Datenschutzrechtliche Aspekte bei der Verarbeitung von Corona-Impfnachweisen durch Privatunternehmen

Auf vielen Ebenen wird derzeit diskutiert, ob Menschen mit Corona-Schutzimpfung Vorteile genießen dürfen. Kürzlich veröffentlichte der Deutsche Ethikrat hierzu seine Ad-hoc-Empfehlung. Einige Ladenbetreiber und Veranstalter denken darüber nach, eine Corona-Schutzimpfung zur Voraussetzung für die Inanspruchnahme ihrer Leistungen zu machen. Neben rechtlichen und ethischen Erwägungen, ob die Vertragsfreiheit Privatunternehmen ein solches Vorgehen ermöglichen sollte, stellt sich die Frage, ob ein solches Vorgehen datenschutzkonform wäre.

Umstand der (Nicht-)Impfung als Gesundheitsdatum

Machen Privatunternehmen Impfungen zur Zugangsvoraussetzung zu ihren Angeboten, müssen sie kontrollieren, ob die Kunden geimpft sind oder nicht. Dabei kommt es unweigerlich zur Verarbeitung personenbezogener Daten der Betroffenen. Eine solche Kontrolle könnte per händischer Prüfung oder per Scannen des Impfpasses mit technischen Hilfsmitteln durchgeführt werden. Da sich der Umstand der (Nicht-)Impfung einer Person auf deren Gesundheitszustand bezieht, wird es sich hierbei um „Gesundheitsdaten“ i.S.d. DSGVO handeln. Die Verarbeitung von Gesundheitsdaten ist nach der DSGVO an strenge rechtliche Voraussetzungen geknüpft.

Ausnahmen vom Verarbeitungsverbot

Die Verarbeitung von Gesundheitsdaten unterliegt einem Verbot mit Erlaubnisvorbehalt. Es gibt somit nur wenige Ausnahmetatbestände, die deren Verarbeitung überhaupt rechtfertigen können. Es wäre beispielsweise nicht möglich, die Verarbeitung damit zu rechtfertigen, dass sie für die Durchführung oder Anbahnung eines Vertrags mit einem Kunden erforderlich wäre. Obwohl die DSGVO eine solche Regelung für die Verarbeitung „normaler“ personenbezogener Daten kennt, greift sie für die Verarbeitung von Gesundheitsdaten nicht. 

Im Fall von Impfkontrollen durch Privatunternehmen könnten etwa folgende Ausnahmetatbestände erwogen werden, um die Datenverarbeitung zu ermöglichen:

• Die Datenverarbeitung könnte auf Grundlage von EU- oder nationalem Recht einem erheblichen öffentlichen Interesse dienen (Art. 9 Abs. 2 lit. g DSGVO, § 22 Abs. 1 Nr. 1 lit. d BDSG).
  Die Abwehr von Epidemien oder Pandemien kann so ein öffentliches Interesse sein (vgl. ErwGr. 47 DSGVO). Es fehlt nach derzeitigem Stand aber an europäischen oder nationalen Regelungen, die eine Verarbeitung von Impfnachweisen durch Privatunternehmen zu diesem Zweck vorsehen. Unternehmen könnten sich ggf. auf die deutsche Generalklausel des § 22 Abs. 1 Nr. 1 lit. d BDSG stützen. Eine Verarbeitung ließe sich danach ggf. damit rechtfertigen, dass der Schutz der Kunden und Ladenbetreiber vor einer Covid-19-Infektion durch Impfkontrollen einem öffentlichen Interesse dient. Daran werden jedoch rechtlich hohe Anforderungen gestellt. So wäre im Rahmen einer Interessenabwägung zu klären, ob nicht auch mildere Mittel zur Verfügung stehen (z.B. Maskenpflicht und Abstandsregelungen). Es wäre ebenfalls zu klären, ob der Bezug zu öffentlichen Interessen dadurch beeinträchtigt wird, dass die Datenverarbeitung auch im wirtschaftlichen Eigeninteresse des Unternehmens liegen dürfte. Einen positiven Werbeeffekt solcher Maßnahmen im Vergleich zur Konkurrenz („Hier nur Geimpfte“) dürften sich Unternehmen zumindest erhoffen. Beide Aspekte würden gegen diesen Ausnahmetatbestand sprechen.
• Die Datenverarbeitung könnte öffentlichen Gesundheitsbelangen dienen, z.B. der Abwehr schwerwiegender grenzüberschreitender Gesundheitsgefahren, wie sie von einer Pandemie ausgehen dürften (vgl. ErwGr. 54 DSGVO) (Art. 9 Abs. 2 lit. i DSGVO, § 22 Abs. 1 Nr. 1 lit. c BDSG). Voraussetzung für eine solche Datenverarbeitung wäre jedoch ebenfalls eine europäische oder nationale Regelung, die eine Datenverarbeitung durch Private vorsieht. Ein solches Gesetz ist das Infektionsschutzgesetz. Dieses kennt tatsächlich Regelungen, die auch Privatunternehmen zur Verarbeitung von Gesundheitsdaten verpflichten. Bestimmte Einrichtungen und Unternehmen sind danach u.a. zur Meldung von Covid-19-Erkrankungen verpflichtet (vgl. § 6 Abs. 1 Nr. 1 lit. t, § 8 Abs. 1 Nr. 7 i.V.m. § 36 Abs. 1 Nr. 1-7, § 33 IfSG) oder müssen sich bestimmte Impfnachweise zeigen lassen (zu Lungentuberkulose, vgl. § 36 Nr. 4 IfSG). Allerdings sind solche Regelungen in Deutschland die absolute Ausnahme. Sie betreffen nur ganz bestimmte Unternehmen, z.B. Kindertageseinrichtungen und Pflegeheime. Auch wenn solch ein Instrument dem deutschen Gesetzgeber nicht unbekannt ist, erscheint es unwahrscheinlich, dass derartige Regelungen zur Ermöglichung einer Verarbeitung von Corona-Impfnachweisen durch Privatunternehmen eingeführt werden. Dies spricht eher dagegen, dass dieser Ausnahmetatbestand relevant werden könnte.
• Die Datenverarbeitung könnte auf die Einwilligung der Betroffenen gestützt werden (Art. 9 Abs. 2 lit. a DSGVO). Für die Ausgestaltung einer solche Einwilligung gelten bestimmte Anforderungen. So muss bspw. explizit darauf hingewiesen werden, dass es mit der Einwilligung zu einer Verarbeitung der Gesundheitsdaten kommen soll. Problematisch könnte die erforderliche Freiwilligkeit der Einwilligung sein. Daran fehlt es, wenn die Betroffenen die Einwilligung nicht verweigern können, ohne erhebliche Nachteile zu erleiden. Gegen eine Wirksamkeit der Einwilligung unter diesem Aspekt könnte sprechen, dass die Betroffenen vor vollendete Tatsachen gestellt werden. Ohne Impfnachweis könnten sie die Leistungen des Unternehmens nicht in Anspruch nehmen. Zugunsten einer Wirksamkeit dürfte jedoch zu berücksichtigen sein, dass die Betroffenen – sofern überhaupt ausreichend vorhanden –  Alternativangebote anderer Unternehmen in Anspruch nehmen könnten, die keinen Impfnachweis verlangen.

Zusammenfassend lässt sich festhalten, dass die Einwilligung der Kunden Privatunternehmen noch am wahrscheinlichsten eine Verarbeitung von Impfnachweisen ermöglichen könnte. Ob diese wirksam eingeholt werden kann, wäre jedoch stets im Einzelfall und in Abhängigkeit von Alternativangeboten anderer Privatunternehmen zu prüfen. So geht etwa die Landesbeauftragte für den Datenschutz und Informationsfreiheit Bremen davon aus, dass eine Impfdatenverarbeitung als „Eintrittskarte“ für Konzerte nicht auf eine Einwilligung gestützt werden kann.

Weitere Anforderungen der DSGVO

Sofern sich ein Anbieter auf einen wirksamen Ausnahmetatbestand zur Verarbeitung der Impfnachweise stützen kann, müssen auch die weiteren Anforderungen und Pflichten umgesetzt werden:

• Die Betroffenen sind über die geplante Verarbeitung ihrer Daten ausreichend und im Vorfeld zu informieren.
• Sofern bei der Datenverarbeitung externe Anbieter eingesetzt werden (z.B. zum Betrieb von Impfpass-Scannern), sind mit diesen entsprechende Datenschutzverträge abzuschließen.
• Die Datenverarbeitung ist in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen.
• Das Unternehmen muss zum Schutz der Daten angemessene technische und organisatorische Sicherheitsmaßnahmen treffen. Bei der Ausgestaltung solcher Maßnahmen sollte der Sensibilität der verarbeiteten Daten Rechnung getragen werden.
• Je nach konkreter Ausgestaltung der Datenverarbeitung könnte die Durchführung einer Datenschutzfolgenabschätzung (DSFA) erforderlich werden. Dies ist immer dann erforderlich, wenn die Datenverarbeitung wahrscheinlich ein hohes Risiko für die Betroffenen birgt. Hierfür sind mehrere Kriterien von Relevanz, beispielsweise die Art der verarbeiteten Daten (z.B. besonders sensible Daten, wie Gesundheitsdaten), die Menge der verarbeiteten Daten, die Schutzwürdigkeit der Betroffenen (z.B. aufgrund eines Macht- oder sonstigen Ungleichgewichts), oder die Anwendung innovativer Technologien. Liegen mehr als zwei Kriterien vor, sollte eine DSFA durchgeführt werden.
• Auch wird sich die Frage stellen, ob und wie lange die Daten überhaupt aufbewahrt werden könnten. Eine Impfkontrolle dürfte häufig in Echtzeit erfolgen und daher eigentlich keine längerfristige Datenspeicherung erfordern. Auch gibt es keine gesetzlichen Daten-Aufbewahrungspflichten. Während die Corona-Verordnungen der Bundesländer u.a. Veranstaltern und Restaurants eine Aufbewahrung von Kontaktdaten ihrer Kunden für mehrere Wochen ermöglichen (z.B. § 5 Abs. 2 S. 2 SARS-CoV-2-Infektionsschutzmaßnahmenverordnung Berlin), gibt es entsprechende Pflichten im Bereich von Impfnachweisen nicht. Ein Vorhalten der Daten dürfte damit eher schwierig werden. Sofern Betroffene in die Datenverarbeitung wirksam einwilligen, könnten sie allerdings - gestützt auf entsprechende Informationen – ggf. einer längere Speicherdauer zustimmen.
  
  

Fazit

Wollen Privatunternehmen von ihren Kunden Impfnachweise verlangen, sollten sie Vorsicht walten lassen. Die Thematik ist juristisch komplex. Allein mit Blick auf das Datenschutzrecht besteht die Schwierigkeit, eine wirksame Rechtsgrundlage für die Datenverarbeitung zu schaffen. Zudem müssen auch die weiteren Anforderungen der DSGVO erfüllt werden. Bei Verstößen gegen die DSGVO drohen im Einzelfall hohe Bußgelder (bis zu EUR 20 Mio. oder 4% des weltweit erzielten Jahresumsatzes).