und betrieben. In Rheinland-Pfalz hat das Land, vertreten durch das Ministerium für Soziales, Arbeit, Gesundheit und Demografie (MSAGD), insgesamt 31 Impfzentren errichtet.

Verantwortlichkeit

Das MSAGD ist vor diesem Hintergrund auch für die Einhaltung der datenschutzrechtlichen Vorgaben im Zusammenhang mit den Corona-Schutzimpfungen durch Impfzentren und mobile Impfteams verantwortlich (Art. 24 Datenschutz-Grundverordnung). Dies bedeutet, dass das MSAGD beispielsweise unter Berücksichtigung des Schutzbedarfs der im Rahmen der Impfungen verarbeiteten Gesundheitsdaten der Bürgerinnen und Bürger geeignete technische und organisatorische Maßnahmen ergreifen muss, um eine rechtskonforme und sichere Datenverarbeitung zu gewährleisten. Aber auch die Betroffenenrechte wie das Recht auf eine transparente Information über die Datenverarbeitung oder das Recht auf Auskunftserteilung müssen durch das MSAGD sichergestellt werden.

Praktische Bedeutung

Bürgerinnen und Bürger können sich bei Fragen zum Datenschutz im Rahmen der Impfungen durch Impfzentren an das MSAGD wenden. Nähere Informationen zu den Kontaktdaten ergeben sich aus dem seitens des Landes in diesem Zusammenhang erarbeiteten Informationsblatt. Zugleich ist das MSAGD in Datenschutzfragen gegenüber dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit als zuständiger Datenschutzaufsicht rechenschaftspflichtig.

Was ist die Impfdokumentation Rheinland-Pfalz, und wie ist diese datenschutzrechtlich einzuordnen?

Rechtslage

Sobald eine Corona-Schutzimpfung erfolgt, ist der Impfvorgang, wie auch bei allen anderen Schutzimpfungen, zu dokumentieren. Für die Einrichtungen bzw. die für sie impfenden Ärzte ergibt sich dies bereits aus den Vorgaben des Berufsrechts (§ 10 Abs. 1 der Berufsordnung der rheinland-pfälzischen Ärztinnen und Ärzte) und des Zivilrechts (§ 630f BGB). Danach ist die Behandlung für die Dauer von 10 Jahren zu dokumentieren. Darüber hinaus verpflichtet auch das Infektionsschutzgesetz in § 22 IfSG  zur Impfdokumentation.

Dokumentation der Corona-Schutzimpfungen in Rheinland-Pfalz während der Pandemie

Während der pandemischen Lage werden die Corona-Schutzimpfungen auf der Grundlage von § 6 der Coronavirus-Impfverordnung (Corona-ImpfV) regelmäßig durch Impfzentren und ihnen angegliederte mobile Impfteams durchgeführt. In Rheinland-Pfalz hat das Land als Betreiber der Impfzentren eine externe Stelle, die „Impfdokumentation Rheinland-Pfalz“, mit der Dokumentation der nach der Corona-VO durchgeführten Impfungen beauftragt. Datenschutzrechtlich ist die von der Impfdokumentation Rheinland-Pfalz vorzunehmende Speicherung des Impfgeschehens als Auftragsverarbeitung im Sinne von Art. 28 Datenschutz-Grundverordnung (DS-GVO) zu qualifizieren. Denn sämtliche Verarbeitungsschritte im Rahmen der Dokumentation werden seitens des Landes, vertreten durch das Ministerium für Soziales, Arbeit, Gesundheit und Demografie, vorgegeben.

Praktische Bedeutung

Im Falle einer Impfung in einem Impfzentrum oder durch ein mobiles Impfteam ist es zulässig, dass die zur Dokumentation erforderlichen Daten an die Impfdokumentation Rheinland-Pfalz weiter geleitet und dort gespeichert werden. Eine separate Einwilligung der geimpften Personen ist hierzu nicht nötig. Die Daten werden entsprechend der zugrunde liegenden rechtlichen Vorgaben für die Dauer von 10 Jahren aufbewahrt. Im Vorfeld einer Impfung sind die an einer Impfung interessierten Personen darüber zu informieren. In Rheinland-Pfalz erfolgt dies durch das in diesem Zusammenhang bereit gestellte Informationsblatt.

Dürfen Angaben zur Impfung an das Robert-Koch-Institut weiter gegeben werden?

Rechtslage

Nach den Regelungen des Infektionsschutzgesetzes (§ 13 Abs. 5 IfSG) haben die Kassenärztlichen Vereinigungen und die zur Durchführung von Impfleistungen eingerichteten Impfzentren diverse im Zusammenhang mit einer Schutzimpfung stehende Angaben zusammen mit einem Patienten-Pseudonym für Zwecke der Feststellung der Inanspruchnahme von Schutzimpfungen und von Impfeffekten (Impfsurveillance) an das Robert-Koch-Institut (RKI) zu übermitteln. Zugleich sind diese Daten für Zwecke der Überwachung der Sicherheit von Impfstoffen (Pharmakovigilanz) dem Paul-Ehrlich-Institut bereit zu stellen. Eine Wiederherstellung des Personenbezugs der übermittelten pseudonymisierten Daten ist für das Robert Koch-Institut und das Paul-Ehrlich-Institut auszuschließen.

Sofern Corona-Schutzimpfungen während der pandemischen Lage durch die Impfzentren bzw. ihnen angegliederte mobile Impfteams durchgeführt werden, verpflichtet § 7 der Coronavirus-Impfverordnung (Corona-ImpfV) diese zur Übermittlung der in der Regelung aufgeführten Angaben in pseudonymisierter Form an das RKI. Die Übermittlung dient der Impfsurveillance und muss über das vom RKI nach § 14 IfSG eingerichtete elektronische Melde- und Informationssystem erfolgen. Das RKI ist seinerseits befugt, die ihm übermittelten Daten dem Paul-Ehrlich-Institut zum Zwecke der Pharmakovigilanz zu übermitteln. 

Umsetzung in Rheinland-Pfalz

In Rheinland-Pfalz werden die infektionsschutzrechtlichen Verpflichtungen zur Übermittlung pseudonymisierter Daten an das RKI zum Zwecke der Impfsurveillance zentral durch die Impfdokumentation Rheinland-Pfalz abgewickelt. Dies ist datenschutzrechtlich zulässig, da die Impfdokumentation Rheinland-Pfalz als Auftragsverarbeiter hierzu vom Land beauftragt wurde.

Praktische Bedeutung

Einer Einwilligung der geimpften Personen zur Übermittlung der pseudonymen Angaben über die Impfung bedarf es angesichts der bestehenden Rechtsgrundlagen nicht. Allerdings muss die zu impfende Person im Vorfeld der Impfung auf die Datenweitergaben an das RKI hingewiesen werden, damit sie dies bei der Impfentscheidung berücksichtigen kann. In Rheinland-Pfalz erfolgt dies durch das in diesem Zusammenhang bereit gestellte Informationsblatt.

Was gilt zum Datenschutz bei Impfungen durch Betriebsärzte oder sonstige geeignete Dritte?

Rechtslage

§ 6 Abs. 3 Satz 1 der Coronavirus-Impfverordnung (Corona-ImpfV) lässt im Zusammenhang mit der Durchführung von Corona-Schutzimpfungen während der pandemischen Lage eine Zusammenarbeit zwischen den im Land für die Errichtung, Organisation und des Betriebs der Impfzentren einschließlich der mobilen Impfteams zuständigen Stellen mit den Kassenärztlichen Vereinigungen und geeigneten Dritten zu. Nach der Regelung können geeignete Dritte im Rahmen der Organisation von mobilen Impfteams insbesondere Krankenhäuser und Betriebsärzte sein. Voraussetzung für eine derartige Zusammenarbeit ist das Schließen entsprechender Vereinbarungen.

Sofern derartige Vereinbarungen geschlossen wurden, werden die Dritten – also z.B. die Betriebsärzte – ähnlich den mobilen Impfteams tätig. Eine von ihnen durchgeführte Impfung gilt als Leistungserbringung nach § 6 Abs. 1 Corona-ImpfV, also als Impfung durch ein Impfzentrum bzw. ein ihnen angegliedertes mobiles Impfteam. Dementsprechend gelten auch für diese Impfungen die gleichen fach- und datenschutzrechtlichen Vorgaben wie die für die unmittelbar in den Impfzentren durchgeführten Impfungen.

Praktische Bedeutung

Die durch geeignete Dritte wie z.B. Betriebsärzte oder den polizeiärztlichen Dienst verabreichten Impfungen sind entsprechend der im Lande festgelegten Vorgaben zu dokumentieren. In Rheinland-Pfalz sind daher auch diese Impfungen zentral durch die Impfdokumentation Rheinland-Pfalz zu dokumentieren. Eine Übermittlung der für die Dokumentation erforderlichen Angaben durch die mit der Impfung beauftragten Dritten an die zentrale Dokumentationsstelle des Landes ist datenschutzrechtlich auf der Grundlage des Behandlungsvertrags zulässig. (siehe auch Beitrag zu „Datenverarbeitung und Impfung“ in diesen FAQs) Es bedarf keiner Einwilligung der geimpften Personen.

Zugleich ist die Impfdokumentation Rheinland-Pfalz befugt, auch hinsichtlich der von den Dritten durchgeführten Impfungen die zum Zwecke der Impf-Surveillance erforderlichen Daten an das RKI weiterzugeben. (siehe auch Beitrag zu „Impf-Surveillance“ in diesen FAQs) Auch insoweit ist eine Einwilligung der geimpften Personen nicht erforderlich.

Welchen Voraussetzungen unterliegt eine an den Standorten der Impfzentren durchgeführte Videoüberwachung?

Rechtslage

Werden an den Standorten der Impfzentren die Außenbereiche videoüberwacht und damit personenbezogene Daten verarbeitet, so kann diese auf § 21 Abs. 1 Nr. 1-3 Landesdatenschutzgesetz (LDSG) gestützt werden. Demnach ist die Verarbeitung personenbezogener Daten zulässig, wenn dies zur 

  1. Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt
  2. zur Wahrnehmung des Hausrechts
  3. sonst zum Schutz des Eigentums oder Besitzes oder zur Kontrolle von Zugangsberechtigungen 

erforderlich ist und keine Anhaltspunkte bestehen, dass überwiegende schutzwürdige Interessen der betroffenen Personen entgegenstehen.

Auf den Umstand einer Videoüberwachung ist durch Hinweisschilder gem. Art. 12, 13 Datenschutz-Grundverordnung (DS-GVO) vor Betreten oder Befahren des Erfassungsbereichs hinzuweisen.

Leitlinien des LfDI zur praktischen Umsetzung

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat dem für den Betrieb der Impfzentren zuständigen Ministerium für Soziales, Arbeit, Gesundheit und Demografie Rheinland-Pfalz (MSAGD) grundsätzliche Empfehlungen zur Verfügung gestellt, die eine datenschutzkonforme Videoüberwachung im Rahmen der gesetzlichen Anforderungen an den Standorten der Impfzentren gewährleisten. Diese beinhalten auch, dass öffentlich zugängliche Bereiche während der Öffnungszeiten von einer Videoüberwachung ausgeschlossen sind. Damit sind auch die Innenbereiche, die von den zu impfenden Personen betreten werden, von einer Videoüberwachung auszuschließen.

FAQs zu verschiedenen Datenschutz-Fragen, die sich im Zusammenhang mit der Corona-Pandemie stellen

Was ist bei der Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie zu beachten?
Kann der Arbeitgeber Beschäftige anweisen, ihre private Mailadresse oder Telefonnummer zur Verfügung zu stellen?

Antworten auf verschiedene Szenarien zu dieser Fragestellung finden sich hier.

Was muss beim Arbeiten im Homeoffice berücksichtigt werden?

Hinweise zum Datenschutz im Homeoffice gibt es hier.

Was ist beim Schulunterricht von zu Hause zu beachten?

Hinweise zu datenschutzkonformen Instrumenten, die sowohl schulisches Miteinander als auch Lerninhalte transportieren können, finden sich hier.

Was ist von der Corona-Warn-App für Handys zu halten?

Hierzu hat sich der LfDI in seiner Pressemitteilung vom 16. Juni 2020 geäußert.

Dürfen die Gesundheitsämter Daten über Corona-Infizierte an die Polizei übermitteln?

Mit der Corona-Pandemie stellen sich eine ganze Reihe von Fragen zur Zulässigkeit der Weitergabe der Identität infizierter Personen. Im Fokus stehen dabei die Gesundheitsämter, die nach den Vorgaben des Infektionsschutzgesetzes eine zentrale Rolle bei der Bekämpfung von übertragbaren Infektionskrankheiten spielen und aufgrund dessen über entsprechende aussagekräftige Datenbestände verfügen. Sie verfügen mit gutem Grund über einschlägige und weit reichende personenbezogene Daten, die von großer Sensibilität sind. Daher bestehen strenge rechtliche Vorgaben für die Verarbeitung und insbesondere die Übermittlung dieser Daten. Bundesweit wird derzeit insbesondere darüber diskutiert, ob eine Bereitstellung von Listen infizierter Personen oder zumindest von Örtlichkeiten, in denen sich infizierte Personen aufhalten, zum Schutz von Einsatzkräften den Polizei- und Ordnungsbehörden bereit gestellt werden dürfen.

Datenschutzrechtlich ist zu differenzieren: Eine Unterrichtung über in einem bestimmten Verwaltungsbereich besonders betroffene Gebiete wie z.B. Stadtbezirke, einzelne Ortschaften oder Straßenzüge, in denen Infektionsfälle auftreten, ist datenschutzrechtlich unproblematisch, solange daraus nicht auf die Identität einzelner Personen geschlossen werden kann. Denn ohne Personenbezug unterliegt die Verarbeitung derartiger Informationen nicht dem Datenschutz. Hier geht es eher um allgemeine Einschätzungen der Risiken.

Anders verhält es sich, wenn Angaben über einzelne Infizierte oder sogar eine Auflistung von Personen, bei denen eine Infektion festgestellt wurde, durch die Gesundheitsbehörden bereit gestellt werden sollen. In diesen Fällen sind die datenschutzrechtlichen Vorgaben, die für die Behörden des öffentlichen Gesundheitsdienstes gelten, heranzuziehen, insbesondere das Infektionsschutzgesetz (IfSchG) sowie das Landesgesetz über den öffentlichen Gesundheitsdienst (ÖGdG):

1. Datenweitergabe an die Kreisordnungsbehörde zur Bekämpfung von Infektionskrankheiten

Um die nach dem Infektionsschutzgesetz vorgesehenen Schutzmaßnahmen zur Bekämpfung übertragbarer Krankheiten wie z.B. Quarantäne oder berufliches Tätigkeitsverbot treffen zu können sind die Gesundheitsämter befugt, die hierzu zuständigen Behörden – in Rheinland-Pfalz die Kreisordnungsbehörden – über festgestellte erkrankte Personen zu unterrichten (§ 11 Abs. 3 Nr. 1, Abs. 2 Nr. 1 und Nr. 2 ÖGdG in Verbindung mit §§ 25 Abs. 3, 16 Abs. 6 IfSchG). Die Befugnis ist insoweit auf den Einzelfall beschränkt. Zuständig für den Erlass der Maßnahmen sind dann regelmäßig die Kreisordnungsbehörden. Die der Kreisordnungsbehörde bereit gestellten Daten dürfen nur für Zwecke des Infektionsschutzgesetzes genutzt werden. 

Eine auf § 11 Abs. 3 Nr. 1, Abs. 2 Nr. 1 und Nr. 2 ÖGdG in Verbindung mit §§ 25 Abs. 3, 16 Abs. 6 IfSchG gestützte Datenweitergabe muss daher immer im Zusammenhang mit einer konkreten beabsichtigten Schutzmaßnahme im Sinne von § 28 IfSchG stehen. 

2. Datenweitergabe an Polizei- und Ordnungsbehörden zum Schutz von Einsatzkräften

Sofern keine Maßnahmen nach dem Infektionsschutzgesetz getroffen oder überwacht werden sollen sind die Gesundheitsämter nach den Bestimmungen des § 11 Abs. 3 Nr. 1, Abs. 2 Nr. 3 ÖGdG befugt, personenbezogen Daten an Dritte wie z.B. Polizei- und Ordnungsbehörden zu übermitteln, wenn dies im Einzelfall u.a. erforderlich ist zur Abwehr von gegenwärtigen Gefahren für das Leben oder die Gesundheit einer dritten Person, sofern die genannten Rechtsgüter das Geheimhaltungsinteresse der betroffenen Person erheblich überwiegen. Hiernach wäre es zum Schutz von Einsatzkräften, die als dritte Personen zu werten wären, zulässig, diese auf eine konkrete Anfrage hin über das Vorliegen einer übertragbaren Krankheit bei einem Betroffenen zu informieren, wenn ein Einsatz mit Personenkontakt wie z.B. der Vollzug eines Haftbefehls oder eine Durchsuchung unmittelbar bevorsteht und zu befürchten ist, dass aufgrund konkreter Umstände ein erhöhtes Ansteckungsrisiko der Einsatzkräfte bestehen könnte. 

Zum Zweck des Eigenschutzes von Einsatzkräften kommt eine entsprechende Anfrage an die Gesundheitsbehörde und die Verarbeitung der dann erhaltenen Daten in Betracht. Da es sich um Gesundheitsdaten handelt, sind die erhöhten Anforderungen an die Verarbeitung zu beachten (Art. 9 Abs. 2 lit. c und i Datenschutz-Grundverordnung i.V.m. § 19 Abs. 2 Nr. 1 LDSG).

Außerhalb dieses Rahmens besteht nach der derzeitigen Rechtslage keine Befugnis der Gesundheitsämter, den Polizei- und Ordnungsbehörden personenbezogene Angaben über infizierte Personen zur Verfügung zu stellen. Insbesondere die Übermittlung von Listen infizierter Personen wäre derzeit datenschutzrechtlich unzulässig. Sie könnte stigmatisierenden Charakter tragen und wäre kaum auf bestimmte Infektionen zu beschränken. Daher ist die Übermittlung solcher Listen in diesem Zusammenhang nach geltendem Recht unzulässig.

Was ist bei der Veröffentlichung von Angaben zu Infektionsfällen zu beachten?

Zunächst ist zu unterscheiden zwischen der Veröffentlichung bzw. einer Offenlegung von entsprechenden Daten und der Übermittlung solcher Daten zu einem bestimmten Zweck an eine (andere) öffentliche Stelle.

Zur Übermittlung kann verwiesen werden auf die Erläuterungen im

Sonder-Newsletter „Corona-Pandemie“ vom 02.04.2020 unter der Überschrift „Datenübermittlungen vom Gesundheitsamt an öffentliche Stellen

sowie in den

FAQ unter "Dürfen die Gesundheitsämter Daten über Corona-Infizierte an die Polizei übermitteln?" Ziffer 2. „Datenweitergabe an Polizei- und Ordnungsbehörden zum Schutz von Einsatzkräften“.

Die Veröffentlichung bzw. eine Offenlegung personenbezogener Daten zu Infektionsfällen insbesondere im Internet ist zur Erledigung von Aufgaben des Gesundheitsamtes nach dem Infektionsschutzgesetz nicht erforderlich.

Für eine Veröffentlichung anonymer Daten zu Infektionsfällen ist Folgendes zu berücksichtigen. Anonyme Daten unterliegen nicht dem Datenschutzrecht, eine Verarbeitungserlaubnis gemäß Art. 6 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) wird dazu nicht benötigt.

Zu beachten ist aber, dass Individuen nicht nur direkt mit bestimmten bzw. personenbezogenen Daten identifiziert werden können. Für eine direkte Identifizierung sind eindeutige Merkmale wie etwa Name, Adresse oder Sozialversicherungsnummer nötig.

Ein Rückschluss auf natürliche Personen ist jedoch auch indirekt mit bestimmbaren bzw. personenbeziehbaren Daten und/oder erworbenem Zusatzwissen möglich. Bei einer indirekten Identifizierung wird auf Basis mehrerer Merkmale, die für sich genommen keine eindeutige Zuordnung zulassen, auf das Individuum geschlossen. Z. B. kann eine genaue Berufsbezeichnung in Zusammenhang mit einer genauen Ortsangabe zu einer Identifikation einer spezifischen Person führen (personenbeziehbare Daten). Ähnlich kann sich aus einer konkreten Angabe wie z.B. „Alter 95 Jahre“ z.B. bei kleinräumigen Zuordnungen wie Ortsgemeinden oder Ortsteilen mit geringer Einwohnerzahl eine personenbeziehbarkeit ergeben.

Eine Veröffentlichung von Infektionszahlen auf kommunaler Ebene sollte daher nur mit Altersklassen anstelle konkreter Angaben zum Lebensalter („70 – 80 Jahre“ statt „76 Jahre“ und auf Stadt-/Verbandsgemeindeebene als tiefster regionaler Gliederungsstufe erfolgen.

Vor einer Veröffentlichung von Daten im Internet ist bei der Bewertung, ob es sich um anonyme oder gegebenenfalls noch personenbeziehbare Daten handelt, auch zu berücksichtigen, dass die Veröffentlichung im Internet weltweit einen ungleich größeren Personenkreis als beispielsweise jede auflagenbegrenzte schriftliche Veröffentlichung erreicht. Darüber hinaus können im Internet veröffentlichte Daten grundsätzlich auf einfache Weise beliebig verknüpft werden. Gerade die Speicherung von Daten und deren Verknüpfung mit anderen Datenbeständen sind im privaten Bereich, also bei der Verarbeitung durch Private und gerade auch große Technologieunternehmen, nicht beherrschbar. Sind die Veröffentlichungen überdies suchmaschinenfähig, werden betroffene Personen gegebenenfalls zu einem allgemein verfügbaren Rechercheobjekt.

Maßstab für die Bewertung, ob schon anonyme oder noch personenbeziehbare Daten vorliegen, sollte daher das Statistikrecht mit der dort üblichen Zusammenfassung in Kategorien sein.

Dürfen Supermärkte, Drogerien und andere Einzelhändler die Körpertemperatur ihrer Kunden erfassen?

Bevor ein Ladengeschäft betreten werden darf, wäre es möglich, dass dort zunächst die Körpertemperatur des potentiellen Kunden gemessen wird, z.B. mittels einer Wärmebildkamera. Beim Überschreiten einer gewissen Temperatur könnte dem Kunden der Zutritt verwehrt werden bzw. er könnte zu weiteren Erklärungen über seinen Gesundheitszustand aufgefordert werden. Solche Maßnahmen sollen verhindern, dass Personen, die ein mögliches Covid-19-Symptom aufweisen, nämlich eine erhöhte Körpertemperatur, das Ladengeschäft betreten. 

Bei der Feststellung der Körpertemperatur von Personen handelt es sich um die Erhebung von personenbezogenen Daten, und zwar von Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DS-GVO. Bei der Auswertung dieser Daten mit dem Ziel, bestimmten Personen den Zugang zu verweigern, werden diese Gesundheitsdaten weiterverarbeitet. 

Die Verarbeitung solcher Gesundheitsdaten ist gem. Art. 9 Abs. 1 DS-GVO untersagt, außer in den in Art. 9 Abs. 2 DS-GVO genannten Ausnahmefällen. 

Eine solche Ausnahme liegt vor, wenn die betroffenen Personen in die Verarbeitung dieser Daten zu genau bestimmten Zwecken ausdrücklich eingewilligt hätten. Eine konkludente Einwilligung durch Betreten des Geländes nach Kenntnisnahme der Hinweise ist aber nicht ausreichend im Sinne von Art. 9 Abs. 2 lit. a DS-GVO, der von einer ausdrücklichen Einwilligung spricht. Die weiteren Anforderungen an eine wirksame Einwilligung ergeben sich aus Art. 7 DS-GVO. Insbesondere muss die Einwilligung freiwillig abgegeben werden. An dieser Freiwilligkeit fehlt es hier in der Regel, da die betroffenen Personen – je nach Einsatzszenario – teilweise erhebliche Nachteile erleiden würden, wenn sie nicht in die Maßnahme einwilligen bzw. ihnen keine Alternativen zur Verfügung stehen (Art. 7 Abs. 4 DS-GVO). 

Auch liegen die Voraussetzungen des Art. 9 Abs. 2 lit. i DS-GVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c BDSG, dem Infektionsschutzgesetz bzw. den Landesverordnungen zur Eindämmung der Corona-Pandemie nicht vor. Denn die Maßnahme ist weder tauglich, um vor einem weiteren Infektionsrisiko zu schützen, weil die Körpertemperatur nicht sicher eine Infektion mit Corona-Virus indiziert, noch sind spezifische Vorkehrungen zum Schutz der betroffenen Personen ersichtlich. 

Eine Rechtsgrundlage für die Erhebung der Körpertemperatur und deren weitere Verarbeitung liegt nicht vor und ist daher in den dargestellten Szenarien datenschutzrechtlich nicht zulässig.

Was ist bei der Erfassung von Kontaktdaten datenschutzrechtlich zu beachten?

Ab 12. September 2021 gilt die Sechsundzwanzigste Corona-Bekämpfungsverordnung Rheinland-Pfalz vom 8. September 2021 (26. CoBeLVO). Bei den erlaubten bzw. geöffneten Einrichtungen gehört zu den zahlreichen Hygiene-und Schutzmaßnahmen weiterhin, die Kontaktnachverfolgbarkeit zu gewährleisten.

Zur Erhebung von Kontaktdaten (Vor- und Zuname, Anschrift und Telefonnummer) sowie Datum und Zeit der Anwesenheit sind zahlreiche Verantwortliche verpflichtet.

                    Die Kontaktdaten, die eine Erreichbarkeit der Person sicherstellen, sowie Datum und Zeit der Anwesenheit der Person sind von den genannten Verantwortlichen unter Einhaltung der datenschutzrechtlichen Bestimmungen zu erheben. Dabei haben die zur Datenerhebung Verpflichteten insbesondere sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist. Die Kontaktdaten müssen wahrheitsgemäß sein und eine Kontaktnachverfolgung ermöglichen. Die Verantwortlichen sind verpflichtet, eine Plausibilitätsprüfung vorzunehmen, d.h. sie müssen prüfen, ob die angegebenen Kontaktdaten vollständig sind und ggf. offenkundig falsche Angaben enthalten. Personen, die die Erhebung ihrer Kontaktdaten verweigern oder offenkundig falsche oder unvollständige Angaben machen, sind von dem Besuch oder der Nutzung der Einrichtung oder von der Teilnahme an der Ansammlung oder Zusammenkunft durch den Betreiber der Einrichtung oder Veranlasser der Ansammlung oder sonstigen Zusammenkunft auszuschließen. Eine Pflicht, sich den Personalausweis vorlegen zu lassen bzw. diesen vorzulegen, ergibt sich hieraus nicht.

                    Die Daten dürfen zu einem anderen Zweck als der Aushändigung auf Anforderung an das zuständige Gesundheitsamt nicht verwendet werden und sind vier Wochen nach Erhebung zu löschen. Sich aus anderen Rechtsvorschriften ergebende Datenaufbewahrungspflichten (z.B. im Hotelbereich nach dem Bundesmeldegesetz) bleiben unberührt.

                    Die oder der zur Datenerhebung Verpflichtete soll in der Regel eine digitale Erfassung der Daten anbieten. In diesem Fall entfällt die Verpflichtung zur Plausibilitätsprüfung, sofern durch das eingesetzte Erfassungssystem eine Prüfung der angegebenen Telefonnummer erfolgt (beispielsweise mittels SMS-Verifikation). Dabei sind die Vorgaben des Datenschutzes (insbesondere bei der Fremdspeicherung von Daten) und die vollständige datenschutzkonforme Löschung der Daten nach vier Wochen in eigener Verantwortung sicherzustellen. Zudem sind die Daten im Bedarfsfall jederzeit dem zuständigen Gesundheitsamt auf Verlangen kostenfrei in einem von diesem nutzbaren Format zur Verfügung zu stellen. Personen, die in die digitale Datenerfassung nicht einwilligen, ist in jedem Fall eine papiergebundene Datenerfassung anzubieten. Das zuständige Gesundheitsamt kann, soweit dies zur Erfüllung seiner nach den Bestimmungen des Infektionsschutzgesetzes (IfSG) und dieser Verordnung obliegenden Aufgaben erforderlich ist, Auskunft über die Kontaktdaten verlangen; die Daten sind unverzüglich zu übermitteln. Eine Weitergabe der übermittelten Daten durch das zuständige Gesundheitsamt oder eine Weiterverwendung durch dieses zu anderen Zwecken als der Kontaktnachverfolgung ist ausgeschlossen. An das zuständige Gesundheitsamt übermittelte Daten sind von diesem unverzüglich irreversibel zu löschen, sobald die Daten für die Aufgabenerfüllung nicht mehr benötigt werden (§ 3 Abs. 6 26. CoBeLVO). Es besteht also für viele Verantwortliche eine rechtliche Verpflichtung, personenbezogene Daten ihrer Kunden, Gäste oder Besucher zu erheben. Die Datenverarbeitung ist daher gem. Art. 6 Abs. 1 lit. c DS-GVO i.V.m. § 32 S. 1, 28 Abs. 1 Satz 1 und 2 IfSG und § 3 Abs. 6 26. CoBeLVO grundsätzlich zulässig. Hierbei ist aus datenschutzrechtlicher Sicht jedoch Folgendes zu beachten: 

                    • Die Kontaktdaten müssen in einer Form erhoben werden, durch die Dritte keine Möglichkeit haben, diese zur Kenntnis zu nehmen. Dies kann z.B. so erfolgen, dass jeder Kunde, Gast oder Besucher ein einzelnes Blatt vorgelegt bekommt, auf dem er seine Daten eintragen kann. Sollten die Daten in einer Liste erfasst werden, ist sicherzustellen, dass die bereits auf der Liste vorhandenen Daten nicht zur Kenntnis genommen werden können.
                      Bei einer elektronischen Erfassung bzw. Speicherung sollten mit Blick auf die vorgeschriebene Löschung (s.u.) tagesbezogene Dateien bzw. Einträge erstellt werden. Auch hier muss sichergestellt werden, dass die Daten nicht unbefugt zur Kenntnis genommen werden können bzw. Kunden keinen Einblick in die Daten anderer Kunden erhalten.
                      Das Verlangen einer Unterschrift stellt die Erhebung eines zusätzlichen personenbezogenen Datums dar, wofür es in der Verordnung keine Rechtsgrundlage gibt. Von der Einholung der Unterschrift zu den Kontaktdaten ist daher von den Verantwortlichen abzusehen.

                    • Die betroffenen Personen müssen zum Zeitpunkt der Datenerhebung entsprechend den Anforderungen der Datenschutz-Grundverordnung (Art. 13 DS-GVO) informiert werden. Dabei sind mitzuteilen

                      - Name und Kontaktdaten des Verantwortlichen und ggf. eines Datenschutzbeauftragten,
                      - Zweck und Rechtsgrundlage der Datenverarbeitung,
                      - (mögliche) Empfänger der Daten,
                      - Dauer der Speicherung,
                      - Betroffenenrechte und Beschwerderecht bei einer Aufsichtsbehörde,
                      - Folgen, wenn die Kontaktdaten nicht angegeben werden.

                      Diese Information kann gut einsehbar ausgelegt oder ausgehängt werden. Auch kann auf dem Kontaktformular selbst informiert werden. Es sollte ein Exemplar zur Verfügung stehen, dass der Gast oder Kunde auf Wunsch mitnehmen kann.

                      Eine Bestätigung der Kenntnisnahme der Information muss der Verantwortliche nicht einfordern.

                      Ein Muster für eine mögliche Information hat der LfDI in seinem Internetangebot zur Verfügung gestellt. 
                    • Die Daten sind so aufzubewahren, dass unberechtigte Dritte keinen Zugang hierzu erhalten, z.B. in einem geschützten Bereich oder einem verschließbaren Schrank.

                    • Nach Ablauf von vier Wochen sind die erhobenen Kontaktdaten – taggenau – zu löschen. Für den Löschvorgang gelten die allgemeinen datenschutzrechtlichen Anforderungen, d.h. das Speichermedium ist so zu vernichten, dass die Daten nicht mehr einer Person zugeordnet werden können.

                      Dies sollte bei Papierunterlagen so erfolgen, dass das Papier in einem Aktenvernichter geschreddert oder einem Dienstleister zur fachgerechten Entsorgung übergeben wird (Sicherheitsstufe P3 nach DIN 66399-2).

                      Bei einer elektronischen Speicherung sind die Daten nach Ablauf der Aufbewahrungsfrist so zu löschen, dass eine Wiederherstellung ausgeschlossen, zumindest jedoch wesentlich erschwert wird. Ein „Löschen“ durch bloßes Verschieben in den Papierkorb ist nicht ausreichend. Soweit die Daten in Buchungs-, Kundendaten- oder Kassensystemen erfasst werden, sollten entsprechende Löschfunktionen vorhanden sein; bei einer Erfassung in separaten Dateien muss die Löschung ggf. manuell erfolgen.

                      Sofern die Speicherung mehrerer Kundendatensätze in einer Datei oder Datenbank erfolgt, wären die Einzeldatensätze beim Erreichen des Löschzeitpunktes aus der Datei oder Datenbank mit den Bordmitteln des Dateiprogramms oder Datenbanksystems zu löschen. Nach Aufhebung der Speicherverpflichtung, sind die Datei selbst bzw. die zur entsprechenden Datenbank gehörenden Dateien, mit einem (wie oben beschriebenen) sicheren Verfahren zu löschen.

                    Der LfDI hat zur Information der Verantwortlichen in den Betrieben, die die Daten sammeln müssen, ein Merkblatt zusammengestellt.

                    Wie bewertet der LfDI die Corona Warn App des Robert Koch Instituts?

                    Die Corona-Warn-App ist aus "Datenschutz-Sicht okay". Ausführliche Pressemitteilung des LfDI zu diesem Thema.

                    Darf der Handel oder mein Arbeitgeber von mir verlangen, dass die die Corona Warn App auf meinem Handy installiere?

                    Der LfDI warnt davor, dass die freiwillige Corona Warn App nicht zur „Eintrittskarte“ in Geschäfte, zu Veranstaltungen oder zum Arbeitsplatz werden darf. Ausführliche Pressemitteilung des LfDI zu diesem Thema.

                    Was ist bei der Gästeregistrierung zur Kontaktnachverfolgung über Apps und Browseranwendungen zu beachten?

                    Möchte ein Gastronom oder Veranstalter zur Kontaktnachverfolgung nicht die Papierform verwenden, sondern die Datenerfassung mittels einer App oder einer Browseranwendung durchführen, kann er sich dabei mittlerweile einer Vielzahl von Anbietern bedienen. Jeder Dienst ist dabei unterschiedlich, jedoch sind folgende Punkte bei allen Angeboten zu beachten:

                    • Der Gastronom oder Veranstalter bleibt Verantwortlicher für die Verarbeitung der personenbezogenen Daten seiner Gäste im Sinne der DS-GVO.
                    • Der Anbieter von Gästeregistrierungs-Apps oder Anwendungen verarbeitet die Daten der Gäste für den Gastronom oder Veranstalter in der Regel im Auftrag.
                    • Zwischen dem Gastronom oder Veranstalter und dem Anbieter der App oder Anwendung ist daher ein Auftragsverarbeitungsvertrag zu schließen. Dieser muss den Vorgaben des Art. 28 Abs. 3 DS-GVO entsprechen.
                    • Der Gastronom oder Veranstalter bleibt für die Löschung der Daten nach Ablauf der Aufbewahrungsfrist verantwortlich. Er kann jedoch den Anbieter der App oder Anwendung mit der Löschung beauftragen. Dem Gastronom oder Veranstalter obliegt es zu überprüfen, ob der Anbieter der App oder Anwendung die Daten nach Ablauf der Aufbewahrungsfrist tatsächlich löscht. Der Gastronom oder Veranstalter sollte daher das Konzept und den Vertrag mit dem Anbieter der App oder Anwendung genau prüfen und sich über das Löschprocedere informieren.
                    • Der Gastronom oder Veranstalter unterliegt bei der Datenerhebung mittels einer App oder einer Browseranwendung den Informationspflichten nach Art. 13 DS-GVO. Diese Informationen hat der Gastronom oder Veranstalter vor der Registrierung zur Verfügung zu stellen. Diese Information kann in der App oder der Anwendung erfolgen, bevor personenbezogene Daten der Gäste erhoben werden oder im Restaurant oder Veranstaltungsgebäude. Die verantwortliche Stelle für diese Information ist der Gastronom oder Veranstalter und auch als solcher in den Informationen zu nennen. Die Information kann auch im Restaurant oder Veranstaltungsgebäude durch Aushang oder Auslage auf den Tischen erfolgen. Dabei kann in diesem Dokument für weitere Informationen auf einen Link oder einen QR-Code verwiesen werden, unter dem die vollständigen Informationen zu finden sind.
                    • Die personenbezogenen Daten der Gäste, die im Rahmen der Kontaktnachverfolgung erhoben werden, dürfen nicht zu Werbezwecken verwendet werden. Dies umfasst auch Lockangebote wie Gutscheine bei Nutzung der App oder Browseranwendung beim Restaurantbesuch oder beim Auschecken/Verlassen des Restaurants oder der Veranstaltung.
                    • Der Gastronom oder Veranstalter hat sicherzustellen, dass er einen Anbieter wählt, der die Daten sicher vor Zugriffen Unberechtigter aufbewahrt und eine verschlüsselte Übermittlung der Daten gewährleistet. Hilfestellungen bei der Entscheidung für den richtigen Anbieter können sein, ob der Anbieter sich an die Vorgaben und Empfehlungen der Orientierungshilfe der Datenschutzkonferenz zu Datenschutzanforderungen an App-Entwickler und App-Anbieter hält.
                    • Der Gastronom oder Veranstalter kann Gäste nicht dazu verpflichten, über ihre eigenen Endgeräte eine App oder Browseranwendung zu nutzen. Die Registrierung über eine solche App oder Browseranwendung muss immer freiwillig sein und darf nicht zur Voraussetzung für den Besuch des Restaurants oder der Veranstaltung gemacht werden. Daher muss eine Alternative zur Datenerfassung über Geräte des Gastronomen oder Veranstalters oder in Papierform gegeben sein.
                    • Nach der rheinland-pfälzischen Corona-Bekämpfungsverordnung sind Betreiber von bestimmten Einrichtungen verpflichtet, zur Kontaktnachverfolgung die Daten der Gäste zu erheben. Bei den Angeboten mancher App-Anbieter zur Gästeregistrierung hat der Gastronom oder Veranstalter jedoch keine direkten Zugriffsmöglichkeiten auf die erhobenen Daten. Stattdessen soll diese das Gesundheitsamt an den jeweiligen Anbieter verweisen, wenn eine Kontaktnachverfolgung notwendig ist. Ob der Gastronom oder Veranstalter bei diesem Vorgehen seinen Verpflichtungen nach der Corona-Bekämpfungsverordnung nachkommt, ist keine datenschutzrechtliche Frage, sondern mit den zuständigen Gesundheitsämtern zu klären.
                    • Für die Nutzung einiger Apps oder Browseranwendungen ist eine vorherige Registrierung der Gäste erforderlich. In diesem Fall schließt der Gast mit dem Betreiber der App oder Anwendung direkt einen Nutzungsvertrag. Dieser Nutzungsvertrag kann weitere Funktionen/Dienste (Platzreservierung, Essensbestellung, Terminvereinbarung etc.) neben der Kontaktnachverfolgung beinhalten. Der Einsatz eines solchen Dienstes in seinem Restaurant oder bei seiner Veranstaltung entbindet den Gastronom oder Veranstalter nicht von seiner Pflicht zur Kontaktnachverfolgung, sodass zwingend eine Alternative für Gäste anzubieten ist, die einen solchen Vertrag mit dem Anbieter der App oder Anwendung nicht schließen wollen. Die Verarbeitung zur Nutzung der weitergehenden Funktionen/Dienste (Platzreservierung, Essensbestellung, Terminvereinbarung etc.) erfolgt auf Grundlage anderer rechtlicher Grundlagen als die Datenverarbeitung zur Kontaktnachverfolgung.

                    Was ist im Rahmen der Testpflicht datenschutzrechtlich zu beachten?

                    Nach der aktuell gültigen Corona-Bekämpfungsverordnung Rheinland-Pfalz (26. CoBeLVO) gilt für den Besuch bestimmter Einrichtungen oder Veranstaltungen bzw. für die Inanspruchnahme bestimmter Dienstleistungen eine Testpflicht (Schnelltest, Selbsttest oder PCR-Test). Ausgenommen von der Testpflicht sind Kinder bis einschließlich 11 Jahre, Schülerinnen und Schüler sowie vollständig geimpfte oder genesene Personen.

                    Nach § 3 Abs. 7 26. CoBeLVO kann eine solche Testung ein PCR-Test, ein zugelassener Schnelltest durch geschultes Personal oder ein zugelassener Selbsttest sein, der allerdings nur vor Ort durchgeführt werden darf.

                    Im Fall der Testung durch geschultes Personal darf der Test nicht vor mehr als 24 Stunden vorgenommen worden sein und das Ergebnis muss durch die den Test durchführende Stelle bestätigt sein; die Bestätigung ist vor dem Betreten der Einrichtung vorzulegen. Im Fall eines Selbsttests ist dieser vor dem Betreten der Einrichtung in Anwesenheit einer von dem Betreiber der Einrichtung beauftragten Person von der Besucherin oder dem Besucher durchzuführen. Der Betreiber der Einrichtung hat der Besucherin oder dem Besucher auf Verlangen das Ergebnis und den Zeitpunkt dieser Testung zu bestätigen. Für die Bestätigung des Testergebnisses des Schnelltests oder Selbsttests ist ein vom Verordnungsgeber vorgegebenes Formular zu verwenden. In diesem Formular werden Name, Anschrift und Geburtsdatum der getesteten Person und ggf. eine ihr zugeordnete ID genannt sowie das Ergebnis (positiver oder negativer Befund). Darüber hinaus enthält das Formular Name und Anschrift der Teststelle, Datum und Uhrzeit sowie Angaben zum verwendeten Test. Der Betreiber einer Einrichtung darf der Besucherin oder dem Besucher nur im Fall eines negativen Testnachweises im Sinne der COVID-19-Schutzmaßnahmen-AusnahmenverordnungZutritt zur Einrichtung gewähren.

                    Durch die Kenntnisnahme des Testergebnisses werden personenbezogene Gesundheitsdaten durch die Verantwortlichen der genannten Einrichtungen verarbeitet. Diese Datenverarbeitung findet ihre Rechtgrundlage in Art. 9 Abs. 2 lit. i, Art. 6 Abs. 1 lit. b oder c DS-GVO i.V.m. § 32 Satz 1, § 28 Abs. 1 Satz 1 und 2 IfSG und § 3 Abs. 7 26. CoBeLVO. Dabei ist datenschutzrechtlich Folgendes zu beachten:

                    Auf Grundlage der Testbestätigung bzw. des Testergebnisses bei Durchführung des Selbsttests vor Ort ist lediglich darüber zu entscheiden, ob die betroffene Person die Einrichtung betreten darf oder nicht. Eine Dokumentation der Prüfung oder auch eine Kopie der Testbescheinigung durch den Betreiber der Einrichtung sind weder nach der Verordnung noch nach dem Infektionsschutzgesetz erforderlich und können damit auch nicht darauf als Rechtsgrundlage gestützt werden. Ggf. kann der Personalausweis der betroffenen Person eingesehen werden, um sicher zu gehen, dass es sich tatsächlich um die getestete Person handelt. Auch ersetzt eine Kopie der Testbescheinigung nicht die ggf. erforderliche Kontakterfassung, da in der Testbescheinigung mehr Daten enthalten sind als für die Kontakterfassung gem. § 3 Abs. 6 26. CoBeLVO erforderlich sind. Die Erfassung der Kontaktdaten hat also unabhängig hiervon in datenschutzgerechter Weise zu erfolgen (vgl. FAQ „Was ist bei der Erfassung von Kontaktdaten datenschutzrechtlich zu beachten?“) 

                    Auch ergibt sich aus der Corona-Bekämpfungsverordnung keine Rechtsgrundlage dafür, die Daten im Falle eines positiven Ergebnisses an Dritte, z.B. das Gesundheitsamt, zu übermitteln. Bei einem positiven Ergebnis ist lediglich der Zutritt zu verweigern. Nach § 2 Abs. 2 der Landesverordnung zur Absonderung bei Verdacht einer SARS-CoV-2-Infektion Rheinland-Pfalz (CoronaVAbsondV) muss sich die positiv getestete Person unverzüglich absondern und einen PCR-Test machen lassen. Derzeit sind weder eine Melde- noch eine Hinweispflicht des Betreibers der Einrichtung gegenüber der positiv getesteten Person ersichtlich. 

                    Die betroffenen Personen müssen zum Zeitpunkt der Datenerhebung durch den Betreiber der Einrichtung entsprechend den Anforderungen der Datenschutz-Grundverordnung (Art. 13 DS-GVO) informiert werden. Dabei sind mitzuteilen

                    • Name und Kontaktdaten des Verantwortlichen und ggf. eines Datenschutzbeauftragten,
                    • Zweck und Rechtsgrundlage der Datenverarbeitung,
                    • Hinweis, dass die Daten nicht an Dritte weitergegeben werden,
                    • Hinweis, dass die Daten nicht gespeichert werden,
                    • Betroffenenrechte und Beschwerderecht bei einer Aufsichtsbehörde,
                    • Folgen, wenn keine Testbescheinigung vorgelegt bzw. kein Selbsttest durchgeführt wird.

                    Die Information kann auch verknüpft werden mit der über die ggf. erforderliche Kontakterfassung. Sie kann gut einsehbar ausgelegt oder ausgehängt werden. Auch kann ein separates Blatt hierfür verwendet werden. Es sollte ein Exemplar zur Verfügung stehen, dass die Besucherin oder der Besucher auf Wunsch mitnehmen kann.

                    Eine Bestätigung der Kenntnisnahme der Information muss der verantwortliche Betreiber der Einrichtung nicht einfordern.

                    Die gleichen datenschutzrechtlichen Anforderungen gelten auch für die Nachweise, dass man von der Testpflicht ausgenommen ist, also z.B. den Impfnachweis.

                    FAQs zu Ansprüchen auf Informationszugang im Zusammenhang mit der Corona-Pandemie

                    Bürgerinnen und Bürger können auf Informationszugang gerichtete Anträge mit inhaltlichem Bezug zur Corona-Pandemie stellen. Ob und wenn ja in welchem Umfang der Informationszugang durch die angefragte Stelle im Falle eines solchen Antrags zu eröffnen ist, hängt maßgeblich von der Fragestellung ab.

                    In welchem Umfang können Informationen zu Verstößen gegen die Corona-Bekämpfungsverordnung angefragt werden?

                    Denkbar sind Anfragen an Ordnungsbehörden zu Verstößen gegen die Corona-Bekämpfungsverordnung (CoBeLVO). Beispielsweise könnten die Ordnungsbehörden zu einzelnen auf Grund von Verstößen gegen § 12 CoBeLVO i.V.m. dem 15. Abschnitt des Infektionsschutzgesetzes eingeleiteten Straf- und Ordnungswidrigkeitenverfahren angefragt werden. Eine solche Anfrage an eine Ordnungsbehörde könnte bspw. lauten: „Gegen welche Restaurants hat Ihre Behörde ein Ordnungswidrigkeitenverfahren eingeleitet, weil diese über den in § 1 Abs. 1 Nr. 2 CoBeLVO erlaubten Umfang hinaus geöffnet hatten?“ oder „Gegen welche Personen hat Ihre Behörde aufgrund der Annahme von unerlaubten Ansammlungen nach § 4 CoBeLVO ein Bußgeld nach § 12 CoBeLVO i.V.m. § 73 Abs. 2 Infektionsschutzgesetz verhängt?“.

                    Bei solchen Anfragen ist zunächst zu prüfen, ob die Regelungen zur Auskunft nach dem Ordnungswidrigkeitengesetz (OWiG) dem Landestransparenzgesetz nach § 2 Abs. 3 LTranspG als besondere Rechtsvorschriften vorgehen. Dies ist grundsätzlich der Fall, außer das Auskunftsbegehren bezieht sich allein auf verfahrensübergreifende Merkmale und ist nicht auf personenbezogene Daten Dritter gerichtet. Dies wäre bspw. der Fall, wenn lediglich nach der Anzahl von OWiG-Verfahren oder Verstößen gefragt wird. Im Anwendungsbereich des LTranspG ist zudem die teilweise Bereichsausnahme für Strafverfolgungs- und Strafvollstreckungsbehörden in § 3 Abs. 4 LTranspG und bei laufenden OWiG- oder Strafverfahren sind die in § 14 Abs. 1 Nr. 2 LTranspG geregelten entgegenstehenden Belange zu beachten.

                    Ist das OWiG vorrangig anzuwenden, regelt § 475 StPO den Umfang des Auskunftsrechts von Dritten (Privatpersonen und sonstigen Stellen, nicht des Betroffenen selbst). Die Vorschrift gilt gemäß § 46 Abs. 1, § 49b OWiG für das Bußgeldverfahren sinngemäß. Nach § 475 Abs. 1 StPO können Privatpersonen und sonstige Stellen Auskünfte aus Akten erhalten, soweit sie hierfür ein berechtigtes Interesse darlegen.

                    Als berechtigtes Interesse gelten alle nachvollziehbar durch die Sachlage gerechtfertigten Interessen tatsächlicher, wirtschaftlicher oder ideeller Art, sofern die Rechtsordnung ihnen nicht in Form eines Verbotes die Anerkennung versagt. Es muss also nicht der Grad des rechtlichen Interesses erreicht sein. Ein Beispiel ist die Verfolgung oder Abwehr rechtlicher Ansprüche, die Norm ist aber nicht hierauf beschränkt.

                    Denkbar wäre bspw., dass gegen den Anfragenden selbst ein OWiG-Verfahren aufgrund eines Verstoßes gegen die CoBeLVO i.V.m. dem Infektionsschutzgesetz geführt wird und er sich auf ein ähnliches Verfahren im Rahmen seiner Verteidigung berufen will, wozu er dessen Akteninhalt benötigt. Ein Zeuge hat ohne besondere Umstände kein berechtigtes Interesse i.S.d. Norm, insbesondere nicht daran, die Aussagen anderer Zeugen zu kennen. Die Darlegung erfordert einen schlüssigen Tatsachenvortrag, der Grund und Intensität des Auskunftsinteresses erkennen lässt, und damit weniger als die Glaubhaftmachung. Formelhafte Behauptungen sind hierfür nicht ausreichend, vielmehr ist im Einzelnen darzulegen, warum und wofür die Auskunft verlangt wird. Allerdings ist zu berücksichtigen, dass der Antragsteller den Akteninhalt noch nicht kennt und seinen Nutzen daher nur prognostisch bewerten kann.

                    Auskünfte sind zu versagen, wenn der hiervon Betroffene ein schutzwürdiges Interesse an der Versagung hat. Die Entscheidung ergeht nach pflichtgemäßem Ermessen. Ist die Auskunft nach § 475 Abs. 1 StPO i.V.m. § 46 Abs. 1, § 49b OWiG zu versagen, kann diese dann auch nicht über das LTranspG beansprucht werden, da § 475 Abs. 1 StPO insoweit vorrangig und abschließend ist.

                    In welchem Umfang können Informationen zu Allgemeinverfügungen zur Bekämpfung des Coronavirus angefragt werden?

                    Die Kommunen oder das Ministerium für Soziales, Arbeit, Gesundheit und Demografie (MSAGD) können zu Allgemeinverfügungen zur Bekämpfung des Coronavirus nach § 11 CoBeLVO angefragt werden (bspw. „Wurde in meiner Kommune eine Allgemeinverfügung erlassen? Mit welchem Inhalt?“). Solche Allgemeinverfügungen können die Kommunen im Einvernehmen mit dem MSAGD erlassen. Entgegenstehende Belange sind bei einem solchen Antrag nach Inkrafttreten der jeweiligen Allgemeinverfügung (Abschluss des Willensbildungsprozesses) nicht erkennbar, so dass der Informationszugang zu eröffnen ist.

                    In welchem Umfang können Informationen zu Infektionen angefragt werden?

                    Denkbar sind auch Anfragen zu Infektionen. Das Infektionsschutzgesetz enthält in § 16 datenschutzrechtliche Vorgaben, jedoch kein Auskunftsrecht bzw. kein Recht auf Informationszugang. Daher sind Anfragen an Landesbehörden zu Infektionen und dem Infektionsschutz nach den Vorgaben des Landestransparenzgesetzes zu prüfen.

                    Als entgegenstehende Belange kommen Betriebs- und Geschäftsgeheimnisse nach § 16 Abs. 1 S. 1 Nr. 1 LTranspG in Betracht, bspw. bei der Anfrage „Wie viele Beschäftigte des Unternehmens X sind infiziert?“. Eine solche Information könnte als Geschäftsgeheimnis nach § 5 Abs. 6 LTranspG zu qualifizieren sein: Die Information ist betriebsbezogen, nicht offenkundig und das Unternehmen hat einen Geheimhaltungswillen sowie je nach Einzelfall ein berechtigtes Geheimhaltungsinteresse. Das berechtigte Geheimhaltungsinteresse kann vorliegen, wenn bspw. im Fall des „Lahmliegens“ eines Unternehmens aufgrund von Quarantäne oder ähnlichen Maßnahmen ein Konkurrent diese Information für sein eigenes Marktverhalten ausnutzen kann.

                    Je nach Anfrage könnten durch den Informationszugang personenbezogene Daten Dritter offenbart werden (§ 16 Abs. 1 S. 1 Nr. 2 LTranspG). Ob dies der Fall ist, hängt davon ab, ob die jeweilige Anfrage allgemein gehalten ist („Welcher Ortsteil ist am stärksten betroffen?“) oder auf eine oder mehrere identifizierbare Person/en gerichtet ist („Ist mein Nachbar infiziert?“), wobei der Übergang fließend ist (bspw. bei der Frage „Wie viele Personen in meiner Straße sind infiziert?“).

                    Da eine Einwilligung meist nicht vorliegen dürfte, laufen Anfragen bei entgegenstehenden Belangen nach § 16 Abs. 1 LTranspG auf ein Drittbeteiligungsverfahren (§ 16 Abs. 2 i.V.m. § 13 LTranspG) und infolgedessen auf eine Abwägungsentscheidung durch die informationspflichtige Stelle hinaus. Eine Ausnahme wäre im Fall von Personenbezug die Unkenntlichmachung, wenn diese möglich und vom Antragsteller gewünscht ist (§ 16 Abs. 1 S. 2 LTranspG, VV LTranspG Nr. 16.1.7).

                    Zumindest in Bezug auf die Anfragen zu bestimmten Personen, dürfte im Rahmen der Abwägung das öffentliche Informationsinteresse i.S.d. LTranspG in der Regel hinter den Interessen der infizierten Person zurücktreten, zumal es sich um besonders geschützte Gesundheitsdaten handelt (vgl. Art. 9 Abs. 1 DSGVO) und der Zugang zu diesen Informationen die Gefahr birgt, die betroffene Person erheblich zu stigmatisieren. Im Rahmen der Abwägung überwiegt das Interesse der Öffentlichkeit an den Informationen zu konkret infizierten Personen das Interesse des Einzelnen daher wohl regelmäßig nicht.

                    In welchem Umfang können Informationen zu Auswertungen, Gutachten und Erhebungen bzgl. der Corona-Infektionen angefragt werden?

                    Fragen im Hinblick auf statistische Auswertungen und Erhebungen oder Gutachten bzgl. der Infektionen könnten etwa lauten:

                    • „Welcher Ortsteil ist am stärksten betroffen?“
                    • „Wie viele Personen befinden sich im Land/der Gemeinde aktuell in Quarantäne?“
                    • „Welche Altersstruktur weisen die Infizierten auf?“
                    • „Ist der Infektionsort/die Infektionsart bekannt, wenn ja, wo/welche Schwerpunkte sind auszumachen?“ 

                    Denkbar sind ebenso Fragen zu Gutachten, Prognosen und Analysen wie etwa:

                    • „Gibt es Gutachten bzgl. der Verbreitung/Risikoabschätzung bzw. ist eine Einsicht in diese Gutachten möglich?“, oder der Zugang zu entsprechenden Datenbanken wird angefordert. 

                    Ein solcher Anspruch setzt grundsätzlich voraus, dass die transparenzpflichtige Stelle auch tatsächlich konkret über die angeforderten Erhebungen, Auswertungen, Gutachten etc. verfügt. Liegen solche nicht vor, umfasst der Anspruch keine Pflicht zur Informationsbeschaffung (vgl. VV-LTranspG, Nr. 4.2). Daraus folgt, dass nur die tatsächlich verfügbaren Informationen zugänglich zu machen sind. Liegen also beispielsweise Rohdaten vor, so können diese zwar vom Zugangsanspruch umfasst sein, ein Anspruch auf Auswertung oder Einordnung oder Begutachtung durch die transparenzpflichtige Stelle besteht jedoch zumindest im Rahmen des LTranspG nicht. 

                    Als entgegenstehende Belange kommen insbesondere folgende in Betracht: 

                    Personenbezogene Daten

                    Unter Umständen sind personenbezogene Daten betroffen (§ 16 Abs. 1 S. 1 Nr. 2 LTranspG), sofern die Erhebungen etc. solche Daten enthalten oder Rückschlüsse erlauben. 

                    Statistikgeheimnis

                    Hinsichtlich des Zugangs zu Statistiken ist im Rahmen der entgegenstehenden Belange das Statistikgeheimnis (§ 16 Abs. 1 S. 1 Nr. 3 LTranspG) zu beachten. Danach hat ein Informationszugang zu unterbleiben, soweit die Informationen dem Statistikgeheimnis unterliegen. Demnach sind Einzelangaben über sachliche und persönliche Verhältnisse, die für eine Statistik gemacht werden, geheim zu halten (vgl. § 1 Abs. 2 S. 1 LStatG i.V.m. § 16 Abs. 1 S. 1 BStatG). 

                    Rechte am geistigen Eigentum

                    Beim Zugang zu Gutachten, Analysen und auch Datenbanken kommen im Hinblick auf die entgegenstehenden Belange insbesondere Rechte am geistigen Eigentum (Urheberrecht) in Betracht (§ 16 Abs. 1 S. 1 Nr. 1 Alt. 1 LTranspG). So können umfangreiche Gutachten ggf. die nötige Schöpfungshöhe im Rahmen des Werkbegriffs als Werk der Wissenschaft (vgl. § 1 Var. 2, § 2 Abs. 1 Nr. 1 und Nr. 7 UrhG) erreichen und damit schutzfähig sein. Insbesondere sollte im weiteren Verfahren darauf geachtet werden, dass/ob sich die Behörde entsprechende Nutzungsrechte hat einräumen lassen, welche diesen entgegenstehenden Belang ausräumen könnten. 

                    Entsprechendes gilt auch für Datenbanken bzw. Sammelwerke (vgl. § 4 UrhG) oder etwa Details zu Risikoanalysen, welche ggf. mittels bestimmter Computerprogramme/Algorithmen erstellt werden. Auch hier kann der Zugang zum Programmcode/Algorithmus unter den Schutz des UrhG fallen (vgl. § 1 Abs. 1 Nr. 1 Var. 4 UrhG). 

                    Geschäftsgeheimnisse

                    Sofern die erforderliche Schöpfungshöhe für einen urheberrechtlichen Schutz nicht erreicht sein sollte, liegen in der genauen Funktionsweise etwa eines Algorithmus oder in Details bzgl. eines Verfahrens zur Erstellung einer Analyse möglicherweise Geschäftsgeheimnisse. 

                    Drittbeteiligungsverfahren, Abwägung, teilweiser Zugang:

                    Bezüglich der o.g. möglichen entgegenstehenden Belange wird im Hinblick auf das Drittbeteiligungsverfahren, dem Abwägungserfordernis und der möglichen Unkenntlichmachung entsprechender Daten auf die Ausführungen zu „In welchem Umfang können Informationen zu Infektionen angefragt werden?“ (siehe oben) verwiesen. 

                    Noch nicht aufbereitete Daten

                    Der Zugang zu Rohdaten bzgl. der Corona-Sachlage kann u.a. abzulehnen sein, soweit es sich um Material handelt, das gerade vervollständigt wird oder welches sich auf noch nicht aufbereitete Daten bezieht (§ 14 Abs. 1 S. 2 Nr. 11 Var. 1, Var. 3 LTranspG). Der Zugang ist jedoch nur dann zu verwehren, wenn die Aufbereitung objektiv erforderlich, beabsichtigt und möglich ist. Nicht aufbereitet im Sinne der Norm sind jedoch nur solche Daten, die inhaltlich unvollständig sind (vgl. VV-LTranspG, Nr. 14.1.2.11). Damit kann der Anspruch nicht schon mit dem bloßen Hinweis darauf abgelehnt werden, es handele sich um unbearbeitete Rohdaten. Bei der Zählung von Fällen sind Informationen zugänglich zu machen, wenn und soweit sie abgrenzbar sind, etwa durch Stichtagsangaben. Da sich der Anspruch nicht allein auf interpretierte oder ausgewertete Daten bezieht, kann auch ein Anspruch auf Zugang zu bloßen Rohdaten bestehen. Hinsichtlich des Verfahrens ist zu beachten, dass die Behörde, die sich auf diese Belange beruft, dem Antragssteller u.a. mitzuteilen hat, ob/wann die Informationen zugänglich gemacht werden können und welche Stelle das Material bearbeitet (vgl. § 12 Abs. 4 S. 3 und 4 LTranspG).

                    In welchem Umfang können Informationen zum weiteren Vorgehen und geplanten Maßnahmen angefragt werden?

                    Ein auf Informationen zum weiteren Vorgehen und geplanten Maßnahmen gerichteter Antrag ist ggf. abzulehnen, soweit es sich etwa um Informationen zum aktuellen behördlichen Entscheidungsprozess bzw. um interne Mitteilungen, Entwürfe zu Entscheidungen sowie Arbeiten und Beschlüsse zu ihrer unmittelbaren Vorbereitung handelt, soweit und solange durch die vorzeitige Bekanntgabe der Information der Erfolg der Entscheidung oder bevorstehender behördlicher Maßnahmen vereitelt würde, es sei denn, das öffentliche Interesse an der Bekanntgabe überwiegt; vereitelt würde der Erfolg einer Maßnahme, wenn sie nicht, anders oder wesentlich später zustande käme (vgl. § 15 Abs. 1 Nr. 1 LTranspG). Auch in diesem Fall läuft es im Ergebnis auf eine Abwägung des Informationsinteresses mit dem öffentlichen Interesse an der Bekanntgabe heraus. Soweit ausnahmsweise kein atypischer Fall vorliegt, ist ein Informationszugang daher i.d.R. abzulehnen. Oftmals werden derartige Anfragen durch eine Auskunft beantwortet werden können.