Dürfen Unternehmen Corona-Impfdaten bzw. CovPass abfragen?

Die Impfkampagnen gegen Covid-19 laufen auf Hochtouren. Für vollständig Geimpfte gelten immer weniger Einschränkungen, die zwecks Eindämmung der Corona-Pandemie beschlossen wurden. Der digitale Impfnachweis CovPass soll das unkompliziert möglich machen. Doch dürfen Unternehmen überhaupt Impfdaten verarbeiten bzw. die CovPass-App auslesen?

Das herbeigesehnte Ende des Corona-Lockdowns

Schritt für Schritt dürfen viele Unternehmen nach einem langen Lockdown endlich wieder für ihre Kunden öffnen. Ob Büros, Ladengeschäfte, Restaurants oder Organisatoren von Großveranstaltungen – für viele geht es nun darum, wieder richtig wirtschaften zu können. Aus verständlichen Gründen kann es den meisten dabei nicht schnell genug gehen und es finden Überlegungen statt, wie man durch geeignete Vorkehrungen und Maßnahmen die Öffnungsprozesse beschleunigen kann. Ausgangspunkt dieser Überlegungen ist immer ein Ausschluss bzw. eine Minimierung der Ansteckungsgefahr.

Mittlerweile geht es dabei vor allem um die Frage, wie vollständig Geimpfte als solche einwandfrei identifiziert werden können, um ihnen eine Teilnahme öffentlichen Leben – sei es als Mitarbeiter oder als Verbraucher – zu ermöglichen.

Keine private Impfdatenverarbeitung ohne Gesetz

Das Problem: Impfdaten gehören als Gesundheitsdaten zu den besonderen Kategorien personenbezogener Daten. Die Verarbeitung solcher Daten unterliegt deshalb besonders hohen rechtlichen Hürden.

Noch im Februar 2021 erteilte die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen (LfDI), Dr. Imke Sommer, in einer Pressemitteilung der Verarbeitung von Impfdaten durch private Stellen eine klare Absage. Zumindest solange es kein entsprechendes Gesetz gebe, sei die Verarbeitung nicht erlaubt, weil eine entsprechende Rechtsgrundlage fehle.

Da es sich bei den Impfdaten um besondere personenbezogene Daten handelt, kann ein Vertrag keine taugliche Rechtsgrundlage für die Datenverarbeitung sein. Eine Einwilligung als Rechtsgrundlage wäre grundsätzlich möglich, kann aber in diesem Fall nie rechtswirksam werden, da es an einer grundlegenden Voraussetzung fehlt: der Freiwilligkeit. Jeder, der an einer Veranstaltung teilnehmen möchte, wäre gezwungen die Informationen preiszugeben. Ein Verstoß gegen das sogenannte Kopplungsverbot läge vor.

Digitaler Impfnachweis per CovPass

Für viele Unternehmen stellt sich daher die Frage: Wird eine Verarbeitung von Corona-Impfdaten mit der im Juni 2021 vom Robert-Koch-Institut (RKI) veröffentlichten CovPass-App nun rechtssicher möglich?

Datenminimierung in der App

Die Funktionsweise ist recht simpel und vor allem aus Datenschutzsicht überzeugend. Das RKI erläutert in seinem FAQ, dass bei der Erstellung des Corona-Impfzertifikats personenbezogene Daten nur einmalig durch die Impfstelle erhoben und zur Signierung an das RKI übermittelt werden. Die Daten werden danach sofort wieder gelöscht. Wenn das Corona-Impfzertifikat in der CovPass-App hinzugefügt ist, werden die persönlichen Daten nur lokal auf dem Smartphone gespeichert. Eine zentrale Speicherung oder sonstige Verarbeitung finden nicht statt.

Mittels einer Check-App, die es für alle relevanten Betriebssysteme für jeden zum Download gibt, lassen sich die Daten auf dem Smartphone des Nutzers überprüfen. Dabei sollen nur die nötigen Informationen angezeigt werden: Impfstatus, Name, Vorname und Geburtsdatum. Zukünftig sollen sich in der CovPass-App auch Nachweise über die Genesung von einer Corona-Infektion oder über einen negativen Corona-Test anzeigen lassen. Auch dabei sollen nur die wirklich wesentlichen Daten im QR-Code lokal abgespeichert werden. Der Überprüfer speichert die Daten beim Auslesen nicht. Er soll lediglich, z.B. anhand eines Personalausweises, die Identität des App-Nutzers überprüfen. Das ist ein Musterbeispiel für die Minimierung von Datenverarbeitungen.

Rechtsgrundlage für Auslesen der App-Daten

Die Frage, die sich jedoch sofort aufdrängt und die leider in keinen offiziellen FAQ beantwortet wird, ist die nach der Erlaubnis, das Zertifikat überhaupt zu scannen. Insbesondere unter dem Hinblick, dass die Check-App frei verfügbar ist. Vom regelmäßig als Beispiel angeführten Flughafenpersonal über private Zusammenkünfte, Friseurbesuche und Mitarbeiterchecks vor dem Betreten der Büroräume ist alles denkbar. Doch ist auch alles erlaubt?

Nach wie vor handelt es sich bei der Verarbeitung, auch wenn sie so datensparsam wie irgend möglich gehalten wird, um die Verarbeitung von Gesundheitsdaten. Und dafür benötigen Verantwortliche eine Erlaubnis, die sich in diesem Fall im Grunde nur aus einem Gesetz oder sehr speziellen Umständen ergeben kann.

Wo das Infektionsschutzgesetz bzw. die Verordnungen der Bundesländer schon bisher eine Kontrolle von Impf-, Genesungs- oder Testnachweisen erlauben (z.B. beim Friseur- oder Gaststättenbesuch), ist auch das Auslesen der CovPass-App erlaubt. Wo nicht, z.B. in den meisten Bundesländern für den Bürobesuch, bleibt es beim Verbot. Zumindest solange sich die Gesetzeslage nicht ändert. Eine Herleitung der Erlaubnis über die Führsorgepflicht für Mitarbeiter oder über eine Einwilligung kann im Einzelfall möglich sein, sollte aber unter Berücksichtigung des für Ihr Bundesland geltenden Rechts und ggf. der Aussagen der Aufsichtsbehörden mit einem Rechtsexperten besprochen werden.

Fazit: Corona-Impfdaten sind nur bedingt nutzbar

Solange die Politik nicht flächendeckend und für die verschiedensten Anwendungsfälle eine gesetzliche Erlaubnis schafft, wie das zum Beispiel auch die Datenschutzkonferenz schon seit März fordert, bleibt die Verarbeitung von Impfdaten verboten – auch im Falle des digitalen Impfnachweises der CovPass-App.

Wer dennoch auf eigene Faust Impfdaten verarbeitet, riskiert hohe Bußgelder. Dass die Aufsichtsbehörden das Thema auf dem Schirm haben, hat die Pressemitteilung aus Bremen deutlich aufgezeigt.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.