Einrichtungsbezogene Impfpflicht und Datenschutz

einrichtungsbezogene Impfpflicht, Impfzertifikat, Corona, Covid 19 Schutzimpfung und Datenschutz - Symbolbild

Welche datenschutzrechtlichen Pflichten sind bei der einrichtungsbezogenen Imfpflicht – insbesondere in einer Arztpraxis – zu beachten?

Die Impfpflicht in Arztpraxen, Krankenhäusern, Pflegeeinrichtungen und weiteren Einrichtungen des Gesundheitswesens (einrichtungsbezogene Impfpflicht und Nachweispflicht) wirft neben arbeitsrechtlichen Fragen (siehe S. 41 BtDrs. Drucksache 20/188) auch Fragen des Datenschutzes auf, die im folgenden Beitrag beantwortet werden sollen.

Einrichtungsbezogene Impfpflicht

Ab dem 16.03.2022 gilt der neue § 20a IfSG und damit bundesweit eine Impfpflicht gegen Corona (SARS-CoV-2) für Personen, die in bestimmten Einrichtungen des Gesundheitswesens tätig sind, sogenannte einrichtungsbezogene Impfpflicht. Diese Impfpflicht besteht in Einrichtungen, die typischerweise regelmäßig Kontakt zu vulnerablen Gruppen der Bevölkerung haben.
Darunter fallen nach § 20a Abs. 1 IfSG, hier einem FAQ (Frage Nr. 6) des Bundesministeriums für Gesundheit entnommen:
Alle Personen, also nicht nur Angestellte, die in folgenden Einrichtungen tätig sind:

Krankenhäuser, Einrichtungen für ambulantes Operieren, Vorsorge- und Rehabilitationseinrichtungen, Dialyseeinrichtungen, Tageskliniken, Entbindungseinrichtungen, Behandlungs- oder Versorgungseinrichtungen, die mit einer der oben genannten Einrichtungen vergleichbar sind. Dazu gehören u.a. Hospizdienste, spezialisierte ambulante Palliativversorgung (SAPV), Blutspendeeinrichtungen, Arztpraxen, Zahnarztpraxen (dazu gehören auch Betriebsärzte), Praxen sonstiger humanmedizinischer Heilberufe, Einrichtungen des öffentlichen Gesundheitsdienstes, in denen medizinische Untersuchungen, Präventionsmaßnahmen oder ambulante Behandlungen durchgeführt werden, Rettungsdienste, Sozialpädiatrische Zentren nach § 119 SGB V, Medizinische Behandlungszentren für Erwachsene mit geistiger Behinderung oder schweren Mehrfachbehinderungen nach § 119c SGB V, Einrichtungen der beruflichen Rehabilitation nach § 51 SGB IX und Dienste der beruflichen Rehabilitation, Begutachtungs- und Prüfdienste, die auf Grund der Vorschriften des SGB V oder SGB XI tätig werden.
Impfzentren und Testzentren seien ebenfalls unter die Vorschrift zu fassen, sofern sie als Einrichtungen des öffentlichen Gesundheitsdienstes betrieben würden.

Nicht darunter fallen beispielsweise Apotheken und labormedizinische Betriebe (sofern keine Patientenversorgung angeboten wird, z.B. durch direkte Blutentnahme oder Hausarztpraxis, sowie Test- oder Impfzentrum).

Die Regelung gilt für alle, die in den Einrichtungen tätig werden. Betroffen sind also nicht nur unmittelbar Angestellte:

„Dabei dürfte es erforderlich sein, dass die Person regelmäßig (nicht nur wenige Tage) und nicht nur zeitlich vorübergehend (nicht nur jeweils wenige Minuten, sondern über einen längeren Zeitraum) in der Einrichtung oder in dem Unternehmen tätig ist.“ (FAQ 21).

Die Art der Beschäftigung (Arbeitsvertrag, Leiharbeitsverhältnis, Praktikum, Beamtenverhältnis etc.) ist ohne Bedeutung. Bei den erfassten Personen handelt es sich beispielsweise um medizinisches bzw. Pflegeund Betreuungspersonal einschließlich zusätzlicher Betreuungskräfte nach §53bSGBXI, aber auch andere dort tätige Personen wie zum Beispiel Hausmeister oder Transport, Küchenoder Reinigungspersonal. Erfasst sind auch Auszubildende, Personen, welche ihren Freiwilligendienst (nach dem BFDG oder JFDG) ableisten, ehrenamtlich Tätige, Praktikanten sowie Zeitarbeitskräfte. (BtDr. 20/188, S. 38)

Darunter können beispielsweise auch externe Handwerker oder Verwaltungsangestellte fallen. Genaueres zur Frage, wer betroffen ist, findet sich im FAQ.

Einrichtungsbezogene Impfpflicht, Nachweispflicht und Grundrecht

Mit dem neuen § 20a IfSG verbunden sind viele Fragen, jedoch soll hier nicht auf die Sinnhaftigkeit oder Verfassungsmäßigkeit, gegen die das BVerfG, 10.02.2022, Az. 1 BvR 2649/21 – und VG Saarlouis, 14.03.2022 – 6 L 172/22  keine grundlegenden Bedenken hat,  der gesamten Regelung eingegangen werden, sondern auf die datenschutzrechtlichen Aspekte des § 20a IfSG, bzw. seiner Umsetzung.

Überblick über den datenschutzrechtlichen Regelungsgehalt des § 20a IfSG

Nach § 20a Abs. 2 S. 1 IfSG müssen alle Personen, die in Einrichtungen nach Abs. 1 tätig sind der Einrichtung (in der Regel also ihrem Arbeitgeber) einen Nachweis darüber vorlegen, dass sie entweder

  1. gegen Corona vollständig geimpft (Nr. 1 – UPDATE: vgl. § 22a Abs. 1 IfSG ab 19.03.2022) oder
  2. von einer Coronaerkrankung genesen (Nr. 2) sind (und der Genesenenstatus noch andauert), oder
  3. aus medizinischen Gründen nicht gegen Corona geimpft werden können (Nr. 3).

Wenn diejenigen Personen einen solchen Nachweis mit Ablauf des 15.03.2022 nicht vorgelegt haben oder Zweifel an der Echtheit oder inhaltlichen Richtigkeit des Nachweises bestehen, hat die Leitung der jeweiligen Einrichtung unverzüglich (ohne schuldhaftes Zögern, ab 16.03.2022binnen 14 Tagen)  das zuständige Gesundheitsamt darüber zu informieren und ihm entsprechende personenbezogene Daten zu übermitteln (Abs. 2 S. 2).

UPDATE: Wie genau die Meldepflicht praktisch umgesetzt wird, entscheidet auf exekutiver Ebene das jeweilige Bundesland. Brandenburg zum Beispiel hat dafür digitale Meldeportale eingerichtet und den Verfahrensablauf näher beschrieben. Nähere Informationen stellt auch die jeweilige Kassenärztliche Vereinigung bereit, z.B. KVBB.

Neue Mitarbeiter: Bei Beschäftigungsverhältnissen in einer Einrichtung nach Abs. 1, die erst nach dem 16.03.2022 beginnen, ist ein Nachweis nach Abs. 2 S. 1 vor Beschäftigungsbeginn vorzulegen (Abs. 3 S. 1). Wird kein solcher Nachweis vorgelegt, darf die entsprechende Person nicht in der Einrichtung tätig werden (Abs. 3 S. 4).
Die Übermittlung dieser personenbezogenen Daten an den Arbeitgeber und das Speichern der Daten durch den Arbeitgeber sind also notwendige Voraussetzung für eine Beschäftigung.

Verschiedene Regelungen des § 20a IfSG sind bußgeldbewehrt (vgl. § 73 Abs. 1a Nr. 7e bis 7h IfSG).

Datenschutzrechtliche Einordnung

Grundsätzlich dürfen personenbezogene Daten in Beschäftigungsverhältnissen verarbeitet werden, wenn dies zur Begründung (Anstellung), Durchführung oder Beendigung (z.B. Kündigung) des Beschäftigungsverhältnisses erforderlich ist, § 26 BDSG. Bei der Weitergabe von Informationen über den Impf- oder Genesenenstatus oder einer Bescheinigung darüber, dass sich jemand aus dort näher ausgeführten medizinischen Gründen nicht impfen lassen kann, handelt es sich jedoch ohne Zweifel um Gesundheitsdaten und damit um die Verarbeitung besonderer personenbezogener Daten im Sinne des Art. 9 DSGVO. Diese ist nach Art. 9 Abs. 1 DSGVO zunächst untersagt.

Allerdings findet sich in Art. 9 Abs. 2 i) DSGVO eine Ausnahme. Danach gilt das Verarbeitungsverbot nicht, wenn die Verarbeitung „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren“ erforderlich ist und angemessene Maßnahmen zum Schutz der betroffenen Personen getroffen wurden. Diese Ausnahme scheint hier einschlägig zu sein.

Erforderlichkeit der Verarbeitung von Beschäftigtendaten und Gesundheitsdaten

Das Bundesministerium für Gesundheit begründet in einem FAQ zur einrichtungsbezogenen Impfpflicht in Frage 1 ausführlich, dass der Erlass dieser Regelung erforderlich ist, um die öffentliche Gesundheit zu schützen:

„Die Coronavirus-Krankheit-2019 (COVID-19) gehört zu den ansteckendsten Infektionskrankheiten des Menschen, von der alle Bevölkerungsteile betroffen sind. Um das Infektionsgeschehen weiter wirksam zu bekämpfen, besonders gefährdete vulnerable Menschen vor einer Infektion zu schützen und um die durch die Pandemie stark belasteten Krankenhäuser zu entlasten und die Gesundheitsversorgung zu gewährleisten, müssen weitere Maßnahmen ergriffen werden.
[…]
Dem Personal in den Gesundheitsberufen und Berufen, die Pflegebedürftige und Menschen mit Behinderungen betreuen, kommt eine besondere Verantwortung zu, da es intensiven und engen Kontakt zu Personengruppen mit einem hohen Risiko für einen schweren, schwersten oder gar tödlichen COVID-19 Krankheitsverlauf hat. Ein verlässlicher Schutz vor dem Coronavirus SARS-CoV-2 durch eine sehr hohe Impfquote bei dem Personal in diesen Berufen ist besonders wichtig, denn so wird das Risiko gesenkt, dass sich die besonders gefährdeten Personengruppen mit dem Coronavirus SARS-CoV-2 infizieren. […]“

Insgesamt gilt: eine Maßnahme ist erforderlich, wenn es kein milderes, gleich effektives Mittel gibt. Ein solches ist hier nicht ohne Weiteres zu erkennen. Im Gegenteil, im Vergleich zu einer allgemeinen Impfpflicht stellt eine einrichtungsbezogene ein milderes Mittel dar.

Angemessene Maßnahmen zum Schutz der betroffenen Personen

Auch zur Frage, ob angemessene Maßnahmen zum Schutz der betroffenen Personen getroffen wurden, äußert sich das Bundesministerium für Gesundheit in Nr. 31 des FAQ:

„[…] Insbesondere sind technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit umzusetzen. Eine technische Maßnahme könnte beispielsweise in der Verschlüsselung der zu übertragenden Daten liegen.“

Ebenso wie in Nr. 32 des FAQ, worin betont wird, die Vorgaben des Datenschutzrechts (z.B. Art. 5 Abs. 1 c) DSGVO) seien zu beachten.

„Erforderlich dürfte nur das Vorliegen eines gültigen Nachweises nach § 20a Abs. 2 Satz 1 IfSG inklusive eines möglichen Ablaufdatums des Nachweises, soweit dieses relevant ist, sein.“

Nur diese Daten dürften gespeichert werden.

Praxistipp: die vorgelegten Dokumente dürfen aus Gründen der Datenminimierung, Art. 5 Abs. 1c) DSGVO nicht kopiert oder gescannt werden. Vielmehr sollten die folgenden Daten in eine Tabelle eintragen werden:

  • Vor-, Name, Adresse, Geburtsdatum
  • gültiger Nachweis nach § 20a Abs. 2 S. 1 IfSG wurde vorgelegt (ja/nein) – also nicht der Inhalt oder die Art des Nachweises, nicht ob die Person geimpft, genesen oder impfunfähig ist.
  • Ablaufdatum eines Genesenennachweise bzw. ärztlichen Zeugnisses (Attest) über eine medizinische Kontraindikation

Wenn keine Nachweise vorgelegt werden, oder Zweifel an der Echtheit oder inhaltlichen Richtigkeit des vorgelegten Nachweises bestehen, darf die Leitung der Einrichtung folgende Daten an das Gesundheitsamt übermitteln:

  • Vor- Name
  • Geschlecht
  • Geburtsdatum
  • Anschrift
  • Telefonnummer oder E-Mail-Adresse – sofern bekannt.

Die vorgelegten Nachweise dürfen nicht an das Gesundheitsamt weitergeleitet werden.

Insgesamt besteht also eine mit der DSGVO vereinbare Rechtsgrundlage für die Verarbeitung der Gesundheitsdaten der Personen, die in Einrichtungen nach § 20a IfSG tätig sind. Damit ist es jedoch nicht getan.

Weitere datenschutzrechtliche Anforderungen an die einrichtungsbezogene Impfpflicht

Wie bereits oben erwähnt, dürfen nur solche Daten verarbeitet werden, die relevant sind, damit die Maßnahme angemessen ist. Eine Widerrufsmöglichkeit gegen die Datenverarbeitung besteht im vorliegenden Fall nicht, da es eine gesetzliche Pflicht zu erfüllen gilt. Allerdings besteht ein Anspruch der betroffenen Person auf Berichtigung unrichtiger Daten aus Art. 16 DSGVO.

Ebenfalls besteht ein Anspruch auf Löschung der Daten aus Art. 17 DSGVO, wenn die Verarbeitung nicht mehr nötig ist. Hier könnte dies zum Beispiel beim Wechsel des Arbeitgebers relevant sein, wenn der neue Arbeitgeber keine Einrichtung im Sinn des § 20a Abs. 1 IfSG ist. Spätestens zum 01.01.2023 müssen alle aufgrund des Gesetzes erhobenen Daten wieder gelöscht werden, dann tritt § 20a IfSG voraussichtlich außer Kraft (FAQ Frage 5) – außer: es würde nochmal verlängert werden. Die Löschpflicht in einem Löschkonzept zu dokumentieren bzw. ein bereits vorhandenes Löschkonzept ist zu ergänzen.

Weiterhin besteht eine Informationspflicht der Einrichtung gegenüber den Betroffenen. Diese ist auch wichtig, um zu überprüfen, ob oben genannte Ansprüche auf Löschung oder Berichtigung bestehen können. Nach Art. 13 Abs. 1 DSGVO ist dem Betroffenen im Zeitpunkt der Datenerhebung folgendes mitzuteilen:

  • a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters
  • b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten – dies dürfte nur für Krankenhäuser oder größere Einrichtungen relevant sein, denn die Benennung eines oder einer Datenschutzbeauftragten ist erst dann, wenn sich mindestens 20 Personen mit der automatisierten Datenverarbeitung beschäftigen, zwingend erforderlich (§ 38 Abs. 1 BDSG)
  • c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (hier also § 20a IfSG);
  • d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden (dies ist hier nicht relevant, denn die Verarbeitung wird aufgrund einer Rechtsgrundlage und nicht aufgrund eines berechtigten Interesses durchgeführt);
  • e) gegebenenfalls die Empfänger (also das lokal zuständige Gesundheitsamt) oder Kategorien von Empfängern der personenbezogenen Daten (dies wiederum ist hier zwingend notwendig) und
  • f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind (sollte hier nicht relevant sein, da eine Übermittlung in ein Drittland nicht stattfinden wird).

Darüber hinaus ist noch erforderlich, dass der Verarbeitungsprozess gemäß Art. 30 DSGVO in ein Verzeichnis dokumentiert wird (Verarbeitungsverzeichnis). Dazu gehört es auch festzulegen, wer Zugriffsrechte auf die Aufzeichnungen hat (Berechtigungskonzept auf Basis des Need to Know Prinzips: nur so wenig Personen wie nötig zu Erfüllung der Meldepflicht dürfen Zugriff bekommen) und wie diese technisch und organisatorisch vor unberechtigtem Zugriff geschützt werden.

Zusammenfassung zur einrichtungsbezogenen Impfpflicht und Datenschutzorganisation

Insgesamt ist festzuhalten, dass die Verarbeitung des Impf- oder Genesenenstatus, und damit von Gesundheitsdaten der Betroffenen, aus datenschutzrechtlicher Sicht zulässig ist, vgl. Gesetzesbegründung S. 40: Rechtsgrundlage für die Datenverarbeitung ist § 26 Absatz 3 Satz 1 BDSG bzw. § 22 Absatz 1 Buchstabe c) BDSG – Bundesdatenschutzgesetz in Verbindung mit § 20a IfSG – Infektionsschutzgesetz. Allerdings sind weitere datenschutzrechtliche Maßnahmen geboten, wie etwa eine DSGVO-konforme Information der Betroffenen darüber, was mit ihren Daten geschieht und wer verantwortlich ist, oder die Erstellung eines Verarbeitungsverzeichnisses. Für weitere Informationen sei auf das FAQ des Bundesministeriums für Gesundheit zur einrichtungsbezogenen Impflicht sowie auf die Handreichung des Sächsischen Datenschutzbeauftragten zur einrichtungsbezogenen Impfpflicht verwiesen. Ergänzend kann bei der Auslegung der Regelung die Gesetzesbegründung helfen.

Checkliste:

  • Feststellung, ob die Einrichtung in den Anwendungsbereich der einrichtungsbezogenen Impfpflicht fällt.
  • Festlegung, wer für die Feststellung und Dokumentation des Impf- bzw. Genesenenstatus innerhalb der Einrichtung zuständig ist. Die Leitung der Einrichtung darf die Aufgabe z.B. an die Personalabteilung delegieren.
  • Festlegung der Zugriffsberechtigungen in einem Berechtigungskonzept
  • Festlegung, welche Daten genau erhoben werden und wie diese an das Gesundheitsamt (richtigen Empfänger ermitteln) zu übermitteln sind (Vertraulichkeitsschutz bei der Übermittlung).
  • Information der Betroffenen über die Datenverarbeitung und ihre Rechte, Art. 13 DSGVO
  • Dokumentation des Verarbeitungsprozesses in einem Verarbeitungsverzeichnis, Art. 30 DSGVO inkl. Festlegung der technisch-organisatorischen Maßnahmen – toM, Art. 32 DSGVO, zum Schutz der Daten.
  • Festlegung der Löschpflicht (derzeit 31.12.2022) und Aufbewahrungspflicht sowie interne Verantwortlichkeit dafür in einem Löschkonzept.

David Seiler, Rechtsanwalt
Gero Blochwitz, Stud. Jur.
15.03.2022, Update 21.03.2022