Jüngste Zeitungsberichte über den Nachweis einer Corona-Impfung vor Antritt von Flugreisen, Veranstaltungen, udgl. rufen insbesondere auch eine datenschutzrechtliche Dimension zu Tage. Aus diesem Grund sollen hier in nicht abschließender Weise Fragen dazu beleuchtet werden.

Besondere Kategorien personenbezogener Daten, worunter auch Gesundheitsdaten fallen, werden aufgrund ihrer Sensibilität durch die DSGVO unter einen besonderen Schutz gestellt. Sie dürfen nur dann verarbeitet werden, wenn es dafür eine Rechtsgrundlage aus Art. 9 Abs. 2 DSGVO gibt (Verbot mit Erlaubnisvorbehalt).

Ist der Nachweis einer Impfung ein Gesundheitsdatum im Sinne des Art. 9 DSGVO?

Die datenschutzrechtliche Literatur beantwortet diese Frage mit einem klaren Ja. Unter den Gesundheitsbegriff fallen neben Beschreibungen über den Gesundheitszustand selbst auch weitere Ereignisse wie die Durchführung einer Impfung und Nachweise derselben.

Aus dem verlinkten Artikel geht nicht eindeutig hervor, in welcher Form der Nachweis einer erfolgten Impfung erbracht werden soll. Festzuhalten ist, je weniger Daten verarbeitet werden, umso besser ist es. Grundsätzlich reicht die Frage aus, ob eine Impfung erfolgte. Das Vorlegen-Lassen eines Impfnachweises bzw. der Upload, um eine Buchung durchführen zu können, und die Speicherung einer solchen Bestätigung sind eingriffsintensivere Datenverarbeitungen und erfordern auch erhöhte technisch-organisatorische Maßnahmen, um diese Daten entsprechend schützen zu können.

Auf welcher Rechtsgrundlage können Informationen bzw. Nachweise über eine erfolgte Impfung verarbeiten werden?

Als erste mögliche Variante kann das in Art. 9 Abs. 1 lit. i DSGVO verbriefte öffentliche Interesse im Bereich der öffentlichen Gesundheit herangezogen werden. Auch im Erwägungsgrund 46 der DSGVO, welche auf diesen Artikel referenziert, wird die Bekämpfung einer Pandemie (konkret Epidemie) als Beispiel dafür genannt. Diese Rechtsgrundlage steht unter einem Erforderlichkeits-Vorbehalt. Dies bedeutet, dass die verantwortliche Stelle, also jene Stelle, die den Impfnachweis von ihren Kunden fordert hinreichend darlegen muss, aus welchem Grund sie davon ausgeht, dass der Nachweis der Impfung im öffentlichen Interesse liegt. In diesem Zusammenhang könnte argumentiert werden, dass diese Information zwar nicht für die Hauptleistung des Vertrags (Flug von A nach B) erforderlich ist, jedoch für nebenvertragliche Leistungen, konkret für die Erbringung von Serviceleistungen wie dem Servieren von Getränken und Essen und insbesondere die Fürsorgepflichten des Fluglinienbetreibers gegenüber seinen eigenen Mitarbeitern bzw. den weiteren Fluggästen betroffen sind. Wichtig zu betonen ist, dass die rechtliche Beurteilung vom konkreten Einzelfall abhängig ist und die Einschätzung hier keinesfalls verallgemeinert werden darf.

Auch wenn derzeit keinerlei Indizien dafür vorliegen und mit diesem Artikel auch keine dahingehenden Verschwörungsgeschichten bestärkt werden sollen, käme als sehr unwahrscheinliche Rechtsgrundlage auch die Verarbeitung auf Grundlage des Unionsrechts oder Rechts eines Mitgliedsstaats gemäß Art. 9 Abs. 2 lit. j DSGVO in Betracht. Dies jedoch vorbehaltlich einer gesetzlich verankerten Impfpflicht.

Kann die Einwilligung der Betroffenen ebenso herangezogen werden?

Darüber hinaus könnte angedacht werden, dass von den Betroffenen eine Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO eingeholt wird. Einer Einwilligung ist jedoch immanent, dass diese nur dann Rechtsgültigkeit erlangt, wenn sie freiwillig erteilt wurde. Dem trägt auch die DSGVO in Art. 7 Abs. 4 DSGVO Rechnung. Eine Einwilligung ist demnach freiwillig, wenn u.a. die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Dieser Absatz postuliert das sog. relative Koppelungsverbot. Als unfreiwillig und unwirksam ist eine eingeholte Einwilligung dann zu bewerten, wenn sie eine Datenverarbeitung legitimieren soll, die über das hinausgeht, was für die Vertragserfüllung tatsächlich erforderlich ist. Es stellt sich daher die Frage, ob die Einwilligung in die Offenlegung eine erfolgte Impfung tatsächlich für die Vertragserfüllung, in unserem Fall, die Inanspruchnahme einer Flug-Dienstleistung erforderlich ist oder nicht. Zu den Äußerungen hinsichtlich der nebenvertraglichen Leistungen sowie der Fürsorgepflicht wird auf oben verwiesen.

Informationspflichten

Die Informationspflichten nach Art. 13 und 14 DSGVO können über mannigfaltige Wege umgesetzt werden. Zum einen kommt in Betracht, diese Informationen in ausreichender Transparenz in AGB einzubetten bzw. gesonderte Informationen bereitzustellen.

Fazit

Auch wenn die Autorin für Europa oder allgemein in Europa noch keine dahingehenden Vorstöße feststellen konnte, so wird uns dieses Thema weiterhin beschäftigen und uns in immer mehr Lebensbereichen konfrontieren. Sollte die australische Airline ihre Pläne tatsächlich in die Realität umsetzen wollen, kommt auch sie aufgrund des postulierten Marktortprinzips der DSGVO nicht darum herum, sich über diese – und weitere Fragen – detailliert Gedanken zu machen. Wir halten Sie zu diesem Thema auf dem Laufenden, da diese Thematik auch interessante datenschutzrechtliche Fragestellungen im Beschäftigungskontext aufwerfen kann.