Einrichtungsbezogenen Impfpflicht: Was ist datenschutzrechtlich zu beachten?

Die wichtigsten Fragen und Antworten zum Datenschutz

Antworten zur Umsetzung der einrichtungsbezogenen Impfpflicht

Seit dem 15. März 2022 gilt für Personen, die in Gesundheitseinrichtungen tätig sind, eine Corona-Impfpflicht. Der Einrichtungsleitung bzw. dem Einrichtungsträger wird in diesem Zusammenhang eine Kontroll- und Prüfpflicht auferlegt, welche die Verarbeitung von Gesundheitsdaten der betroffenen Personen bedingt. Da es sich bei Gesundheitsdaten um besondere Kategorien personenbezogener Daten handelt, ist aus Datenschutzsicht besondere Sorgfalt anzuwenden.

Welche Einrichtungen sind betroffen?

§ 20a Abs. 1 IfSG regelt, welche Einrichtungen der Impfpflicht unterliegen. Auch wenn in der Presse oft von einer „Impfpflicht in der Pflege“ die Rede ist, so geht die Wirkung des § 20a IfSG ein deutliches Stück weiter. Die einrichtungsbezogene Impfpflicht gilt unter anderem auch für

•    medizinische Rehabilitationseinrichtungen,
•    voll- und teilstationäre Pflegeeinrichtungen,
•    Wohnformen der Eingliederungshilfe,
•    Werkstätten für behinderte Menschen, betreute Wohngruppen mit behinderten Kindern/Jugendlichen,
•    ambulante Pflegedienste und Beförderungsdienste, die z. B. Menschen zu den Werkstätten befördern,
•    familienentlastende Dienste in der Behindertenhilfe und
•    ambulant betreute Wohngruppen.

Welche Daten sind im Zuge der einrichtungsbezogenen Impfpflicht zu dokumentieren?

Die für einen Nachweis erforderlichen Gesundheitsdaten stellen besondere Kategorien personenbezogener Daten dar, deren Verarbeitung aufgrund des IfSG erlaubt ist. Die im IfSG normierte einrichtungsbezogene Corona-Impfpflicht soll besonders vulnerable Personen schützen und daher die noch relevante Impflücke im Pflegesystem schließen. Zur Feststellung, ob die ergriffene Maßnahme, die einrichtungsbezogene Impfpflicht, den erhofften Erfolg bringt, ist die Erhebung von personenbezogenen Daten erforderlich.

Die Deutsche Krankenhausgesellschaft e.V. (DKG) ist der Auffassung, dass sämtliche Daten zu erfassen sind, die sinnvollerweise erhoben werden sollten („erforderliche“ Daten der Impfungen, Auffrischungsimpfungen, verwendete Impfstoffe der jeweiligen Impfungen).

Wir sind jedoch der Ansicht, dass auch hier der Grundsatz der Datenminimierung zu beachten ist, weshalb die Einrichtungsleitung nur solche Daten erheben darf, die tatsächlich nach § 20a IfSG benötigt werden. Die Einrichtungsleitung sollte unserer Auffassung nach lediglich vermerken, dass ein entsprechender Nachweis erbracht wurde, nicht jedoch, um welche Art von Nachweis (Impf-, Genesenennachweis, ärztliches Zeugnis) es sich handelt. Darüber hinaus sollte ein etwaiges Ablaufdatum vermerkt werden.
 

Achtung: Es drohen Datenschutzverstöße, wenn Einrichtungen Kopien von Nachweisen verlangen oder zu viele Daten dokumentieren!


Am einfachsten ist die Dokumentation mittels einer Excel-Tabelle. Diese ist passwortgeschützt in einem zugriffsbeschränkten Ordner auf dem File-Server oder in einer vergleichbaren Weise zu speichern. Nur Personen, die mit den Kontroll- und Dokumentationsaufgaben betreut sind, dürfen Zugriffsrechte erhalten.

Wie lange ist die Dokumentation des Impfstatus vom Arbeitgeber zu führen?

Die einrichtungsbezogene Impfpflicht ist bis zum 31. Dezember 2022 befristet. Sofern der Gesetzgeber sie nicht verlängert, ist die Dokumentation nach dem 31. Dezember 2022 nicht mehr erforderlich. Die bis dahin erhobenen und gespeicherten Daten sind dann unverzüglich zu löschen. Sollte es in Einzelfällen zu Rechtsstreitigkeiten bezüglich der Nachweise kommen, so dürfen die Einrichtungen die relevanten Einträge so lange aufbewahren, bis die Verfahren abgeschlossen sind.

Ist der Datenschutzbeauftragte zu beteiligen?

Der Datenschutzbeauftragte ist bei der Umsetzung der einrichtungsbezogenen Impfpflicht zwingend einzubinden. Das Verfahren muss im Verzeichnis der Verarbeitungstätigkeiten dokumentiert und die getroffenen technisch-organisatorischen Maßnahmen zum Schutz der Daten vor unbefugter Kenntnisnahme müssen geprüft werden.

Praxis-Hinweis

Bei speziellen auf Ihre Einrichtung bezogenen Fragestellungen zur einrichtungsbezogenen Impfpflicht wenden Sie sich gerne jederzeit an uns.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Münster
LL.M.
Chris Brauckmann, externer Datenschutzbeauftragter und Auditor (TÜVcert.)
+49 (0)251 48261-0
 

Solidaris Rechtsanwaltsgesellschaft mbH

Münster
RAin
Agnes Lisowski
+49 (0)251 48261-178
 

Agnes Lisowski

  • Studium der Rechtswissenschaft an der Westfälischen Wilhelms Universität in Münster
  • seit 2007 Rechtsanwältin
  • 2007 Erfolgreiche Absolvierung des Fachanwaltslehrgangs Arbeitsrecht
  • 2008 – 2009 Justitiarin beim Diözesancaritasverband Münster
  • 2008 – 2011 Dozentin im Bereich Arbeitsrecht und Mitarbeitervertretungs-ordnung für den Diözesancaritasverband Münster
  • 2014 – 2015 Erfolgreiche Absolvierung des Fachanwaltslehrgangs Sozialrecht
  • seit 2016 für die BPG Rechtsanwaltsgesellschaft GmbH tätig
  • 2019 – Ausbildung zum zertifizierten Datenschutzbeauftragten bei der Gesellschaft für Datenschutz und Datensicherheit (GDDcert. EU)

Schwerpunkte

  • Individual- und Kollektivarbeitsrecht 
  • Sozialrecht
  • Allg. Zivilrecht und Vertragsrecht
  • Datenschutz

Aktivitäten

  • Lehrauftrag an der Hochschule FOM in Dortmund

Veröffentlichungen in der Fachpresse 2020

  • Corona-Ausbruch in einer Pflegeeinrichtung. Strafrechtliche Konsequenzen?: CAREkonkret, 12/2020, S. 2.
  • Geschäftsführer-Gehalt zu hoch: Gemeinnützigkeit aberkannt: Altenheim, 10/2020, S. 32-33.
  • Urteil des Bundesfinanzhofs – Zu hohe Gehälter gefährden Gemeinnützigkeit: CAREkonkret, 39/2020, S.5.