Der Bundesdatenschutzbeauftragte Ulrich Kelber hat nun seinen Tätigkeitsbericht für 2021 vorgestellt. Insbesondere warnte er hierin vor dem zu leichten Umgang mit Gesundheitsdaten durch die Entwicklungen der Corona-Pandemie.
Gesetzliche Regelung zur Verarbeitung von Gesundheitsdaten wie Impfstatus
Zunächst stellt der Bundesdatenschutzbeauftragte fest, dass es in Anbetracht der Corona-Pandemie notwendig ist, gesetzliche Regelungen zur Verarbeitung von Gesundheitsdaten wie Impf- und Genesenenstatus oder Testergebnis festzulegen. Leitfaden ist dabei der Art. 9 II DSGVO. Auch in der Privatwirtschaft müssen die Anforderungen der DSGVO eingehalten werden.
Ist keine solche gesetzliche Grundlage vorhanden, kommt als Rechtfertigungstatbestand zur Verarbeitung dieser Daten nur noch die Einwilligung des Betroffenen in Betracht. Besonders in Beschäftigungsverhältnissen ergeben sich im Rahmen dieser wegen des Machtungleichgewichts bei der Freiwilligkeit Probleme. Gesetzliche Regelungen würden hier Rechtsklarheit, Rechtssicherheit und Einheitlichkeit schaffen.
Der Bundesdatenschutzbeauftragte Ulrich Kelber will für dieses Ziel weiterhin die beteiligten Bundesministerien beraten und auf eine gesetzliche Regelung hinwirken.
Gesundheitsdaten dürfen keine Eintrittskarten werden
Viele Maßnahmen der Pandemiebekämpfung haben bewirkt, dass Gesundheitsdaten quasi zu Eintrittskarten geworden sind. Die Kontrolle von Gesundheitsdaten wie Impf- und Genesenenstatus oder Testergebnis stellt eine Verarbeitung von Gesundheitsdaten dar und ist gemäß Art. 9 DSGVO nur unter besonderen Voraussetzungen und besonderen Schutzmaßnahmen für Betroffene zulässig.
Der Bundesdatenschutzbeauftragte kritisiert hierbei insbesondere, dass er bei den Entscheidungen zu den entsprechenden Verordnungen nicht beteiligt wurde. Außerdem sei in der Begründung zu den Entwürfen nicht auf Art. 9 DSGVO eingegangen worden. Positiv hebt er aber hervor, dass digitale Lösungen zum Nachweis die Risiken teilweise mildern. Er fordert, dass es zusätzlich eine „flankierende Maßgabe zur Wahrung der Vertraulichkeit durch die Kontrollierenden“ hätte geben müssen.
Auch wenn die Pandemielage als solche eine Ausnahmesituation im Sinne von Art. 9 II DSGVO darstellen könne, fehle doch der Hinweis darauf. Außerdem bestünde die Gefahr, dass der leichte Umgang mit Gesundheitsdaten infolgedessen immer häufiger werde.
Umgang mit Gesundheitsdaten in Testzentren
Das Fortschreiten der Pandemie hat auch dazu geführt, dass die vielerorts benötigten Tests nicht mehr nur durch Ärzte oder zumindest unter deren Aufsicht durchgeführt werden. Werden Gesundheitsdaten von dritten Teststellen verarbeitet, sind die Betroffenen zunächst nicht mehr durch die berufliche Schweigepflicht geschützt gewesen. Der Bundesdatenschutzbeauftragte sah hier eine Lücke, die es zu schließen galt. Schließlich verarbeiten die Testanbieter nicht nur Name, Adresse und die durch den Test erlangten Gesundheitsdaten, sondern besteht bei einem positiven Test auch die Pflicht zur Meldung an das zuständige Gesundheitsamt. Dabei ist nicht bekannt, inwiefern alle Testzentren auch datenschutzkonform arbeiten, zumal es bereits einige Pannen gab.
Erst auf einen Hinweis des Bundesdatenschutzbeauftragten hin im November 2021 wurden auch die Teststellen zur Verschwiegenheit verpflichtet.
Überprüfung von Gesundheitsdaten am Arbeitsplatz
Ebenfalls zur Pandemiebekämpfung dienend wurden zum Teil Regelungen wie 3G am Arbeitsplatz eingeführt. Auch hierbei kam es zu einer Verarbeitung von Gesundheitsdaten im großen Stil. Arbeitgebern kam plötzlich eine große und verantwortungsschwere Aufgabe zu. Von ihnen ist sorgfältig zu prüfen, welche Datenerhebung wann erforderlich ist und wie die Verarbeitung und Speicherung vorzunehmen ist. Hierbei sind viele grundlegende datenschutzrechtliche Prinzipien zu beachten. Die Speicherung ist bei einer Sichtkontrolle vor Zutritt am Arbeitsplatz beispielsweise regelmäßig nicht notwendig. Ansonsten sind auch diese Daten zu löschen, sobald ihr Zweck entfallen ist, was nicht unbedingt erst nach der maximalen Speicherfrist von sechs Monaten (§ 28b III 9 IfSG) der Fall ist.
Konfrontiert wurde man hier auch mit dem Problem, dass Impfnachweise, die nie als fälschungssichere Ausweise entworfen wurden, plötzlich genau diese Funktion übernahmen und es deshalb schnell Fälschungen gab.
Fazit
Auch wenn die Verarbeitung personenbezogener Daten in Form von Gesundheitsdaten in der Pandemie deutlich häufiger notwendig ist, mahnt der Bundesdatenschutzbeauftragte zur Vorsicht. Ein zu leichter Umgang mit Gesundheitsdaten würde einem Grundgedanken der DSGVO zuwiderlaufen. Insbesondere fordert er, dass Gesundheitsdaten nicht langfristig zur „Eintrittskarte“ werden dürfen.
Sie haben Fragen zum Datenschutz in Ihrem Unternehmen? Unser Team an Experten steht Ihnen gerne zur Seite!