Datenschutzerklärung für die Verarbeitung Ihrer Daten im Zusammenhang mit der Surveillance zu SARS-CoV-2 in Deutschland

In dieser Datenschutzerklärung erfahren Sie, wie das Robert Koch-Institut (im Folgenden „RKI“) Ihre personenbezogenen Daten im Zusammenhang mit der Surveillance zu SARS-CoV-2 („Surveillance“) verarbeitet.

Vor dem Hintergrund der COVID-19-Pandemie in Deutschland führt das RKI seit dem Jahr 2020 die Surveillance durch mit dem Ziel, repräsentative Daten über das aktuelle SARS-CoV-2-Geschehen in Deutschland zu verarbeiten, auszuwerten und der Öffentlichkeit bereitzustellen.

  1. Verantwortlicher und Datenschutzbeauftragter

    Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten gemäß den Vorschriften der Datenschutzgrundverordnung („DSGVO“) und des Bundesdatenschutzgesetzes („BDSG“) ist:

    1. Robert Koch-Institut
    2. Nordufer 20
    3. 13353 Berlin
    4. vertreten durch den Präsidenten Prof. Dr. L. H. Wieler
    5. E-Mail: info@rki.de

    Wenn Sie Fragen an unseren Datenschutzbeauftragten haben, erreichen Sie diesen unter:

    1. Behördliche Datenschutzbeauftragte
    2. E-Mail: datenschutz@rki.de

    Das RKI nimmt den Schutz Ihrer personenbezogenen Daten sehr ernst. Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Hierunter fallen Angaben, die Rückschlüsse auf Ihre Identität ermöglichen. Weitere Definitionen der verwendeten Begriffe (z.B. „Verarbeitung“) finden Sie in Art. 4 DSGVO. Das RKI unterliegt als Bundesbehörde den Bestimmungen der DSGVO und des BDSG.

  2. Zweck und Rechtsgrundlage der Datenverarbeitung

    Das RKI verarbeitet personenbezogene Daten über Sie zu Zwecken der Durchführung der Surveillance. Die Daten werden für interne Auswertungen genutzt, für Auswertungen, die der Fachöffentlichkeit zur Verfügung gestellt werden, sowie als Datengrundlage für Auswertungen anderer Institutionen. Die Daten werden nur in aggregierter Form präsentiert bzw. der Fachöffentlichkeit und Wissenschaftlern zur Verfügung gestellt. Die Daten werden insbesondere in folgender Weise genutzt:

    • Wochenbericht, Monatsbericht und die dem Wochenbericht zugrundeliegenden Daten aggregiert auf https://ars.rki.de/Content/COVID19/Main.aspx
    • Täglicher Situationsbericht des RKI https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/Situationsberichte/Gesamt.html
    • Perspektivisch aggregierte Daten ans ECDC
    • Aggregierte Daten für wissenschaftlicher Auswertungen innerhalb des RKI (z.B. Corona-KiTa-Studie) und andere Institutionen (z.B. Universitäten)

    Rechtsgrundlage der Verarbeitung durch das RKI ist Art. 6 Abs. 1 S. 1 e) DSGVO i.V.m. Art. 9 Abs. 2 i) DSGVO i.V.m. § 22 Abs. 1 Nr. 1 c) BDSG.

  3. Herkunft und Art der Daten

    Das RKI erhält von teilnehmenden Laboren und Instituten („Labore“) in begrenztem Umfang pseudonymisierte Daten über Sie. Pseudonymisiert bedeutet, dass das RKI Ihre Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr Ihnen zuordnen kann. Ihre Daten, die das Labor pseudonymisiert an das RKI übermittelt, stammen aus medizinischen Versorgungseinrichtungen bzw. Arztpraxen, die diese Daten von Ihnen erhoben haben.

    Die folgenden Daten über Sie werden verarbeitet:

    • Patienten-ID
    • Geburtsmonat und Geburtsjahr
    • Geschlecht

    Die Patienten-ID setzt sich dann aus einer eindeutigen ID des Labors und einer fortlaufenden Sequenz innerhalb der Datenbank des Labors zusammen. Für das RKI ist eine Zusammenführung von Person und Daten, also ein Rückschluss von der Patienten-ID auf die Identität Ihrer Person, nicht möglich. Eine Zuweisung ist nur im Labor möglich.

    Darüber hinaus verarbeitet das RKI Ihre Patientenprobe und die Ergebnisse der mikrobiologischen Diagnostik (ggf. der nachgewiesene SARS-CoV-2-Erreger und das Ergebnis der Testung). Auch hier ist für das RKI eine Zusammenführung von Person und Daten nicht möglich. Die Probe enthält die folgenden Angaben:

    • Proben-ID
    • Datum der Probenentnahme
    • Materialart der Probe
    • Lokalisation der Probenentnahme (z.B. linker Arm, Katheter etc.)

    Die Proben-ID besteht aus der vergebenen Probennummer / Auftragsnummer des LIS und ggfs. einem laborspezifischen Präfix.

  4. Speicherdauer

    Ihre Daten werden so lange gespeichert, wie Sie für die genannten Zwecke erforderlich sind. Bitte beachten Sie, dass die Surveillance eine langfristig angelegte, bislang zeitlich unbegrenzte Studie ist, damit das RKI verlässliche und möglichst repräsentative Daten erlangt. Eine Löschung der Daten ist momentan nicht vorgesehen. Das RKI löscht Ihre Daten, sobald dies nach Maßgabe der datenschutzrechtlichen Bestimmungen erforderlich ist.

  5. Empfänger

    Im Zusammenhang mit der Surveillance und dem laborbasierten Surveillancesystem bedient sich das RKI eines externen IT-Dienstleisters, der auf die in Ziffer 3 genannten Daten zugreifen kann. Dieser Dienstleister verarbeitet personenbezogene Daten in der EU / im EWR sowie im Auftrag und auf Weisung des RKI (sog. Auftragsverarbeiter). Mit dem Auftragsverarbeiter hat das RKI Verträge zur Gewährleistung der datenschutzrechtlichen Anforderungen abgeschlossen.

    Eine Übermittlung an weitere Empfänger (z.B. Fachöffentlichkeit) erfolgt nur auf Basis aggregierter, anonymer Daten.

  6. Beschwerderecht bei einer Aufsichtsbehörde

    Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (z.B. dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Graurheindorfer Str. 153, 53117 Bonn, +49 (0)228-997799-0, E-Mail: poststelle(at)bfdi.bund.de, http://www.bfdi.bund.de) (Art. 77 Abs. 1 DSGVO).

  7. Ihre Datenschutzrechte (Rechte der betroffenen Person)

    Grundsätzlich stehen betroffenen Personen unter den gesetzlichen Voraussetzungen bestimmte Datenschutzrechte gemäß Art. 15-22 DSGVO zu, z.B. das Recht auf Auskunft oder auf Löschung ihrer Daten. Ausnahmsweise bestehen diese Rechte nicht, wenn der Verantwortliche die betroffene Person nicht identifizieren kann und allein zum Zweck ihrer Identifizierung zusätzliche Informationen einholen müsste (Art. 11 Abs. 2 i.V.m. Art. 12 Abs. 2 S. 2 DSGVO).

    Im Rahmen der Surveillance verarbeitet das RKI ausschließlich pseudonymisierte Daten über Sie, die keine Rückschlüsse auf Ihre Identität zulassen. Das RKI kann Sie daher nicht identifizieren und im Falle einer Anfrage (z.B. auf Auskunft oder Löschung) keine Daten Ihnen zuordnen. Eine Zuordnung ist für das RKI selbst dann nicht möglich, wenn Sie zusätzliche Informationen über sich bereitstellen, z.B. Ihren Namen oder behandelnden Arzt. Daher stehen Ihnen im Zusammenhang der Surveillance ausnahmsweise keine Datenschutzrechte zu.

Version: 1.0 / Stand: 11. Januar 2021

Das Robert Koch-Institut ist ein Bundesinstitut im Geschäftsbereich des Bundesministeriums für Gesundheit

©Robert Koch-Institut
Alle Rechte vorbehalten, soweit nicht ausdrücklich anders vermerkt