Seit Dezember 2020 ist für bestimmte Gruppen von Menschen eine Impfung gegen COVID-19 möglich. Hierunter fielen zunächst Menschen, die einem besonders hohen Risiko eines schweren Krankheitsverlaufs ausgesetzt oder durch ihren Beruf besonders anfällig für eine Infektion sind. Mittlerweile besteht flächendeckend ein freiwilliges Impfangebot an alle Bevölkerungsteile.
Konsequenterweise rückt damit auch der Fokus auf das gelbe Heftchen bei Eintritt in Restaurants, Bars oder sonstige Freizeiteinrichtungen. In dem Zusammenhang polarisiert kaum ein gesellschaftlicher Diskurs so stark wie die Frage nach der rechtlichen Zulässigkeit der Impfstatusabfrage. Unter Anderem wird das Erfragen des Impfstatus im Beschäftigungsverhältnis besonders kontrovers diskutiert, mangelt es hier doch aktuell noch an höchstrichterlicher, oder generell, gerichtlicher Entscheidungen die hinsichtlich einer Zulässigkeit richtungsweisend sein könnten.
Weiterhin steht auch im Zentrum gesellschaftlicher Diskussion auch eine Impfstatusabfrage seitens der zu behandelnden Patient:innen gegenüber den zuständigen Ärzt:innen. Gänzlich unbeachtet erscheint hingegen die Problematik der Impfstatusabfrage im umgekehrten Verhältnis, nämlich die Imfpstatusabfrage der Patient:innen. Hier ergibt sich die Problematik, ob seitens der Ärzteschaft eine Legitimation besteht, die ihnen datenschutzrechtlich die Impfstatusabfrage der Patient:innen einräumt.
Das Wichtigste in Kürze
- § 23a Infektionsschutzgesetz (IfSG) regelt die Verarbeitung personenbezogener Daten hinsichtlich des Impfstatus von Beschäftigten in den in § 23 Abs. 3 IfSG genannten Gesundheitseinrichtungen.
- Im IfSG gibt es keine Rechtsgrundlage, die eine Impfabfrage der zu behandelnden Personen zum Schutze der Beschäftigten regelt.
- Patient:innen haben gegenüber den die Behandlung durchführenden Ärzt:innen kein Recht, nach dem Imfpstatus zu fragen.
- Rechtsgrundlage für die Zulässigkeit einer Impfstatusabfrage der zu behandelnden Patient:innen kann, mangels spezialgesetzlicher Regelungen, Art. 9 Abs. 2 lit. i und h DSGVO sein, die einen Erlaubnistatbestand darstellen
Impfstatusabfrage bei behandelnden Ärzt:innen
Die rechtliche Klärung des Umgangs mit Impfnachfragen ist mangels ergangener Rechtsprechung grundsätzlich als dürftig zu qualifizieren. Die öffentliche Debatte wird unter dem Schlagwort „Fragerecht“ geführt. Im Kern der Impfdebatte und des Fragerechts stand bislang auch das potentielles Fragerecht seitens der Patient:innen gegenüber den zuständigen Ärzt:innen.
Mittlerweile ergab sich hier Klarheit, wie Dr. Christopher Liebscher, Fachanwalt für Medizinrecht, erklärt: „Grundsätzlich besteht freie Arztwahl. Es ist einem Patienten daher unbenommen, die Entscheidung für oder gegen einen Arzt von dessen Impfstatus abhängig zu machen – erhält der Patient auf Nachfrage keine Auskunft, kann er es bei einem anderen Arzt versuchen.
Einen rechtlichen Anspruch auf Auskunft oder gar auf Nachweis des Impfstatus sehe ich hingegen nicht.” Ärztinnen und Ärzte müssen auf die Frage nach dem Impfstatus nicht antworten. Im Arzt-Patienten-Verhältnis existieren auch keine spezialgesetzlichen Regelungen zu etwaigen Auskunftsrechten der Patient:innen hinsichtlich des Impfstatus.
Impfstatusabfrage für Arbeitgeber von Beschäftigten in der Gesundheitsbranche
Der kommunale Berliner Klinikverbund Vivantes stellte Zahlen zur Verfügung, wie die Impfverteilung unter Ärzt:innen und dem Pflegepersonal ausfällt: Die überwiegende Mehrheit (85 – 95 %) seien mittlerweile geimpft. Hiermit stellt sich auch die Frage, ob die Arbeitgeber:innenseite über ein Fragerecht gegenüber Beschäftigten in der Medizin- und Gesundheitsbranche hinsichtlich des Impfstatus verfügt. Was Patient:innen nicht dürfen, ist für Arbeitgeber:innen von Beschäftigten in Krankenhäusern und Arztpraxen schon länger, mittlerweile auch für das Pflegepersonal, Gang und Gäbe, denn Arbeitgeber:innen im Gesundheitswesen dürfen Beschäftigte nach Auskunft über die Corona-Impfung fragen.
Nach §§ 23 a, 36 IfSG können Arbeitgeber:innen, soweit es zur Erfüllung von Verpflichtungen aus § 23 Abs. 3 erforderlich ist, personenbezogene Daten der Beschäftigten über deren Impfstatus verarbeiten, um über die Begründung eines Beschäftigungsverhältnisses zu entscheiden. Das Pflichtenprogramm des § 23 Abs. 3 IfSG besagt, dass die Leiter:innen medizinischer Einrichtungen, wie Krankenhäusern, Arztpraxen oder Pflegediensten, sicherzustellen haben, dass die nach dem Stand der medizinischen Wissenschaft erforderlichen Maßnahmen getroffen werden, um Infektionen zu verhüten und die Weiterverbreitung von Krankheitserregern zu vermeiden. Dies stellt den gesetzlichen Erlaubnistatbestand für medizinische Berufsgruppen dar, handelt es sich doch bei den Impfdaten um Gesundheitsdaten nach Art. 4 Nr. 15 DSGVO, die mithin besonders schützenswert nach Art. 9 DSGVO sind.
Es handelt sich hierbei insgesamt um Arbeitsumfelder, in denen enger Kontakt zwischen großen Gruppen von Menschen unausweichlich ist. Der Gesetzgeber möchte somit besonders vulnerable Personen besser schützen. Da ungeimpfte Mitarbeitende aber weitaus häufiger getestet werden müssten als Geimpfte „wissen die Einrichtungen faktisch schon, wer geimpft ist und wer letztlich nicht“ – so der Berliner Klinikverbund. Vereinzelt schrecken Kliniken aber auch nicht davor zurück, sich von Impfverweigernden zu trennen. So verlängerte das Klinikum Ludwigshafen den befristeten Arbeitvertrag einer ungeimpften Mitarbeiterin nicht.
Laut Klinik sei es unverantwortlich, ungeimpfte Mitarbeitende in Kontakt mit immunschwachen Patient:innen zu bringen. Welche arbeitsrechtlichen Probleme und Konsequenzen die Impfthematik weiter mit sich bringt, bleibt bis auf weiteres abzuwarten. Bislang lassen die Gerichte bezüglich klarer Konturen bei der Impfstatusabfrage auf sich warten.
Rechtsgrundlage der Impfstatusabfrage von Patient:innen
Weitestgehend ungeklärt bleibt aber die rechtliche Frage, ob Ärzt:innen oder das medizinische Personal nach dem Impfstatus ihrer Patient:innen fragen dürfen.
Eine Rechtsgrundlage zur Corona-Impfstatus-Erhebung findet sich lediglich in der Verordnung über die Erweiterung der Meldepflicht nach § 6 Abs. 1 S. 1 Nr. 1 des Infektionsschutzgesetzes auf Hospitalisierungen in Bezug auf die Coronavirus-Krankheit-2019 (§ 1 Abs. 2 lit. t). Namentlich muss also der Verdacht einer Erkrankung, die Erkrankung sowie der Tod in Bezug auf COVID-19 gemeldet werden. Diese Regelung bezieht sich jedoch nur auf den Fall, dass Patient:innen gerade in Bezug auf das Coronavirus im Krankenhaus behandelt werden.
Das Infektionsschutzgesetz gibt also wenig Aufschluss über weitere, mit der Impfstatusabfrage zusammenhängende Fragestellungen.
In Ermangelung weiterer gesetzlicher Normen ist auf das Datenschutzrecht und seine allgemeinen Bestimmungen, insbesondere Art. 9 Abs. 2 DSGVO, zurückzugreifen. Art. 9 Abs. 2 DSGVO regelt den Umgang mit besonderen Kategorien personenbezogener Daten, worunter Gesundheitsdaten oder Daten zur eindeutigen biometrischen Identifikation einer natürlichen Person, zählen.
Personenbezogene Daten über die Gesundheit unterliegen also dem besonderen Schutz des Art. 9 DSGVO, der die Verarbeitung dieser besonders sensiblen Daten grundsätzlich untersagt. Der Begriff der Gesundheitsdaten ist weit zu verstehen und umfasst alle Angaben zur physischen und psychischen Gesundheit. Das Ereignis einer Impfung ist somit vom Begriff der Gesundheitsdaten erfasst. Eine Verarbeitung von Gesundheitsdaten einer natürlichen Person ist also nur unter den in Art. 9 Abs. 2 DSGVO geregelten Erlaubnistatbeständen möglich. Eine potentielle Rechtsgrundlage für die Impfstatusabfrage bei Patient:innen könnte daher aus Art. 9 Abs. 2 DSGVO entnommen werden.
In Art. 9 Abs. 2 lit. i) DSGVO heißt es: „Die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich.“ Somit kommt der Erlaubnistatbestand Art. 9 Abs. 2 lit. i DSGVO (erhebliches öffentliches Interesse) in Betracht. Der Bundesbeauftragte für Datenschutz sah Anfang des Jahres in dieser Norm, unter Beachtung des Grundsatzes der Verhältnismäßigkeit, die Legitimation, dass Unternehmen bzw. Arbeitgeber:innen dazu berechtigt seien, die Gesundheitsdaten ihrer Gäste zu verarbeiten, um festzustellen, ob diese infiziert sind oder nicht.
Hinsichtlich des Arbeitsverhältnisses und den Verhältnismäßigkeitsgrundsatz äußerte dieser jüngst, dass je nach dem, ob man in der Einrichtung 2G (geimpft oder genesen) oder 3G (getestet, geimpft, genesen) nutzt, der konkrete Status nicht abgefragt werden muss.
Implikationen für Gesundheitseinrichtungen
Der Bundesbeauftragte für Datenschutz klärt also die Situation der Impfstatusabfrage innerhalb des Beschäftigungsverhältnisses in Unternehmen generell.
Wie steht es aber um Gesundheitseinrichtungen? Welche Implikationen ergeben sich hingegen hier für die Impfstatusabfrage von Patient:innen während eines Krankenhausaufenthalts beispielsweise? Überträgt man nun die Aussagen des Bundesbeauftragten für Datenschutz auf Gesundheitseinrichtungen und ihre Patient:innen, genügt demnach in einer Einrichtung, die die 2G- Alternative nutzt, die Frage „sind Sie geimpft oder genesen?“. Bei Verneinung der Frage, kann das medizinische Personal die jeweilige Behandlung unter erhöhten Schutzmaßnahmen durchführen. Sodann kann die Verarbeitung der besonderen Kategorien personenbezogener Daten auch auf Art. 9 Abs. 2 lit. h DSGVO gründen.
Dieser besagt, dass die Verarbeitung für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich sein muss. Fraglich ist also, ob die Verarbeitung für die Versorgung oder Behandlung in der Gesundheitsbranche erforderlich ist. Dies wäre mit Verweis auf das Aufrechterhalten der Gesundheitssysteme grundsätzlich zu bejahen.
Eine Abfrage kann also grundsätzlich als zulässig erachtet werden. Hier ist jedoch auch der Verhältnismäßigkeitsgrundsatz zu beachten. Infolgedessen ergibt sich auch hier folgendes Bild: Sofern Patient:innen die Beantwortung der Frage nach einer Impfung gegen COVID-19 verweigern, sind sie so zu behandeln, als hätten sie eine negative Antwort gegeben.
Zusammenfassend kann also eine Impfstatusabfrage im Gesundheitswesen zulässig sein, sofern sich diese unter Berücksichtigung der Persönlichkeitsrechte der Patient:innen auf eine 2G- oder 3G- Abfrage beschränkt.
Ausblick
Mit der nach wie vor andauernden Ausnahmesituation der weltweiten COVID-19 Pandemie gehen neben den gesundheitlichen und gesellschaftspolitischen Fragestellungen rund um das Thema der Impfung konsequenterweise auch juristische Problemfelder einher.
Hierzu zählen insbesondere Fragestellungen bezüglich der Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 DSGVO im Datenschutzrecht. Die wohl prominenteste Frage ist die der Impfstatusabfrage. Während das IfSG für Arbeitgeber:innen in der Gesundheitsbranche eine Rechtsgrundlage für die Abfrage des Impfstatus vorsieht, bleibt die Abfragemöglichkeit in der Personal-Patient:innen-Relation weiterhin gerichtlich ungeklärt. Aufschluss über eine potentielle Zulässigkeit der Impfabfrage innerhalb dieses Verhältnisses gibt eine Übertragung der Einlassungen des Bundesbeauftragten für Datenschutz auf das Gesundheitswesen.
Als zulässig wird eine Corona-Impfstatusabfrage, in Krankenhäusern etwa, erachtet, wenn sich diese auf eine 2G- oder 3G Abfrage der Patient:innen begrenzt. Alternativ kann sich das Begehren Hergeleitet auf Art. 9 Abs. 2 lit. h DSGVO (die Verarbeitung ist für die Versorgung oder Behandlung im Gesundheitsbereich erforderlich) stützen. Sodann muss natürlich das Persönlichkeitsrecht der Patient:innen sowie der Verhältnismäßigkeitsgrundsatz gewahrt werden. Verweigern Patient:innen also die Abfrage ihres Impfstatus, so gilt diese Verweigerung als negative Antwort.
