Verarbeitung von Impfdaten nicht ohne weiteres möglich
Ein großer Anbieter für Veranstaltungstickets dachte laut darüber nach, welche Möglichkeiten sich für die Branche anbieten werden, wenn der Anteil der Geimpften weiter zunimmt. Kino-, Theater- und Konzertbesuche könnten für Geimpfte früh wieder möglich werden. Es sei auch technisch kein großes Problem, den Impfstatus der Teilnehmer schon im Vorfeld zu erfassen, z.B. durch Hochladen des Impfausweises beim Ticketkauf. Vorteil: Keine Warteschlangen beim Einlass.
Diese Idee hat die Datenschutzbeauftragte des Landes Bremen, Imke Sommer, in einem Diskussionsbeitrag als datenschutzrechtlich bedenklich eingestuft. Bei den Daten zur Impfung handelt es sich um höchstpersönliche Gesundheitsdaten, die von Privatunternehmen nicht einfach so erfasst und gespeichert werden dürften. Die europäische Datenschutzgrundverordnung DSGVO setzt hier hohe Hürden. Grundsätzlich dürfen Daten von Unternehmen nur dann erfasst, gespeichert und verarbeitet werden, wenn eine rechtliche Grundlage existiert, oder der Betroffene sein Einverständnis gibt.
Doch: Was kann ich als Unternehmen tun, um einerseits den Pandemie- und andererseits den Datenschutz-Anforderungen gerecht zu werden?
„Zunächst sind die rechtlichen Rahmenbedingungen zu beachten, die gerade in der aktuellen Zeit sich öfter ändern“, gibt der erfahrene Datenschutzfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein zu bedenken.
1. Gibt es ein Gesetz, dass alle Veranstaltungen, Dienstleistungen etc. verbietet?
Dies ist aktuell der Status quo. Hierbei stellt sich die Frage nach dem Impfstatus nicht, weil Veranstaltungen etc. für alle verboten sind.
2. Gibt es ein Gesetz, dass alle Veranstaltungen, Dienstleistungen etc. mit Impfnachweis und/oder aktuellen Negativtest erlaubt?
In diesem Fall wäre das Gesetz die Rechtsgrundlage zur Verarbeitung des Impfstatus. Ein solches Gesetz gibt es aber aktuell nicht.
3. Gibt es ein Gesetz, dass alle Veranstaltungen, Dienstleistungen etc. erlaubt?
Wenn gesetzlich die geplante Veranstaltung, Dienstleistung für alle erlaubt ist, stellt sich als nächstes die Frage, ob ein privater Anbieter seine persönliche Leistung nur Geimpften anbieten darf. Dies ist aufgrund der Vertragsfreiheit grundsätzlich möglich, so dass er auch die konkreten Voraussetzungen (wie z. B. Impfstatus) festlegen darf. So wie der Diskobetreiber alle männlichen Besucher mit Turnschuhen wegschicken darf, dürfte der Konzertveranstalter alle ungeimpften Besucher wegschicken. Eine Grenze besteht da, wo Leistungen der Daseinsvorsorge angeboten werden.
„Wenn der Impfstatus nun aber zur Voraussetzung einer Veranstaltung wird, so muss dieser irgendwann rein faktisch erhoben oder geprüft werden. Und jetzt kommt der Datenschutz ins Spiel, da man zur Verarbeitung eine Rechtsgrundlage benötigt“, führt Dr. Voßbein weiter aus. Da der Impfstatus oder ein Testergebnis ein Gesundheitsdatum und somit eine „besondere Kategorie personenbezogener Daten“ ist, bedarf es einer Einwilligung, da Artikel 9 DSGVO keine Datenverarbeitung „zur Begründung oder Durchführung eines Vertragsverhältnisses“ für die Datenkategorie ermöglicht.
Und schließlich stellt sich noch das Problem der Erforderlichkeit bzw. Datenminimierung. Muss man das Datum tatsächlich im Vorfeld – automatisiert – verarbeiten oder reicht die Vorlage und Sichtkontrolle des Impfnachweises im Rahmen der Einlasskontrolle als milderes Mittel. Vielmehr sollte der Veranstalter die „Durchimpfung“ oder einen aktuellen (negativen) Corona-Test als Voraussetzung definieren und den Besucher über die Kontrollen informieren.
Der Nationale Ethikrat hat vorzeitige Rücknahmen von Grundrechtseinschränkungen für geimpfte Personen abgelehnt, auch weil es keine Impfpflicht durch die ‚Hintertür‘ geben soll. Mit Zunahme der Anzahl der Geimpften wird diese Debatte sicher wieder Fahrt aufnehmen. „Es ist nicht auszuschließen, dass der Bundestag irgendwann ein Gesetz beschließen wird, dass die Erfassung und Verarbeitung des Impfstatus erlaubt. Aber so groß die Sehnsucht nach Lockerungen auch ist: Momentan gibt es dafür keine Grundlage“ erläutert Dr. Voßbein. Betroffenen Unternehmen rät er, sich im Zweifel datenschutzrechtlich beraten zu lassen.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de