Zum 27.12. startete die Impfung gegen das Corona-Virus und nimmt zunehmend Fahrt auf. Ganz ohne die Verarbeitung personenbezogener Daten geht es auch hier nicht.
Theorie
Geregelt ist der Prozess der Impfung in der Coronavirus-Impfverordnung (CoronaImpfV). Dort finden sich in § 7 auch Ausführungen zur Verarbeitung personenbezogener Daten. Danach haben Impfzentren und die bei ihnen angegliederten mobilen Impfteams (diese können insbesondere von Krankenhäusern und Betriebsärzten bei der Impfung unterstützt werden; § 6 Abs. 3 S. 1) folgende Daten an das Robert Koch-Institut zu übermitteln:
- Patienten-Pseudonym,
- Geburtsmonat und -jahr,
- Geschlecht,
- fünfstellige Postleitzahl und Landkreis der zu impfenden Person,
- Kennnummer und Landkreis des Impfzentrums,
- Datum der Schutzimpfung,
- Beginn oder Abschluss der Impfserie (Erst- oder Folgeimpfung),
- impfstoffspezifische Dokumentationsnummer
(Impfstoff-Produkt bzw. Handelsname), - Chargennummer,
- Grundlage der Priorisierung nach §§ 2 bis 4.
Die erhobenen Daten dürfen vom Robert Koch-Institut nur für Zwecke der Feststellung der Inanspruchnahme von Schutzimpfungen und von Impfeffekten (Impfsurveillance) und vom Paul-Ehrlich-Institut nur für Zwecke der Überwachung der Sicherheit von Impfstoffen (Pharmakovigilanz) verarbeitet werden. Das Robert Koch-Institut stellt dem Paul-Ehrlich-Institut diese Daten zur Verfügung.
Die Datenübermittlung hat über das elektronische Melde- und Informationssystem nach § 14 Infektionsschutzgesetz zu erfolgen. Hiernach hat das RKI nach Weisung des Bundesministeriums für Gesundheit ein elektronisches Melde- und Informationssystem einzurichten, über die die meldepflichtige Krankheiten (§ 6) bzw. die meldepflichtigen Nachweise von Krankheitserregern (§ 7) gemeldet werden. Das System ist noch im Aufbau. Krankenhäuser nutzen in vielen Fällen noch das klassische Faxgerät für ihre Meldungen.
Praxis
Die Praxis sieht anders aus.
Mit der Durchführung der Impfung beauftragte Krankenhäuser werden von den kassenärztlichen Vereinigungen angeschrieben und abstrakt auf die Datenübermittlungspflicht an das Robert-Koch-Institut (RKI) hingewiesen (uns liegen entsprechende Schreiben vor). Des Weiteren wird ausgeführt, dass die kassenärztliche Vereinigung gemäß den Vorgaben des RKI eine EXCEL-Liste sowie einen sicheren, verschlüsselten Übertragungsweg bereitstellt. In dieser EXCEL-Liste werden die erforderlichen Daten beschrieben. Für jede geimpfte Person seien die geforderten Daten zu liefern.
Zudem wird klargestellt, dass die Übermittlung der personenbezogenen Daten datenschutzrechtlich geprüft sei. Vor der weiteren Verarbeitung der Daten durch das RKI würden die personenbezogenen Daten nach einem freigegebenen Verfahren pseudonymisiert.
Schaut man sich jedoch die auszufüllende Excel Liste genau an, findet man einen Widerspruch zu den gesetzlichen Vorgaben:
Anstelle des Patienten-Pseudonym werden Vor- und Nachname, anstelle von Geburtsmonat und -jahr das komplette Geburtsdatum abgefragt.
Es werden somit mehr Daten verarbeiten bzw. weitergegeben, als dies von der gesetzlichen Grundlage des § 7 Coronavirus-Impfverordnung gedeckt ist. Auch die DSGVO bietet für die Weitergabe dieser zusätzlichen Daten keine Rechtsgrundlage. Weder aus Art. 9 Abs. 2 noch aus Art. 6 Abs. 1 DSGVO kann eine entsprechende Regelung hergeleitet werden.
Auch unklar ist, warum die Datenübermittlung über die Kassenärztlichen Vereinigungen erfolgen soll. Da Krankenhäuser als „Erfüllungsgehilfen“ der Impfzentren agieren, können diese die Meldung direkt an das RKI absetzen, in der gleichen Weise, wie dies bei meldepflichtigen Krankheiten (§ 6 IFSG) bzw. meldepflichtigen Nachweisen von Krankheitserregern (§ 7 IFSG) bereits erfolgt.
Was sollten Sie tun?
Beschränken Sie sich auf eine Übermittlung der in § 7 CoronaImpfV aufgeführten Daten, um datenschutzkonform zu handeln. Weisen Sie dabei darauf hin, dass die CoronaImpfV gerade keine Übermittlung von Namen und vollständigem Geburtsdatum vorsieht und dass die Datenübermittlung nach den Vorgaben des Gesetzgebers direkt an das RKI erfolgen soll und zukünftig über diesen Weg erfolgen wird.
Update 19.01.2021
Der rheinland-pfälzische Datenschutzbeauftragte hat zu dem Thema ein FAQ erstellt. Das FAQ zu Datenschutz und Corona-Schutzimpfungen können Sie hier abrufen.
4. September 2021 @ 11:01
Sehr geehrte Damen,
sehr geehrte Herren,
mit allergrößten Bedenken wird die Covid-QR- Identität gesehen. Die Funktion wird Ihnen bekannt sein. Personen zeigen Türstehern oder sonstigen Kontrolleuren für Einlaßüberprüfungen ihren QR-Code auf dem Mobiltelefon, welche von der Einsicht nehmenden Person mittels dessen Mobiltelefons ausgelesen wird. Dabei wird der Gastname mit dessen Geburtsdaten offengelegt.
Das birgt Mißbrauchsgefahr. Wer den Namen und dessen Geburtsdaten hat, kann Mißbrauch betreiben. Als ehemaliger Techniker in einem Unternehmen für Banknotenausgabesysteme in Verbindung mit GIRO-Karten, ist unserem Unternehmen genug kriminelle Energie begegnet. Und diese COVID-QR-Sache ist erst am Anfang einer ruhmreichen Karriere.
Verbesserungsvorschlag: Maximal der Name oder ein Bild mit dem Hinweis: Geimpft.
Ich erwarte mit besonderem Interesse Ihre Stellungnahme und Ihre geschätzte Antwort.