Gesundheitsdaten gelten traditionellerweise als sensible Daten. So ist das auch in der DSGVO festgelegt. Durch Corona gerät dieser Grundsatz in Wanken, weshalb Datenschützer eine gesetzliche Regelung fordern.
Hintergrund zum Impfnachweis
Infektionsschutz ist ein Informationsangebot der Bundeszentrale für gesundheitliche Aufklärung (BZgA). Bezüglich Impfpass ist nach BZgA unter anderem folgendes zu beachten:
- Eine erfolgte Corona-Schutzimpfung wird im Impfpass erfasst, wer keinen besitzt erhält eine Ersatzbestätigung.
- Zusätzlich gibt es nun mit dem neusten Update der Corona-Warn-App und der neuen CovPass-App des Robert Koch-Instituts auch die Möglichkeit, Impfungen mit dem digitalen Impfausweis zu dokumentieren.
- Der digitale Impfnachweis darf nur von autorisierten Personen in Impfzentren, Arztpraxen, Apotheken und Krankenhäusern ausgestellt werden. Er ist kryptographisch vor Veränderungen geschützt (verschlüsselt).
- Bei der Prüfung der analogen Impfpässe (Papierform) sei besondere Aufmerksamkeit geboten. Die Fälschung von Impfpässen ist strafbewehrt. Das gilt für analoge wie für digitale Impfdokumente.
DSGVO verlangt sorgfältigen Umgang
Nach Artikel 9 der EU-Datenschutz-Grundverordnung (DSGVO), die dem Deutschen Recht vorgeht, gelten Gesundheitsdaten als besondere Kategorie von Daten, die nur unter besonderen Bedingungen verarbeitet werden können. Sogar für den Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren (DSVGO Art. 2 Abs. 2) sind angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses vorzusehen.
Nach Artikel 9 Abs. 2 sind Verarbeitungen von Gesundheitsdaten aus Gründen des öffentlichen Interesses möglich, z.B. im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren. Maßgebend ist das Unionsrecht oder das Recht eines Mitgliedstaats. Angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, sind erforderlich.
In den Erläuterungen zu Artikel 9 DSGVO heißt es unter anderem:
- Ziffer 35: Zu den personenbezogenen Gesundheitsdaten sollten alle Daten zählen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen.
- Ziffer 46: Personenbezogene Daten sollten grundsätzlich nur dann aufgrund eines lebenswichtigen Interesses einer anderen natürlichen Person verarbeitet werden, wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann. Einige Arten der Verarbeitung können sowohl wichtigen Gründen des öffentlichen Interesses als auch lebenswichtigen Interessen der betroffenen Person dienen; so kann beispielsweise die Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen erforderlich sein.
Bestimmungen des BDSG
In § 22 BDSG gibt es eine Regelung, die von Artikel 9 Absatz 1 der Verordnung DSGVO abweicht. Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 ist durch öffentliche und nichtöffentliche Stellen zulässig, wenn sie erforderlich ist,
- um die aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszuüben und den diesbezüglichen Pflichten nachzukommen.
- unter anderem zum Zweck der Gesundheitsvorsorge für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich vorgenommen wird.
- notwendig ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren: Insbesondere sind dabei die berufsrechtlichen und strafrechtlichen Vorgaben zur Wahrung des Berufsgeheimnisses einzuhalten.
- wenn die Datenverarbeitung aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist.
Die gesetzlichen Bestimmungen der DSGVO und des BDSG kann man auf verschiedene Art interpretieren, einerseits dass individuelle Gesundheitsdaten in Bezug auf Corona nur von Personen bearbeitet werden sollen, die der Geheimhaltungspflicht unterliegen. Man kann aber auch daraus schließen, dass eine Pandemie da eine Ausnahme rechtfertigt. Natürlich hat man bei der Konzipierung der DSGVO und des BDSG wohl kaum eine Situation erwartet, wie sie durch Corona entstanden ist. Deswegen dürften Gerichtsentscheide oder sogar Gesetze nötig sein, um diese Unklarheit zu überwinden.
Datenschützer fordern Gesetz
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) hat eine Entschließung veröffentlicht. Der Bund sollte ein auf die konkrete pandemische Lage bezogenes, zeitlich befristetes Bundesgesetz vorlegen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz, Professor Dieter Kugelmann, meinte:
Ob Menschen geimpft worden sind oder ob sie schon eine Covid-19-Infektion überstanden haben, sind besonders sensible Informationen. Mit solchen Daten muss besonders sorgfältig umgegangen werden.
Die Datenschutzkonferenz (DSK) fordert deswegen Rechtsklarheit, Rechtssicherheit und eine einheitliche Lösung. Es ist klar und transparent zu regeln, wer, von wem und unter welchen Voraussetzungen Impfdaten, Testergebnisse, Nachweise zu einer überstandenen Infektion und andere Gesundheitsdaten im privatwirtschaftlichen Kontext nutzen darf. Dabei muss das Gesetz den strengen Vorgaben des Artikels 9 Absatz 2 DSGVO genügen. Die DSK fordert den Gesetzgeber auf, kurzfristig ein entsprechendes Gesetzgebungsverfahren in die Wege zu leiten.