Sensible Datenverarbeitungen zum Schutz vor einer Pandemie

Einleitung

Der Coronavirus (nachfolgend auch genannt COVID-19 oder SARS-CoV-2) sorgt aktuell für Schlagzeilen. Aufgrund der rasanten Ausbreitung des Coronavirus (COVID-19) hat der Schutz der Bevölkerung höchste Priorität. Hierzu müssen Behörden, Unternehmen sowie Forschungsinstitute miteinander kooperieren und auch personenbezogene Daten von betroffenen Personen austauschen. Es stellt sich demnach die Frage, inwiefern die DSGVO und besondere Vorschriften des Datenschutzrechts den Verkehr mit diesen Daten regeln. Dieser Beitrag untersucht die Rechte und Befugnisse der Daten verarbeitenden Stellen und beleuchtet diese aus einer datenschutzrechtlichen Perspektive.

Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten

Grundsätzlich ist eine Verarbeitung von besonderen Kategorien personenbezogener Daten (auch genannt „sensible Daten“) gem. Art. 9 Abs. 1 DSGVO untersagt. Die besonderen Kategorien personenbezogener Daten werden in Art. 9 Abs. 1 DSGVO abschließend aufgezählt. Hiervon sind auch explizit die Gesundheitsdaten Daten umfasst. Diese Daten dürfen gem. Art. 9 Abs. 2 DSGVO nur unter gewissen Bedingungen verarbeitet werden. Art. 4 Nr. 15 DSGVO definiert Gesundheitsdaten wie folgt:

„Gesundheitsdaten“ (sind) personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“

Art. 9 Abs. 2 lit. c DSGVO erfasst den Fall, in dem eine betroffene Person aus körperlichen oder rechtlichen Gründen nicht in der Lage ist, ihre Einwilligung zu geben. Dies könnte im Falle des Coronavirus bspw. eine akute und im Endstadium befindliche Entzündung der Atemwege sein. In diesen Fällen, in denen die betroffene Person nicht mehr ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten geben kann, ist es dem Verantwortlichen gestattet, die lebenswichtigen Interessen der betroffenen Person zu schützen und die personenbezogenen Daten zu verarbeiten.

Eine weitere Rechtsgrundlage im Falle des Coronavirus könnte Art. 9 Abs. 2 lit. i DSGVO darstellen. Hiernach können die Daten verarbeitet werden, wenn es ein öffentliches Interesse im Bereich der öffentlichen Gesundheit gibt, etwa dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren. Der Coronavirus kann dabei unter eine solche grenzüberschreitende Gesundheitsgefahr eingestuft werden.

Schließlich könnte hier auch die Öffnungsklausel aus Art. 9 Abs. 2 lit. g DSGVO Anwendung finden. Diese erlaubt dem nationalen Gesetzgeber, besondere Kategorien von personenbezogenen Daten zu verarbeiten, wenn dies aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist und die Verarbeitung in angemessenem Verhältnis zum verfolgten Ziel steht, den Wesensgehalt des Datenschutzrechts wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht.

Der Bundesgesetzgeber hat von dieser Öffnungsklausel Gebrauch gemacht und mit § 22 BDSG eine eigene Regelung geschaffen. § 22 Abs. 1 Nr. 1 BDSG regelt in ihren Buchstaben a bis d einzelne Erlaubnistatbestände, bei deren Vorliegen abweichend von Art. 9 Abs. 1 DSGVO Gesundheitsdaten durch öffentliche und nichtöffentliche Stellen verarbeitet werden dürfen. Von Relevanz sind hier die Buchstaben c und d:

  1. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten erforderlich ist; ergänzend zu den in Absatz 2 genannten Maßnahmen sind insbesondere die berufsrechtlichen und strafrechtlichen Vorgaben zur Wahrung des Berufsgeheimnisses einzuhalten, oder
  2. aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist

Insbesondere die Regelung in Buchstabe c) trifft auf die aktuelle grenzüberschreitende Gefährdung durch den Coronavirus zu. Hervorzuheben ist, dass damit eine Rechtsgrundlage für sowohl öffentliche Stellen, etwa Behörden, als auch nicht-öffentliche Stellen, etwa Unternehmen und Forschungsinstitute geschaffen wurde.

Ausschließlich für öffentliche Stellen regelt § 22 Abs. 1 Nr. 2 BDSG mit seinen Buchstaben a bis c weitere Rechtsgrundlagen, die zur Anwendung kommen könnten. Im Zusammenhang mit der Gefahrenlage durch den Coronavirus könnten hier die Buchstaben b und c eine Relevanz haben. Aufgrund des allgemeinen Regelungsgehalts, der Tatsache, dass § 22 Abs. 1 Nr. 1 lit. c den vorliegenden Fall spezifisch regelt und der restriktiven Handhabung der in den Nr. 2 a bis c genannten Vorschriften ist ein Anwendungsfall in Bezug auf eine Verarbeitung von Daten durch den Coronavirus kaum denkbar.

Außerdem gilt, dass die Interessen des Verantwortlichen an der Verarbeitung in den Fällen der Nr. 1 Buchstabe d und der Nr. 2 die Interessen der betroffenen Person überwiegen. Demnach ist eine Interessenabwägung durchzuführen. Anders als bei der Interessenabwägung zur Anwendung des Art. 6 Abs. 1 lit. f DSGVO, der Wahrnehmung berechtigter Interessen, hat der Verantwortliche nicht darzulegen, dass etwaige Interessen der betroffenen Person nicht überwiegen, sondern muss beweisen, dass seine Interessen an der Durchführung der Verarbeitung überwiegen.

22 Abs. 2 BDSG normiert die Pflicht des Verantwortlichen, im Falle der Anwendung einer Rechtsgrundlage aus Abs. 1 spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Die Vorschrift stellt auf die Implementierung technischer und organisatorischer Maßnahmen ab (TOMs), die in Bezug auf die konkrete Verarbeitung einen höheren Datenschutz gewährleisten. In diesem Kontext wird auch auf die Parameter Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Faktoren Eintrittswahrscheinlichkeit und Schwere Bezug genommen. Eine Multiplikation der letztgenannten Faktoren ergibt im Produkt das Risiko.

Beispielhaft werden Protokollierungen (Nr. 2), Sensibilisierung der Daten verarbeitenden Beteiligten (Nr. 3), Benennung eines Datenschutzbeauftragten (Nr. 4) aber auch die Verschlüsselung (Nr. 7) genannt. Dass es sich bei den Maßnahmen von Nr. 1 bis 10 um keine abschließende Aufzählung handelt, wird daran deutlich, dass die Vorschrift vom Wort „insbesondere“ Gebrauch macht. Der Verantwortliche hat demnach unter Berücksichtigung der Umstände des Einzelfalls entsprechende geeignete und angemessene Maßnahmen zu treffen. 

Im Folgenden werden die verschiedenen Akteure und Daten verarbeitenden Stellen genauer betrachtet und ihre Rechte und Befugnisse aufgezeigt.

Grenzbehörden

Die dem Bundesministerium des Inneren unterstellte Bundespolizei ist unter anderem für die Überwachung des Grenzschutzes zuständig. Hierzu gehört die polizeiliche Überwachung der Grenzen, die polizeiliche Kontrolle des grenzüberschreitenden Verkehrs einschließlich der Überprüfung von Grenzübertrittspapieren und der Berechtigung zum Grenzübertritt. Im internationalen zivilen Luftverkehr beinhaltet dies ebenfalls die Kontrolle bei der Einreise, die gerade im Falle des Coronavirus besonders sorgfältig durchzuführen ist.

Behörden und öffentlichen Stellen ist es zunächst nicht erlaubt, den Pass zum automatischen Abruf personenbezogener Daten zu verwenden, es sei denn, Polizeibehörden und -dienststellen des Bundes und der Länder, die Steuerfahndungsstellen der Länder und die Behörden der Zollverwaltung verwenden den Pass im Rahmen ihrer Aufgaben und Befugnisse für den Zweck der Grenzkontrolle gem. § 17 Abs. 1 S. 2 Nr. 1 PassG. Dabei dürfen gem. Abs. 2 beim automatischen Lesen des Passes keine personenbezogenen Daten in Dateien gespeichert werden.

Laut dem Gesundheitsministerium sollen zusätzlich im Rahmen des Versuchs der Eindämmung des Coronavirus die Grenzbörden an Flughäfen dazu aufgerufen worden sein, zusätzlich zu den Fluggastdaten weitere Informationen zu erheben. Demzufolge sollen nach dem Bundesgesundheitsministerium Reisende aus ganz China (einschließlich der Sonderverwaltungszonen Hongkong und Macau) auf Aussteigekarten Angaben zu ihrem Flug und zu ihrem Aufenthaltsort in den folgenden 30 Tagen nach Landung machen sowie eine Selbstauskunft zu ihrem Aufenthaltsort in China, Kontaktpersonen und gesundheitlichen Befinden abgeben. Die Fluggesellschaften geben die Aussteigekarten aus und übergeben die ausgefüllten Karten an die Gesundheitsämter zur Aufbewahrung.

Zur Selbstauskunft gehören folgende 3 Fragen:

  • Frage 1: Haben Sie oder einer Ihrer umseitig aufgeführten Mitreisenden eines der Krankheitssymptome Fieber, Husten, Atemnot UND hatten Sie innerhalb der letzten 14 Tage Kontakt zu einem bestätigten COVID-19- Fall?
  • Frage 2: Haben Sie oder einer Ihrer umseitig aufgeführten Mitreisenden eines der Krankheitssymptome Fieber, Husten, Atemnot UND hatten Sie innerhalb der letzten 14 Tage engen, haushaltsähnlichen Kontakt zu einer Person aus einem Risikogebiet*?
  • Frage 3: Haben Sie oder einer Ihrer umseitig aufgeführten Mitreisenden eines der Krankheitssymptome Fieber, Husten, Atemnot UND haben Sie sich in den letzten 14 Tagen in einem Risikogebiet* aufgehalten?

Diese Informationen dienen den Gesundheitsbehörden und dem Robert-Koch-Institut als zentrale Einrichtung der Bundesregierung auf dem Gebiet der Krankheitsüberwachung und -prävention zur Information, Forschung und Kommunikation neuer Hinweise.

Gesundheitsbehörden

Die Gesundheit der Bevölkerung liegt in der Aufgabe des Sozialstaates. Diese Pflicht wird vom Staat durch die Gesundheitsämter ausgeübt. In Deutschland ist dabei jedes Bundesland durch ihre eigene Organisationsform hierfür zuständig. Zu den Aufgaben eines Gesundheitsamts, welches die untere Gesundheitsbehörde darstellt, gehört die Gewährleistung der öffentlichen Gesundheit und die Überwachung der Hygienezustände in den Einrichtungen der Stadt oder des Ortes. Ebenso zählt zu den Aufgaben des Gesundheitsamts die Beratung zu unterschiedlichen Gesundheitsthemen sowie allgemeine Aufgaben einer Verwaltungsbehörde.

Auf Bundesseite steht das Robert Koch-Institut als kompetenter Ansprechpartner zur Verfügung. Dort ist eine Koordinierungsstelle eingerichtet, in der die aktuelle Situation engmaschig beobachtet wird. Auch die Koordinierung und Abstimmung mit den Gesundheitsbehörden der Bundesländer findet am Robert Koch-Institut statt.

Die Gesundheitsbehörden haben zur Eindämmung einer Pandemie durch den Coronavirus und zur Bekämpfung der Folgen weitreichende Befugnisse, die grundsätzlich im Infektionsschutzgesetz (IfSG) geregelt sind. Neben verschiedenen Anordnungen, bspw. Isolationen in Quarantäne (§ 30 IfSG), beruflichen Tätigkeitsverboten (§ 31 IfSG) oder einem Verbot der Betätigung bestimmter Personengruppen in Gemeinschaftseinrichtungen (§§ 33, 34 IfSG) können die Gesundheitsbehörden auch personenbezogene Daten verarbeiten.

Bspw. regelt der 3. Abschnitt des IfSG die Meldung von Erkrankungen an das Gesundheitsamt. § 6 IfSG gibt zunächst eine Übersicht über die meldepflichtigen Krankheiten. Die weiteren Vorschriften regeln die zur Meldung verpflichteten Personen, den Umfang der Meldung und die Speicherung und Übermittlung der gemeldeten Informationen. So regelt § 8 bspw. wer zur Meldung einer Krankheit verpflichtet ist. Dazu zählen bspw. Ärzte, Heilpraktiker oder Angehörige eines Heil- oder Pflegeberufes.

§ 9 ff. IfSG normieren die Informationen und personenbezogenen Daten, die mit der Meldung zusammen abgegeben werden müssen. Die Verarbeitung von personenbezogenen und Gesundheitsdaten im Rahmen einer solchen Meldung ist sehr umfangreich. So sollen neben Stammdaten der erkrankten Person, etwa Name, Vorname, Geburtsdatum und Anschrift, auch spezifische Angaben zur Krankheit, zur Diagnose und den Symptomen, zum Spender für eine Blut-, Organ-, Gewebe- oder Zellspende in den letzten sechs Monaten sowie zum Impfstatus gemacht werden.

Diese Informationen darf die Gesundheitsbehörde anschließend für eigene Zwecke verarbeiten oder an Dritte, etwa weitere Gesundheitsbehörden im In- und Ausland, übermitteln.

Unternehmen

Auch Unternehmen dürfen (sogar müssen) im Zusammenhang mit dem Coronavirus personenbezogene und Gesundheitsdaten ihrer Mitarbeiter verarbeiten. So regelt § 42 IfSG ein Beschäftigungsverbot für Personen, die in der Herstellung von Lebensmitteln tätig sind und die an bestimmten Krankheiten erkrankt oder dessen verdächtig sind. Um den Anforderungen dieser Vorschrift zu entsprechen, müssen Unternehmen ihre Mitarbeiter überprüfen.

Diese Überprüfung könnte bspw. durch folgende Maßnahmen erfolgen:

  • Durch Selbstauskunfts- und Fragebögen
  • Durch Messungen der Körpertemperatur
  • Rachenabstriche für Speichelproben
  • Einlasskontrollen und anlassbezogene Befragungen (bspw. nach Dienstreisen)
  • Sonstige Maßnahmen des Betriebsarztes

Grundsätzlich sollte den Unternehmen bzw. Arbeitgebern jede Maßnahme erlaubt sein, die verhältnismäßig ist und darauf abzielt, die Anforderungen des Infektionsschutzgesetzes einerseits und dem Schutz des eigenen Betriebes und der Mitarbeiter andererseits Rechnung zu tragen. Die durch die Maßnahmen vorhandenen Daten und Informationen müssten an zuständige Behörden weitergegeben werden. Darüber hinaus darf der Arbeitgeber auch Daten von (anderen) Mitarbeitern verarbeiten, die in Kontakt zu dem betroffenen Mitarbeiter standen.

Des Weiteren erlauben §§ 33, 34 IfSG bestimmten Arbeitgebern indirekt eine Verarbeitung von personenbezogenen Daten. So können bspw. Gemeinschaftseinrichtungen – ungeachtet der Tatsache, ob sie privatrechtlich oder öffentlich-rechtlich organisiert sind – Überprüfungen bei ihren Mitarbeitern durchführen, um die gesetzlichen Anforderungen einzuhalten. Denn Personen, die in solchen Einrichtungen beschäftigt sind, dürfen ihre Tätigkeit im Falle von Erkrankungen oder des Verdachts von Erkrankungen nicht ausführen. Um dies zu gewährleisten, müsste die Leitung der Gemeinschaftseinrichtung bzw. der Arbeitgeber demnach mit verhältnismäßigen Maßnahmen die erforderlichen Daten verarbeiten.

Forschungsinstitute

Auch in der Forschung wird eng zusammengearbeitet. Über die „Coalition for Epidemic Preparedness Innovations“, kurz CEPI, wird bereits die Forschung zu einem Impfstoff koordiniert.

Zum Austausch von Informationen und personenbezogenen Daten hat der Verantwortliche in Deutschland gem. § 27 Abs. 1 BDSG die Möglichkeit abweichend von Art. 9 Abs. 1 DSGVO sensible Daten auch ohne Einwilligung zu wissenschaftlichen oder historischen Forschungszwecken zu verarbeiten, sofern dies erforderlich ist und die Interessen des Verantwortlichen die Interessen der betroffenen Person erheblich überwiegen.

Der Bundesgesetzgeber hat hierbei von der Öffnungsklausel in Art. 9 Abs. 2 lit. j DSGVO Gebrauch gemacht. Zur Erforschung und Herstellung eines Impfstoffes gegen den Coronavirus unter Verwendung von personenbezogenen Daten der betroffenen Patienten könnte die Interessenabwägung regelmäßig zugunsten der verantwortlichen Forschungsinstitute ausfallen. Gleichwohl ist auch hier die Verhältnismäßigkeit der Verarbeitung zu wahren und es sind ggfs. höhere Schutzmaßnahmen zu treffen, sodass die vorhandenen Daten und Proben (ggfs. mit Erreger) nicht in falsche Hände gelangen.

Quarantäne schlägt Grundrecht

Gem. § 30 IfSG kann zur Eindämmung des Coronavirus auch eine Anordnung zum Aufenthalt in Quarantäne angeordnet werden. Widersetzt sich die Person dieser Anordnung kann dies gem. § 30 Abs. 2 IfSG auch zwangsweise und unter Einschränkung des Grundrechts der Freizügigkeit nach Art. 11 GG erfolgen. Art. 11 Abs. 2 GG statuiert in diesem Zusammenhang, dass dieses Recht durch ein Gesetz eingeschränkt werden kann und nur für die nachfolgenden Falle:

  • es ist keine ausreichende Lebensgrundlage vorhanden und der Allgemeinheit würden daraus besondere Lasten entstehen
  • es ist zur Abwehr einer drohenden Gefahr für den Bestand oder die freiheitliche demokratische Grundordnung des Bundes oder eines Landes erforderlich,
  • zur Bekämpfung von Seuchengefahr, Naturkatastrophen oder besonders schweren Unglücksfällen
  • zum Schutze der Jugend vor Verwahrlosung oder
  • um strafbaren Handlungen vorzubeugen

Neben der Einschränkung der Freizügigkeit gehören nach § 30 Abs. 3 IfSG auch eine Einschränkung in die Unversehrtheit der Person (Art. 2 Abs. 1 GG), der Freiheit der Person (Art. 2 Abs. 2 GG) und des Brief- und Postgeheimnisses (Art. 10 GG), soweit dies zur Eindämmung der Infektionskrankheit notwendig ist.

Ihr Ansprechpartner:

Erdem Durmus

Externer Datenschutzbeauftragter

CIPP/E
Basiszertifikat Projektmanagement von der GPM
Fachkundenachweise zum Datenschutzbeauftragten