Coronavirus: Impfnachweis, Nachweis negativen Testergebnisses und Genesungsnachweis in der Privatwirtschaft und im Beschäftigungsverhältnis gehören gesetzlich geregelt!

Entschließung vom 29. März 2021

Darf die Teilnahme an privatwirtschaftlichen Angeboten wie Restaurant- oder Konzertbesuche davon abhängig gemacht werden, dass die Besucher und Besucherinnen eine erfolgte Anti-Corona-Impfung oder eine überstandene Infektion nachweisen bzw. ein negatives Testergebnis vorlegen? Neben dieser etwa im Zusammenhang mit dem auf EU-Ebene geplanten „digitalen grünen Zertifikat“ vieldiskutierten Frage erreichen die Datenschutzaufsichtsbehörden fortlaufend Beratungsanfragen von Arbeitgebern, die Gesundheitsdaten wie die Körpertemperatur oder den Impfstatus von Beschäftigten erheben und verarbeiten wollen.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) weist darauf hin, dass die Verarbeitung von Gesundheitsdaten zu privatwirtschaftlichen Zwecken (sei es im allgemeinen Wirtschaftsbereich oder im Beschäftigungsbereich) den Anforderungen der europäischen Datenschutz-Grundverordnung (DSGVO) genügen muss. Informationen über den Impfstatus einer Person sind ebenso Gesundheitsdaten wie das Ergebnis eines Coronatests oder der Nachweis einer überstandenen Infektion. Gesundheitsdaten stehen unter dem besonders strengen Schutz der DSGVO und dürfen nur unter eng zu verstehenden Ausnahmen verarbeitet werden.

In aller Regel geboten sind konkrete gesetzliche Regelungen, die eine Verarbeitung solcher Gesundheitsdaten ausdrücklich zulassen, wie es etwa nach § 20 Infektionsschutzgesetz bei der Masernschutzimpfung im Bereich von Kindertageseinrichtungen der Fall ist. Derartige Regelungen zur Nachweispflicht einer Impfung, einer Genesung bzw. eines negativen Tests, um den Zugang zu privatwirtschaftlichen Veranstaltungen oder Einrichtungen zu ermöglichen, fehlen bislang im Zusammenhang mit der Coronapandemie weitestgehend.

In Ermangelung einer gesetzlichen Grundlage bedarf es somit in der Regel einer Einwilligung der Restaurant- oder Konzertbesucher, Arbeitnehmer etc. in die Erhebung und Verarbeitung ihrer Gesundheitsdaten, wobei vor allem im Beschäftigungsbereich die Freiwilligkeit der Einwilligung regelmäßig problematisch ist.

Ohne eine gesetzliche Regelung muss stets im Einzelfall geprüft werden, inwieweit die Verarbeitung von Daten über den Impfstatus oder im Rahmen einer Testung datenschutzrechtlich zulässig ist. Diese Einzelfallbetrachtung ist aufgrund der anzustellenden komplexen juristischen Abwägungen für alle Beteiligten mit großem Aufwand und rechtlichen Unsicherheiten verbunden. Ein uneinheitliches Vorgehen, etwa durch unterschiedliche Regelungen in den Kommunen, könnte zudem zu einer für die Bürgerinnen und Bürger schwer überblickbaren Praxis führen.

Um dies zu vermeiden und für die Datenerhebung und - verarbeitung im privatwirtschaftlichen Bereich Rechtsklarheit, Rechtssicherheit und eine einheitliche Lösung zu erreichen, bedarf es nach Ansicht der DSK einer auf die konkrete pandemische Lage bezogenen, zeitlich befristeten gesetzlichen Regelung. Hierin ist klar und transparent zu regeln, wer, von wem und unter welchen Voraussetzungen Impfdaten, Testergebnisse, Nachweise zu einer überstandenen Infektion und andere Gesundheitsdaten im privatwirtschaftlichen Kontext nutzen darf. Dabei muss das Gesetz den strengen Vorgaben des Artikels 9 Absatz 2 DSGVO genügen.

Die DSK fordert den Gesetzgeber auf, kurzfristig ein entsprechendes Gesetzgebungsverfahren in die Wege zu leiten.

Entschließung vom 29. März 2021

Darf die Teilnahme an privatwirtschaftlichen Angeboten wie Restaurant- oder Konzertbesuche davon abhängig gemacht werden, dass die Besucher und Besucherinnen eine erfolgte Anti-Corona-Impfung oder eine überstandene Infektion nachweisen bzw. ein negatives Testergebnis vorlegen? Neben dieser etwa im Zusammenhang mit dem auf EU-Ebene geplanten „digitalen grünen Zertifikat“ vieldiskutierten Frage erreichen die Datenschutzaufsichtsbehörden fortlaufend Beratungsanfragen von Arbeitgebern, die Gesundheitsdaten wie die Körpertemperatur oder den Impfstatus von Beschäftigten erheben und verarbeiten wollen.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) weist darauf hin, dass die Verarbeitung von Gesundheitsdaten zu privatwirtschaftlichen Zwecken (sei es im allgemeinen Wirtschaftsbereich oder im Beschäftigungsbereich) den Anforderungen der europäischen Datenschutz-Grundverordnung (DSGVO) genügen muss. Informationen über den Impfstatus einer Person sind ebenso Gesundheitsdaten wie das Ergebnis eines Coronatests oder der Nachweis einer überstandenen Infektion. Gesundheitsdaten stehen unter dem besonders strengen Schutz der DSGVO und dürfen nur unter eng zu verstehenden Ausnahmen verarbeitet werden.

In aller Regel geboten sind konkrete gesetzliche Regelungen, die eine Verarbeitung solcher Gesundheitsdaten ausdrücklich zulassen, wie es etwa nach § 20 Infektionsschutzgesetz bei der Masernschutzimpfung im Bereich von Kindertageseinrichtungen der Fall ist. Derartige Regelungen zur Nachweispflicht einer Impfung, einer Genesung bzw. eines negativen Tests, um den Zugang zu privatwirtschaftlichen Veranstaltungen oder Einrichtungen zu ermöglichen, fehlen bislang im Zusammenhang mit der Coronapandemie weitestgehend.

In Ermangelung einer gesetzlichen Grundlage bedarf es somit in der Regel einer Einwilligung der Restaurant- oder Konzertbesucher, Arbeitnehmer etc. in die Erhebung und Verarbeitung ihrer Gesundheitsdaten, wobei vor allem im Beschäftigungsbereich die Freiwilligkeit der Einwilligung regelmäßig problematisch ist.

Ohne eine gesetzliche Regelung muss stets im Einzelfall geprüft werden, inwieweit die Verarbeitung von Daten über den Impfstatus oder im Rahmen einer Testung datenschutzrechtlich zulässig ist. Diese Einzelfallbetrachtung ist aufgrund der anzustellenden komplexen juristischen Abwägungen für alle Beteiligten mit großem Aufwand und rechtlichen Unsicherheiten verbunden. Ein uneinheitliches Vorgehen, etwa durch unterschiedliche Regelungen in den Kommunen, könnte zudem zu einer für die Bürgerinnen und Bürger schwer überblickbaren Praxis führen.

Um dies zu vermeiden und für die Datenerhebung und - verarbeitung im privatwirtschaftlichen Bereich Rechtsklarheit, Rechtssicherheit und eine einheitliche Lösung zu erreichen, bedarf es nach Ansicht der DSK einer auf die konkrete pandemische Lage bezogenen, zeitlich befristeten gesetzlichen Regelung. Hierin ist klar und transparent zu regeln, wer, von wem und unter welchen Voraussetzungen Impfdaten, Testergebnisse, Nachweise zu einer überstandenen Infektion und andere Gesundheitsdaten im privatwirtschaftlichen Kontext nutzen darf. Dabei muss das Gesetz den strengen Vorgaben des Artikels 9 Absatz 2 DSGVO genügen.

Die DSK fordert den Gesetzgeber auf, kurzfristig ein entsprechendes Gesetzgebungsverfahren in die Wege zu leiten.