Die TestV sieht einige Änderungen in Bezug auf die Durchführung und Abrechnungen von Coronavirus-Testungen vor. Ziel dabei ist unter anderem eine effektivere Nachprüfung der Abrechnung durch Teststellenbetreiber. Vor diesem Hintergrund ist in 

§ 7 Absatz 5 TestV festgelegt, dass Leistungserbringer die nachfolgend aufgelisteten Angaben zu den getesteten Personen lokal zu dokumentieren haben (Auftrags- und Leistungsdokumentation):

• Nachweis der Beauftragung,

• Öffnungszeiten des Leistungserbringers je Tag und die Anzahl der Tests durchführenden 
Personen je Tag,

• Nachweise zur Abrechnung von Sachkosten (Kaufverträge, Rechnungen, Bezugsnachweise)

sowie (aus datenschutzrechtlicher Sicht besonders interessant) einzeln und personenbezogen für jede Testung: 


• Vor- und Nachname, 


• Geburtsdatum, 


• Anschrift, 


• Art der Leistung und Testgrund, 


• Datum und Uhrzeit der Testung, 


• Ergebnis der Testung, 


• Mitteilungsweg an die getestete Person, 


• schriftliche oder elektronische Bestätigung der getesteten Person oder ihres gesetzlichen 
Vertreters über die Durchführung des Tests, 

• individuelle Test-ID des verwendeten Antigen-Tests und 

• im Falle eines positiven Testergebnisses, ein Nachweis der Meldung an das zuständige Gesundheitsamt.

Die im Vergleich zur bisherigen TestV eher schwammig gehaltene Auftrags- und Leistungsdokumentation wurde damit nunmehr deutlich konkretisiert. Es besteht zudem eine Aufbewahrungspflicht dieser Auftrags- und Leistungsdokumentation bis zum 31.12.2024, welche sich ebenfalls aus § 7 Absatz 5 TestV ergibt. Die beschriebene Dokumentation soll lokal durch den jeweiligen Leistungserbringer erfolgen. Die Abrechnung gegenüber der Kassenärztlichen Vereinigung soll dabei nach wie vor ohne Personenbezug erfolgen. Jedoch haben die Kassenärztlichen Vereinigungen den Auftrag, die Plausibilität der Abrechnungen stichprobenartig oder bei konkreten Anlässen zu prüfen. In diesem Zusammenhang besteht nach § 7a Absatz 2 TestV auch die Möglichkeit, Auskünfte über die Auftrags- und Leistungsdokumentation einzuholen.

Unabhängig von den Änderungen der TestV sei an dieser Stelle darauf hingewiesen, dass der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg in einer Pressemitteilung vom 25.05.2021 darauf hingewiesen hat, dass Testzentren ihre Sicherheitsvorkehrungen bei der Datenverarbeitung dringend überprüfen sollten. Zwar richtet sich diese Pressemitteilung allgemein an Testzentren, es lassen sich daraus jedoch relevante Informationen gerade auch für Apotheken ableiten. In diesem Zusammenhang sollte insbesondere beachtet werden: 

• Wenn Testergebnisse über das Internet bereitgestellt werden, müssen sie besonders gut vor unbefugtem Zugriff geschützt werden. Der Zugang zu personenbezogenen Daten der einzelnen Testergebnisse darf für Dritte nicht einfach zu erraten sein. Da es sich bei Ergebnismitteilungen von Testungen um Gesundheitsdaten handelt, ist eine „klassische“ E-Mail, der das Testergebnis ungeschützt angehängt ist, nicht geeignet, ein datenschutzkonformes Vorgehen abzubilden.

• Es dürfen insbesondere keine leicht erratbaren Passwörter genutzt werden. Die Passwörter sind auf einem gesonderten sicheren Weg den betroffenen Personen zu übermitteln.

• Beim Versand von E-Mails und SMS gilt: Die Versender von Benachrichtigungs-E-Mails haben keine Rechtsgrundlage dafür, zu protokollieren, wann welcher Empfänger die E-Mails liest oder auf welchen Link klickt; auch dies ist grundsätzlich zu unterlassen. 


• Die Daten müssen wirksam verschlüsselt und auch für gegebenenfalls eingesetzte Auftragsverarbeiter unzugänglich gespeichert werden.

• Es dürfen keine unnötigen Daten abgefragt werden. 

• Die Testergebnisse dürfen ohne besondere Rechtsgrundlage, nur an die betroffene Person übermittelt und nicht zu anderen Zwecken genutzt werden. Wenn ein Testergebnis an die Corona-Warn-App oder eine andere Applikation zur Kontaktnachverfolgung übermittelt werden soll, benötigt das Testzentrum hierfür eine separate und auf den jeweiligen Zweck beschränkte ausdrückliche Einwilligung des Betroffenen (Artikel 9 Absatz 2 Buchstabe a DS-GVO), die sämtliche Anforderungen an die Freiwilligkeit und Widerruflichkeit von Einwilligungen erfüllen muss.

• Im Falle positiver Testergebnisse dürfen Apotheken personenbezogene Daten dem zuständigen Gesundheitsamt übermitteln. Aber auch bei dieser Übermittlung sind technische und organisatorische Maßnahmen zum Schutz der Daten, insbesondere der Gesundheitsdaten, einzuhalten.

• Auch die übrigen in Testzentren verarbeiteten personenbezogenen Daten dürfen ohne Rechtsgrundlage nicht Dritten übermittelt und nicht zu anderen Zwecken genutzt werden. Es darf auch nicht Dritten oder Dienstleistern (etwa durch Tracking) ermöglicht werden, personenbezogene Daten zu anderen Zwecken zu nutzen (z. B. für Werbung).

• Die Übermittlung von Nutzungsdaten oder Testergebnissen an Tracking-, Statistik-, Analytics- und Werbe-Dienste ist grundsätzlich nur mit Einwilligung der betroffenen Person erlaubt. Es ist davon auszugehen, dass es im Rahmen von Coronatests kaum möglich sein wird, eine solche Einwilligung rechtskonform einzuholen. Daher sollte die Weitergabe von Nutzungsdaten oder Testergebnissen an Tracking-, Statistik-, Analytics- und Werbe-Dienste grundsätzlich unterlassen werden.

• Ein Drittstaatentransfer von Gesundheitsdaten an Empfänger außerhalb der Europäischen Union ist nicht ohne weiteres möglich. Anbieter und Auftragsverarbeiter sollten darauf verzichten.

• Es sind Auftragsverarbeitungsverträge nach Art. 28 DS-GVO zu schließen, aus denen sich die Verantwortlichkeiten klar ergeben, soweit entsprechende Dienstleister in das Testangebot einbezogen sind, etwa im Rahmen der Bereitstellung einer Online-Terminvergabe.

• Nicht mehr benötigte Daten müssen unverzüglich gelöscht werden.

• Auch Apotheken sollten die Voraussetzungen einer Datenschutz-Folgenabschätzung prüfen, 
soweit die Testungen nicht nur gelegentlich durchgeführt werden.

• Betreiber der Testzentren müssen jederzeit nachweisen können, dass sie die DS-GVO 
einhalten (Rechenschaftspflicht nach Artikel 5 Absatz 2 DS-GVO).

Darüber hinaus müssen betroffenen Personen an die neue TestV angepasste, transparente und nachvollziehbare Datenschutzinformationen proaktiv bereitgestellt werden.