Seit dem 01.03.2020 besteht in Gemeinschaftseinrichtungen und medizinischen Einrichtungen die gesetzliche Verpflichtung zur Kontrolle des Masern-Impfschutzes. Über die Umsetzung dieser Verpflichtung besteht häufig Unsicherheit.
Der hessische Beauftragte für Datenschutz und Informationsfreiheit hat zur datenschutzkonformen Vorgehensweise für diese Kontrollen und deren Dokumentation ein Informationsblatt veröffentlicht.
Rechtsgrundlagen
Der Nachweis des Impfschutzes kann nach § 20 Abs. 9 Infektionsschutzgesetz (IfSG) durch Vorlage eines Impfpasses oder durch ein ärztliches Attest erbracht werden.
Die Verarbeitung der personenbezogenen Daten erfolgt nach Art. 6 Abs. 1 lit. c) i.V.m. Art. 9 Abs. 2 lit. i) DSGVO i.V.m. § 20 Abs. 9 IfSG und § 20 Abs. 1 Nr. 3 HDSIG bzw. § 22 Abs. 1 Nr. 1 lit. c) BDSG.
Wenn es sich um Beschäftigte der betroffenen Einrichtung handelt gilt weiterhin § 23a IfSG, nach welchem der Arbeitgeber unter bestimmten Voraussetzungen den Impf- und Serostatus der Beschäftigten verarbeiten darf.
Kontrollmöglichkeiten
Die Kontrollen müssen gut dokumentiert werden, da ohne den Impfnachweis eine Beschäftigung bzw. Betreuung der betroffenen Personen gesetzlich verboten ist. Verstöße können nach § 73 Abs. 1a Nr. 7b IfSG mit einem Bußgeld geahndet werden.
Durch Anfertigungen und Aufbewahrung/Speicherung von Kopien von Impfausweisen und Attesten können Gesundheitsdaten erhoben und gespeichert werden, die zur Beachtung des Masernschutzgesetzes nicht benötigt werden (z.B. den Impfstatus bezüglich anderer Infektionskrankheiten). Der Grundsatz der Datensparsamkeit und der besonderen Schutz von Gesundheitsdaten durch die DSGVO stehen dieser Vorgehensweise entgegen. In der Regel ist diese Vorgehensweise damit nicht datenschutzkonform.
Es bietet sich an, die Dokumentation des Impf-/ Serostatus durch Sichtung des Impfausweises bzw. ärztlichen Attest und anschließender Aktennotiz zu gewährleisten. Es empfiehlt sich diese Kontrolle/Dokumentation durch zwei Personen (die beide in der betroffenen Einrichtung beschäftigt sind) durchführen zu lassen. So kann datenschutzkonform ein Missbrauch der Daten verhindert und der Beweiswert der Aktennotiz erhöht werden (Vier-Augen-Prinzip).
Bei einem Wechsel der Einrichtung durch Mitarbeiter oder betreute Personen können sich diese durch staatliche Stellen oder durch die alte Einrichtung den Nachweis des Impf-/ Serostatus bestätigen lassen. Diese Bestätigung ist als Nachweis gegenüber der neuen Einrichtung ausreichend und muss von dieser akzeptiert werden. Eine erneute Vorlage des Impfausweises ist nicht notwendig und darf nicht verlangt werden.
Gestaltung der Aktennotiz
Die Aktennotiz über die Kontrolle des Impfstatus sollte aufgrund des Grundsatzes der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) nur solche personenbezogenen Daten enthalten, die für die Erfüllung der Pflichten aus dem IfSG erforderlich sind.
Namen von Ärzten oder ähnliches sollten in der Regel nicht notwendig sein.
Ein Musterdokument wird beispielsweise vom Niedersächsischen Landesgesundheitsamt zur Verfügung gestellt. (https://www.nlga.niedersachsen.de/download/151771/Dokumentationshilfe_2_Impfungen.pdf)
Einrichtungen haben bei der Speicherung der Gesundheitsdaten ihrer Beschäftigten bzw. der von ihnen betreuten Personen angemessene technische und organisatorische Maßnahmen zum Schutze der Gesundheitsdaten wie z.B. Zugriffsbeschränkungen und die Sensibilisierung der Beschäftigten zu treffen.(§ 20 Abs. 2 HDSIG für öffentliche Stellen in Hessen, bzw. § 22 Abs. 2 BDSG für andere Stellen)
Quellen:
https://dip21.bundestag.de/dip21/btd/19/134/1913452.pdf
https://www.nlga.niedersachsen.de/download/151771/Dokumentationshilfe_2_Impfungen.pdf
