Schlagwort: Gesundheitsdaten
12. Januar 2023
Mit einem Beschluss (Az. I ZR 222/19 und I ZR 223/19) vom 12. Januar 2023 hat der Bundesgerichtshof (BGH) entschieden, den Gerichtshof der Europäischen Union (EuGH) im Rahmen des Vorabentscheidungsverfahrens anzurufen. Der BGH möchte geklärt wissen, „(…) ob ein Apotheker, der auf einer Internet-Verkaufsplattform Arzneimittel vertreibt, gegen die für Gesundheitsdaten geltenden datenschutzrechtlichen Bestimmungen verstößt (…)“.
Hintergründe
Hintergrund des Verfahrens ist die Klage eines Apothekers gegen zwei weitere Apotheker. Die beiden beklagten Apotheker vertrieben, so der BGH, über die Internetplattform Amazon verschiedene apotheken- aber nicht verschreibungspflichtige Medikamente. Im Rahmen der erstinstanzlichen Klage habe der klagende Apotheker u.a. wissen wollen, ob die beklagten Apotheker mit dem Vorgehen gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen.
Hinsichtlich der datenschutzrechtlichen Bestimmungen habe sich die Frage gestellt, ob die Beklagten im Rahmen des Bestellvorgangs personenbezogene Daten der Kunden verarbeiten. Dabei sei für den Bestellvorgang, neben dem Namen und der Lieferadresse, eine Information zur „(…) Individualisierung des bestellten apothekenpflichtigen Medikaments (…)“ notwendig. Bei diesen Informationen könne es sich um sog. Gesundheitsdaten, d.h. personenbezogene Daten besonderer Kategorie im Sinne des Art. 9 Abs. 1 DSGVO handeln. Der klagende Apotheker habe außerdem moniert, dass die Beklagten keine Einwilligung zur Datenverarbeitung eingeholt hätten.
Vorlagefragen
Der BGH legte fest, dass der EuGH hinsichtlich der datenschutzrechtlich relevanten Bestimmungen anzurufen sei. Insoweit sei es fraglich, ob der Beklagte mit dem Verkauf der Arzneimittel gegen die DSGVO verstoße.
Außerdem entschied der BGH, dass dem EuGH eine weitere Vorlagefrage vorgelegt werden müsse. Demnach möchte der BGH wissen, ob der in Frage stehende Verstoß gegen die DSGVO „(…) mit einer wettbewerbsrechtlichen Klage vor den Zivilgerichten verfolgt werden kann.“ Es sei dementsprechend zu klären, ob hinsichtlich Kapitel VIII DSGVO die Grundverordnung nationalen Regelungen vorgehe. Folglich sei es fraglich, ob dem Mitbewerber ein Klagerecht gegen den Konkurrenten zustehe.
1. Dezember 2022
Vergangene Woche veröffentliche die Konferenz der unabhängigen Datenschutzbehörden des Bundes und Länder (DSK) die „Petersberger Erklärung“, in der sie sich „zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung“ äußerte. Konkret behandelte die DSK die Frage, wie der Gesetzgeber den Rahmen für eine datenschutzkonforme Verarbeitung von Forschungsdaten schaffen könne.
Forderung nach neuer Rechtsgrundlage
Zunächst betonte die DSK, dass neben der Möglichkeit, einen europäischen Gesundheitsdatenraum (wir berichteten) auszugestalten, auf nationaler Ebene der Bedarf zur Regelung der Nutzung von Forschungsdaten bestehe. Dabei bekräftigte die DSK als zentrale Forderung, dass die Einzelperson „(…) nicht zum bloßen Objekt der Datenverarbeitung gemacht werden“ dürfe.
Aus Sicht der DSK könne die Rechtsgrundlage für die Nutzung von Forschungsdaten eine datenschutzrechtliche Einwilligung im Sinne des Art. 4 Nr. 11 iVm Art. 7 DSGVO sein. Alternativ könne der Gesetzgeber eine gesetzliche Regelung als Rechtsgrundlage zur Datenverarbeitung schaffen. Dabei müsse eine Interessenabwägung erfolgen. Es sei einerseits das Recht auf informationelle Selbstbestimmung der betroffenen Personen zu beachten. Andererseits sei das Gemeinwohlinteresse zu berücksichtigen, zu dessen Zweck die Forschung erfolge.
Forderung nach weitreichenden Schutzmaßnahmen
Außerdem unterstrich die DSK die Wichtigkeit geeigneter „Garantien für die Rechte und Freiheiten betroffener Personen“. Geeignete Maßnahmen zum Schutz seien zunächst die Datenminimierung und Anonymisierung. Wenn eine Anonymisierung nicht möglich sei, solle zumindest eine Pseudonymisierung erfolgen. Letztere könne Aufgabe einer zu erschaffenden unabhängigen und eigenverantwortlichen Vertrauensstelle sein.
Soweit Forschende personenbezogene Daten aus verschiedenen Datenbanken verknüpfen wollen, solle eine Regelung besondere Schutzmaßnahmen vorsehen. Insbesondere die Einführung einer technischen Methode solle sicherstellen, dass trotz der Verknüpfung betroffene Personen nicht identifiziert werden können. Außerdem solle der Gesetzgeber festlegen, wer für einzelne Verarbeitungstätigkeiten im Forschungsprozess Verantwortlicher iSd Art. 4 Nr. 7 DSGVO sei.
Darüber hinaus äußerte die DSK sich zu der Regelung eines medizinischen Registers. Sie empfahl, dass zunächst eine Übersicht über die bereits bestehenden Register einzurichten sei. Auf diese Weise könne der Gesetzgeber dazu beitragen, eine mehrfache Datensammlung zu vermeiden. Bei der Errichtung eines neuen Register sei ein Standard für die einzuhaltende Qualität festzulegen.
Forschungsgeheimnis und neue Befugnisse
Im Anschluss forderte die DSK die Einführung eines Forschungsgeheimnisses. Das Ziel sei es, die unbefugte Offenlegung von Forschungsdaten unter eine Strafe zu stellen.
Abschließend forderte die DSK, dass die Datenschutzaufsichtsbehörden neue Befugnisse erhielten. Sie sollten erlassene Maßnahmen sofort vollziehen können.
16. September 2022
Letzte Woche ging es in Teil 1 um allgemeine Fragen über die eGK.
In Teil 2 geht es heute um den Datenschutz auf der eGK und darum, wie man künftig mit der eGK E-Rezepte abholen kann.
Wie werden die Daten auf der eGK geschützt?
Der Datenaustausch über die eGK findet über die sog. Telematikinfrastruktur (TI) statt. Für diese ist die gematik zuständig. In der TI werden die Gesundheitsdaten zu jedem Zeitpunkt verschlüsselt. Dadurch soll verhindert werden, dass Unbefugte die Daten lesen können. Ein Signaturverfahren schützt die Daten vor unberechtigter Veränderung und stellt die Urheberschaft der Daten sicher.
Zugriff auf die Daten der eGK hat nur ein gesetzlich festgelegter Personenkreis, z.B. (Zahn-)Ärztinnen und (Zahn-) Ärzte.
Möchten diese auf die gespeicherten Gesundheitsdaten des eGK zugreifen, erfolgt dies nach dem sog. „2-Schlüssel-System“. Die Versicherten müssen ihre Daten zunächst mit dem ersten „Schlüssel“ freischalten und dazu einen PIN eingeben. Dann müssen die Ärztinnen und Ärzte ihren zweiten „Schlüssel“ eingeben, dieser besteht aus ihren Heilberufsausweis und ebenfalls einer PIN.
Sollte der eGK einmal verloren gehen, muss dies der Krankenkasse gemeldet werden, damit der Versicherte eine neue eGK bekommt. Die auf dem Chip gespeicherten Daten sind durch ihre Verschlüsselung aber trotzdem vor unbefugten Zugriffen geschützt.
Wie kann man seine E-Rezepte zukünftig mit der eGK abholen?
Wenn man diese Funktion nutzen möchte, kann man zukünftig seine eGK in der Apotheke vorzeigen. Diese wird dann – wie in einer Arztpraxis- eingelesen. Dabei wird geprüft, ob die Karte auch nicht gesperrt und das Authentisierungszertifikat gültig ist. Ist dies gegeben, können die Versichertenstammdaten eingesehen werden. Auch offene Rezepte werden dann angezeigt, die in der Apotheke dann eingelöst werden können.
Für diese Verfahren soll die Eingabe einer PIN nicht erforderlich sein, damit auch Vertretungsfälle (Versicherter bittet z.B. Angehörigen, das Rezept einzulösen) möglich sind.
9. September 2022
Nachdem das neue, elektronische Rezept (auch E-Rezept) in den letzten Wochen aufgrund datenschutzrechtlicher Bedenken zum Übermittlungsvorgang bereits Gesprächsstoff war, gibt es dazu eine neue Ankündigung. So veröffentlichte die gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte, Nationale Agentur für Digitale Medizin) eine Pressemitteilung, nach der Patientinnen und Patienten künftig auch mit ihrer elektronischen Gesundheitskarte (eGK) E-Rezepte für verschreibungspflichtige Arzneimittel einlösen können.
Wie die eGK eigentlich genau funktioniert und wie man damit seine E-Rezepte abholen soll, erläutern wir im Folgenden in einem zweiteiligen Beitrag.
In Teil 1 werden wir diese Woche zunächst allgemeines über die eGK erklären.
Was genau ist die eGK?
Die elektronische Gesundheitskarte gilt seit dem 01.01.2015 als Berechtigungsnachweis für gesetzlich Versicherte. Sie werden von den jeweiligen Krankenkassen an ihre Versicherten ausgeteilt. Sie dient als Ausweismöglichkeit in einer Arztpraxis oder einem Krankenhaus. Auf ihr können außerdem persönliche Daten gespeichert werden.
Welche Daten werden auf der eGK gespeichert?
Auf der Vorderseite der eGK selbst sind der Name des Versicherten und seine Versichertennummer, sowie ein Lichtbild abgedruckt.
In der Karte befindet sich ein Mikroprozessor-Chip. Auf diesem sind zunächst administrative Daten der Versicherten z.B. Name, Geburtsdatum, Anschrift und Angaben zur Krankenversicherung (Krankenversichertennummer und Versichertenstatus) gespeichert. Diese Daten werden auch Versichertenstammdatenmanagement (VSDM) genannt. Diese Daten auf dem Chip zu speichern ist Pflicht.
Auf Wunsch des Versicherten können zusätzlich Notfalldaten (NFDM) auf der eGK gespeichert werden. Dazu gehören z.B. Informationen zu Arzneimittelunverträglichkeiten, Allergien und chronischen Erkrankungen, sowie Kontaktdaten zu behandelnden Ärzten und zu Angehörigen.
Auch der elektronische Medikationsplan (eMP) und die elektronischen Patientenakte (ePA) können auch Wunsch der Versicherten genutzt werden.
Wie funktioniert die eGK?
Die eGK wird vor ärztlichen Behandlungen eingelesen, wobei die Praxen dann die auf dem Chip gespeicherten, administrativen Daten abrufen können. Bei Bedarf können die Praxen diese Daten aktualisieren. Dadurch wird geprüft, ob ein gültiges Versicherungsverhältnis besteht.
Neue Karten sind außerdem mit einer Near Field Communication (NFC) – Funktion versehen. Dadurch ist mit einem PIN ein kontaktloser Datenaustausch möglich.
Die Rückseite der eGK kann von den Krankenkassen als “Europäische Krankenversicherungskarte” verwendet werden und macht somit eine unbürokratische Behandlung innerhalb Europas möglich.
In Teil 2 geht es dann nächste Woche um den Datenschutz auf der eGK und darum, wie man künftig mit der eGK E-Rezepte abholen kann.
23. August 2022
Das elektronische Rezept, welches ab dem 01. September 2022 bundesweit eingeführt werden soll, wurde in Schleswig-Holstein aufgrund datenschutzrechtlicher Bedenken, gestoppt.
Was ist das elektronische Rezept?
Das elektronische Rezept (auch „E-Rezept“) ist ein Rezept, dass ausschließlich digital erstellt und signiert wird. Es soll laut Bundesgesundheitsministerium das Gesundheitswesen digitalisieren und Abläufe vereinfachen. Auch wer als Patient eine Videosprechstunde in Anspruch nimmt, soll sich danach den Weg in die Praxis für das Rezept-Abholen sparen können. Gleichzeitig soll das E-Rezept Behandlungen auch sicherer machen. Das E-Rezept soll auch weitere Anwendungen ermöglichen, z.B. eine Medikationserinnerung und einen Medikationsplan mit eingebautem Wechselwirkungscheck. Patienten können das Rezept über eine E-Rezepte-App verwalten und digital an die gewünschte Apotheke ihrer Wahl senden. Wer die App nicht nutzen möchte, kann sich die für die Einlösung des Rezeptes erforderlichen Zugangsdaten als Papierausdruck in der Arztpraxis aushändigen lassen. Das E-Rezept enthält einen Rezeptcode und ist ohne händische Unterschrift gültig (hier können Sie so einen Ausdruck sehen). Eingelöst werden können die E-Rezepte dann in jeder Apotheke oder Online-Apotheke. E-Rezepte sollen 100 Tagen nach der Einlösung automatisch gelöscht werden (weitere Fragen zur App werden hier beantwortet).
Warum wurde es in Schleswig-Holstein gestoppt?
In Schleswig-Holstein und Westfalen-Lippe wurden in einer Testphase Pilotprojekte des E-Rezeptes in ausgewählten Praxen und Krankenhäusern betrieben. Ab dem 01. September 2022 soll die „Rollout-phase“ beginnen und nach einem regional und zeitlich gestuften Verfahren nach und nach bundesweit das E-Rezept eingeführt werden.
Nun hat sich die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) vorerst aus der Einführung des E-Rezeptes zurückgezogen. Grund dafür ist laut einer Pressemitteilung des Datenschutzbeauftragten Schleswig-Holstein (ULD), dass die KVSH vorgeschlagen hatte, die E-Rezepte per SMS oder E-Mail an Menschen ohne E-Rezepte-App zu versenden. Dies lehnte der ULD ab und verwies darauf, dass es sich bei dem E-Rezept um sensible Gesundheitsdaten handle. Diese per E-Mail zu versenden, stelle eine Übermittlung dieser Daten dar. Das Verfahren sei dafür zu unsicher. Die KVSH sieht durch diese Untersagung eine Alltagstauglichkeit des E-Rezeptes nicht mehr gegeben.
Die Rezepte-App selbst wurde vom ULD nicht geprüft. Ob der Rückzug der KVSH einen Einfluss auf die Einführung des E-Rezeptes haben wird, bleibt abzuwarten.
22. Juli 2022
Im ersten Teil unseres Beitrags haben wir uns letzte Woche mit Perioden-Tracker-Apps und der diesbezüglichen Rechtslage in den USA und in Europa beschäftigt.
Im zweiten Teil thematisieren wir heute das Problem des Datenhandels sowie die Frage, welche Konsequenzen sich für europäische Nutzerinnen von Perioden-Tracking-Apps ergeben.
Was ist Datenhandel und wie weit ist er verbreitet?
Datenhandel ist ein weitverbreitetes Geschäft. Dabei sammeln Datenhändler alle möglichen Daten, die öffentlich einsehbar sind. Teilweise erwerben sie aber auch Daten von Unternehmen, die bereit sind, diese zu verkaufen. Dann verkaufen Datenhändler gewisse Daten weiter an Interessierte. Zweck dahinter ist meist zielgerichtete Werbung. Datenhandel kann aber auch für politische Kampagnen genutzt werden.
In Europa wird Datenhandel durch die Vorgaben der DSGVO begrenzt. Ein Beispiel dafür sind die Anforderungen an eine Einwilligung. Eine solche können betroffene Personen abgeben, sodass ihre Daten dann auf Grundlage dieser Einwilligung weiter verarbeitet und gespeichert werden. In Europa ist durch die DSGVO genau vorgegeben, wie eine solche Einwilligung zu erfolgen hat. So muss die betroffene Person u.a. umfassend informiert werden. In den USA gibt es solche Voraussetzungen kaum, dort sind an eine Einwilligung viel geringere Anforderungen gesetzt. Deshalb bietet es sich für Datenhändler an, dort ihren Sitz zu haben. In den USA können Gesundheitsdaten teilweise ab § 79 von Privatpersonen erworben werden.
Was hat Datenhandel mit dieser Debatte zu tun?
Unzureichend geschützte Menstruations-Daten können von Datenhändlern gesammelt oder sogar bei den Unternehmen, die solche Daten erheben und verarbeiten selbst erworben werden. Wenn Dritte an diese Daten gelangen, kann das für die betroffenen Personen ernsthafte Konsequenzen haben. So könnten z.B. radikale Abtreibungsgegner diese Daten von Datenhändlern erwerben, um Betroffene anzuzeigen und so der strafrechtlichen Verfolgung auszusetzen.
Beispielhaft für die persönlichen Konsequenzen, die sich durch einen solchen Datenhandel ergeben können, ist der Fall eines US-amerikanischen Priesters. Ein katholischer Newsletter erhielt von einem Datenhändler Daten der App „Grindr“, einer LGBTQ-Dating App. Beim Auswerten dieser Daten, zu denen u.a. Standortdaten der Nutzer gehörten, konnten sie ein Profil dem Priester zuordnen und aufgrund seiner Standorte nachweisen, wann er sich in welchen LGBTQ-Bars aufgehalten hatte. Der Mann wurde zwangsweise geoutet und musste zurücktreten.
Fazit: Was bedeutet dies für Nutzerinnen von solchen Apps in Europa?
Zwar besteht in Europa dank der DSGVO ein anderes Datenschutzniveau als in den USA. In Deutschland sind Schwangerschaftsabbrüche außerdem unter bestimmten Voraussetzungen bis zur 12. Woche straffrei, sodass diesbezüglich keine vergleichbare Lage herrscht. Jedoch gibt es auch in Europa Länder, in denen Frauen gut beraten sind, ihre Menstruations-Daten besonders zu schützen. So sind z.B. in Polen Abtreibungen praktisch verboten. Die Regierung möchte zudem ein landesweites „Schwangerschafts-Register“ einführen. Auch hier befürchten Kritiker eine geplante Kontrolle von Schwangerschaften und deren Länge.
Insgesamt sind auch deutsche Nutzerinnen gut damit beraten, eine App zu verwenden, die aus der EU kommt und sich damit an die Grundsätze der DSGVO halten muss. Bei Apps aus dem EU-Ausland kann nicht ausgeschlossen werden, dass mit den dort gespeicherten Daten Handel betrieben wird.
14. Juli 2022
Nach dem historischen Urteil des US Surpreme Courts vom 24.06.2022, in dem das in den USA ca. 50 Jahre lang bestehende Recht auf Abtreibung gekippt wurde, sind Debatten über sogenannte „Perioden-Tracker-Apps“ in aller Munde. Befürchtet wird, dass die in diesen Apps gespeicherten Gesundheitsdaten direkt an staatliche Institutionen in den USA oder an Datenhändler gelangen könnten. Woraus diese Befürchtungen resultieren, werden wir im Folgenden in zwei Teilen beantworten.
Im ersten Teil beschäftigen wir uns mit Perioden-Tracker-Apps und der Rechtslage in den USA und in Europa.
Welche Daten erheben solche Apps?
Die Perioden-Tracker-Apps sind dazu gedacht, dass Menstruierende dort Informationen zu ihrem Zyklus speichern können. So kann u.a. angegeben werden, wann eine Blutung und der Eisprung stattfinden. Auch Daten wie Körpergröße, Gewicht, Temperatur und Sexualkontakte können dort gespeichert werden. Dies soll den Nutzerinnen einen besseren Überblick über ihren Zyklus verschaffen. Solche Apps können auch die fruchtbaren Tage anzeigen, sodass sie bei der Familienplanung hilfreich sein können.
Welche datenschutzrechtlichen Bedenken gibt es?
Aus den gespeicherten Daten kann sich u.a. ergeben, dass eine Schwangerschaft nicht länger besteht. Es wird befürchtet, dass diese Daten von Perioden-Tracker-Apps unzureichend vor der Weitergabe an Dritte oder sonstigen Zugriffen geschützt sind. In der Vergangenheit standen solche Apps schon häufiger in der Kritik, ihre Daten nicht ausreichend zu schützen. So hatte eine Perioden-Tracker-App in der Vergangenheit bereits intime Daten an Facebook und Google weitergegeben.
Künftig könnten Frauen, die eine Abtreibung vornehmen lassen über die, in solchen Apps verarbeiteten Daten, identifiziert werden. Da Abtreibungen zukünftig in einigen Staaten der USA strafbar sein werden, könnte dies zu Repressalien gegenüber der betroffenen Frau führen. Aber auch Fehlgeburten oder schlicht falsche Daten könnten Frauen zukünftig in Erklärungsnot bringen. Konkret wird befürchtet, dass die Polizei oder behördliche Einrichtungen diese Daten anfordern.
Wie ist die Rechtslage im Datenschutz?
In Europa sichert die europäische Datenschutzgrundverordnung (DSGVO) ein bestimmtes Datenschutzniveau. So gibt es beispielsweise Betroffenenrechte, die u.a. ein Recht auf Löschung von Daten gewähren. Die USA haben bisher kein bundeseinheitliches Datenschutzgesetz, ein Entwurf liegt aber mittlerweile vor. Momentan gibt es nur einzelne Regeln für bestimmte Bereiche, z.B. für Verbraucher. Spezielle Datenschutzgesetze gibt es z.B. in den Staaten Kalifornien und Virginia. In Kalifornien gibt es den Privacy Act (CCPA), der Betroffenenrechte gewährt, die der DSGVO ähnlich sind. Die meisten Bundesstaaten aber haben keinen speziellen Datenschutz. Dementsprechend haben die meisten US-Amerikaner vergleichsweise wenig Rechte über ihre Daten.
Der zweite Teil dieses Beitrags erscheint nächste Woche und thematisiert das Problem des Datenhandels sowie die Frage, welche Konsequenzen sich für europäische Nutzerinnen von Perioden-Tracking-Apps ergeben.
17. Mai 2022
Vor dem Hintergrund der COVID-19-Pandemie hat die Europäische Kommission Anfang des Monats den europäischen Raum für Gesundheitsdaten (European Health Data Space – EHDS) auf den Weg gebracht. Dies geht aus einer Pressemitteilung der Kommission hervor.
Der EHDS soll dem Fortschritt der Gesundheitsversorgung der Menschen in Europa dienen und dabei einer der zentralen Bausteine einer starken europäischen Gesundheitsunion sein. Einer der Schwerpunkte des europäischen Raumes für Gesundheitsdaten soll, neben der Förderung eines Binnenmarktes für digitale Gesundheitsdienste und -produkte, die Nutzung und Kontrolle der Gesundheitsdaten durch die Betroffenen darstellen. Dabei soll diesen insbesondere der einfache Zugang zu den Daten in digitaler Form gewährt werden. Damit ist angedacht den Austausch zwischen Bürgerinnen und Bürgern und Angehörigen der Gesundheitsberufe und damit die europäische Gesundheitsversorgung zu fördern. Um dieses Ziel zu unterstützen, soll ebenfalls ein gemeinsames europäisches Datenformat erstellt werden sowie digitale Gesundheitsbehörden benannt werden, um die Wahrung der Rechte der Bürgerinnen und Bürger sicherzustellen.
Laut dem Vizepräsident der Europäischen Kommission, Margaritis Schinas, sei der EHDS ein “Neuanfang” für die EU-Politik im Bereich der digitalen Gesundheit und werde die Gesundheitsdaten für die Bürgerinnen und Bürger sowie die Wissenschaft nutzbar machen. Die EU-Gesundheitskommissarin Stella Kyriakides betonte zudem, dass auf diese Daten unter Gewährleistung strikter Garantien für den Schutz der Privatsphäre und der Sicherheit zugegriffen werde.
Der von der Europäischen Kommission vorgelegte Vorschlag wird nun im Rat und im Europäischen Parlament erörtert.
24. März 2022
In ihrer Stellungnahme vom 23.März 2022 äußert sich die Datenschutzbeauftragte des Landes NRW zu den datenschutzrechtlichen Folgen des ab dem 20. März 2022 entfallenen 3G- Nachweises am Arbeitsplatz.
Zuvor galt nach § 28 b Abs. 3 S. 1 IfSG a.F. die Pflicht des Arbeitsgebers, den sog. 3G-Nachweis über eine bestehende Impfung, Genesung oder Negativtestung zu überwachen und zu dokumentieren. Den Arbeitgebern wurde es nach § 28 b Abs. 3 IfSG a.F. ausdrücklich gestattet personenbezogene Daten zu verarbeiten, um sicherzustellen, dass, wie in § 28 b Abs. 1 S. 1 IfSG a.F. vorgesehen, nur Personen mit 3G-Nachweis die Arbeitsstätte betreten. Die Änderung des Infektionsschutzgesetzes mit Wirkung zum 20. März 2022 hat zur Folge, dass § 28 b IfSG keinen 3G-Nachweis am Arbeitsplatz mehr verlangt.
Demnach entfällt auch die Rechtsgrundlage zur Verarbeitung von Gesundheitsdaten, die besondere personenbezogene Daten iSd Art. 9 Abs. 1 DSGVO darstellen. Vor diesem Hintergrund weist die Datenschutzbeauftragte des Landes NRW darauf hin, dass gesammelte Daten 6 Monaten nach Erhebung zu löschen seien. Außerdem geht sie davon aus, dass bereits jetzt Gesundheitsdaten zu löschen sein könnten, weil die entsprechende Rechtsgrundlage aufgehoben wurde.
In der Praxis sind beispielsweise Vermerke des Arbeitsgebers über den Impfstatus seiner Angestellten umgehend bzw. spätestens in sechs Monaten zu löschen. Die Datenschutzbeauftragte des Landes NRW weist insbesondere darauf hin, dass ein Arbeitsgeber, der den Impfausweis der Angestellten kopiert oder gescannt hat, diesen Nachweis spätestens jetzt löschen sollte. Dies gelte umso mehr, als das diese Vorgehensweise bereits nach alter Rechtslage untersagt war.
Zur Löschung der Gesundheitsdaten müssen diese „ ‚(…) vollständig und unwiderruflich vernichtet werden.‘ “ Laut der Datenschutzbeauftragten des Landes NRW soll bei der Löschung von Daten in Papierform ein geeigneter Aktenvernichter verwendet werden. Es reiche nicht aus, diese einfach zu zerreißen.
16. März 2022
Das Verwaltungsgericht Wiesbaden hat kürzlich klargestellt, dass auch Gesundheitsdaten in einem arbeitsgerichtlichen Verfahren von der Gegenseite vorgetragen werden können (VG Wiesbaden, Urteil vom 19.01.2022 – 6 K 361/21.W). Die Rechtmäßigkeit der Datenverarbeitung von Gesundheitsdaten in Gerichtsprozessen beurteilt sich nach Art. 6 Abs. 1 S. 1 lit. f DSGVO iVm Art. 9 DSGVO. Lässt sich ein rechtlicher Anspruch nur unter Verarbeitung von Gesundheitsdaten durchsetzen, so dürfen diese auch genutzt werden.
Hintergrund
Der Kläger war längere Zeit krankgeschrieben, sodass er seine Arbeitgeberin um ein Gespräch zum Betrieblichen Eingliederungsmanagement (BEM) nach § 167 SGB IX bat. Hiernach soll insbesondere nach längerer Krankheit die Rückkehr in die Arbeit erleichtert werden. Der Kläger schlug mehrere Teilnehmer für das BEM Verfahren vor, darunter ein Mitglied des Betriebsrats und der Schwerbehindertenvertretung, seinen Vorgesetzten und seinen Bruder. Aus dem Gespräch resultierten jedoch keine Lösungen, sodass beide Parteien zu keinem Ergebnis kamen.
Erfolglose Klage auf behindertengerechte Beschäftigung
Daraufhin klagte der Arbeitnehmer vor dem Arbeitsgericht Hannover gegen seine Arbeitgeberin auf eine behindertengerechte Beschäftigung und Schadensersatz. Die Rechtsanwältin seiner Arbeitgeberin trug in den Gerichtsterminen sowie in eingereichten Schriftsätzen an das ArbG Inhalte aus dem Gespräch, welches der Kläger für das BEM-Gespräch hielt, vor. Dadurch seien sensible private und vertraulich ausgesprochene personenbezogene Daten wissentlich der Öffentlichkeit preisgegeben worden. Das Arbeitsgericht wies die Klage ab, da ein Anspruch auf schwerbehindertengerechte Beschäftigung wegen des fehlenden Präventionsverfahren nach § 167 SGB IX nicht gegeben sei.
Beschwerde bei der Aufsichtsbehörde
Der Kläger wandte sich daraufhin an die Landesbeauftragte für den Datenschutz Niedersachsen (LfD). Er beklagte, dass die Rechtsanwältin seiner Arbeitgeberin rechtswidrig Zugang zu der BEM-Akte erhalten und sogar vor Gericht wörtlich daraus zitiert habe. Es gehe folglich um die unbefugte Erhebung, Speicherung und Verwendung seiner höchstpersönlichen personenbezogenen, insbesondere gesundheitlichen und seine Schwerbehinderung betreffende Daten. Die LfD teilte daraufhin dem Kläger mit, dass die Datenverarbeitung durch die Anwältin nicht zu beanstanden gewesen sei.
Rechtsanwälte sind ein unabhängiges Organ der Rechtspflege, § 1 BRAO. Rechtsanwälte sind berufene unabhängige Berater und Vertreter in allen Rechtsangelegenheiten, § 3 Abs. 1 BRAO. In dieser Eigenschaft verarbeiten sie regelmäßig personenbezogene Daten auf Grund eines Mandats. Der Schwerpunkt der Tätigkeit liegt dabei auf der berufsständisch verankerten unabhängigen Tätigkeit. Rechtsanwälte sind daher datenschutzrechtlich selbst als Verantwortlicher einzuordnen.
Klage vor dem Verwaltungsgericht
Dies nahm der Arbeitnehmer zum Anlass vor dem Verwaltungsgericht Klage gegen die LfD zu erheben, damit diese verurteilt werde, gegen die Anwältin vorzugehen. Die Frage, ob vorliegend eine Rechtsgrundlage für die Datenverarbeitung durch die Rechtsanwältin besteht, bejaht das Gericht und verweist dazu auf Art. 6 Abs. 1 S. 1 lit. f DSGVO iVm Art. 9 DSGVO. Zunächst stellte das Gericht fest, dass die Anwältin ein berechtigtes Interesse hatte, die von ihrer Mandantin, der Arbeitgeberin des Klägers, gemachten Angaben zu verarbeiten, indem diese im Prozess mitgeteilt wurden. Das berechtigte Interesse ergebe sich aus den vertraglichen Verpflichtungen zwischen der Rechtsanwältin und ihrer Mandantin. Die Verarbeitung von Gesundheitsdaten des Klägers nach Art. 9 Abs. 1 DSGVO ist zulässig, denn sie erfüllt die für eine Datenverarbeitung durch den Vortrag und die Speicherung im Prozess geltenden Voraussetzungen des Art. 9 Abs. 2 lit. f DSGVO.
Zwar ist vom Grundsatz her die Verarbeitung von Gesundheitsdaten einer natürlichen Person untersagt, aus Art. 9 Abs. 2 lit. f DSGVO ergibt sich jedoch, dass dieses Verbot dann nicht gilt, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich ist.