Nicht erst seit der Einführung der Datenschutz-Grundverordnung (DSGVO) wird der Datenschutz in vielen Projekten von den Beteiligten oft als lästiges Übel oder gar Hindernis empfunden – regelmäßig zu Unrecht. Richtig ist, dass die datenschutzrechtlichen Anforderungen an die Einführung neuer oder die Anpassung bestehender Datenverarbeitungsvorgänge stetig steigen. Richtig ist aber auch, dass bei einer rechtzeitigen und sorgfältigen Planung (siehe hierzu auch unsere Checkliste zur Organisation von Impfvorhaben) sich viele datenschutzrechtliche Fragen frühzeitig klären lassen und der Datenschutz sogar ein ordnender Faktor in Projekten sein kann. Dies gilt auch für Impfvorhaben der Arbeitgeber/innen.
Rolle der am Impfvorhaben Beteiligten
Entscheidend ist dabei zunächst, welche Rollen die am Impfvorhaben beteiligten juristischen oder natürlichen Personen (vom Gesetzgeber auch als „Stellen“ bezeichnet) aus datenschutzrechtlicher Sicht einnehmen. Die DSGVO unterscheidet insoweit zwischen „Verantwortlichen“, also Stellen, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden (Art. 4 Abs. 7 DSGVO) und „Auftragsverarbeitern“, also Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten (Art. 4 Abs. 8 DSGVO). Dabei ist es für die Rollenzuweisung unschädlich, wenn der Auftragsverarbeiter Details zu den Mitteln der Datenverarbeitung empfiehlt oder sogar bestimmt, solange der Verantwortliche die wesentlichen Punkte zum „Ob“ und „Wie“ der Datenverarbeitung entscheidet (siehe dazu den Europäischen Datenschutzausschuss, Guidelines 07/2020 on the Concepts of Controller and Processor in the GDPR, vom September 2020, S. 3).
In Impfvorhaben, die von Unternehmen als Arbeitgeber organisiert werden, können, je nach Zuschnitt, folgende Projektpartner beteiligt sein
- das Unternehmen selbst;
- ein auf Impfvorhaben spezialisierter Dienstleister;
- die Impfvorgänge ausführende Mediziner/innen
- in das Projekt eingebundene Impfzentren.
Dabei hat die Aufnahme von Betriebsärzten/innen in den Kreis der zur Leistungserbringung berechtigten Personen in § 6 der Coronavirus-Impfverordnung die Gestaltungsmöglichkeiten in Impfvorhaben jüngst noch einmal erweitert.
Unternehmen, die als Arbeitgeber ihren Beschäftigten ein Angebot zur Impfung gegen das Coronavirus machen wollen, können dabei entscheiden, ob sie selbst eine aktive Rolle in der Einladung und Organisation der Impftermine übernehmen oder einen auf Impfvorhaben spezialisierten Dienstleister einschalten wollen. Die Einschaltung eines solchen Anbieters hat den Vorteil, dass der Arbeitgeber Haftungsrisiken senken und die Diskussion über seine Einbeziehung in den Behandlungsvertrag vermeiden kann. An der Übernahme der datenschutzrechtlichen Rolle als Verantwortlicher wird das Unternehmen ohnehin kein praktisches Interesse haben.
Anders sieht es bei den Medizinern/innen aus, die das Impfvorhaben z.B. als Betriebsarzt/ärztin begleiten. Diese haben regelmäßig ein Interesse daran, die personenbezogenen Informationen zu den durchgeführten Impfvorgängen zu erheben und weiter zu verarbeiten, sei es zu Abrechnungszwecken gegenüber der Kassenärztlichen Vereinigung (§ 9 Abs. 4 Coronavirus-Impfverordnung), sei es zum Führen von Patientenakten.
Die auf Impfvorhaben spezialisierten Dienstleister wiederum werden im Regelfall die bei der Durchführung der Impfvorhaben erhobenen und weiterverarbeiteten personenbezogenen Daten der Impfinteressenten im Auftrag der Verantwortlichen verarbeiten. Da sie als ausführender Dienstleister zwar eine beratende Funktion einnehmen, am Ende aber nicht über die Zwecke und die bei der Datenverarbeitung eingesetzten Mittel entscheiden, scheiden sie als Verantwortlicher in aller Regel aus.
Einsatz von Tools zur Vorbereitung und Dokumentation des Impfvorgangs
In ihrer Rolle als Organisator des Impfvorhabens stellen die spezialisierten Dienstleister üblicherweise auch die technische Infrastruktur (unmittelbar oder über Subdienstleister) bereit, hierunter oftmals auch ein System zur Vergabe und Abwicklung der Impftermine („Tool“). Dieses erfasst die zur Vorbereitung, Durchführung und Dokumentation der Impfvorgänge erforderlichen Daten der Impfinteressierten, also u.a. Name, Vorname, Geburtsdatum, E-Mail-Adresse, Telefonnummer und Angaben zur Krankenkasse und Krankenversichertennummer bzw. privaten Krankenversicherung. Dazu können gesundheitsbezogene Angaben („sensible Daten“) aus der Anamnese und dem Aufklärungsgespräch mit den Impfinteressierten kommen.
Aus Sicht der Unternehmen ist entscheidend, dass der Dienstleister den datenschutzkonformen Einsatz und Betrieb solcher Systeme, einschließlich der technischen und organisatorischen Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme (vgl. Art. 32 Abs. 1 DSGVO) sicherstellt. Sofern das Tool von einem Dritten (Lizenzgeber) bereitgestellt wird, ist auf eine ausreichende Einräumung von Nutzungsrechten zu achten.
Personenbezogene Impfstatistiken?
In rein technischer Hinsicht wäre es möglich, unter Einsatz der Tools zur Vergabe und Abwicklung der Impftermine auch Übersichten zu erstellen, welche Personen das Impfangebot in Anspruch genommen haben. Zwar haben Arbeitgeber grundsätzlich ein nachvollziehbares Interesse daran zu erfahren, wie hoch der Anteil der geimpften Personen innerhalb der Belegschaft ist, um gegebenenfalls Kontaktbeschränkungen, Abstandsregelungen und andere mit Blick auf die Ausbreitung des Coronavirus getroffenen Maßnahmen lockern zu können. Dagegen ist es aus datenschutzrechtlicher Sicht kritisch, den Arbeitgebern/innen Auswertungen zu übermitteln, die erkennen lassen, welche Beschäftigten bereits an den organisierten Impfungen teilgenommen haben. Eine Rechtsgrundlage hierfür wird regelmäßig fehlen und aus praktischen sowie rechtlichen Gründen auch nicht über die Einwilligung der Impfinteressenten herzustellen sein. Denkbar ist jedoch, den Unternehmen statistische Angaben über die Zahl der insgesamt an einem Impfstandort durchgeführten Impfungen bereitzustellen, solange dadurch keine Rückschlüsse auf einzelne Personen möglich ist. Die Aussagekraft solcher statistischen Auswertungen kann indes eingeschränkt sein, wenn die Beschäftigten anderweitige (öffentliche) Impfangebote wahrnehmen. Nützlich können derartige aggregierten Daten immerhin für die interne Bewertung des Impfvorhabens durch den Arbeitgeber und für eine Verteilung von standortübergreifenden Kostenanteilen auf einzelne Standorte (nach Impfquote) sein.
Datenschutzrecht als ordnender Faktor
Die Durchführung von Impfvorhaben auf Initiative von Unternehmen werfen eine Reihe von neuen, teils sehr speziellen datenschutzrechtlichen Fragen und Überlegungen auf. Bei einer frühzeitigen und sorgfältigen Planung, die mit der Festlegung der datenschutzrechtlichen Rollen der am Impfvorhaben beteiligten Stellen beginnen sollte, können die datenschutzrechtlichen Vorgaben aber ein ordnender Faktor sein, der dabei hilft, die notwendigen vertraglichen Regelungen aufzusetzen und für die Vorbereitung, Organisation und praktische Durchführung der Impfvorgänge angemessene technische und organisatorische Maßnahmen zu vereinbaren.
Welche regulatorischen Anforderungen bei der vertraglichen Gestaltung neben den Vorgaben des Datenschutzrechts zu beachten sind, werden wir in einem weiteren Beitrag unserer Reihe erläutern. Bleiben Sie dran!
Geschrieben von Dr. Christian Tinnefeld.
