Verarbeitung von Personendaten bei Impfpflicht (3)

Laut der Datenschutzkommission (DSK) darf bei bestehender einrichtungsbezogener Impfpflicht nur dokumentiert werden, dass ein Nachweis entsprechend § 20a IfSG vorgelegt wurde und gegebenenfalls auch das Ablauf-/Enddatum dieses Nachweises. Eine Kopie des vorgelegten Nachweises zu erstellen und abzuspeichern, ist laut DSK rechtskonform nicht möglich, da diese Nachweise i.d.R. Informationen wie beispielsweise Impfmittel sowie Datum der Impfung enthalten – diese Daten dürfen aber mangels erforderlichkeit nicht verarbeitet werden. Die DSK hat am 13.4. dazu einen Beschluss „zur Verarbeitung personenbezogener Daten im Zusammenhang mit der einrichtungsbezogenen Impfpflicht“ beschlossen und am 16.04.2022 veröffentlicht. Doch wie können Einrichtungen datenschutzkonform mit dem Nachweis umgehen?

Datenschutzkonformer Umgang mit dem Nachweis
Die genannten Personen müssen den Nachweis nur vorlegen. Das bedeutet, in den Nachweis darf zunächst nur Einsicht genommen werden. Dieser Nachweis darf daraufhin geprüft werden, ob er den oben genannten gesetzlichen Bestimmungen entspricht.

Bei allen in den Einrichtungen/Unternehmen tätigen Personen darf nur jeweils notiert werden, dass ein Nachweis entsprechend § 20a IfSG vorgelegt worden ist und gegebenenfalls das Ablauf-/Enddatum dieses Nachweises, zum Beispiel bei den Genesenennachweisen sowie digitalen Impfnachweisen oder auch den Nachweisen über eine temporäre Kontraindikation. Darüber hinaus sieht das Gesetz in § 22a Absatz 1 IfSG bei bestimmten Impfnachweisen als Ablaufdatum den 30. September 2022 vor, zum Beispiel bei Personen bei denen nur zwei Einzelimpfungen nachweislich vorliegen. Auch dieses Ablaufdatum darf notiert werden.

Denn nach Ablauf des jeweiligen Nachweises, muss ein dann gültiger Nachweis vorgelegt werden. Sofern dies nicht binnen Monatsfrist erfolgt, haben die Leitungen der in § 20a IfSG genannten Einrichtungen/Unternehmen dies an das jeweils für sie zuständige Gesundheitsamt zu melden und die personenbezogenen Daten der betroffenen Person an dieses zu übermitteln, § 20a Absatz 4 IfSG. Der vorgelegte Nachweis darf nicht kopiert oder eingescannt und aufbewahrt werden.

Bei Personen, die keine unmittelbaren Beschäftigten der genannten Einrichtungen/Unternehmen sind, dürfen darüber hinaus natürlich auch der Vor- und Zuname und deren Kontaktdaten erhoben werden.

Mangels Erforderlichkeit dürfen weitere Daten wie zum Beispiel Impfmittel, das Datum der einzelnen Impfung usw. nicht notiert werden.

 

Welche Daten dürfen zur Erfüllung der Meldepflicht wie verarbeitet werden?
Wenn keine Ausnahme von der Meldepflicht vorliegt, müssen die in § 20a Absatz 7 Satz 1 IfSG benannten Einrichtungen an das RKI folgende Impfquoten übermitteln:
Anteil der Personen, die gegen das Coronavirus SARS-CoV-2 geimpft sind, jeweils bezogen auf die Personen,
- die in der Einrichtung beschäftigt sind,
- behandelt, betreut oder gepflegt werden oder
- untergebracht sind.
In § 20a Absatz 7 Satz 1 IfSG ist ausdrücklich geregelt, dass an das RKI Daten nur in anonymisierter Form übermittelt werden dürfen.

Um die Meldepflicht gegenüber dem RKI zu erfüllen, dürfen die in § 20a Absatz 7 Satz 1 IfSG benannten Einrichtungen den jeweiligen Impfstatus der
- Beschäftigten oder,
- Behandelten, Betreuten, Gepflegten oder
- Untergebrachten
verarbeiten.

Diesbezüglich dürfen die in § 20a Absatz 7 Satz 1 IfSG benannten Einrichtungen zur Erfüllung ihrer Meldepflicht den jeweiligen Impfstatus ihrer Beschäftigten, Behandelten, Betreuten, Gepflegten oder Untergebrachten bei diesen abfragen und für den Zweck „Erfüllung der Meldepflicht gegenüber dem RKI“ speichern, § 20a Absatz 7 Satz 2 IfSG.

 

Wann sind die Daten spätestens zu löschen?
Grundsätzlich haben die Leiterinnen und Leiter der genannten Einrichtungen/Unternehmen beziehungsweise deren Auftragsverarbeiter alle Daten zu löschen, wenn der Zweck für die Verarbeitung der personenbezogenen Daten entfällt, Artikel 17 Absatz 1 Buchstabe a DS-GVO.

Unabhängig von einer Löschpflicht nach Artikel 17 Absatz 1 Buchstabe a DS-GVO sieht § 20a Absatz 7 Satz 7 IfSG für die im Zusammenhang mit der Meldepflicht und Beurteilung der Gefährdungslage anhand von Impfquoten verarbeiteten Daten vor, dass diese spätestens am Ende des sechsten Monats nach ihrer Erhebung gelöscht werden müssen. Jedenfalls muss eine Löschung aller auf Grundlage des § 20a IfSG verarbeiteten Daten spätestens mit Ablauf der Rechtsgrundlage am 31. Dezember 2022 erfolgen.

Logo Pergon

XingLinkedin

Ich akzeptiere die Speicherung von Cookies
Zur Optimierung unseres Internetauftrittes setzen wir Cookies ein. Es handelt sich dabei um kleine Textdateien, die im Arbeitsspeicher Ihres Computers gespeichert werden. Diese Cookies werden nach dem Schließen des Browsers wieder gelöscht. Andere Cookies verbleiben auf Ihrem Rechner (Langzeit-Cookies) und erkennen ihn beim nächsten Besuch wieder. Dadurch können wir Ihnen den Zugang zu unserer Seite erleichtern und die Bedienung optimieren. Das Speichern von Cookies können Sie verhindern, indem Sie in Ihren Browser-Einstellungen „Cookies blockieren“ wählen. Dies hätte eine Funktionseinschränkung unseres Angebotes zur Folge. Wir können Ihnen nur Zugang zu unserem Internetangebot gewähren, wenn Sie die Speicherung von Cookies akzeptieren. Auch Ihre Zustimmung wird auf Ihrem Rechner gespeichert bis Sie die Cookies und den Browserverlauf löschen.