Kategorie: Gesundheitsdatenschutz

Großteil der EU-Onlineapotheken verstößt gegen die DSGVO

30. März 2022

Spätestens seit Einsetzen der Corona-Pandemie erfreuen sich Online-Apotheken immer größerer Beliebtheit. Nun hat eine Marktanalyse des Münchner Unternehmens „Usercentrics“ ergeben, dass 89 % der 150 beliebtesten Arzneimittelversender in der EU rechtswidrig Cookies einsetzen. Besonders brisant daran ist, dass gerade in diesem Geschäftsbereich sensible Gesundheitsdaten ohne Einwilligung der Betroffenen abgefragt werden.

Hintergrund

„Cookies“ sind Datensätze, die bei dem Besuch fast jeder Website gespeichert und oft an Dritte übermittelt werden. Wer eine Website betreibt und dabei Cookies verwendet, muss nach Art. 6 Abs. 1 lit. a, 7 DSGVO die Einwilligung der Besucher in die Verarbeitung ihrer personenbezogenen Daten einholen. Ausgenommen davon sind lediglich solche Cookies, die technisch notwendig sind, um den Besuch der Website zu ermöglichen. Die Einwilligung in Cookies erfolgt über Cookie-Banner, deren oft fehlerhafte Ausgestaltungen immer wieder Gegenstand von Busgeldverfahren sind (wir berichteten zuletzt hier).

Ergebnis der Marktanalyse

„Usercentrics“ ist genau auf diesem Gebiet tätig und entwickelt Software, mithilfe derer Einwilligungen in Cookies rechtskonform eingeholt werden sollen. Für das Unternehmen selbst hat sich die Marktanalyse als äußerst ergiebig erwiesen: Es besteht großer Nachholbedarf beim Cookie-Management.

So setzten 89% der gescannten Apotheken mindestens ein Cookie, ohne die hierzu erforderliche Einwilligung der Nutzer einzuholen. In Deutschland waren es sogar 100 % der untersuchten Anbieter.

62 % dieser rechtswidrig gesetzten Cookies waren solche, die Marketingzwecken von Drittanbietern dienten.

Außerdem aktivierten die Website-Betreiber 55 % der nicht notwendigen Cookies sofort beim Besuch der Website, ohne eine Einwilligung der Nutzer abzuwarten.

Missbrauch von Gesundheitsdaten

Im Einzelnen heißt das: Ein Großteil der Online-Apotheken speichert ohne die Einwilligung ihrer Besucher Datensätze, die Rückschlüsse auf die Gesundheit des Nutzers zulassen. Darunter sind personenbezogene Daten wie die IP-Adresse, die gesuchten Produkte, angesehene Produkte und Browserverlauf. Diese Daten können dazu genutzt werden, ein Profil des Kunden zu erstellen, um gezielt Produkte zu bewerben. Bei den Marketing-Unternehmen handelt es sich oft nicht über den Apothekenhändler selbst, sondern Drittanbieter. So werden sensible Daten über individuelle Krankheiten -völlig außer Kontrolle der Betroffenen- rechtswidrig erhoben, zweckentfremdet und weitergegeben.

Es bleibt zu hoffen, dass die Online-Arzneimittelhändler spätestens jetzt ihre Cookie-Banner überprüfen und aktualisieren, um Bußgelder zu vermeiden.

3G- Nachweispflicht entfällt – Was passiert mit den Gesundheitsdaten?

24. März 2022

In ihrer Stellungnahme vom 23.März 2022 äußert sich die Datenschutzbeauftragte des Landes NRW zu den datenschutzrechtlichen Folgen des ab dem 20. März 2022 entfallenen 3G- Nachweises am Arbeitsplatz.

Zuvor galt nach § 28 b Abs. 3 S. 1 IfSG a.F. die Pflicht des Arbeitsgebers, den sog. 3G-Nachweis über eine bestehende Impfung, Genesung oder Negativtestung zu überwachen und zu dokumentieren. Den Arbeitgebern wurde es nach § 28 b Abs. 3 IfSG a.F. ausdrücklich gestattet personenbezogene Daten zu verarbeiten, um sicherzustellen, dass, wie in § 28 b Abs. 1 S. 1 IfSG a.F. vorgesehen, nur Personen mit 3G-Nachweis die Arbeitsstätte betreten. Die Änderung des Infektionsschutzgesetzes  mit Wirkung zum 20. März 2022 hat zur Folge, dass § 28 b IfSG keinen 3G-Nachweis am Arbeitsplatz mehr verlangt.

Demnach entfällt auch die Rechtsgrundlage zur Verarbeitung von Gesundheitsdaten, die besondere personenbezogene Daten iSd Art. 9 Abs. 1 DSGVO darstellen. Vor diesem Hintergrund weist die Datenschutzbeauftragte des Landes NRW darauf hin, dass gesammelte Daten 6 Monaten nach Erhebung zu löschen seien. Außerdem geht sie davon aus, dass bereits jetzt Gesundheitsdaten zu löschen sein könnten, weil die entsprechende Rechtsgrundlage aufgehoben wurde.

In der Praxis sind beispielsweise Vermerke des Arbeitsgebers über den Impfstatus seiner Angestellten umgehend bzw. spätestens in sechs Monaten zu löschen. Die Datenschutzbeauftragte des Landes NRW weist insbesondere darauf hin, dass ein Arbeitsgeber, der den Impfausweis der Angestellten kopiert oder gescannt hat, diesen Nachweis spätestens jetzt löschen sollte. Dies gelte umso mehr, als das diese Vorgehensweise bereits nach alter Rechtslage untersagt war.

Zur Löschung der Gesundheitsdaten müssen diese „ ‚(…) vollständig und unwiderruflich vernichtet werden.‘ “ Laut der Datenschutzbeauftragten des Landes NRW soll bei der Löschung von Daten in Papierform ein geeigneter Aktenvernichter verwendet werden. Es reiche nicht aus, diese einfach zu zerreißen. 

Sind Gesundheitsdaten im Arbeitsgerichtsprozess verwertbar ?

16. März 2022

Das Verwaltungsgericht Wiesbaden hat kürzlich klargestellt, dass auch Gesundheitsdaten in einem arbeitsgerichtlichen Verfahren von der Gegenseite vorgetragen werden können (VG Wiesbaden, Urteil vom 19.01.2022 – 6 K 361/21.W). Die Rechtmäßigkeit der Datenverarbeitung von Gesundheitsdaten in Gerichtsprozessen beurteilt sich nach Art. 6 Abs. 1 S. 1 lit. f DSGVO iVm Art. 9 DSGVO. Lässt sich ein rechtlicher Anspruch nur unter Verarbeitung von Gesundheitsdaten durchsetzen, so dürfen diese auch genutzt werden.

Hintergrund

Der Kläger war längere Zeit krankgeschrieben, sodass er seine Arbeitgeberin um ein Gespräch zum Betrieblichen Eingliederungsmanagement (BEM) nach § 167 SGB IX bat. Hiernach soll insbesondere nach längerer Krankheit die Rückkehr in die Arbeit erleichtert werden. Der Kläger schlug mehrere Teilnehmer für das BEM Verfahren vor, darunter ein Mitglied des Betriebsrats und der Schwerbehindertenvertretung, seinen Vorgesetzten und seinen Bruder. Aus dem Gespräch resultierten jedoch keine Lösungen, sodass beide Parteien zu keinem Ergebnis kamen.

Erfolglose Klage auf behindertengerechte Beschäftigung

Daraufhin klagte der Arbeitnehmer vor dem Arbeitsgericht Hannover gegen seine Arbeitgeberin auf eine behindertengerechte Beschäftigung und Schadensersatz. Die Rechtsanwältin seiner Arbeitgeberin trug in den Gerichtsterminen sowie in eingereichten Schriftsätzen an das ArbG Inhalte aus dem Gespräch, welches der Kläger für das BEM-Gespräch hielt, vor. Dadurch seien sensible private und vertraulich ausgesprochene personenbezogene Daten wissentlich der Öffentlichkeit preisgegeben worden. Das Arbeitsgericht wies die Klage ab, da ein Anspruch auf schwerbehindertengerechte Beschäftigung wegen des fehlenden Präventionsverfahren nach § 167 SGB IX nicht gegeben sei.

Beschwerde bei der Aufsichtsbehörde

Der Kläger wandte sich daraufhin an die Landesbeauftragte für den Datenschutz Niedersachsen (LfD). Er beklagte, dass die Rechtsanwältin seiner Arbeitgeberin rechtswidrig Zugang zu der BEM-Akte erhalten und sogar vor Gericht wörtlich daraus zitiert habe. Es gehe folglich um die unbefugte Erhebung, Speicherung und Verwendung seiner höchstpersönlichen personenbezogenen, insbesondere gesundheitlichen und seine Schwerbehinderung betreffende Daten. Die LfD teilte daraufhin dem Kläger mit, dass die Datenverarbeitung durch die Anwältin nicht zu beanstanden gewesen sei.
Rechtsanwälte sind ein unabhängiges Organ der Rechtspflege, § 1 BRAO. Rechtsanwälte sind berufene unabhängige Berater und Vertreter in allen Rechtsangelegenheiten, § 3 Abs. 1 BRAO. In dieser Eigenschaft verarbeiten sie regelmäßig personenbezogene Daten auf Grund eines Mandats. Der Schwerpunkt der Tätigkeit liegt dabei auf der berufsständisch verankerten unabhängigen Tätigkeit. Rechtsanwälte sind daher datenschutzrechtlich selbst als Verantwortlicher einzuordnen.

Klage vor dem Verwaltungsgericht

Dies nahm der Arbeitnehmer zum Anlass vor dem Verwaltungsgericht Klage gegen die LfD zu erheben, damit diese verurteilt werde, gegen die Anwältin vorzugehen.  Die Frage, ob vorliegend eine Rechtsgrundlage für die Datenverarbeitung durch die Rechtsanwältin besteht, bejaht das Gericht und verweist dazu auf Art. 6 Abs. 1 S. 1 lit. f DSGVO iVm Art. 9 DSGVO. Zunächst stellte das Gericht fest, dass die Anwältin ein berechtigtes Interesse hatte, die von ihrer Mandantin, der Arbeitgeberin des Klägers, gemachten Angaben zu verarbeiten, indem diese im Prozess mitgeteilt wurden. Das berechtigte Interesse ergebe sich aus den vertraglichen Verpflichtungen zwischen der Rechtsanwältin und ihrer Mandantin. Die Verarbeitung von Gesundheitsdaten des Klägers nach Art. 9 Abs. 1 DSGVO ist zulässig, denn sie erfüllt die für eine Datenverarbeitung durch den Vortrag und die Speicherung im Prozess geltenden Voraussetzungen des Art. 9 Abs. 2 lit. f DSGVO.

Zwar ist vom Grundsatz her die Verarbeitung von Gesundheitsdaten einer natürlichen Person untersagt, aus Art. 9 Abs. 2 lit. f DSGVO ergibt sich jedoch, dass dieses Verbot dann nicht gilt, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich ist.

Brandenburger Justizministerin fordert Einsatz von Luca-App zur Strafverfolgung

21. Februar 2022

Die App, die ohnehin schon schon wegen zahlreichen datenschutzrechtlichen Problemen in der Kritik stand (wie hier berichtet), könnte nun auch zum Instrument der Strafverfolgung werden, ginge es nach dem Willen der Brandenburger Justizministerin Susanne Hoffmann. Die Kontaktdaten der Luca-App sollen zur Verfolgung schwerer Straftaten genutzt werden, forderte die CDU-Politikerin am Donnerstag im Rechtsausschuss des Landtages.

Die Kontaktdaten würden ausschließlich zur Verfolgung schwerer Straftaten eingesetzt werden. Als Beispiele für solche schweren Straftaten nennt Hoffmann eine „gewaltsame Auseinandersetzung in einer Lokalität, die in einem Tötungsdelikt endet“ oder eine „Vergewaltigung in einem Restaurant“. Auch würde die App nur bei einer umfassenden Abwägung von Staatsanwaltschaft und Gerichten im Einzelfall zur Anwendung kommen.

Kritik an der Forderung

Von Seiten der Opposition hagelte es jedoch Kritik in puncto Datenschutz. Der rechtspolitische Sprecher der FDP in Brandenburg sprach von einem „Datenmissbrauch“. Der Fraktionschef der freien Wähler, Péter Vida, unterstrich, die Daten der App dürften nur für die Kontaktnachverfolgung von Infektionsketten, aber nicht für die Ermittlung nach Straftaten genutzt werden. Damit spielt er auf das Gebot der Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO im Datenschutz an. Das Gebot der Zweckbindung soll sicherstellen, dass Daten nur für den Zweck verarbeitet werden, für den sie erhoben worden sind. Werden die Daten zu einem anderen Zweck verarbeitet als zu dem sie erhoben wurden, ist die Verarbeitung nicht mehr von der ursprünglichen Rechtsgrundlage gedeckt. Wenn also der Nutzer der Luca-App in die Erhebung seiner Daten zu Zwecken der Kontaktverfolgung von Infektionsketten einwilligt, ist die Verarbeitung seiner Kontaktdaten zum Zwecke der Strafverfolgung rechtswidrig, weil nicht vom ursprünglichen Erhebungszweck gedeckt. Es gilt abzuwarten, ob sich die Forderung von Susanne Hoffmann bei dieser Rechtslage durchsetzen kann.

Datenschutzkonferenz empfiehlt die Corona- Warn- App als datenschutzfreundlichere Alternative zur Kontakterfassung

1. Februar 2022

Am 27.01.2022 fand die erste Zwischenkonferenz der Datenschutzbeauftragten des Bundes und der Länder im neuen Jahr 2022 statt. In diesem Rahmen wurden aktuelle datenschutzrechtliche Fragen und Themen neu evaluiert und erörtert. Dabei soll die Sicherstellung des Grundrechts auf informationelle Selbstbestimmung gewährleistet werden.

Unter dem Vorsitz des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Herrn Prof. Ulrich Kelber wurden auch die grundrechtlichen Bedenken bei der Kontaktdatenerfassung in der Corona- Pandemie durch die Gesundheitsämter neu thematisiert.

Dabei merkte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit an, dass die Sammlung von Kontaktdaten bei aktuell sehr hohen Infektionszahlen ihren notwendigen Zweck nicht erfüllen, weil sie von den überlasteten Gesundheitsämtern nur noch wenig genutzt werden. Auch bei niedrigen Infektionszahlen sieht der Bundesbeauftragte dahingehend ein Problem, dass ein unverhältnismäßiger Eingriff in das Grundrecht auf informationelle Selbstbestimmung der betroffenen Personen vorliegt

Im Rahmen der Datenschutzkonferenz wurde auf Grundlage dessen eine Forderung formuliert, die Möglichkeiten der Corona-Warn App zu nutzen, anstatt weiterhin umfassend Kontaktdaten zu sammeln, welche in diesem Kontext sensible Gesundheitsdaten im Sinne des Art. 9 DSGVO darstellen. „Die App warnt schnell über mögliche Risikokontakte und ist dank der dezentralen Struktur besonders sicher“.

Die DSK sieht eine Realisierung der Forderung auch darin, dass im Landesrecht Regelungen für die Corona-Warn-App vorgesehen werden, um dann besser von den Landesregierungen als sicher beworben und bekannt gemacht werden zu können.

Weitere aktuelle Informationen zur Datenschutzkonferenz finden Sie hier.

Corona-Testseite des EU-Parlaments nicht datenschutzkonform

11. Januar 2022

Das Europäische Parlament verstößt mit seiner Corona-Testseite gegen das europäische Datenschutzrecht. Diese Entscheidung wurde vom Europäischen Datenschutzbeauftragten Wojciech Wiewiorowski (EDSB) bestätigt.

Der Entscheidung vorausgegangen war eine Beschwerde der Datenschutzorganisation „noyb (None of Your Business)“ um den österreichischen Datenschutz-Aktivisten Max Schrems. Diese wurde im Namen von sechs Mitgliedern des Europäischen Parlaments eingereicht. Die Gründe für die Beschwerde waren unter anderem ein irreführender Cookie-Banner und die illegale Übermittlung von Daten in die USA.

Insbesondere zu dem letzten Beschwerdegrund stellte der EDSB fest, dass das Parlament keine Nachweise erbringe, welche die Gewährleistung eines dem europäischen Recht äquivalenten Datenschutzstandard im Rahmen der Übermittlung an die USA zusichern konnten. Auch stellte der EDSB fest, dass die Differenzen der Cookie-Banner, die sich je nach gewählter Sprache ergeben, gegen das geltende Datenschutzrecht verstoßen.

Die Beschwerdegründe stellen einen Verstoß gegen die „DSGVO für EU-Institutionen“ fest (Verordnung (EU) 2018/1725) die nur für EU-Einrichtungen gilt und der DSGVO nachempfunden ist. Der EDSB erteilte aufgrund dieser Verstöße eine Unterlassungsanordnung mit einer Frist von einem Monat.

Datenschutz in Coronazeiten – eine Zusammenfassung

30. Dezember 2021

Seit Anbeginn der Coronapandemie wurde vielfach darüber diskutiert, ob und wie vonseiten der Arbeitgeber Gesundheitsdaten verarbeitet werden dürfen. Seit der nun bestehenden Präventionsmöglichkeit durch einen Impfschutz, konkretisiert sich die Diskussion hin zur Abfrage des Impfstatus durch den Arbeitgeber im Betrieb.

1. Verarbeitung von Gesundheitsdaten im Betrieb

Die Verarbeitung von Gesundheitsdaten im Beschäftigtenverhältnis kann mit Blick auf die arbeitgeberseitige Fürsorgepflicht gemäß §§ 611 a, 241 II BGB und nach § 167 II SGB IX  geboten und erforderlich sein. Ferner ist für Beschäftigte eine Verpflichtung vorgesehen, welche besagt, dass diese bei „begründeter Veranlassung“ zu einer ärztlichen Untersuchung der Arbeitsfähigkeit verpflichtet werden können.

2. Besondere Kategorien personenbezogener Daten nach der DSGVO

Art. 9 Abs. 1 DSGVO stuft Gesundheitsdaten als besondere Kategorie personenbezogener Daten und damit als besonders schützenswert ein. Art. 9 Abs. 1 DSGVO normiert für diese sensiblen Daten ein restriktives Verarbeitungsverbot, wonach diese nur in den abschließend geregelten Ausnahmefällen des Art. 9 Abs. 2 DSGVO verarbeitet werden dürfen. Bei der Verarbeitung von Gesundheitsdaten im Betrieb ist stets eine besondere Vorsicht geboten, da diese oftmals das Risiko mit sich bringt, dass einmal zugänglich gemachte Informationen zur Begründung einer negativen Gesundheitsprognose im Rahmen einer krankheitsbedingten Kündigung zweckentfremdend genutzt werden können.  

3. Präventionsmaßnahmen während der Pandemie

Den Arbeitgebern standen mehrere optionale Präventionsmaßnahmen zur Verfügung. So hatten zu Beginn der Pandemie Arbeitgeber gegenüber den Beschäftigten ein Fragerecht bei Rückkehr aus dem Urlaub hinsichtlich des Aufenthaltorts und, ob es sich bei diesem um ein Risikogebiet handelte. Außerdem stand dem Arbeitgeber auch zu, von dem Beschäftigten die Information zu erlangen, ob dieser in einer ebenfalls näher durch das RKI beschriebenen Weise, in direktem und ansteckungsrelevanten Kontakt mit einer infizierten Person stand. Ferner wurde auch über die Anwendung von Wärmebildkameras diskutiert, mit Hilfe derer man die Körpertemperatur eines Beschäftigten ermitteln wollte. Jedoch hielt die DSK den Einsatz vor dem Hintergrund des Erforderlichkeitsvorbehalts überwiegend für ungeeignet, da „eine erhöhte Körpertemperatur nicht zwangsläufig als symptomatisch für eine SARS-CoV-2-Infektion angesehen werden kann“.

4. Verarbeitung des Impfstatus im Betrieb

Grundrechte wurden in der Krisenzeit eingeschränkt und auch vorbehaltslos gewährleistete Grundrechte fanden im kollidierenden Verfassungsrecht eine Schranke. Diese Beschränkungen finden ihre Grundlage aber nicht in betrieblichen Regelungen oder Weisungen der Arbeitgeberseite, sondern bedürfen einer normklaren gesetzlichen Rechtsgrundlage, etwa durch den Bundesgesetzgeber im IfSG.

a. Rechtsgrundlage für Datenverarbeitung

Im Zuge der Entwicklung von Impfstoffen wurde die Debatte darüber, inwiefern der Impfstatus im Beschäftigtenkontext erhoben und verarbeitet, insbesondere gespeichert werden darf, immer lauter. Letztendlich hat sich ein gewisser Konsens dahingehend gebildet, dass eine Verarbeitung des Impfstatus an sich ausgeschlossen ist und nur in besonders vulnerablen Branchen, namentlich bei Heil-/Pflegeberufen erforderlich ist. Hintergrund ist auch, dass zumindest nach dem Leitbild des Gesetzgebers in §§ 23, 23 a des Infektionsschutzgesetzes eine Befugnisnorm für dort näher bezeichnete Arbeitgeber der Heil- und Pflegebranche normiert ist, den Impfstatus der Beschäftigten zu verarbeiten. Darüber hinaus bestehen in den deutschen Ländern Sonderregelungen, in Baden-Württemberg etwa die „CoronaVO Krankenhäuser und Pflegeeinrichtungen“, welche ebenfalls nähere Regelungen zur Abfrage des Immunisierungsstatus enthalten. Eine generelle Verarbeitungsgrundlage für die Abfrage des Impfstatus durch den Arbeitgeber ist bisher gesetzlich jedenfalls nicht normiert.

b. Lohnfortzahlung nach § 56 I IfSG

Auf Grund des jüngsten Beschlusses der Gesundheitsministerkonferenz vom 22.9.2021 wird zunehmend diskutiert, ob zumindest in den Fällen, in denen Beschäftigte gegenüber ihrem Arbeitgeber einen Anspruch auf Geldentschädigung nach § 56 I IfSG geltend machen, eine Abfrage des Impfstatus zulässig erfolgen kann. Kommt es zu einer so genannten Absonderungsverpflichtung eines Beschäftigten und zahlt der Arbeitgeber den Lohn des Beschäftigten weiter, so kann er sich den für die Dauer dieser Absonderung ansonsten entstandenen Verdienstausfall bei der zuständigen Behörde erstatten lassen. Der Arbeitgeber geht insoweit in Vorleistung und übernimmt die Auszahlung zunächst „stellvertretend als Zahlstelle für die zuständige Behörde“. Zu einer derartigen Erstattung kommt es jedoch nicht in Fällen, in denen die Quarantäne durch „Inanspruchnahme einer Schutzimpfung“ hätte vermieden werden können. Hierzu wird nun vertreten, dass in diesen Konstellationen die Abfrage und Nutzung des Impfstatus in Einklang mit 26 III BDSG, Art. 9 II Buchst. b DS-GVO erfolgt.

c. Keine Auskunftspflicht des Beschäftigten

Der Arbeitgeber darf den Impfstatus des Beschäftigten zwar durchaus erfragen, wenn er „stellvertretend“ die Entschädigung nach § 56 I IfSG für die zuständige Behörde ausbezahlt. Allerdings trifft den Beschäftigten insoweit keine Verpflichtung, dem Arbeitgeber den Impfstatus oder andere Gesundheitsdaten, etwa chronische Vorerkrankungen oder Umstände wie eine Schwangerschaft, zu offenbaren. Eine solche Verpflichtung ergibt sich weder aus dem IfSG noch aus dem BDSG, als grundrechtsrelevante und damit wesentliche Pflicht des Beschäftigten hätte insoweit eine normenklare, eindeutige Gesetzesgrundlage geschaffen werden müssen. Auch lässt sich eine vertragliche Pflicht des Beschäftigten, den Arbeitgeber im Rahmen seiner Bemühungen um eine Erstattung der verauslagten Lohnkosten zu unterstützen schon deswegen nicht begründen, weil mit Blick auf die Sensibilität der hierzu benötigten Daten eine solche Verpflichtung ihm nicht zumutbar wäre. Somit ist vielmehr von einer bloßen Obliegenheit des Beschäftigten auszugehen, wonach dieser ohne Auskunftserteilung zwar keine Rechtspflicht verletzt, aber möglicherweise tatsächliche Nachteile (wie eine Beendigung der Lohnweiterzahlung) zu erwarten hätte.

Fazit

Hinzuweisen ist hierbei noch auf den § 28b Abs. 1 IfSG. Nach dem § 28b Abs.1 IfSG dürfen Arbeitgeber und Beschäftigte in Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können, nur betreten, wenn sie geimpfte, genesene oder getestete Personen sind und einen Impf-, Genesenen- oder Testnachweis mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben.

Die Debatte um die Geltendmachung der Entschädigungsansprüche nach § 56 IfSG zeigt offensichtlich, warum die Verarbeitung von sensiblen Gesundheitsdaten außerhalb der betrieblichen Sphäre liegen sollte. Auch in der Praxis der Aufsichtsbehörde wird deutlich: Viele Beschäftigte und Betriebe sind verunsichert, die Rechtslage ist unklar und umstritten. Von Seiten der Aufsichtsbehörden werden ebenfalls unterschiedliche Ansichten vertreten, eine einheitlich Linie gemeinsam mit dem Bundesgesundheitsministerium, wäre wünschenswert. Es liegt nun also am Gesetzgeber, in diesem sensiblen Feld für Klarheit und Rechtsfrieden zu sorgen.

Schulen dürfen den Impfstatus von Schülerinnen und Schülern häufig nicht erheben

9. Dezember 2021

Seit den Änderungen des Infektionsschutzgesetzes (IfSG), die seit dem 24. November deutschlandweit gelten, dürfen Arbeitgeberinnen und Arbeitgeber den Impfstatus ihrer Beschäftigten abfragen und sind zur Kontrolle und Dokumentation des jeweiligen „G-Status“ ihrer Mitarbeitenden verpflichtet. Mit der Aktualisierung des IfSG hat der Gesetzgeber die von Arbeitgeberinnen und Arbeitgebern lang ersehnte Rechtsgrundlage für eine solche Abfrage und Dokumentation geschaffen.

Eine bundesweit einheitliche Rechtsgrundlage für die Abfrage und Dokumentation des Impfstatus von Schülerinnen und Schülern fehlt jedoch auch nach den Neuerungen des IfSG. Zwar dürfen Schulen den Impf-, Genesenen- oder Teststatus ihrer Lehrkräfte und Beschäftigten abfragen und dokumentieren. Den „G-Status“ von Schülerinnen und Schülern dürfen Schulen hingegen nur dann erheben, wenn die jeweiligen landesrechtlichen Regelungen eine entsprechende Rechtsgrundlage dafür vorsehen. Dies ist in einigen Bundesländern bereits der Fall und die Landesverordnungen sehen solche Regelungen grundsätzlich vor, so z.B. in NRW. In Hessen hingegen fehlt eine solche Rechtsgrundlage.

Die hessischen Corona-Schutzverordnung, die zwar explizit die Abfrage dieser Gesundheitsdaten vorsieht, enthält keine Rechtsgrundlage für die Dokumentation, d.h. Speicherung dieser Daten in einer Liste oder digitalen Datei. Die damit einhergehenden Probleme hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) in einer Stellungnahme vom 30.11.2021 verdeutlicht. Diese ergeben sich, so der Hessische Datenschutzbeauftragte insbesondere daraus, dass an den Schulen nach der Landesverordnung einerseits eine Testpflicht bestehe, um am Unterricht teilnehmen zu können, andererseits viele Schülerinnen und Schüler aber bereits über einen Impfnachweis verfügten, seitdem die STIKO im Sommer ihre Impfempfehlung für Kinder und Jugendliche ab 12 Jahren ausgesprochen hat. In diesen Fällen bestehe nach der derzeitigen Regelung in Hessen nicht die Möglichkeit, einen von den Schülerinnen und Schülern freiwillig vorgezeigten Impfausweis zu dokumentieren. Damit müssten die Schulen, sollte ein Impfausweis beispielsweise vergessen werden, auch trotz Impfung einen Test bei den betroffenen Schülern durchführen. Eine Möglichkeit für Schulen, die erneute Vorlage des Impfausweises zu vermeiden, besteht nach derzeitigen Regelungen in Hessen somit nicht.

Der HBDI ist bereits an das Hessische Kultusministerium herangetreten und hat empfohlen, eine entsprechende Lösung für dieses Problem zu finden. Es bleibt daher abzuwarten, wann diese umgesetzt wird und ob auch hier eine bundeseinheitliche Regelung getroffen wird.

Corona-Daten gelangen ins Netz

12. November 2021

In mehreren Berliner Corona-Testzentren hatten die Betreiber eine unsichere Software-Lösung benutzt. Dies hat dazu geführt hat, dass hunderttausende Nutzerdaten von Getesteten im Internet aufgetaucht sind. Betroffen sind diejenigen Kunden, die sich bei Testzentren „Schnelltest Berlin“ haben testen lassen. Das IT-Kollektiv „Zerforschung“ fand heraus, dass aufgrund einer nicht geschützten Schnittstelle verschiedener Testanbieter die Daten ins Netz gelangen konnten und somit für Dritte einsehbar waren.

Neben sensiblen, personenbezogenen Daten wie Name, Anschrift oder Telefonnummer befanden sich darunter offenbar auch Testergebnisse und Zertifikate des Robert-Koch-Instituts (RKI). Weiter fand Zerforschung heraus, dass sich auch Testzertifikate für PCR-Tests erstellen ließen. So konnten die Programmierer ein Zertifikat über ein negatives Corona-Testergebnis für einen von ihnen frei gewählten Namen ausstellen. In einem Versuch generierten sie einen PCR-Test, der mit negativem Ergebnis für einen fiktiven 177 Jahre alten Mann ausgestellt werden konnte. Hinzu kommt, dass das manipulierte Testzertifikat selbst den sogenannten BärCODE enthielt. Dieser markiert Zertifikate im Normalfall als offiziell und gilt als Sicherheitsmerkmal.

Nach Aufdeckung der Sicherheitslücken informierte Zerforschung die zuständigen Stellen. Der Betreiber der in Rede stehenden IT-Datenbank „WeCare Services“ hat auf Nachfrage gegenüber dem rbb die Datenpanne zugegeben und versichert, die Lücken seien inzwischen geschlossen. Kunden wurden bisher nicht über die Datenlücke informiert.

Der Zusammenschluss „Schnelltest Berlin“ ist nicht der einzige Anbieter, der Sicherheitsmängel aufweist. Auch andere Teststellen gehen unverantwortlich mit Daten um. Dementsprechend sind diese Fehler weitverbreitet, so Zerforschung gegenüber rbb24.

Digitale Krankenakte – Datenschutzbehörde weist Krankenkassen zu digitaler Patientenakte an

10. September 2021

Der Bundesdatenschutzbeauftragte Ulrich Kelber weist vier große gesetzliche Krankenkassen an, die neue elektronische Patientenakte (ePa) mit weiteren Datenschutzfunktionen zu erweitern. Anderenfalls verstoße die digitale Patientenakte gegen die DSGVO, so Kelber am Donnerstag. Es sollen noch weitere Anweisungen an andere Kassen erfolgen. 

Kelber verlangt, dass die Versicherten selbst bestimmen können, wer was zu sehen bekommt. „Dem Versicherten muss das Recht eingeräumt werden, welches Dokument er welchem Dritten (Arzt, Therapeut etc.) zur Kenntnis geben möchte“, heißt es in dem Schreiben an die Krankenkassen, dass der Deutschen Presse-Agentur vorliegt. Ein „Alles-oder-Nichts-Prinzip“ entspreche nicht dem Stand der Technik und verstoße gegen die DSGVO.

Zudem stört Kelber, dass die ePA von den Versicherten nur mit einem geeigneten Smartphone eingesehen und verwaltet werden kann. „90 Prozent der Versicherten mit mobilen Endgeräten werden ab 2022 Einblick nehmen und den Zugriff auf die Inhalte steuern können.“ Den anderen zehn Prozent solle das verwehrt bleiben. „Dabei kann man das natürlich organisatorisch auch für diese zehn Prozent umsetzen.“ Es gebe zwar die Möglichkeit, Dritten eine Vollmacht zur Einsichtnahme und Bearbeitung auszustellen und damit „die eingeschränkte Datensouveränität zu lindern, vollständig wiederherstellen vermag sie die eingeschränkte Souveränität jedoch nicht.“

Die Vollmacht-Lösung geht nach Einschätzung Kelbers auch nicht auf Bedenken gegen eine Verarbeitung von Gesundheitsdaten auf privaten Endgeräten ein. Hier sei vorstellbar, dass die Krankenkassen in ihren Filialen beispielsweise einen Tablet Computer in einem geschützten Netz vorhalten, auf dem sich die Versicherten einloggen und ihre persönliche Patientenakte verwalten können.

Der Streit um die Freigabe in der ePA dürfte in einen Rechtsstreit enden. Experten gehen davon aus, dass quasi alle Krankenkassen gegen Weisungen des Bundesbeauftragten klagen werden. Der Barmer-Vorstandsvorsitzende Christoph Straub hat sich bereits für rechtliches Vorgehen ausgesprochen. Gegen die Anweisung Kelbers kann beim Sozialgericht Köln Klage erhoben werden.

1 2 3 4 14