Praxiswissen Corona

11 Min

Corona-Impfung und Datenschutz: Was passiert mit unseren Daten?

Marine Serebrjakova
Marine Serebrjakova

Messehallen, Stadien und ausgediente Flughäfen: in deutschlandweit über 400 Impfzentren sollen  möglichst viele Bürger möglichst bald eine COVID-19-Schutzimpfung erhalten. Termine werden nach Priorität vergeben. Dafür fragt der Staat bei der Anmeldung personenbezogene Daten und  Informationen zur Gesundheit ab. Doch was passiert mit diesen Daten, wie sind sie geschützt, bleiben sie vertraulich – und dürfen Arbeitgeber den Impfstatus ihrer Mitarbeitenden in bestimmten Fällen  abfragen? Fakten zur Corona-Impfkampagne in Bayern. 

 

Das Wichtigste in Kürze 

  • Unternehmen dürfen von Mitarbeitenden und Bewerbern keinen Nachweis über eine Corona-Schutzimpfung verlangen. 
  • Dies gilt auch für Unternehmen, die prioritär Impfberechtigte beschäftigten – zum Beispiel Pflegekräfte oder medizinisches Personal. 
  • Der staatliche Schutzauftrag legitimiert das Vorgehen bei der nationalen Impfkampagne sowie die Art und den Umfang der Verarbeitung personenbezogener Daten. 
  • Datenschutzrechtlich ist die Impfkampagne gut organisiert. Die Vorgehensweise erfüllt die Anforderungen und Vorgaben der DS-GVO und wird transparent kommuniziert. 

In diesem Beitrag 

Menschen und Wirtschaft in Deutschland leiden massiv unter der Pandemie. Wird es bald eine Corona-Impfpflicht geben? 

Corona-Impfungen sind in Deutschland freiwillig. Der Gesundheitsminister hat öffentlich mehrfach versichert, dass es eine Impfpflicht auch künftig nicht geben wird. Aktuell ließe sich eine Pflicht auch kaum begründen, da zum Beispiel noch völlig unklar ist, ob bereits Geimpfte weiterhin ansteckend sein können und das Virus verbreiten oder nicht. Sollten medizinische Studien zu der Erkenntnis gelangen, dass die Impfung eine Weitergabe des Virus zuverlässig verhindert, wäre eine Impfpflicht aber durchaus denkbar – ähnlich wie bei der Masernerkrankung. 

Können Arbeitgeber ihre Mitarbeitenden zum Impfen auffordern? 

Dies ist unabhängig vom ausgeübten Beruf unzulässig. Solange es keine Impfpflicht gibt, kann und darf der Arbeitgeber eine Corona-Schutzimpfung nicht zur Beschäftigungsvoraussetzung machen. Daran ändert selbst die Tatsache nichts, dass die Corona-Impfkampagne bestimmteBerufsgruppen – etwa in der Pflege oder der medizinischen Versorgung  eine Impfpriorität einräumt. Ein prioritärer Impfanspruch begründet keine Pflicht. Das Impfen ist freiwillig. 

Dürfen Arbeitgeber oder Dritte den Impfstatuts einer Person abfragen? 

Nein, solange es keine Impflicht gibt, ist auch dies unzulässig. Ohnehin dürfen Arbeitgeber von ihren Angestellten und Bewerbern ausschließlich Daten erheben, die für das Zustandekommen und die Durchführung des Beschäftigungsverhältnisses erforderlich sind. Hier gilt das Prinzip der Datensparsamkeit und Zweckbindung gemäß Art. 5 DS-GVO 

Noch höher sind die Hürden im Hinblick auf sensible Gesundheitsdaten. Hier dürfen laut Art. 9 Abs. 2 lit. i DS-GVO allenfalls einzelne Daten erhoben und verarbeitet werden – und dies auch nur in besonderen Fällen, etwa wenn die Verarbeitung [...] aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren [...] erforderlich ist. Dabei ist jedoch stets die Verhältnismäßigkeit zu prüfen. Bei Mitarbeitern, die im Homeoffice arbeiten können, dürfte sie kaum gegeben sein. Eine Verhältnismäßigkeit erscheint zudem schwer vorstellbar, solange unklar ist, ob die Impfung eine Ansteckung sicher verhindert. 

 

DSGVO Beratung

 

Warum sind für das Impfen allein die Impfzentren zuständig?  

Vom Ausbruch der Corona-Pandemie bis zu den ersten Impfungen hat es keine zwölf Monate gedauertMöglich war dies nur dank neuartiger Vakzine, sogenannter Messenger-RNA-Impfstoffe. Diese wurden nie zuvor eingesetzt. Es ist daher mit Unsicherheiten verbunden, sie für eine nationale Impfkampagne zu nutzenDer Bund hat sich nach Abwägung der Vor- und Nachteile dafür entschieden und kommt so seinem staatlichen Schutzauftrag nach. Dieser leitet sich aus dem Grundgesetz ab. Dort heißt es in Artikel 2 Absatz 2 Satz 1: „Jeder hat das Recht auf Leben und körperliche Unversehrtheit.“ 

Impfen kann Leben retten und vor schweren Erkrankungen schützen. Auf der anderen Seite darf der Staat auch die Risiken nicht unbeachtet lassenwill er seinen Schutzauftrag erfüllen. Deshalb hat die Bundesregierung in der Coronavirus-Impfverordnung festgelegt, dass die Impfungen in Deutschland in staatlich organisierten Impfzentren oder von angegliederten mobilen Impfteams durchgeführt werden. Die Impfzentren melden zum Zwecke der Nachverfolgung täglich alle Impf-Vorgänge unter Angabe fest vorgegebener Informationen an ein zentrales Impf-Monitoring. Dies ermöglicht ein tagesaktuelles Impftracing, sodass der Staat im Fall der Fälle schnell reagieren kann 

Wer steckt eigentlich hinter den Impfzentren, wer organisiert und verantwortet sie? 

Verantwortlich für die Einrichtung und Organisation der Impfzentren sowie der mobilen Impfteams sind die zuständigen Ministerien der Länder. In Bayern ist das Staatsministerium für Gesundheit und Pflege verantwortlich. Der Bund gibt die Rahmenbedingungen vor, die Umsetzung ist Ländersache und daher je nach Bundesland unterschiedlich organisiert. Dieser Beitrag schildert die Situation in Bayern. Zentrale Organisationsplattform im Freistaat ist das BayIMCO, das Bayerische Impfmanagement gegen Corona. Dabei handelt es sich um eine IT-Plattform, über die sowohl die Anmeldung zur Impfung als auch der Impfablauf organisiert werden 

Wie läuft die Online-Anmeldung zur Corona-Schutzimpfung ab? 

Die Anmeldung ist als mehrstufiges Verfahren organisiert. Um einen Impftermin zu erhalten, müssen sich Interessenten aktiv registrieren unter www.impfzentren.bayern. Im Zuge der Anmeldung werden personenbezogene Daten abgefragt wie Name, Geburtsdatum, Geschlecht, Wohnort, E-Mail-AdresseTelefonnummer und gegebenenfalls Angaben zur beruflichen Tätigkeitwenn jemand beispielsweise in einem Pflegeheim oder einer Schule arbeitetSchematisch werden auch sensible Gesundheitsdaten erfasst. Das System fragt ab, ob bestimmte Vorerkrankungen oder eine Schwangerschaft vorliegen 

Mithilfe dieser Angaben ermittelt die Plattform automatisch einen Kennwert. Je höher der Kennwert, desto höher die Impfpriorität. Priorisiert werden zunächst ältere Menschen, Pflegeheimbewohner, Menschen in Pflegeberufen und entsprechend Vorerkrankte. Die Impfzentren organisieren die Reihenfolge der Terminvergabe mithilfe des Kennwerts und verschicken die Einladungen per E-Mail 

Wer einen Impftermin bekommt, muss diesen in einem weiteren Schritt online bestätigen. Dabei fragt das System weitere Details zum aktuellen Gesundheitszustand abDiese werden allerdings nicht gespeichert, sondern zusammen mit den anderen persönlichen Daten in einen QR-Code umgewandelt. Der QR-Code ist Bestandteil einer automatisch generierten PDF-Datei. Dabei handelt es sich um den sogenannten Impfbogen, der ausgedruckt und zum Impftermin mitgebracht werden muss. 

Müssen Impfinteressenten alle geforderten Daten preisgeben?  

Ja, wer geimpft werden möchte, muss die abgefragten personenbezogenen Daten liefern. Ansonsten wird kein Impftermin vergeben. Dies gilt auch für Menschen, die beispielsweise aufgrund ihres Alters zur priorisierten Zielgruppe gehören und zweifellos Anspruch auf die Impfung haben. Eine Aufforderung zur Impfung erfolgt übrigens nicht, auch Risikogruppen werden nicht automatisch kontaktiert. Voraussetzung ist die Anmeldung. 

Was passiert mit den personenbezogenen Daten und werden sie gespeichert?  

Die sensiblen Gesundheitsdaten werden ebenso wie die Angaben zum Beruf nur genutzt, um den Kennwert für die Priorisierung zu ermitteln und benötigte Informationen per QR-Code an die Impfzentren zu übermitteln. Alle weiteren personenbezogenen Daten speichert BayIMCO nur bis zum Abschluss des Impfverfahrens.  

Nach der zweiten Impfung überträgt BayIMCO die Daten in eine zentrale Datenbank, das „Bayerische Impf-Monitoring“. Hier werden die Daten für die Nachverfolgung, beispielsweise in Haftungsfällen, und zum Zwecke medizinischer Analysen (Impf-Surveillance) verschlüsselt gespeichert und für die Dauer von zehn Jahren oder länger aufbewahrt.  

Werden die Daten für die Impf-Surveillance auch ans Robert-Koch-Institut übermittelt? 

Ja, dies geschieht täglich in pseudonymisierter FormRechtsgrundlage dafür sind das Infektionsschutzgesetz (§13 Absatz 5 Satz 1) und die Coronavirus-Impfverordnung (§ 7 Impf-Surveillance). Demnach übermitteln die Impfzentren an das Robert-Koch-Institut folgende Daten: Patienten-Pseudonym, Geburtsmonat und -jahr, Geschlecht, Postleitzahl und Landkreis der zu impfenden Person, Kennnummer und Landkreis des Impfzentrums, Datum der Schutzimpfung, Beginn oder Abschluss der Impfserie (Erst- oder Folgeimpfung), Impfstoff-Produkt, Chargennummer und die Grundlage der Priorisierung.  

Die erhobenen Daten dürfen vom Robert-Koch-Institut (RKI) nur verarbeitet werden, um die Anzahl der Impfungen und die Impfquote sowie etwaige Impfeffekte (Impf-Surveillance) festzustellen. Das RKI stellt die Daten auch dem Paul-Ehrlich-Institut zur Verfügung, damit dieses die Sicherheit der Impfstoffe überwachen kann.  

Auf welcher Rechtsgrundlage werden die Daten erhoben? Gibt es datenschutzrechtliche Bedenken?  

Legitimiert ist Abfrage personenbezogener Daten im Rahmen der nationalen COVID19-Impfkampagne primär durch den im Grundgesetz verankerten Schutzauftrag des Staates. Über die angewendeten Rechtsgrundlagen informiert das Bayerische Staatsministerium für Gesundheit und Pflege in seiner Datenschutzinformation zur Digitalen Impfverwaltung Bayern ausführlich und transparent. Die Datenverarbeitung geschieht erklärtermaßen auf Grundlage der DS-GVO, der Coronavirus-Impfverordnung, des Bundesdatenschutzgesetzes sowie des Bayerischen Datenschutzgesetzes.  

Aus Datenschutzsicht sind damit alle wesentlichen Anforderungen zum Schutz und für die Sicherheit personenbezogener Daten erfüllt. Verbesserungspotenzial gibt es allenfalls im Hinblick auf die Darstellung der getroffenen technischen und organisatorischen Maßnahmen (TOM)Hier wäre mehr Transparenz durch umfassendere Informationen wünschenswert. Auch kann wohl zurecht hinterfragt werden, ob die beschriebene Pseudonymisierung der Personendatensätze den gesetzlichen Anforderungen tatsächlich genügt. Alles in allem gibt es aber keine größeren datenschutzrechtlichen Bedenken.  

Fazit: Die Corona-Schutzimpfung ist freiwillig und datenschutzrechtlich gut organisiert   

Die Corona-Schutzimpfung ist ein Angebot des Staates. Die Teilnahme ist freiwillig, eine Impfpflicht gibt es nicht. Arbeitgeber dürfen von Mitarbeitenden daher weder die Impfteilnahme noch einen Nachweis über den aktuellen Impfstatus verlangen. Der Schutz und die Sicherheit personenbezogener Daten sind formal gewährleistet, der Umfang und die Zwecke der Datenverarbeitung werden transparent dargestellt. Verstöße im Einzelfall, etwa durch menschliches Fehlverhalten, können jedoch nicht ausgeschlossen werden. Beschwerden nimmt das Bayerische Landesamt für Datenschutzaufsicht online entgegen. 

Corona Selbstauskunft Besuchertemaplte

                                                                                                                             Zurück zum Seitenanfang
Veröffentlicht am Aktualisiert am
Tags Praxiswissen Corona

Über den Autor

Marine Serebrjakova Marine Serebrjakova
Marine Serebrjakova

Wie hochbrisant das Thema Datenschutz ist, wurde der Rechtsanwältin Marine Serebrjakova schon früh in ihrer beruflichen Laufbahn bewusst. Mit wachsender Skepsis beobachtete sie, wie Verbraucher und Unternehmen sorglos ihre sensiblen Daten über soziale Medien teilen. Deshalb beschloss Marine, sich voll und ganz dem Datenschutz zu verschreiben. Heute entwickelt sie pragmatische Datenschutzlösungen für ihre Kunden und leistet gleichzeitig Aufklärungsarbeit. Denn: „Aktuell werden im Zuge der DSGVO die Weichen dafür gelegt, wie zukünftige Generationen und somit Recht, Politik und Gesellschaft mit dem Datenschutz umgehen werden.“ Dieser Leitsatz bestimmt auch ihren Arbeitsalltag und ihr Handeln.

Mehr Artikel ansehen

Diese Themen sollten Sie nicht verpassen:

Weitere Artikel

Was ist Datenmanagement?
Informationssicherheit

3 Min

Was ist Datenmanagement?

Erfahren Sie, warum Datenmanagement wichtig ist und wie Sie es effektiv nutzen können. Bewährte Praktiken und Tools.

Weiterlesen
Was ist Big Data Analytics?
Informationssicherheit

6 Min

Was ist Big Data Analytics?

Big Data Analytics bietet z.B. verbesserte Entscheidungsfindung und Kundenerfahrung. Erfahren Sie, wie Techniken wie maschinelles Lernen genutzt werden.

Weiterlesen
American Privacy Rights Act (APRA): Was der Entwurf für EU-Unternehmen und Behörden bedeuten kann
Informationssicherheit

3 Min

American Privacy Rights Act (APRA): Was der Entwurf für EU-Unternehmen und Behörden bedeuten kann

Der US-Kongress hat einen Entwurf für neue US-Datenschutzgesetze vorgelegt. Hier erfahren Sie, was der American Privacy Rights Act (APRA) für Ihr Unternehmen bedeuten könnte.

Weiterlesen
Was ist eine ITIL-Zertifizierung?
Informationssicherheit

6 Min

Was ist eine ITIL-Zertifizierung?

Entdecken Sie die Vorteile der ITIL-Zertifizierung: Steigern Sie Ihr Verdienstpotenzial und verbessern Sie Ihre IT-Services.

Weiterlesen
Welche IT-Systeme gibt es?
Informationssicherheit

6 Min

Welche IT-Systeme gibt es?

Erfahren Sie, wie IT-Systeme moderne Unternehmen stärken, von Hardware und Software bis hin zu Cloud Computing und Cybersicherheit.

Weiterlesen
Risikoanalyse IT-Sicherheit
Informationssicherheit

6 Min

Risikoanalyse IT-Sicherheit

Priorisieren von Risiken in der IT-Sicherheit durch Identifizierung, Bewertung und proaktive Minderung von Bedrohungen und Schwachstellen.

Weiterlesen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt durchstarten

  • Datenschutzkonforme und transparente Einholung von Einwilligungen
  • Konform mit DSGVO, CCPS, LGPD, ePrivacy
  • Langfristig wertvollere Daten
  • Zentraler Überblick: Ihre Single Source of Truth
  • Persönlicher Support durch Experten bei jedem Schritt
  • Einfache Integration in alle Ihre Marketing-Tools und CRM

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Jetzt Termin vereinbaren