.st0{fill:#FFFFFF;}

Impfstatusabfrage bei Patienten

Wichtige Datenschutz-Themen von Profis aufbereitet

Impfstatusabfrage bei Patienten

Beim Thema „Impfnachweis“ spielt der Datenschutz eine große Rolle, denn Gesundheitsdaten – dazu gehört auch der Nachweis über eine etwaige Impfung – sind laut DSGVO besonders schützenswert. Eine der aktuellsten datenschutzrechtlichen Fragen betrifft die Zulässigkeit der Frage nach dem Corona-Impfstatus im generellen Beschäftigungsverhältnis, aber auch vornehmlich in der Gesundheitsbranche.

Dreh- und Angelpunkt der Problematik ist, ob das medizinische Personal Patient:innen nach ihrem Impfstatus fragen darf.


Das Wichtigste in Kürze:

  • Für Arbeitgeber:innen legitimiert § 23a Infektionsschutzgesetz (IfSG) die Verarbeitung von personenbezogenen Daten, wie den Impfstatus, nur für die in § 23 Abs. 3 IfSG genannten Bereiche.
  • Das IfSG bietet Patient:innen kein Auskunftsrecht hinsichtlich des Impfstatus von medizinischem Personal.
  • Rechtsgrundlage für eine Impfstatusabfrage durch Arbeitgeber:innen kann Art. 9 Abs. 2 lit. h DSGVO sein.
    Inhalt
    Das Wichtigste in Kürze:
    1. Die aktuelle Situation der Impfstatusabfrage
    2. Rechtliche Grundlage für die Impfstatusabfrage von Patient:innen
    3. Ausblick

    1. Die aktuelle Situation der Impfstatusabfrage

    In Deutschland sind mittlerweile rund 70 % der Bevölkerung gegen das Coronavirus geimpft. Laut kommunalen Berliner Klinikenverband sind rund 85 – 95 % des medizinischen Personals in den Krankenhäusern Berlins geimpft. In diesem Zuge werden polarisierende Debatten um ein Fragerecht von Arbeitgeber:innen hinsichtlich des Impfstatus ihrer Beschäftigten geführt.

    Für Arbeitnehmer:innen im Gesundheitswesen gibt es ein klares gesetzliches Maß: Gemäß §§ 23 a, 36 IfSG können Arbeitgeber:innen seit 2021, soweit es zur Erfüllung von Verpflichtungen aus § 23 Abs. 3 erforderlich ist, personenbezogene Daten des beschäftigten Personals über deren Impfstatus verarbeiten. Das Pflichtenprogramm des § 23 Abs. 3 IfSG besagt, dass in der Gesundheitsbranche, also innerhalb von Krankenhäusern, Arztpraxen oder auch in Pflegeeinrichtungen, sicherzustellen sei, dass die nach dem Stand der medizinischen Wissenschaft erforderlichen Maßnahmen getroffen werden, um Infektionen zu unterbinden und die Weiterverbreitung von Krankheitserregern zu vermeiden.

    Bei den Impfdaten handelt es sich um Gesundheitsdaten nach Art. 4 Nr. 15 DSGVO, die entsprechend Art. 9 Abs. 1 DSGVO unter besonderem Schutz stehen. Es handelt sich insgesamt um Arbeitsfelder, bei denen Kontakt zu teilweise auch immunschwachen Personen unweigerlich stattfindet. Für Berufsgruppen mit medizinischem Hintergrund bildet §23a IfSG also den gesetzlichen Erlaubnistatbestand, um den Impfstatus als Komponente besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO zu erfragen. Im Verhältnis von Patient:in zu behandelnden Ärzt:innen hingegen existiert ein solches Auskunftsrecht tatsächlich nicht.

    2. Rechtliche Grundlage für die Impfstatusabfrage von Patient:innen

    Für eine Statusabfrage der Patient:innen, in etwa für einen Klinikaufenthalt oder ähnliches, besteht keine gesetzliche Grundlage im Infektionsschutzgesetz. Lediglich findet sich in der Verordnung über die Erweiterung der Meldepflicht nach § 6 Abs. 1 S. 1 Nr. 1 des Infektionsschutzgesetzes auf Hospitalisierungen in Bezug auf die Coronavirus-Krankheit-2019 (§ 1 Abs. 2 lit. t) eine rechtliche Grundlage für eine Impfstatus Erhebung.

    Danach muss der Verdacht einer Erkrankung, die Erkrankung sowie der Tod in Bezug auf COVID-19 gemeldet werden. Die hiesige Norm regelt allerdings nur den Fall, dass Patient:innen gerade wegen des Coronavirus im Krankenhaus behandelt werden. Das Infektionsschutzgesetz lässt also weitere Fragen, die mit der Impfstatusabfrage zusammenhängen, unbeantwortet. Daher ist auf das Datenschutzrecht zurückzugreifen. Art. 9 Abs. 2 DSGVO regelt Ausnahmetatbestände, wann das generelle Verbot, besondere Kategorien personenbezogener Daten zu erheben, nicht greift. Im Falle der Statusabfrage bei Patient:innen kann Art. 9 Abs. 2 lit. i einerseits und lit. h in Betracht kommen.

    Der Bundesbeauftragte für Datenschutz sah in Art. 9 Abs. 2 lit. i DSGVO eine Regelung, nach welcher Arbeitgeber:innen dazu berechtigt seien, die Gesundheitsdaten ihrer Beschäftigten zu verarbeiten, um festzustellen, ob diese infiziert sind. Der Verhältnismäßigkeitsgrundsatz ist hierbei zu beachten. Der Bundesbeauftragte stellte auch klar, dass wenn man in der konkreten Einrichtung die 2G- oder 3G-Regelung nutzt, der konkrete Status nicht abgefragt werden müsse. Dies könnte auf Gesundheitsbranchen übertragen werden, befand doch noch kein Gericht über Modalitäten der Impfstatusabfrage.

    Optional ist auch der Rückgriff auf Art. 9 Abs. 2 lit. h DSGVO zulässig. Dieser besagt, dass die Verarbeitung für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich erforderlich sein muss. Eine Erforderlichkeit ergibt sich schon aus dem Aufrechterhalten der Gesundheitssysteme. In einer Einrichtung, die die 2G-Regelung nutzt, ist auch schon die Frage „sind Sie geimpft oder genesen?“ ausreichend. Bei Verneinung dieser, kann das medizinische Personal die jeweilige Behandlung unter erhöhten Schutzmaßnahmen durchführen.

    3. Ausblick

    Kaum ein anderes Thema polarisiert und dominiert den gesellschaftlichen Diskurs so stark wie die Abfrage des Impfstatus. Was für den Zugang zu Restaurants und weiteren Freizeiteinrichtungen beanstandungslos hingenommen wird, stellt sich an anderer Stelle prekärer dar: Die Abfrage der Coronaschutzimpfung von Patient:innen.

    In Ermangelung gerichtlicher Klärung, ist von vormaligen Aussagen des Bundesbeauftragten für Datenschutz auf die Gesundheitsbranche abzuleiten: Eine Impfstatusabfrage im Gesundheitswesen kann unter Rekurs auf Art. 9 Abs. 2 lit. h DSGVO (die Verarbeitung ist für die Versorgung oder Behandlung im Gesundheitsbereich erforderlich) zulässig sein.

    Hier sind Persönlichkeitsrechte der Patient:innen und der Verhältnismäßigkeitsgrundsatz zu berücksichtigen. Sofern eine Einrichtung die „2G“-Variante nutzt, reich auch schon die bloße Frage, ob man geimpft oder genesen sei, aus.

    Share0
    Tweet0
    Share0

    Datenschutzschulungen für Ihre Mitarbeiter?

    Praxisnahe Online Schulungen für Datenschutz und Cybersecurity. DSGVO konform und zertifiziert.

     Mehr ansehen