Schlagwort: Impfausweis
24. März 2022
In ihrer Stellungnahme vom 23.März 2022 äußert sich die Datenschutzbeauftragte des Landes NRW zu den datenschutzrechtlichen Folgen des ab dem 20. März 2022 entfallenen 3G- Nachweises am Arbeitsplatz.
Zuvor galt nach § 28 b Abs. 3 S. 1 IfSG a.F. die Pflicht des Arbeitsgebers, den sog. 3G-Nachweis über eine bestehende Impfung, Genesung oder Negativtestung zu überwachen und zu dokumentieren. Den Arbeitgebern wurde es nach § 28 b Abs. 3 IfSG a.F. ausdrücklich gestattet personenbezogene Daten zu verarbeiten, um sicherzustellen, dass, wie in § 28 b Abs. 1 S. 1 IfSG a.F. vorgesehen, nur Personen mit 3G-Nachweis die Arbeitsstätte betreten. Die Änderung des Infektionsschutzgesetzes mit Wirkung zum 20. März 2022 hat zur Folge, dass § 28 b IfSG keinen 3G-Nachweis am Arbeitsplatz mehr verlangt.
Demnach entfällt auch die Rechtsgrundlage zur Verarbeitung von Gesundheitsdaten, die besondere personenbezogene Daten iSd Art. 9 Abs. 1 DSGVO darstellen. Vor diesem Hintergrund weist die Datenschutzbeauftragte des Landes NRW darauf hin, dass gesammelte Daten 6 Monaten nach Erhebung zu löschen seien. Außerdem geht sie davon aus, dass bereits jetzt Gesundheitsdaten zu löschen sein könnten, weil die entsprechende Rechtsgrundlage aufgehoben wurde.
In der Praxis sind beispielsweise Vermerke des Arbeitsgebers über den Impfstatus seiner Angestellten umgehend bzw. spätestens in sechs Monaten zu löschen. Die Datenschutzbeauftragte des Landes NRW weist insbesondere darauf hin, dass ein Arbeitsgeber, der den Impfausweis der Angestellten kopiert oder gescannt hat, diesen Nachweis spätestens jetzt löschen sollte. Dies gelte umso mehr, als das diese Vorgehensweise bereits nach alter Rechtslage untersagt war.
Zur Löschung der Gesundheitsdaten müssen diese „ ‚(…) vollständig und unwiderruflich vernichtet werden.‘ “ Laut der Datenschutzbeauftragten des Landes NRW soll bei der Löschung von Daten in Papierform ein geeigneter Aktenvernichter verwendet werden. Es reiche nicht aus, diese einfach zu zerreißen.
7. Juni 2021
Die EU-Kommission veröffentlichte Anfang Juni Neuigkeiten zum länger geplanten, digitalen Zertifikat: Die Technik für das Zertifikat ist offiziell online. Mit Bulgarien, Dänemark, Griechenland, Kroatien, Tschechien und Polen haben die ersten Länder den digitalen Nachweis bereits offiziell eingeführt und teilen Zertifikate aus. Auch Deutschland hat sich bereits an das sogenannte EU-Gateway angeschlossen, auch wenn das Zertifikat noch in der Testphase ist. Das kommende Zertifikat nennt sich “CovPass” und ist ein Projekt des Robert-Koch-Instituts. Dieses präsentiert die App bereits im Internet. Sie soll spätestens bis Ende Juni für alle Bürger nutzbar sein.
Das digitale EU-COVID-Zertifikat beruht auf einer EU-Verordnung, die ab dem 1. Juli in Kraft tritt. Den Mitgliedsstaaten bleibt es aber freigestellt, das Zertifikat auch vorher schon zu verwenden, vorausgesetzt die nationale Variante besteht die technischen Tests. Es werden drei Zertifikate umfasst: ein Impfzertifikat, ein Testzertifikat und ein Genesungszertifikat. Es soll im Sommer ein unkompliziertes Reisen und einheitliche Sicherheitsstandards innerhalb Europas gewährleisten, es ist jedoch keine notwendige Voraussetzung für eine Reise.
Wem steht das Zertifikat zu?
Alle EU-Bürger können ein solches Zertifikat erhalten. Es gilt für Geimpfte, Genesene oder negativ Getestete. Als geimpft gilt jeder, der die entsprechenden Schutzimpfungen von Moderna, Astrazeneca, BioNTech oder Johnson & Johnson erhalten hat. Die letzte Impfung muss dabei mindestens 14 Tage her sein. Genesen ist der, der einen nachweislich positiven PCR-Test hatte, dieser darf nicht älter als 6 Monate sein. Für diejenigen, die weder geimpft noch genesen sind, gibt es die Möglichkeit, ein Zertifikat als negativ-getestete Person zu bekommen. Dafür muss ein aktueller Antigen-Test vorliegen oder ein PCR-Test, der nicht älter ist als 72 Stunden.
Wo bekomme ich das Zertifikat?
Ausstellen sollen das Zertifikat zunächst Impfzentren, Hausärzte und Krankenhäuser. Ob auch Apotheken bei Vorlage eines Impfausweises ein Zertifikat ausstellen dürfen, wird zur Zeit noch diskutiert. Das Zertifikat wird in digitalem Format ausgestellt, kann aber auf einem Smartphone und auf Papier vorgelegt werden. Es wird unentgeltlich ausgestellt.
Wie funktioniert das Zertifikat und was ist mit meinen Daten?
Das Zertifikat wurde während seiner Planungsphase u.a. aufgrund datenschutzrechtlicher Bedenken kritisiert. Mittlerweile hat sich die EU geeinigt. Das Zertifikat soll einen QR-Code und eine Signatur enthalten. Angezeigt werden Name und Geburtsdatum des Inhabers. Im QR-Code selbst verbergen sich Informationen zur Impfung oder zu Testergebnissen. Gespeichert werden konkret beim Impfzertifikat Impfstoff und Hersteller, Anzahl der verabreichten Dosen und Datum der Impfung; beim Testzertifikat die Art des Tests, Datum und Uhrzeit des Tests, Testzentrum und Ergebnis; und beim Genesungszertifikat Datum des positiven Testergebnisses und Geltungsdauer. Die EU-Kommission betont, dass alle persönlichen Daten allein auf dem mobilen Endgerät gespeichert werden. Entgegen der Befürchtung von Datenschützern gibt es also keine zentrale Stelle, die diese Daten speichert.
Jede ausstellende Stelle (bspw. ein Impfzentrum) hat zusätzlich eine eigene Signatur, welche in dem Zertifikat gespeichert wird. Diese Signatur wird zu Kontrollzwecken in einer EU-weiten Datenbank gespeichert und kann über das Gateway überprüft werden. Dies betrifft den einzelnen Bürger aber nicht in seinen Daten.
Das Zertifikat kann bei Bedarf vorgelegt und gescannt werden, bspw. am Flughafen. Wird das Zertifikat erkannt, soll ein grünes Licht bei dem Scanner leuchten, die Person darf passieren. Dabei soll nicht ersichtlich sein, weswegen das Zertifikat ausgestellt wurde. Umstehende (auch bspw. Mitarbeiter am Flughafen) wissen also nicht, ob die Person geimpft, genesen oder negativ getestet ist. Leuchtet das Licht rot, ist das Zertifikat nicht gültig. Bei diesem Vorgang werden keine personenbezogenen Daten an andere EU-Staaten weitergegeben.
Weitere Antworten zu Detailfragen, sowie eine aktuelle Übersicht aller Länder die bereits Zertifikate ausstellen, sind auf den Seiten der europäischen Kommission zu finden.
5. Mai 2021
Die Impfung gegen das Corona-Virus ist für viele Menschen auf der ganzen Welt aktuell das Licht am Ende des Tunnels. Die Impfquote und Impf-Geschwindigkeit nimmt in Deutschland stetig zu. Viele Menschen teilen ihre Freude über die erhaltene Impfung mit einem Foto des Impfausweises in sozialen Medien. Doch das ist aus verschiedenen Gründen keine gute Idee.
Zunächst enthält der Impfausweis sensible Gesundheitsdaten. Ärztliche Befunde, Gesundheitskarten oder der Impfausweis enthalten vertrauliche Informationen, die in der Regel nicht auf sozialen Medien geteilt werden sollten. Neben den Freundinnen und Bekannten erhalten auch die Betreiber der Netzwerke die Daten. Im Zusammenspiel mit der in Deutschland bestehenden Impfpriorisierung können daraus Rückschlüsse auf bestimmte, ernste Vorerkrankungen gezogen werden. Selbst wenn diese Rückschlüsse falsch sind, weil beispielsweise eine Krankenpflegerin oder der Ehemann einer Schwangeren geimpft wurden, bleiben sie dennoch im Fundus der Netzwerke.
Außerdem können Impfpass-Fälscher die Daten nutzen, um mit Hilfe der Chargennummer oder des Impfstempels Fälschungen in Umlauf zu bringen. Vor dem Hintergrund der sich abzeichnenden Aufhebung einiger Beschränkungen für Geimpfte dürfte dies aktuell ein lukratives Geschäft sein. Das Impfzentrum in Frankfurt am Main hat deshalb bereits angekündigt, Anzeige zu erstatten.
Mit den Chargennummern können Menschen zudem Impf-Nebenwirkungen an das Paul-Ehrlich-Institut melden. Bei tatsächlichen Nebenwirkungen sind diese Angaben wichtig, um Menschleben zu schützen, allerdings können so auch falsche Nebenwirkungen gemeldet werden, die dann der Pandemiebekämpfung insgesamt großen Schaden zufügen können. Die Freude über den erhaltenen Schutz vor einer Sars-Cov2-Infektion sollte daher lieber ohne Foto des Impfausweises geteilt werden.
26. April 2021
Der Impfausweis ist momentan ein so reges Gesprächsthema wie selten zuvor. Noch vor ein paar Tagen warnte das Bundesgesundheitsministerium (BMG) auf Twitter davor, Fotos vom Eintrag der Covid-19-Impfung im Impfausweis in sozialen Netzwerken zu posten. Dies erfolgt vor dem Hintergrund, dass es sich bei den abgebildeten Informationen um sensible, persönliche Gesundheitsdaten handelt, die von Kriminellen missbraucht werden können. Auch können mithilfe solcher Fotos Fälschungen von Impfpässen angefertigt werden, ein Umstand der in den letzten Wochen für Aufsehen sorgte.
Dementsprechend könnte man sich fragen, ob nicht etwa ein digitaler Impfpass sicherer wäre. Die EU-Staaten planen etwa ein einheitliches “digitales, grünes Zertifikat” für den kommenden Sommer. Ein solches soll Geimpfte, Genesene und solche mit negativem Testergebnis ausweisen und so vor allem Reisen einfacher möglich machen. Der Nachweis soll aus einem QR-Code und einer Signatur bestehen und auf einem mobilen Gerät gespeichert werden können. Technisch soll das Ganze möglich sein, indem jede ausstellende Stelle einen eigenen Signaturschlüssel bekommt. Diese Schlüssel werden in einer EU-weiten, sicheren Datenbank gespeichert. Personenbezogene Daten sollen dabei, laut Europäischer Kommission, nicht übermittelt werden.
Trotzdem kommt Kritik an dem Vorhaben auf. Problematisch scheint hier vor allem, ob wirklich ein umfassender Datenschutz gewährleistet werden kann. So betonte der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski in einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA), dass es keine Datenbank mit personenbezogenen Daten auf EU-Ebene geben dürfe. Auch müsse klar geregelt werden, welche Daten wann und wie lange verwertet werden dürfen.
Eine Positionierung des europäischen Parlamentes diesbezüglich wird am 29.04. erwartet. Dabei sollten auch offene, datenschutzrechtliche Fragen geklärt werden.
Die entsprechenden Systeme für den Ausweis müssen auf nationaler Ebene von den Mitgliedsstaaten eingerichtet werden. Auf deutscher Ebene soll dieser Nachweis als Modul in die Corona-Warn-App integriert werden. Der analoge Ausweis soll durch einen digitalen nur ergänzt und nicht ersetzt werden, wie das BMG betont. Ob ein solcher digitaler Ausweis in der Praxis dann tatsächlich mehr Vorteile bringt als der analoge, wird abzuwarten sein.
