Pandemiebekämpfung und Datenschutz in Bayern (1)

Die Pandemiebekämpfung in den Jahren 2020 und 2021 war vielfach auch mit datenschutzrelevanten Maßnahmen verbunden. Anhand von Beispielen zeigt der Beitrag auf, dass die in der Datenschutz-Grundverordnung (Verordnung EU 2016/679 – DSGVO) verankerten zentralen Grundsätze der Verarbeitung personenbezogener Daten letztlich wichtige rechtsstaatliche Grundsätze konkretisieren und zugleich einen wichtigen Akzeptanzfaktor staatlicher Maßnahmen zur Pandemiebekämpfung darstellen können (Teil 1).

1. Einleitung

Am 27. Januar 2020 wurde in Deutschland die erste Infektion mit SARS-CoV-2 nachgewiesen¹. Innerhalb weniger Wochen breitete sich COVID-19 in Deutschland aus². Anfang April 2022 hatten sich dort insgesamt rund 21 850 000 Menschen infiziert, rund 4,3 Millionen Menschen waren aktuell erkrankt³.

Auf die Ausbreitung des Virus reagierten der Bundesgesetzgeber und der bayerische Verordnungsgeber mit zahlreichen Änderungen des Infektionsschutzrechts. Da man seinerzeit noch von einer Variante des Middle-East-Respiratory-Syndrome-Coronavirus (MERS-CoV) ausging, wurde zunächst dieser Virus im Katalog der meldepflichtigen Krankheitserreger gelistet⁴. Erst einige Monate später wurden die beiden Virusvarianten SARS-CoV und SARS-CoV-2 aufgenommen⁵. Am 11. März 2020 erklärte die Weltgesundheitsorganisation (WHO) die bisherige Epidemie offiziell zu einer weltweiten Pandemie⁶ und auch in Deutschland traten erste Todesfälle auf⁷. Die legislativ getroffenen Maßnahmen zur Pandemiebekämpfung griffen teilweise erheblich in die Grundrechte ein – insbesondere auch in das Datenschutzgrundrecht.

Im Wesentlichen bestätigte die Rechtsprechung in Bayern die rechtlichen Grundlagen und korrigierte nur einige der Vorgaben, vornehmlich im Bereich der Betriebsuntersagungen⁸. Auch die Datenschutzaufsichtsbehörden und andere Kontrollorgane wirkten anlassbezogen auf Änderungen der Rechtslage hin; der Bundesgesetzgeber wie auch der bayerische Verordnungsgeber griffen diese Empfehlungen teilweise auf. In einer Pandemie historischen Ausmaßes sind Entscheidungen unter Unsicherheit zu treffen. Solche Entscheidungen können sich im Nachhinein als optimierbar herausstellen. Um einer Pandemie zukünftig noch effektiver und nachhaltiger begegnen zu können, ist es sinnvoll, Bedarfe an Optimierung klar zu identifizieren.

Dieser Beitrag versucht auf der Grundlage der zentralen Datenschutzgrundsätze einen ersten Diskussionsbeitrag zu leisten. Dazu zeichnet er die Entwicklung der Maßnahmen zur Kontaktnachverfolgung, zur Maskenpflicht und zum Testmanagement nach. Ab Dezember 2020 bedeutsam wurde auch das Impfmanagement, das in Bayern mit großer datenschutzrechtlicher Sensibilität vorbereitet wurde. Das insoweit federführende Bayerische Staatsministerium für Gesundheit und Pflege legte von vornherein großen Wert auf die Transparenz der Datenverarbeitung und auf eine Begrenzung der personenbezogenen Datenspeicherung im zentralen Impfportal BayIMCO⁹. Hierauf geht der Beitrag nicht zuletzt vor dem Hintergrund der gegenwärtig ungeklärten Frage zur Impflicht nicht näher ein.

2. Rechtsentwicklung einzelner Maßnahmen

Die Regelungen zur Pandemiebekämpfung in ihrer Gesamtheit waren (und sind) komplex, überdies wurden sie in den letzten beiden Jahren häufig geändert. Abgesehen von zahlreichen Spe zialregelungen bildeten das Gesetz zur Verhütung und Bekämpfung von Infektionskrankheiten beim Menschen (Infektionsschutzgesetz – IfSG)¹⁰ und speziell in Bayern die Bayerischen Infektionsschutzmaßnahmenverordnungen (BayIfSMV) den rechtlichen Rahmen. Sie bestimmten damit maßgeblich auch über die Zulässigkeit der Verarbeitung personenbezogener Daten im Zusammenhang mit der Bekämpfung der COVID-19-Pandemie.

Das grundsätzliche Zusammenspiel von bundes- und landesrechtlichen Bestimmungen kann seit November 2020¹¹ an § 28a IfSG veranschaulicht werden, der einen Katalog besonderer Schutzmaßnahmen zur Verhinderung der Verbreitung von COVID-19 vorsieht. Die meisten dieser Schutzmaßnahmen setzten nicht zuletzt wegen ihrer Eingriffsintensität grundsätzlich voraus, dass der Deutsche Bundestag zuvor eine „epidemische Lage von nationaler Tragweite“ nach § 5 Abs. 1 Satz 1 IfSG festgestellt hat. Zuletzt mit Beschluss vom 25. August 2021 hat der Deutsche Bundestag eine solche Feststellung getroffen¹².

Für die Dauer der epidemischen Lage von nationaler Tragweite können die Länder nach § 32 i. V. m. § 28 Abs. 1 und § 28a Abs. 1 IfSG Rechtsverordnungen erlassen, die besondere Schutzmaßnahmen zur Verhinderung der Verbreitung von COVID-19 anordnen. Hiervon hat die Staatsregierung mit ihren Bayerischen Verordnungen über Infektionsschutzmaßnahmen anlässlich der Corona-Pandemie (Bayerische Infektionsschutzmaßnahmenverordnungen – BayIfSMV) Gebrauch gemacht.

Ohne einen entsprechenden Bundestagsbeschluss können die Länder lediglich die in § 28a Abs. 7 – 10 IfSG abschließend aufgeführten Schutzmaßnahmen vorsehen. Zu diesen Maßnahmen zählen insbesondere Masken- und Testpflicht. Sie können von den Ländern angeordnet werden, soweit sie zur Verhinderung der Verbreitung von COVID-19 erforderlich sind.

3. Kontaktdatenmanagement

Zu Beginn der COVID-19-Pandemie standen keine hinreichenden Ressourcen an Masken und Testungen zur Verfügung. Impfstoffe wurden ohnehin erst später entwickelt und konnten nach ihrer Zulassung gegen Ende des Jahres 2020 zunächst auch nicht in ausreichender Menge verimpft werden. Vor diesem Hintergrund kam zunächst dem Kontaktmanagement eine besondere Rolle zu, die es weit in das Jahr 2021 hinein behielt.

a) Das „Hygienekonzept Gastronomie“

Mit der ersten BayIfSMV¹³ untersagte die Staatsregierung den Betrieb diverser Einrichtungen und Unternehmungen, die typischerweise mit zwischenmenschlichen Kontakten verbunden sind¹⁴. Im Laufe des Frühjahrs 2020 wurden diese Maßnahmen deutlich feingranularer ausgestaltet. In dieser Phase der Pandemiebekämpfung hob die Staatsregierung das Instrument der Kontaktdatenerfassung aus der Taufe. Gastronomiebetriebe etwa durften im Freiluftbereich wieder Gäste empfangen, allerdings nur wenn sie ein Schutz- und Hygienekonzept ausarbeiteten.

Diese Konzepte hatten auf dem Rahmenkonzept für die Gastronomie zu beruhen, das von den Staatsministerien für Gesundheit und Pflege sowie für Wirtschaft, Landesentwicklung und Energie erstmals am 14. Mai 2020 gemeinsam bekannt gegeben wurde¹⁵. Ziffer 3.2.9 des Hygienekonzepts sah folgende Bestimmung vor:

„Um eine Kontaktpersonenermittlung im Falle eines nachträglich identifizierten COVID-19-Falles unter Gästen oder Personal zu ermöglichen, sollte eine Gästeliste mit Angaben von Namen, Telefonnummern und Zeitraum des Aufenthaltes geführt werden. Die Gästeliste ist so zu führen und zu verwahren, dass Dritte sie nicht einsehen können. Die Daten sind nach Ablauf eines Monats zu vernichten“.

Diese Kontaktdatenerfassung wurde neu in das Infektionsschutzrecht eingeführt. Im Allgemeinen mussten sich Infizierte im Fall der Verbreitung von Infektionskrankheiten bei der zuständigen Gesundheitsbehörde melden. Sie holte dann von der infizierten Person Auskünfte ein, welche Kontakte sie innerhalb der Inkubationszeit hatte. Etwaige Kontaktpersonen wurden anschließend von den Gesundheitsbehörden auf den Infektionskontakt hingewiesen. Diese Ansprache ging regelmäßig mit Anweisungen einher, wie sich die Kontaktpersonen zu verhalten haben.

Ausgehend von den bisherigen Erfahrungen mit der COVID- 19-Pandemie gingen die Bundes- und Landesregierungen offenbar übereinstimmend davon aus, dass bei Gaststätten (und anderen Betrieben, in denen sich zahlreiche Menschen treffen) unter dem Gesichtspunkt des Infektionsschutzes gesteigerte Risiken entstehen. In Gaststätten treffen viele Menschen auf relativ engem Raum zusammen, was das Infektionsrisiko erhöht. Gleichzeitig erschwert die Vielzahl der Gäste die nachträgliche Rekonstruktion von kritischen Kontakten.

Mit anderen Worten sollte das Führen von Kontaktlisten den Gesundheitsbehörden die Kontaktaufnahme mit den Personen ermöglichen, die sich möglicherweise ungeachtet des Distanzgebots infiziert haben.

Aus datenschutzrechtlicher Sicht ist bei der Erfassung von Kontaktdaten im Rahmen der Pandemiebekämpfung wie folgt zu unterscheiden: Die jetzt nach § 28a Abs. 1 Nr. 17, Abs. 4 IfSG vorgesehene Erfassung von Kundendaten durch Gastwirte, Veranstalter und Dienstleister betrifft als solche zunächst nur Adressdaten, die keinen unmittelbaren Bezug zum Gesundheitszustand der Betroffenen aufweisen. Sie sind damit keine sensiblen personenbezogenen Daten im Sinne des Art. 9 Abs. 1 DSGVO, die einem grundsätzlichen Verarbeitungsverbot unterliegen.

Anderes kann allerdings gelten, wenn Gesundheitsämter diese Daten aus konkretem Anlass zur Kontaktnachverfolgung anfordern, weil insoweit ein Infektionsverdacht im Raum steht. Hier kommt eine Verarbeitung von Gesundheitsdaten im Sinne des Art. 9 Abs. 1, Art. 4 Nr. 15 DSGVO in Betracht. Dabei ist Art. 9 Abs. 2 DSGVO zu beachten. In jedem Fall setzt eine Pflicht zur Kontaktdatenerfassung aufgrund ihres Eingriffscharakters eine Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 Buchst. c, Abs. 3 Satz 1 DSGVO voraus.

Vor diesem Hintergrund waren die Maßnahmen zur Kontaktdatenerfassung von Anfang an datenschutzpolitisch umstritten. Der Verfassungsgerichtshof des Saarlands stellte beispielsweise fest, die Verpflichtung zur Kontaktdatenerfassung erfordere als Eingriff in das Datenschutzgrundrecht eine bereichsspezifische gesetzliche Regelung¹⁶. Demgegenüber sah das Regelungskonzept der 5. und 6. BayIfSMV die personenbezogene Kontaktdatenerfassung lediglich mittelbar im Rahmen von Hygienekonzepten vor. In § 13 Abs. 4 Satz 3 BayIfSMV beider Fassungen¹⁷ wurde diese Kontaktdatenerfassung gerade nicht ausdrücklich erwähnt. Insoweit dürfte das ministeriell bekannt gemachte Rahmenkonzept bei rein rechtlicher Betrachtungsweise lediglich eine „Handreichung und sachkundige Empfehlung“ gewesen sein¹⁸.

Die jeweilige Verordnung verpflichtete die Gastwirte allerdings dazu, auf der Grundlage des Rahmenkonzepts ein eigenes Hygienekonzept auszuarbeiten und auf Verlangen der zuständigen Kreisverwaltungsbehörde vorzulegen¹⁹. Jeder Gastwirt hätte zu dieser Zeit mit Schwierigkeiten rechnen müssen, wenn er die Kontaktdatenerfassung nicht in sein betriebliches Hygienekonzept übernommen hätte.

b) Zugriff von Strafverfolgungsbehörden auf Kontaktlisten

Hinzu kam, dass erste Polizeibehörden Erkenntnisse aus der neu geschaffenen Informationsquelle zu Zwecken der Strafverfolgung schöpfen wollten. Das Vorgehen der Ermittlungsbehörden wurde zumeist über die Regeln der Sicherstellung beziehungsweise die Beschlagnahme nach den §§ 94 ff. StPO gerechtfertigt.

Zwar sah das erwähnte Hygienekonzept Gastronomie ursprünglich vor, dass Gästelisten „ausschließlich“ zur Vorlage bei den Gesundheitsämtern geführt werden sollten. An diese Zweckbindung waren die Strafverfolgungsbehörden jedoch nicht gebunden, eine Verwendungsbeschränkung im Sinne des § 160 Abs. 4 StPO lag insoweit jedenfalls nicht vor. Die Datenzugriffe der Strafverfolgungsbehörden dürften größtenteils aus nachvollziehbaren Gründen erfolgt sein und waren überdies nicht häufig. Darauf deuten zumindest die Antworten der Staatsregierung auf entsprechende parlamentarische Anfragen hin²⁰.

Gleichwohl: Unproblematisch waren derartige Zugriffe der Sicherheitsbehörden nicht. Denn sie konnten leicht den Eindruck erwecken, dass die Strafverfolgungsbehörden sich über die Verlautbarungen der Gesundheitsverwaltung schlichtweg hinwegsetzen würden.

Die 7. IfSMV²¹ stellte deshalb in § 4 Abs. 3 BayIfSMV klar, dass die Kontaktdatenerfassung zwar grundsätzlich nur der anlassbezogenen Übermittlung an die Gesundheitsämter diene, die Befugnisse der Strafverfolgungsbehörden aber unbeschadet blieben. In rechtlicher Hinsicht schloss § 4 Abs. 3 der 7. BayIfSMV damit zwei offene rechtliche Flanken: Neben der Klarstellung der Befugnisse von Strafverfolgungsbehörden hielt nur wenige Tage nach ihrer Veröffentlichung der Bayerische Verfassungsgerichtshof im einstweiligen Rechtsschutz die Kontaktdatenerfassung auf dieser Grundlage für verfassungsrechtlich noch gerechtfertigt.

§ 28 Abs 1 Satz 1 IfSG ermächtige den Verordnungsgeber, Personen zu verpflichten, bestimmte oder öffentliche Orte nur unter bestimmten Bedingungen zu betreten. Es erscheine deshalb nicht als offensichtlicher Fehlgriff, wenn der Verordnungsgeber auf dieser Grundlage die Teilnahme an bestimmten Veranstaltungen beziehungsweise den Besuch bestimmter Orte davon abhängig mache, dass Kontaktdaten angegeben werden, um eine Rückverfolgung von Infektionsketten zu ermöglichen²². Die Maßnahme genügte weiterhin auch deshalb dem datenschutzrechtlichen Grundsatz der Speicherbegrenzung (und damit dem Verhältnismäßigkeitsprinzip), weil die Kontaktdaten nach Ablauf eines Monats zu löschen waren²³.

In tatsächlicher Hinsicht führte die Rechtslage freilich dazu, dass unter anderem die Namen von US-Präsidenten, bekannten Schauspielern, Comicfiguren oder auch historischen Persönlichkeiten immer häufiger in den Gästelisten bayerischer Gaststätten auftauchten. Dem Infektionsschutz war die Rechtsentwicklung so nur eingeschränkt zuträglich.

c) Bundesgesetzliche Regelung zur strikten Zweckbindung

der Kontaktdatenerfassung Angesichts dieser Sachlage hat der Bundesgesetzgeber die Kontaktdatenerfassung bundeseinheitlich geregelt und insbesondere dem zulässigen polizeilichen Zugriff auf Gästelisten mit einer Änderung des Infektionsschutzgesetzes rechtlich ein Ende gesetzt.

• 28a IfSG führt nun nicht nur in Absatz 1 Nr. 17 ausdrücklich die Kontaktdatenerfassung als Instrument der Pandemiebekämpfung auf. Vielmehr schreibt § 28a Abs. 4 Satz 3 IfSG bundesgesetzlich eine strikte Zweckbindung dahingehend vor, dass Kontaktlisten zu keinem anderen Zweck als der Aushändigung auf Anforderung durch die Gesundheitsbehörden verwendet werden dürfen. Aufgrund dieser besonderen Zweckbindung ist ein Zugriff auf die Kontaktlisten zu Strafverfolgungszwecken nicht mehr möglich. Fordern die Gesundheitsbehörden Kontaktlisten an, dürfen sie diese Listen nach § 28a Abs. 4 Satz 6 IfSG ebenfalls nicht an Strafverfolgungsbehörden weitergeben²⁴.

Die besondere Zweckbindung wird eine effektive Strafverfolgung wohl nicht infrage stellen, zumal solche Listen noch vor kurzem auch nicht existierten. Hätte der Bundesgesetzgeber früher den Datenschutzgrundsatz der Zweckbindung berücksichtigt, hätte sich dies zweifelsohne auch positiv auf die Validität der Kontaktdaten ausgewirkt.

4. Insbesondere elektronische Kontaktdatenerfassung

Ab Beginn des Jahres 2021 rückten elektronische Hilfsmittel zum Kontaktmanagement stärker in den Vordergrund. Einige europäische Staaten setzten dabei auf die Entwicklung von sogenannten Tracing- und Tracking-Apps für die Kontaktnachverfolgung. Sie entschieden sich dabei oftmals gegen datenschutzfreundliche, dezentrale Lösungen. Zumindest im EURaum scheiterten diese Lösungen bereits an der mangelnden Akzeptanz. Beispielsweise stellte Frankreich früh ihre erste App „StopCovid France“ ein, die drei Monate nach ihrem Start gerade einmal 2,3 Millionen Downloads zu verzeichnen hatte.

Nach anfänglichem Zögern entschied sich die Bundesregierung für ein datenschutzfreundlicheres Konzept. Die von ihr in Auftrag gegebene Corona-Warn-App (CWA) basierte auf einem Konzept mit dezentraler Datenverwaltung. Sie nutzt Bluetooth, um den Abstand und die Begegnungsdauer zwischen Personen zu messen, die diese App installiert haben. Die Smartphones „merken“ sich Begegnungen, wenn die vom Robert Koch-Institut (RKI) festgelegten Kriterien zu Abstand und Zeit erfüllt sind. Dann tauschen die Geräte untereinander Zufallscodes aus²⁵. Werden Personen, die diese App nutzen, positiv auf COVID-19 getestet, können sie mithilfe der App freiwillig andere Nutzer darüber informieren. Sie war damit deutlich datensparsamer und weniger missbrauchsanfällig als zentrale Trackingkonzepte.

Und zunächst gab ihr der Erfolg Recht: Bereits einen Tag nach Bereitstellung der CWA am 16. Juni 2020 wurden 6,5 Millionen Downloads verzeichnet. Bis März des Jahres 2022 haben knapp 45 Millionen Menschen die App auf ihr Smartphone heruntergeladen²⁶. Ein hohes Datenschutzniveau war insoweit offenkundig ein nicht unwesentlicher Akzeptanzfaktor.²⁷ Kritiker bemängelten an der CWA, sie sei für viel Geld entwickelt worden, spiele aber bei der Pandemiebekämpfung praktisch keine Rolle.

Untersuchungen zeigten, dass die Bevölkerung das Vertrauen in sie verloren habe, weil die CWA weitgehend dabei versagt habe, Infektionsketten frühzeitig zu erkennen und unterbrechen zu helfen²⁸. Möglicherweise auch aus diesem Grund beschaffte der Freistaat Bayern im Frühjahr 2021 eine Landeslizenz für die sogenannte Luca-App, um die personenbezogene Kontaktnachverfolgung effektiver zu gestalten.

Im Unterschied zur CWA sollte die von privater Hand entwickelte Luca-App die Kontaktverfolgung elektronisch, medienbruchfrei und insbesondere für die Gesundheitsämter leichter zugänglich gestalten. Es stellte sich allerdings bald nach ihrem Markteintritt heraus, dass die Luca-App erhebliche Datenschutzfragen aufwarf. Auf diese Fragen machte auch die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder wiederholt aufmerksam, zuletzt am 29. April 2021 und am 21. Mai 2021²⁹. Bei näherer Betrachtung hat die CWA anfänglich nur eine begrenzte Wirkung entfaltet. Dies hatte freilich weniger mit Datenschutzfragen als mit den Funktionalitäten der App zu tun. Vor allem wurde die CWA anfangs nicht in ein stimmiges Gesamtkonzept zur Pandemiebekämpfung eingebunden³⁰.

Das änderte sich im Laufe des Jahres 2021: So wurde die CWA im Laufe des Jahres 2021 mit einer Funktion nachgerüstet, die in geschlossenen Räumen Risikobegegnungen von Personen zutreffend erkennt. Letztlich gab es für die Nutzerinnen und Nutzer der App auch keine wirklich starken Anreize, die App nicht nur herunterzuladen, sondern auch tatsächlich zu nutzen. Dies änderte sich unter anderem mit der Zertifikatsfunktion, mit dem Nutzende ihren Impfstatus nachweisen können.

Gegen Ende des Jahres zeigte sich zudem, dass gerade die Luca-App den Erwartungen nicht gerecht werden konnte. Insbesondere gelang es nicht im erhofften Umfang, die Gesundheitsämter bei einer effektiven Nachverfolgung von Kontakten zu unterstützen. Mitunter mussten sich Gesundheitsämter auch mit unzutreffenden Kontaktangaben auseinandersetzen. Offene Fragen ergaben sich auch hinsichtlich der datenschutzrechtlichen Verantwortlichkeit und der technisch-organisatorischen Ausgestaltung der Datenübermittlung von Luca zu den Gesundheitsämtern.

Die deutlich datenschutzfreundlichere CWA konnte die Gesundheitsämter jedenfalls bei hohen Infektionszahlen besser unterstützen. Sie meldet die von ihr als kritisch identifizierte Kontakte gerade nicht an die Gesundheitsämter, sondern ohne Personenbezug an die potenziell betroffenen Nutzerinnen und Nutzer der App³¹. Auf diese Weise können möglicherweise infizierte Personen schneller gewarnt und somit weitere Ansteckungen vermieden werden. Das gilt umso mehr, als Gesundheitsämter aufgrund extrem hoher Infektionszahlen die Kontaktnachverfolgung zum Teil bereits weitgehend eingestellt haben.

Das Beispiel CWA und Luca veranschaulicht, dass die Datenschutzoptimierung technischer Hilfsmittel durchaus Auswirkungen auf die epidemiologische Effektivität des Instruments haben kann. Die dem Verantwortlichen nach Art. 25 Abs. 1 DSGVO auferlegte datenschutzrechtliche Verpflichtung zu „Privacy by Design“, insbesondere zur Datensparsamkeit („Datenminimierung“) ist also auch während der Pandemiebekämpfung zu beachten. Zugleich zeigt das Beispiel Luca-App, dass eine auf personenbezogene Datensammlung und Datenweitergabe fokussierte und damit wenig datenschutzfreundliche Lösung eine effektive Unterstützung bei der Pandemiebekämpfung zumindest nicht ohne Weiteres gewährleistet.

Aufgrund der Erfahrungen mit der CWA und mit Luca spricht auch unter pragmatischen Gesichtspunkten also viel dafür, dass Apps anhand des verfolgten Bedarfs entwickelt und dabei Datenschutzbelange von Anfang mit bedacht werden sollten.

 

Anmerkung der Redaktion: Der Beitrag wird fortgesetzt.

Entnommen aus BayVBl., Heft 14/2022, S. 469.

 

1 Spiegel, Die unglückliche Reise von Patientin Null, vom 16.05.2020, abrufbar unter www.spiegel.de. Alle Online-Zitate wurden zuletzt am 05.04.2022 abgerufen. Am 13.02.2020 waren in Deutschland insgesamt 16 Fälle bekannt, vgl. RKI-Bulletin 7/2020 vom 13.02.2020, S. 3.

2 Ende Februar 2020 schätzte das Robert Koch-Institut die Gefahr für die Gesundheit der Bevölkerung in Deutschland bereits „als gering bis mäßig“ ein, vgl. RKI-Bulletin 9/2020 vom 27.02.2020, S. 14.

3 Siehe Robert Koch-Institut, Täglicher Lagebericht zur Coronavirus-Krankheit-2019 vom 05.04.2022, abrufbar unter www.rki.de.

4 Siehe § 7 Abs. 1 Nr. 31a IfSG ab der Änderung durch Gesetz vom 10.02.2020.

5 Siehe § 7 Abs. 1 Nr. 44a IfSG ab der Änderung durch Gesetz vom 19.05.2020.

6 Vgl. WHO Director-General’s opening remarks at the media briefing on COVID-19, vom 11.03.2020; abrufbar unter www.who.int.

7 Vgl. Ministerium für Soziales, Gesundheit und Integration Baden-Württemberg, Erster Todesfall mit Corona im Land bestätigt, vom 12.03.2020 (abrufbar unter https://sozialministerium.baden-wuerttemberg.de unter Pressemitteilungen).

8 Vgl. z. B. BayVGH, B.v. 23.07.2021 – 25 NE 21.1832 zum Schankverbot, BayVGH, B.v. 22.06.2021 – 25 NE 21.1608 zur Betriebsuntersagung von Prostitutionsstätten. In anderem Zusammenhang vgl. etwa BayVGH, B.v. 03.03.2022 – 20 CE 22.536 zur Verkürzung des Genesenenstatus. Auch datenschutzrechtlich relevant sind BayVGH, B.v. 02.03.2021 – 20 NE 21.353 (Beobachtungs- und Testpflicht von geimpften Beschäftigten in Pflegeeinrichtungen) sowie BayVGH, B.v. 24.11.2020 – 20 NE 20.2605 zur wöchentlichen Testpflicht von Grenzgängern.

9 Einzelheiten bei BayLfD, 31. TB. 2021, 1.1.7 und 10.2.

10 Gesetz vom 20.07.2000, BGBl. I S. 1045.

11 Zur Rechtslage davor vgl. exemplarisch die Ausführungen 2.2.

12 Vgl. Bekanntmachung des Beschlusses des Deutschen Bundestags über die Feststellung des Fortbestehens der epidemischen Lage von nationaler Tragweite vom 31.08.2021, BGBl. I S. 4072.

13 IfSMV vom 27.03.2020, BayMBl. 2020; Nr. 158.

14 Vgl. dazu u. a. BayVGH, B.v. 30.03.2020 – 20 CS 20.611 – NVwZ 2020, 632 ff.

15 „Corona-Pandemie: Hygienekonzept Gastronomie“, Az. GZ6a-G8000-2020/122-315, BayMBl. 2020, Nr. 270.

16 VerfGH Saarland, B.v. 28.08.2020 – LV 15/20.

17 BayMBl. 2020, Nr. 304; BayMBl. 2020, Nr. 348.

18 So etwa die Charakterisierung in BayVGH, B.v. 28.07.2020 – 20 NE 20.1609 Rn. 57.

19 Vgl. BayVGH, B.v. 15.07.2021 – 25 NE 21.1811 Rn. 30.

20 LT-Drs. 18/9595, 18/10403 S. 3/6 zu Nr. 2.3, sowie 18/11463, wonach insgesamt von 35 Fällen in Bayern auszugehen ist.

21 Verordnung vom 01.10.2020, BayMBl. Nr. 562.

22 BayVerfGH, B.v. 22.10.2020 – Vf. 26-VII-20. Ähnlich bereits zuvor VGH BW, B.v. 25.06.2020 – 1 S 1739/20 Rn. 67 ff. zu § 2 Abs. 3 CoronaVV BW Gaststätten.

23 Aufgrund der Einfügung des § 28a Abs. 4 Satz 3 in das IfSG (G.v. 18.11.2020, BGBl. I S. 2397) wurde die Monatsfrist später in eine Vierwochenfrist umgewandelt.

24 Dies dürfte auch der Auffassung der Staatsregierung entsprechen, vgl. z. B. LT-Drs. 18/19911 S. 19 zu Nr. 12 (Auskunft der Staatsregierung).

25 Vgl. BSI, Die Corona-Warn-App, abrufbar unter www.bsi.bund.de unter Themen.

26 Vgl. RKI, Dashboard Corona-Warnapp, abrufbar unter www.coronawarn.app.de.

27 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Pressemitteilung vom 16.06.2020 Datenschutzfreundliches Grundkonzept der Corona-Warn-App-Freiwilligkeit darf nicht durch zweckwidrige Nutzung untergraben werden!

28 Siehe Nida-Rümelin, Hilgendorf, Unser Datenschutz verhindert eine wirksame Corona-Warn-App, Die Welt vom 20.01.2021, abrufbar unter www.welt.de.

29 Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, Stellungnahme zu Kontaktnachverfolgungssystemen – insbesondere zu „Luca“ der culture4life GmbH vom 29.04.2021, Internet: www.datenschutzkonferenz-online.de/media/st/20210429_DSK_Stellungnahme_LUCA.pdf; Stellungnahme zur Verantwortlichkeit bei der Nutzung von Kontaktnachverfolgungssystemen wie der Luca App vom 21.05.2021, Internet: www.datenschutzkonferenz-online.de/media/st/DSK-Stellungnahme_Luca_Verantwortlichkeit.pdf.

30 Vgl. BayLfD, 30. TB 2020, Nr. 1.1.3.

31 Vgl. dazu BayLfD 31. TB 2021, Nr. 1.1.2.