Unzählige Menschen werden momentan regelmäßig auf eine Infektion mit dem Corona-Virus Covid-19 getestet. Hierzu werden die bekannten Corona-Schnelltests verwendet. Bei diesen wird zur Auswertung ein Abstrich von der Rachen- oder Nasenschleimhaut angefertigt. Steht das Ergebnis des Schnelltests fest, findet sich das Material mit den genetischen Daten der getesteten Personen überwiegend im normalen Müll wieder. Doch ist diese Form der Entsorgung von genetischem Material überhaupt DSGVO-konform? DSGVO ist die Abkürzung für Datenschutz-Grundverordnung.
Hier erfahren Sie alles Wichtige in Kürze.
Corona-Schnelltests als Daten im Sinne der DSGVO
Bei der Durchführung eines Corona-Schnelltests ist ein Abstrich von der Schleimhaut zu nehmen. Hierbei handelt es sich unstrittig um genetische Daten (Erwägungsgrund 34 zur DSGVO) in Form einer Probe. Diese Daten fallen laut Art. 9 DSGVO unter die besondere Kategorie der personenbezogenen Daten und sind besonders zu schützen.
Schutzniveau der DSGVO für die Verarbeitung von genetischem Material
Für die DSGVO-konforme Verarbeitung muss das jeweils von der DSGVO geforderte Schutzniveau eingehalten werden. Dazu macht die DSGVO Vorschriften zur Sicherheit der Verarbeitung (Art. 32 DSGVO).
Entsorgung von Corona-Schnelltests mit genetischem Material als Verarbeitung
Die Verarbeitung versteht die DSGVO sehr weit. Unter den Begriff fallen nach Art. 4 Nr. 2 DSGVO Vorgänge wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Die Entsorgung einer Probe, die genetische Daten enthält (Corona-Schnelltest) fällt demnach unter die Verarbeitung im Sinne der DSGVO.
Sicherheit der Entsorgung von genetischem Material als Verarbeitung
Gemäß Art. 32 I DSGVO sind die Anforderungen an die Sicherheit dieser Verarbeitung vor allem am Stand der Technik zu messen. Demnach sind geeignete technische und organisatorische Maßnahmen (TOMs) zu ergreifen, die die Daten schützen. Unter anderem können Maßnahmen wie Pseudonymisierung, Verschlüsselung sowie die Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste zur Verarbeitung notwendig sein.
Meist findet die Entsorgung der Corona-Schnelltests nach der Auswertung im normalen Müll statt. Dies ist aktuelle in vielen Firmen und anderen Institutionen, an denen die Mitarbeiter regelmäßig zu testen sind, das übliche Vorgehen. Im normalen Müll sind die genetischen Daten nicht geschützt. Nach dem heutigen Stand der Technik gibt es Möglichkeiten, diese genetischen Daten so zu entsorgen, dass sie unkenntlich gemacht werden z.B. durch Entsorger von Laborabfällen, was nach der DSGVO auch erforderlich ist.
Einwilligung des Betroffenen in Entsorgung im normalen Müll?
Es könnte die Idee aufkommen, ob der Betroffene nicht in eine Verarbeitung mit niedrigerer Sicherheit einwilligen kann (Art. 6 I 1 lit. a DSGVO).
Unabhängig davon, ob dies einmal möglich war, ist dieses Vorgehen nach dem Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 24. November 2021 in Deutschland nicht mehr möglich. Im Beschluss wird unter Nummer 2 festgelegt, dass der „Verzicht auf die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen oder die Absenkung des gesetzlich vorgeschriebenen Standards auf der Basis einer Einwilligung“ nicht zulässig ist. Zudem hält Nummer 1 des Beschlusses ganz generell fest, dass die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO nicht zur Disposition der Beteiligten stehen, da sie auf objektiven Rechtspflichten beruhen.
Der Betroffene kann demnach nicht nach der DSGVO in die Entsorgung von Corona-Schnelltests über den normalen Müll einwilligen.
Entsorgung über Spezialentsorger DSGVO-konform
Für eine DSGVO-konforme Entsorgung dieser Proben genügt deshalb nie der normale Müll. Es ist erforderlich, einen Spezialentsorger mit einer der DSGVO entsprechenden Entsorgung zu beauftragen.
Hierbei ist zu beachten, dass es sich dann um eine Auftragsverarbeitung handelt (Art.28 DSGVO). Mit dem Spezialentsorger muss ein entsprechender Vertrag zur Auftragsverarbeitung geschlossen werden. Außerdem muss der Spezialentsorger nachweisen können, dass er entsprechende Schutz- und Vernichtungsstufen für die zu entsorgenden Daten einhalten kann.
Fazit
Die zurzeit massenhaft ausgeübte Praxis der Entsorgung von Corona-Schnelltests im normalen Müll ist nicht mit der DSGVO in Einklang zu bringen. Es findet millionenfach Datenschutzverstöße statt. Für eine DSGVO-konforme Entsorgung müsste eine Spezialentsorgung stattfinden. Die pragmatischste Lösung wäre hier, einen Spezialentsorger als Auftragsverarbeiter zu beauftragen.
Vermeiden Sie teure Datenschutzverstöße in dem Sie uns mit einer Beratung oder einem Audit im Bereich Datenschutz beauftragen.