| DATENSCHUTZWISSEN

Einrichtungsbezogene Impfpflicht und Datenschutz

Seit dem 16. März 2022 gilt der neue § 20a Infektionsschutzgesetz (IfSG) und damit bundesweit eine sogenannte einrichtungsbezogene Pflicht, sich gegen Corona (SARS-CoV-2) impfen zu lassen, also eine Impfpflicht für Personen, die in bestimmten Einrichtungen des Gesundheitswesens tätig sind. Diese Impfpflicht besteht in Einrichtungen, die typischerweise regelmäßig Kontakt zu vulnerablen Gruppen der Bevölkerung haben.

Darunter fallen nach § 20a Abs. 1 IfSG alle Personen, also nicht nur Angestellte, die in folgenden Einrichtungen tätig sind (nach einer FAQ, Frage Nr. 6, des Bundesministeriums für Gesundheit):

  • Krankenhäuser,
  • Einrichtungen für ambulantes Operieren,
  • Vorsorge- und Rehabilitationseinrichtungen,
  • Dialyseeinrichtungen,
  • Tageskliniken,
  • Entbindungseinrichtungen,
  • Behandlungs- oder Versorgungseinrichtungen, die mit einer der oben genannten Einrichtungen vergleichbar sind. Dazu gehören u.a.
    • Hospizdienste,
    • spezialisierte ambulante Palliativversorgung (SAPV),
    • Blutspendeeinrichtungen,
    • Arztpraxen,
    • Zahnarztpraxen (dazu gehören auch Betriebsärzte),
    • Praxen sonstiger humanmedizinischer Heilberufe,
    • Einrichtungen des öffentlichen Gesundheitsdienstes, in denen medizinische Untersuchungen, Präventionsmaßnahmen oder ambulante Behandlungen durchgeführt werden,
    • Rettungsdienste,
    • Sozialpädiatrische Zentren nach § 119 SGB V,
    • Medizinische Behandlungszentren für Erwachsene mit geistiger Behinderung oder schweren Mehrfachbehinderungen nach § 119c SGB V,
    • Einrichtungen der beruflichen Rehabilitation nach § 51 SGB IX und Dienste der beruflichen Rehabilitation,
    • Begutachtungs- und Prüfdienste, die auf Grund der Vorschriften des SGB V oder SGB XI tätig werden.
    • Impf- und Testzentren, sofern sie als Einrichtungen des öffentlichen Gesundheitsdienstes betrieben werden.

Nicht darunter fallen beispielsweise labormedizinische Betriebe (sofern keine Patientenversorgung angeboten wird, z. B. durch direkte Blutentnahme oder Hausarztpraxis, sowie Test- oder Impfzentrum).

Die Regelung gilt für alle, die in den Einrichtungen tätig sind. Betroffen sind also nicht nur unmittelbar Angestellte:

„Dabei dürfte es erforderlich sein, dass die Person regelmäßig (nicht nur wenige Tage) und nicht nur zeitlich vorübergehend (nicht nur jeweils wenige Minuten, sondern über einen längeren Zeitraum) in der Einrichtung oder in dem Unternehmen tätig ist.“ (FAQ 21).

Die Art der Beschäftigung (Arbeitsvertrag, Leiharbeitsverhältnis, Praktikum, Beamtenverhältnis etc.) ist ohne Bedeutung. Bei den erfassten Personen handelt es sich beispielsweise um medizinisches bzw. Pflege- und Betreuungspersonal einschließlich zusätzlicher Betreuungskräfte nach §53b SGBXI, aber auch andere dort tätige Personen, wie zum Beispiel Hausmeister oder Transport,, Küchen- oder Reinigungspersonal. Erfasst sind auch Auszubildende, Personen, welche ihren Freiwilligendienst (nach dem BFDG oder JFDG) ableisten, ehrenamtlich Tätige, Praktikanten sowie Zeitarbeitskräfte. (BtDr. 20/188, S. 38)

Darunter können beispielsweise auch externe Handwerker oder Verwaltungsangestellte fallen. Genaueres zur Frage, wer betroffen ist, findet sich in den FAQ.

Überblick über den datenschutzrechtlichen Regelungsgehalt des § 20a IfSG

Nach § 20a Abs. 2 S. 1 IfSG müssen alle Personen, die in Einrichtungen nach Abs. 1 tätig sind, der Einrichtung (in der Regel also ihrem Arbeitgeber) einen Nachweis darüber vorlegen, dass sie entweder

  1. gegen Corona vollständig geimpft sind (Nr. 1); (zur Definition, wer als vollständig geimpft gilt, siehe beispielsweise die Antwort vom 24. November 2021 der Bundeszentrale für gesundheitliche Aufklärung (BZgA) unter infektionsschutz.de: „Als vollständig geimpft gelten Personen, die alle notwendigen Impfungen erhalten haben. Sie haben entweder eine erforderliche Zweitimpfung erhalten oder wurden mit einem Impfstoff geimpft, der auch bei einmaliger Impfung den vollen Impfschutz bietet. Diesen Status erlangt man 14 Tage nach Vollendung der Impfserie.“) oder
  2. von einer Coronaerkrankung genesen (Nr. 2) sind (und der Genesenenstatus noch andauert) oder
  3. aus medizinischen Gründen nicht gegen Corona geimpft werden können (Nr. 3).

Wenn diejenigen Personen einen solchen Nachweis mit Ablauf des 15. März 2022 nicht vorgelegt haben oder Zweifel an der Echtheit oder inhaltlichen Richtigkeit des Nachweises bestehen, hat die Leitung der jeweiligen Einrichtung unverzüglich (ohne schuldhaftes Zögern, also am 16. März 2022) das zuständige Gesundheitsamt darüber zu informieren und ihm entsprechende personenbezogene Daten zu übermitteln (Abs. 2 S. 2).

Bei Beschäftigungsverhältnissen in einer Einrichtung nach Abs. 1, die erst nach dem 16. März 2022 beginnen, ist ein Nachweis nach Abs. 2 S. 1 vor Beschäftigungsbeginn vorzulegen (Abs. 3 S. 1). Wird kein solcher Nachweis vorgelegt, darf die entsprechende Person nicht in der Einrichtung tätig werden (Abs. 3 S. 4).

Die Übermittlung dieser personenbezogenen Daten an den Arbeitgeber und das Speichern der Daten durch den Arbeitgeber sind also notwendige Voraussetzung für eine Beschäftigung.

Verschiedene Regelungen des § 20a IfSG sind bußgeldbewehrt (vgl. § 73 Abs. 1a Nr. 7e bis 7h IfSG).

Datenschutzrechtliche Einordnung

Grundsätzlich dürfen personenbezogene Daten in Beschäftigungsverhältnissen verarbeitet werden, wenn dies zur Begründung (Anstellung), Durchführung oder Beendigung (z. B. Kündigung) des Beschäftigungsverhältnisses erforderlich ist, § 26 BDSG. Bei der Weitergabe von Informationen über den Impf- oder Genesenenstatus oder einer Bescheinigung darüber, dass sich jemand aus dort näher ausgeführten medizinischen Gründen nicht impfen lassen kann, handelt es sich jedoch ohne Zweifel um Gesundheitsdaten und damit um die Verarbeitung besonderer personenbezogener Daten im Sinne des Art. 9 DSGVO. Diese ist nach Art. 9 Abs. 1 DSGVO zunächst untersagt.

Allerdings findet sich in Art. 9 Abs. 2 i) DSGVO eine Ausnahme. Danach gilt das Verarbeitungsverbot nicht, wenn die Verarbeitung „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren“ erforderlich ist und angemessene Maßnahmen zum Schutz der betroffenen Personen getroffen wurden. Diese Ausnahme scheint hier einschlägig zu sein.

Erforderlichkeit der Verarbeitung von Beschäftigtendaten und Gesundheitsdaten

Das Bundesministerium für Gesundheit begründet in FAQ zur einrichtungsbezogenen Impfpflicht in Frage 1 ausführlich, dass der Erlass dieser Regelung erforderlich ist, um die öffentliche Gesundheit zu schützen:

„Die Coronavirus-Krankheit-2019 (COVID-19) gehört zu den ansteckendsten Infektionskrankheiten des Menschen, von der alle Bevölkerungsteile betroffen sind. Um das Infektionsgeschehen weiter wirksam zu bekämpfen, besonders gefährdete vulnerable Menschen vor einer Infektion zu schützen und um die durch die Pandemie stark belasteten Krankenhäuser zu entlasten und die Gesundheitsversorgung zu gewährleisten, müssen weitere Maßnahmen ergriffen werden.

[…]

Dem Personal in den Gesundheitsberufen und Berufen, die Pflegebedürftige und Menschen mit Behinderungen betreuen, kommt eine besondere Verantwortung zu, da es intensiven und engen Kontakt zu Personengruppen mit einem hohen Risiko für einen schweren, schwersten oder gar tödlichen COVID-19-Krankheitsverlauf hat. Ein verlässlicher Schutz vor dem Coronavirus SARS-CoV-2 durch eine sehr hohe Impfquote bei dem Personal in diesen Berufen ist besonders wichtig, denn so wird das Risiko gesenkt, dass sich die besonders gefährdeten Personengruppen mit dem Coronavirus SARS-CoV-2 infizieren. […]“

Insgesamt gilt: Eine Maßnahme ist erforderlich, wenn es kein milderes, gleich effektives Mittel gibt. Ein solches ist hier nicht ohne Weiteres zu erkennen. Im Gegenteil, im Vergleich zu einer allgemeinen Impfpflicht stellt eine einrichtungsbezogene ein milderes Mittel dar.

Angemessene Maßnahmen zum Schutz der betroffenen Personen

Auch zur Frage, ob angemessene Maßnahmen zum Schutz der betroffenen Personen getroffen wurden, äußert sich das Bundesministerium für Gesundheit in Nr. 31 der FAQ:

„[…] Insbesondere sind technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit umzusetzen. Eine technische Maßnahme könnte beispielsweise in der Verschlüsselung der zu übertragenden Daten liegen.“

Ebenso wie in Nr. 32 der FAQ, worin betont wird, die Vorgaben des Datenschutzrechts (z. B. Art. 5 Abs. 1 c) DSGVO) seien zu beachten.

„Erforderlich dürfte nur das Vorliegen eines gültigen Nachweises nach § 20a Abs. 2 Satz 1 IfSG inklusive eines möglichen Ablaufdatums des Nachweises, soweit dieses relevant ist, sein.“ Nur diese Daten dürften gespeichert werden.

Praxistipp

Die vorgelegten Dokumente dürfen aus Gründen der Datenminimierung, Art. 5 Abs. 1c) DSGVO, nicht kopiert oder gescannt werden. Vielmehr sollten die folgenden Daten in eine Tabelle eintragen werden:

  • Vor-, Name, Adresse, Geburtsdatum
  • gültiger Nachweis nach § 20a Abs. 2 S. 1 IfSG wurde vorgelegt (ja/nein) – also nicht der Inhalt oder die Art des Nachweises, nicht ob die Person geimpft, genesen oder impfunfähig ist.
  • Ablaufdatum eines Genesenennachweises bzw. ärztlichen Zeugnisses (Attest) über eine medizinische Kontraindikation

Wenn keine Nachweise vorgelegt werden, oder Zweifel an der Echtheit oder inhaltlichen Richtigkeit des vorgelegten Nachweises bestehen, darf die Leitung der Einrichtung folgende Daten an das Gesundheitsamt übermitteln:

  • Vor- Name
  • Geschlecht
  • Geburtsdatum
  • Anschrift
  • Telefonnummer oder E-Mail-Adresse – sofern bekannt.

Die vorgelegten Nachweise dürfen nicht an das Gesundheitsamt weitergeleitet werden.

Insgesamt besteht also eine mit der DSGVO vereinbare Rechtsgrundlage für die Verarbeitung der Gesundheitsdaten der Personen, die in Einrichtungen nach § 20a IfSG tätig sind. Damit ist es jedoch nicht getan.

Weitere datenschutzrechtliche Anforderungen an die einrichtungsbezogene Impfpflicht

Wie bereits oben erwähnt, dürfen nur solche Daten verarbeitet werden, die relevant sind, damit die Maßnahme angemessen ist. Eine Widerrufsmöglichkeit gegen die Datenverarbeitung besteht im vorliegenden Fall nicht, da es eine gesetzliche Pflicht zu erfüllen gilt. Allerdings besteht ein Anspruch der betroffenen Person auf Berichtigung unrichtiger Daten aus Art. 16 DSGVO.

Ebenfalls besteht ein Anspruch auf Löschung der Daten aus Art. 17 DSGVO, wenn die Verarbeitung nicht mehr nötig ist. Hier könnte dies zum Beispiel beim Wechsel des Arbeitgebers relevant sein, wenn der neue Arbeitgeber keine Einrichtung im Sinn des § 20a Abs. 1 IfSG ist. Spätestens zum 01. Januar 2023 müssen alle aufgrund des Gesetzes erhobenen Daten wieder gelöscht werden, dann tritt § 20a IfSG voraussichtlich außer Kraft (FAQ Frage 5) – außer: es würde nochmal verlängert werden. Die Löschpflicht ist in einem Löschkonzept zu dokumentieren bzw. ein bereits vorhandenes Löschkonzept ist zu ergänzen.

Weiterhin besteht eine Informationspflicht der Einrichtung gegenüber den Betroffenen. Diese ist auch wichtig, um zu überprüfen, ob oben genannte Ansprüche auf Löschung oder Berichtigung bestehen können. Nach Art. 13 Abs. 1 DSGVO ist dem Betroffenen im Zeitpunkt der Datenerhebung folgendes mitzuteilen:

  1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters
  2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten – dies dürfte nur für Krankenhäuser oder größere Einrichtungen relevant sein, denn die Benennung eines Datenschutzbeauftragten ist erst dann, wenn sich mindestens 20 Personen mit der automatisierten Datenverarbeitung beschäftigen, zwingend erforderlich (§ 38 Abs. 1 BDSG)
  3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (hier also § 20a IfSG);
  4. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden (dies ist hier nicht relevant, denn die Verarbeitung wird aufgrund einer Rechtsgrundlage und nicht aufgrund eines berechtigten Interesses durchgeführt);
  5. gegebenenfalls die Empfänger (also das lokal zuständige Gesundheitsamt) oder Kategorien von Empfängern der personenbezogenen Daten (dies wiederum ist hier zwingend notwendig) und
  6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46, 47 oder 49 Abs. 1 Unterabs. 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind (sollte hier nicht relevant sein, da eine Übermittlung in ein Drittland nicht stattfinden wird).

Darüber hinaus ist noch erforderlich, dass der Verarbeitungsprozess gemäß Art. 30 DSGVO in einem Verzeichnis dokumentiert wird (Verarbeitungsverzeichnis). Dazu gehört es auch festzulegen, wer Zugriffsrechte auf die Aufzeichnungen hat (Berechtigungskonzept auf Basis des Need-to-know-Prinzips: nur so wenig Personen wie nötig zur Erfüllung der Meldepflicht dürfen Zugriff bekommen) und wie diese technisch und organisatorisch vor unberechtigtem Zugriff geschützt werden.

Zusammenfassung zur einrichtungsbezogenen Impfpflicht und Datenschutzorganisation

Insgesamt ist festzuhalten, dass die Verarbeitung der Daten über den Impf- oder Genesenenstatus, und damit von Gesundheitsdaten der Betroffenen, aus datenschutzrechtlicher Sicht zulässig ist, vgl. Gesetzesbegründung S. 40: Rechtsgrundlage für die Datenverarbeitung ist § 26 Absatz 3 Satz 1 BDSG bzw. § 22 Absatz 1 Buchstabe c) BDSG – Bundesdatenschutzgesetz in Verbindung mit § 20a IfSG – Infektionsschutzgesetz. Allerdings sind weitere datenschutzrechtliche Maßnahmen geboten, wie etwa eine DSGVO-konforme Information der Betroffenen darüber, was mit ihren Daten geschieht und wer verantwortlich ist, oder die Erstellung eines Verarbeitungsverzeichnisses. Für weitere Informationen sei auf die FAQ des Bundesministeriums für Gesundheit zur einrichtungsbezogenen Impflicht sowie auf die Handreichung des Sächsischen Datenschutzbeauftragten zur einrichtungsbezogenen Impfpflicht verwiesen. Ergänzend kann bei der Auslegung der Regelung die Gesetzesbegründung helfen.

Ein Beitrag von
David Seiler, Rechtsanwalt

Redaktion Datenschutz in Arztpraxen

Zurück

Hier bloggt die Redaktion Datenschutz & Datensicherheit des Verlags Mensch und Medien.