Derzeit vergeht kein Tag ohne neue Nachrichten über die Covid-19 Impfstoffe und das Anlaufen der Impfkampagne, denn die Impfungen führen hoffentlich zur Normalität zurück.

Durch die angelaufenen Corona-Impfungen scheint der Zeitpunkt für Öffnungen in greifbare Nähe gerückt zu sein. Viele Unternehmen hoffen, bereits in Kürze wieder für Ihre Kunden öffnen und Ihre Mitarbeiter wieder zurück ins Büro holen zu können.

Bei dieser Rückkehr ist aber bezüglich des Datenschutzes Vorsicht geboten, soweit nur bereits geimpfte Personen von einer beginnenden Öffnung profitieren sollen. Denn dann werden mit der notwendigen Erfassung des Impfstatus regelmäßig besonders sensible Daten verarbeitet, die nach der DSGVO eines besonderen Schutzes bedürfen.

Technisch möglich dürfte ein solches Vorgehen sein – so verkündete ein Unternehmen, welches Onlinetickets verkauft, kürzlich: „Wir haben unsere Systeme so eingerichtet, dass sie auch Impfausweise lesen können“. Impfen gegen das Recht zum Konzertbesuch – nach den Vorstellungen vieler vielleicht schon bald Realität.

Im Arbeitsleben könnten Unternehmen z.B. nur geimpften Arbeitnehmern anbieten, wieder zurück ins Büro zu kommen, wieder Reisetätigkeiten auszuüben, die zum „Job“ gehören, oder wieder an der Weihnachtsfeier teilzunehmen – dadurch hätten die geimpften Mitarbeiter ggf. Vorteile gegenüber anderen Mitarbeitern.

Aufgrund der Aussage des Unternehmens, das Onlinetickets verkauft, hat die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen (LfDI), Dr. Imke Sommer, den Sachverhalt in einer Pressemitteilung kommentiert und erteilte der Verarbeitung von Impfdaten durch private Stellen eine klare Absage. Sie stellt klar, dass eine Verarbeitung von Impfdaten durch private Stellen nicht erlaubt sei, solange es kein entsprechendes Gesetz gebe, weil eine entsprechende Rechtsgrundlage fehle.

Soweit Impfdaten in einem Vertragsverhältnis als Gegenleistung für eine andere Leistung abgegeben werden müssten, liege ein Fall des unzulässigen sog. Koppelungsverbots vor, so dass ein Vertrag keine taugliche Rechtsgrundlage für die Datenverarbeitung sein könne. Einer Einwilligung als Rechtsgrundlage würde die notwendige Freiwilligkeit fehlen, da für den Betroffenen Nachteile eintreten, wenn er die Einwilligung nicht abgibt. Wenn die Einwilligung im Arbeitsverhältnis erfolgen soll, tritt die Problematik hinzu, dass die allermeisten Einwilligungen dort nie freiwillig sein können, weil grundsätzlich ein Über-/bzw. Unterordnungsverhältnis gegeben ist. Auch hier bliebe nur die gesetzliche Regelung, die aber (noch) nicht existiert.

Auf keinen Fall sollten nach alledem im Zusammenhang mit der Gewährung von Vorteilen an einzelne Personengruppen durch Private Impfdaten verarbeitet werden, solange ein Gesetz dazu fehlt. Wer dennoch auf eigene Faust Impfdaten zu solchen Zwecken verarbeitet, riskiert hohe Bußgelder.