Themen A bis Z

Teststellen

Welche Daten dürfen Teststellen für einen kostenlosen Corona-Antigen-Schnelltest (Bürgertestung) von mir verlangen?

Teststellen dürfen nur diejenigen Daten von Ihnen verpflichtend verlangen, die für die Durchführung des Tests einschließlich vor- und nachgelagerter Tätigkeiten wie die Terminbuchung, die Ausstellung eines Zertifikats über das Testergebnis und – im Falle eines positiven Testergebnisses – für die Meldung an das Gesundheitsamt erforderlich sind. Dazu zählen regelmäßig Name und Vorname, Geschlecht, Geburtsdatum, Anschrift der Hauptwohnung oder des gewöhnlichen Aufenthaltsortes, weitere Kontaktdaten wie Telefonnummer oder E-Mail-Adresse.

 

Dürfen Teststellen meine Personalausweisnummer, meine Krankenversicherung, meine Krankenversicherungsnummer oder meinen Geburtsort erheben?

Für kostenlose Bürgertests sind weder die Angabe der Personalausweisnummer, noch der Krankenversicherung und/oder der Krankenversicherungsnummer, noch des Geburtsorts erforderlich. Diese Daten dürfen daher nicht als Pflichtangaben erhoben werden.

 

Muss die Teststelle mich über die Verarbeitung meiner personenbezogenen Daten informieren?

Ja, die Teststellen müssen Ihnen, wenn sie personenbezogene Daten erheben, zum Zeitpunkt der Erhebung der Daten Hinweise zum Datenschutz gemäß Art. 13 Datenschutz-Grundverordnung erteilen. Diese Hinweise finden sich regelmäßig in der so genannten Datenschutzerklärung. Diese muss sich dann, wenn online ein Termin für einen kostenlosen Corona-Antigen-Schnelltest vereinbart werden kann, auf der entsprechenden Webseite befinden. Erfolgt keine Online-Terminvereinbarung, muss die Datenschutzerklärung Ihnen anderweitig zur Einsichtnahme zur Verfügung gestellt werden, z. B. durch deutlich sichtbaren Aushang oder Auslegung in der Teststelle.

 

Worüber muss mich die Teststelle in ihrer Datenschutzerklärung informieren?

Der notwendige Inhalt einer Datenschutzerklärung ergibt sich aus Art. 13 Datenschutz-Grundverordnung. Demnach muss die Teststelle Ihnen den Namen und die Kontaktdaten des Verantwortlichen (also des Betreibers der Teststelle), ggf. den Datenschutzbeauftragten der Teststelle, die Zwecke und die Rechtsgrundlage der Datenverarbeitung, die Empfänger der personenbezogenen Daten und die Dauer, für die die personenbezogenen Daten gespeichert werden, nennen. Zudem muss die Teststelle Sie in der Datenschutzerklärung über Ihre Betroffenenrechte (Auskunft, Berichtigung, Löschung etc.) und Ihr Beschwerderecht bei der Datenschutzaufsichtsbehörde informieren.  

 

Muss ich in die Datenverarbeitung durch die Teststelle einwilligen, um einen Bürgertest zu erhalten?

Das Ergebnis eines Corona-Antigen-Schnelltests stellt ein Gesundheitsdatum dar, das nach Art. 9 Abs. 1 Datenschutz-Grundverordnung besonders geschützt ist. Teststellen bedürfen zur Verarbeitung des Testergebnisses – dazu zählt auch dessen Erhebung – grundsätzlich einer Einwilligung der zu testenden Person.

 

Was müssen Teststellen bei der Durchführung des Tests im Hinblick auf den Datenschutz beachten?

Die Teststellen haben bei der Durchführung des Corona-Antigen-Schnelltest vor Ort die Vertraulichkeit der personenbezogenen Daten der zu testenden und der getesteten Personen zu gewährleisten. Sie haben daher technische und organisatorische Maßnahmen zu ergreifen, um für den notwendigen Schutz zu sorgen. Bei der Teststelle dürfen die personenbezogenen Daten z. B. für unbefugte Dritte nicht einsehbar sein.

 

Wie lange dürfen Teststellen meine Daten speichern?

Die Teststellen sind nach § 7 Abs. 5 Coronavirus-Testverordnung des Bundeministeriums für Gesundheit verpflichtet, u. a. die für den Nachweis der korrekten Abrechnung notwendige Auftrags-  und Leistungsdokumentation bis zum 31. Dezember 2024 unverändert zu speichern oder aufzubewahren. Zur Auftrags- und Leistungsdokumentation zählen - wie der Verordnungsgeber in der ab dem 1. Juli 2021 geltenden Coronavirus-Testverordnung klarstellte - insbesondere der Vorname, der Familienname, das Geburtsdatum und die Anschrift der getesteten Person, der Tag, die Uhrzeit und das Ergebnis der Testung sowie die schriftliche oder elektronische Bestätigung der getesteten Person oder ihres gesetzlichen Vertreters über die Durchführung des Tests.

 

Erhält die Kassenärztliche Vereinigung Berlin meine Daten?

Die Teststellen rechnen die von ihnen durchgeführten Tests gegenüber der Kassenärztlichen Vereinigung ab. Nach § 7 Abs. 4 Satz 2 der Coronavirus-Testverordnung des Bundeministeriums für Gesundheit dürfen die an die Kassenärztliche Vereinigung bei der Abrechnung zu übermittelnden Angaben aber keinen Bezug zu der getesteten Person aufweisen. Die Kassenärztliche Vereinigung Berlin erhält somit bei der Abrechnung als solche keine Kenntnis Ihrer personenbezogenen Daten.

Nach § 7a der Coronavirus-Testverordnung, der mit Wirkung vom 1. Juli 2021 eingefügt wurde, haben die Kassenärztlichen Vereinigungen stichprobenartig und bei entsprechender Veranlassung gezielt vertiefte Prüfungen der Abrechnungen durchzuführen. Für die Durchführung der Prüfung sind die Teststellen verpflichtet, der Kassenärztlichen Vereinigung auf Verlangen insbesondere die Auftrags- und Leistungsdokumentation nach § 7 Abs. 5 der Coronavirus-Testverordnung (siehe dazu die Antwort auf die vorige Frage) zur Verfügung zu stellen. Die Kassenärztliche Vereinigung kann auch Dritte mit der Prüfung beauftragen.

 

Erhält das Gesundheitsamt meine Daten?

Die Teststellen sind verpflichtet, ein positives Testergebnis unter Nennung der in § 9 Infektionsschutzgesetz genannten personenbezogenen Daten dem Gesundheitsamt mitzuteilen. Negative Testergebnisse sind dem Gesundheitsamt nicht mitzuteilen.

 

Was müssen Teststellen zum Nachweis der korrekten Abrechnung beachten?

Gemäß § 7 Abs. 5 der Coronavirus-Testverordnung (TestV) sind Teststellen verpflichtet, die Auftrags- und Leistungsdokumentationen zum Nachweis der korrekten Durchführung und Abrechnung bis zum 31. Dezember 2024 unverändert zu speichern oder aufzubewahren. Für die in diesen Dokumentationen enthaltenen personenbezogenen Daten müssen die Anforderungen des Datenschutzes eingehalten werden. Das bedeutet, dass die Verantwortlichen gemäß Art. 32 DS-GVO verpflichtet sind, technische und organisatorische Maßnahmen zu ergreifen, die geeignet sind, die Risiken für die persönlichen Rechte und Freiheiten natürlicher Personen zu minimieren.

Geeignete Maßnahmen hierfür sind zum Beispiel die Verwendung von Verschlüsselungsverfahren, insbesondere aber auch die Speicherung auf Medien, die verschlossen aufbewahrt werden können. So bietet es sich an, regelmäßig, z. B. täglich alle für die Erbringung des Nachweises notwendigen Daten aus dem Produktivsystem zu entnehmen, in einem verschlüsselten Offline-Backup zu sichern und anschließend aus dem System zu löschen, sofern die Daten nicht für die weitere Erbringung der Leistung benötigt werden. So kann sichergestellt werden, dass im Falle einer Datenpanne nur ein begrenzter Datensatz betroffen wäre. Nach Beendigung der Testtätigkeiten sollten keinerlei personenbezogene Daten aus den Testverfahren in Systemen belassen werden, die in Betrieb bleiben. Die Teststellen haben sicherzustellen, dass ausschließlich berechtigte Stellen zur Erfüllung ihres gesetzlichen Auftrags Zugriff auf die Daten erhalten können.

 

zurück zur Seite: