Arzt mit Spritze

Impfpflicht: Gesetz vs. Datenschutz?

Impfen – ja oder nein? Zumindest bei Masern ist das Thema geklärt, denn hier gibt es mittlerweile eine Impfpflicht. Wie sieht es hingegen beim Thema Impfpflicht & Impfnachweis mit dem Datenschutz aus? Und wie mischt Corona hier mit?

2021-05-26

Logo

Impfgegner und Impfbefürworter stehen sich oftmals sehr unversöhnlich gegenüber. Öl in dieses Diskussions-Feuer gießt das Anstreben einer Impfpflicht bei der Corona-Schutzimpfung. Doch wie steht es bei dem Thema Impfpflicht um den Datenschutz? Wir sehen uns genauer an, was es mit der Impfpflicht auf sich hat und inwieweit datenschutzrechtlich damit umgegangen wird.

Erstes Impfpflicht-Gesetz seit dem 19. Jahrhundert

Im sog. „Masernschutzgesetz“, das zum 1. März 2020 in Deutschland offiziell in Kraft trat, wird geregelt, dass eine Masernimpfung Pflicht wird. Mit diesem Gesetz wird das Deutsche Infektionsschutzgesetz erweitert. Von dem neuen Masernschutzgesetz sind u.a. folgende Personen betroffen:

  • Kindergarten- und Schulkinder

  • Erzieher, die nach 1970 geboren sind

  • Lehrer, die nach 1970 geboren sind

  • Medizinisches Personal, das nach 1970 geboren ist

  • Flüchtlinge und Asylbewerber in Gemeinschaftsunterkünften.

Damit Kinder in die Schule oder den Kindergarten dürfen und Arbeitnehmer aus den erwähnten Bereichen (weiter) arbeiten dürfen, brauchen sie einen Nachweis (ein ärztliches Zeugnis) über eine bereits überstandene Masernkrankheit oder eine Bestätigung für die Masernimpfung – einen sogenannten Impfnachweis.

Datenschutz im Gesundheitsbereich

In der Gesundheits- und Pflegebranche gibt es im Bereich Datenschutz mehr zu beachten als in anderen Bereichen. Das liegt vor allem daran, dass hierbei mit sensiblen Daten wie Gesundheitsdaten gearbeitet wird. Wir haben uns auf die datenschutzrechtliche Beratung in dieser Branche spezialisiert.

Jetzt mehr erfahren

Impfnachweis & Datenschutz

Arbeitgeber dürfen prinzipiell nur solche Daten von ihren Arbeitnehmern erheben, die für das Beschäftigungsverhältnis, genauer gesagt für den Beginn, die Durchführung und gegebenenfalls die Beendigung dessen, erforderlich sind (Datensparsamkeit und Zweckbindung nach Art. 5  Abs. 1 c) DSGVO i.V.m. § 26 Abs. 1 BDSG). Gleiches gilt übrigens auch für Bewerber (§ 26 Abs. 8 S. 2 BDSG), wonach Bewerber als übliche Beschäftigte im Sinne dieses Gesetzes gelten.

Einen besonderen Fall stellen Gesundheitsdaten dar, die besonders sensible personenbezogene Daten sind. Solche dürfen für ein Beschäftigungsverhältnis grundsätzlich nicht erhoben werden. Ausnahmen sind jedoch auch hier möglich. Unter anderem ermöglicht die DSGVO den Mitgliedstaaten, eigene Regelungen zu treffen, wenn die Verarbeitung der Gesundheitsdaten unter anderem aus Gründen eines öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich ist (Art. 9 Abs. 2 lit. i DSGVO).  Einzelne Gesundheitsdaten dürfen also unter strengen Auflagen verarbeitet werden, wenn es beispielsweise um „schwerwiegende grenzüberschreitende Gesundheitsgefahren“ geht. Der Grund dafür: Der Schutz vor Gesundheitsgefahren aufgrund von ansteckenden Infektionskrankheiten, wie unter anderem COVID-19, stellt ein legitimes öffentliches Interesse dar, weil es die öffentliche Gesundheit betrifft. Mit der erneuten Verschärfung der Corona-Pandemie im Herbst 2021 kam es durch Änderungen am Infektionsschutzgesetz (IfSG) zur Einführung der sogenannten 3G-Regel (§§ 28a Abs.1 Nr. 2b, 28b IfSG). Der (negative) 3G-Status (§ 22 IfSG) besagt dabei, dass eine Person negativ auf Covid-19 getestet, dagegen vollständig geimpft oder davon genesen ist. Folglich handelt es sich bei dem 3G-Status um ein Gesundheitsdatum im Sinne des Art. 9 DSGVO. Nach der 3G-Regel wird der Zugang zu Freizeiteinrichtungen, Teilen des Einzelhandels und vergleichbaren öffentlich zugänglichen Einrichtungen sowie Arbeitsstätten vom Vorliegen eines (negativen) 3G-Status abhängig gemacht. Die 3G-Regel gilt jedoch nicht ausnahmslos. Sie soll in der aktuellen pandemischen Lage vielmehr ein grundlegendes Schutzniveau sicherstellen. In Situationen mit besonders hoher Wahrscheinlichkeit einer Infektion oder dort, wo besonders schwerwiegende Folgen einer solchen drohen, bestehen noch strengere Vorgaben. So dürfen beispielsweise Personen nur mit einem (negativen) getestet-Status Zutritt zu bestimmten medizinischen Einrichtungen erhalten.

Verpflichtung des Arbeitgebers zur Kontrolle des 3G-Status

Eine Folge der aktuellen Änderungen am IfSG ist, dass nun Arbeitgeber zur Kontrolle und Dokumentation des 3G-Nachweises auch tatsächlich verpflichtet sind. Dennoch darf nicht einfach der Impfnachweis von Arbeitnehmern oder Bewerbern kopiert werden. Denn dieser enthält mehr Gesundheitsdaten als zur Kontrolle notwendig sind. Die Kontrollpflicht durch Arbeitgeber bezieht sich nur darauf festzustellen, ob der 3G-Status als solcher besteht. Die Information, ob die betroffene Person genesen, geimpft oder getestet ist, darf hingegen grundsätzlich nicht gespeichert werden. Dies würde mangels Erforderlichkeit gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) verstoßen. Wenn etwa eine tägliche Kontrolle einen unverhältnismäßig hohen Aufwand für das Unternehmen darstellt, kann zusätzlich die Gültigkeitsdauer des Nachweises dokumentiert und so tägliche Kontrollen vermieden werden. Auch können Beschäftigte sich freiwillig entscheiden, den 3G-Nachweis bei dem Arbeitgeber zu hinterlegen, um zum Beispiel im Falle einer behördlichen Kontrolle den Nachweis zur Hand zu haben. In diesem Fall sollte die Einwilligung der Beschäftigten in die damit verbundene Datenverarbeitung durch den Arbeitgeber eingeholt werden.

Corona-Impfung & Datenschutz: Ausweitung des Impfpflicht-Gesetzes?

Beim Thema Impfnachweisanfrage durch den Arbeitgeber gibt es viel Unsicherheit. Eine allgemeine Impfpflicht gegen Corona wird aktuell diskutiert. Ob es zu einer allgemeinen Impfpflicht in Deutschland gegen das Coronavirus kommen wird, ist allerdings nach wie vor unsicher. In anderen Ländern wie beispielsweise Österreich ist die Einführung einer Impfpflicht deutlich wahrscheinlicher. In Deutschland ist bereits sicher, dass eine Impfpflicht für begrenzte Bereiche eingeführt wird. Darüber hat am 10.12.2021 der Deutsche Bundestag abgestimmt. Das Ergebnis dieser Abstimmung sieht eine Änderung des Infektionsschutzgesetzes vor, laut der zukünftig Mitarbeiter und Mitarbeiterinnen von Einrichtungen, in denen besonders gefährdete Menschen leben oder betreut werden, einer Impfpflicht unterliegen. Gelten soll diese Impfpflicht ab Mitte März 2022. Konkret sind Personen betroffen, die beispielsweise in Altenheimen, Krankenhäusern, Tageskliniken, Arztpraxen, Rettungszentren und sozialpädagogischen Zentren arbeiten.

Corona Impfung & Corona Tests: Das müssen Unternehmen beachten

Bis sich das aktuelle Chaos um Impfungen und deren Umsetzung gelegt hat, sind Unternehmen verpflichtet, Arbeitnehmern kostenlose Corona-Tests anzubieten. Hier sollte im Sinne des Datenschutzes folgendes beachtet werden:

  • Pro Woche und Arbeitnehmer sind Unternehmen dazu verpflichtet, zwei gratis Corona-Test bereitzustellen. 

  • Es sind 3G-Kontrollen durchzuführen und zu dokumentieren. Dabei gilt wie oben bereits erläutert das Prinzip der Datenminimierung.

  • Bei einer freiwilligen Hinterlegung des 3G-Nachweises bei dem entsprechenden Arbeitgeber sollten nur der Betriebsarzt oder ausgewählte Mitarbeiter, die mit der Aufbewahrung der 3G-Nachweise beauftragt wurden, Zugriff bekommen. Dabei ist es wichtig sicherzustellen, dass eine Vertraulichkeitsverpflichtung vorliegt.

  • Wenn ein Test positiv ausfällt, dann muss dies im Unternehmen kommuniziert werden – allerdings anonym. Mehr zum Thema interne Kommunikation & Datenschutz in der Corona-Krise erfahren Sie hier.

Impfausweis und Datenschutz

Impfpass & Corona – zwei heiße Themen. Seit die Corona-Schutzimpfungen in Deutschland flächendeckend angelaufen sind, ist die Relevanz des Impfpasses deutlich gestiegen. Aber beim Thema Impfausweis und Datenschutz scheiden sich die Geister: Wie fälschungssicher ist er? Sogar der Bundesbeauftragte für den Datenschutz, Ulrich Kelber, hat sich zu diesem Thema geäußert: „Fest steht: Datenschutz am Anfang zu berücksichtigen ist billiger und geht schneller, als am Ende darauf zu stoßen, dass bei der Entwicklung an einer Stelle falsch abgebogen wurde.“ Aber wie ist die Lage beim Thema Impfausweis und Datenschutz? Hier ein paar Fakten zum Thema:

Impfpass/Impfnachweis und Social-Media

Posten Sie auf keinen Fall Bilder Ihres Impfausweises oder Ihres QR-Codes auf dem Impfzertifikat in sozialen Netzwerken! Das hat zwei Hintergründe: Zum einen geben Sie so hochsensible Gesundheitsinformationen an die Sozialen Netzwerke weiter, die diese für Werbezwecke weiterverwenden oder -verkaufen. Zum anderen ist auch die Fälscher-Industrie bereits darauf aufmerksam geworden und kopiert die Chargen-Nummer der Corona-Impfstoff-Aufkleber aus den Bildern der Impfausweise.

Impfausweis nicht aus der Hand geben

Im Impfausweis, den Sie bestenfalls seit der Geburt haben, kann man schon mit wenig geschultem Blick eine ganze Biografie herauslesen. Wann wurde Sie wo gegen was geimpft? Haben Sie Impfungen für den Urlaub? Waren Sie also schon mal in einem tropischen Gebiet? Gesundheitsdaten fallen nicht umsonst unter die besonders sensiblen personenbezogenen Daten, die die DSGVO für sehr schützenswert hält. Es ist also okay, den Impfausweis beziehungsweise den digitalen Impfnachweis mit der COVID-Impfung vorzuzeigen, wenn man muss, aus der Hand geben sollten Sie ihn aber nicht.

EU-Impfpass beziehungsweise elektronischer Impfpass

Ausgestattet wurde der digitale Impfausweis mit einem QR-Code, der die freiheitsversprechenden Gesundheitsdaten nur dann lesbar macht, wenn das passende Lesegerät vorhanden ist. In das digitale Dokument sollen die Daten von der Impfbescheinigung als Papierausdruck übertragen werden. Allerdings hapert es hier beim Thema Datenschutz: Der Markt für falsche Impfpässe beziehungsweise falsche Eintragungen in Impfpässe boomt. Schon die für den digitalen Impfausweis benötigten Materialien könnten, so Recherchen des Chaos Computer Club (CCC), problemlos online bestellt werden. Das Bundesgesundheitsministerium (BMG) räumte die Vorwürfe ein, hält wohl aber dennoch an dem digitalen Dokument fest. 


Autor: Team datenschutzexperte.de 
Artikel veröffentlicht am: 23.11.2020, geupdated am 21.04.2021, 26.05.2021 und am 10.12.2021

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey
Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey

Wir managen Ihren Datenschutz

Unsere zertifizierten Datenschutzbeauftragten helfen Ihnen, Datenschutzvorgaben sicher und pragmatisch umzusetzen. Profitieren Sie von unserem Knowhow aus über 2000 Kundenprojekten in über 50 Branchen.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr