Für bestimmte Einrichtungen und Unternehmen aus dem Gesundheitsbereich galt seit dem 15. März 2022 eine einrichtungsbezogene Impfpflicht (§ 20a Absatz 1 IfSG). Seit diesem Zeitpunkt durften in diesen benannten Einrichtungen nur Personen tätig sein, die gegen das Coronavirus SARS-CoV-2 geimpft oder von diesem genesen sind oder bei denen einen medizinische Kontraindikation hinsichtlich einer Impfung gegen das Coronavirus SARS-CoV-2 vorliegt.

Für die genannten Personen bestand eine Nachweispflicht über ihre Impfung, Genesung oder das Vorliegen einer medizinischen Kontraindikation, § 20a IfSG. Durch die Änderung des Art. 5 des Gesetzes zur Stärkung der Impfprävention gegen COVID-19 und zur Änderung weiterer Vorschriften im Zusammenhang mit der COVID-19-Pandemie wurde der § 20a IfSG zum 01.01.2023 aufgehoben.

Für Einrichtungen, die zur Gewährleistung der Dokumentations- und Nachweispflichten, Daten erhoben und gespeichert haben, stellt sich jetzt die Frage, wie Sie mit diesen Daten verfahren sollen.

Gem. Art. 17 Abs. 1 lit. a DSGVO sind Daten zu löschen, wenn diese für die Zwecke, für die sie erhoben bzw. verarbeitet wurden, nicht mehr notwendig sind (Grundsatz der Datenminimierung).

Bedeutet die Aufhebung des § 20a IfSG und dem damit verbundenen Wegfall der Impflicht, dass die Daten über den Impfstatus jetzt umgehend zu löschen sind?

In diesem Zusammenhang muss § 35 Abs. 6 IfSG beachtet werden. Danach sind voll- und teilstationäre Einrichtungen zur Betreuung und Unterbringung älterer, behinderter oder pflegebedürftiger Menschen oder vergleichbare Einrichtungen verpflichtet, dem Robert Koch-Institut (RKI) monatlich Angaben zum Anteil der Personen, die gegen das Coronavirus SARS-CoV-2 geimpft sind, jeweils bezogen auf die Personen, die in der Einrichtung beschäftigt sind oder behandelt, betreut oder gepflegt werden oder untergebracht sind, in anonymisierter Form zu übermitteln.

Damit diese Übermittlung erfolgen kann, muss die Einrichtungsleitung wissen, welche Personen als geimpft gelten. Diese Übermittlung der Daten an das RKI muss noch bis April 2023 erfolgen (§ 35 Abs. 6 S. 10 IfSG).

Mit Blick auf die aktuelle Situation in China könnte sich die Corona-Lage auch in Deutschland wieder verschärfen. Wenn die Daten (Impfstatus) dann gelöscht sind, müssten diese erneut erhoben werden. Das bedeutet wiederum eine Arbeitsbelastung für die Einrichtungsleitungen. Zudem ist davon auszugehen, dass nicht alle Beschäftigte dafür Verständnis zeigen dürften.

Die weitere Entwicklung ist derzeit nicht vorhersehbar. Bisher sind weitere Maßnahmen seitens des Gesetzgebers nicht erkennbar. Die Daten wären nach der derzeitigen Lage mithin nicht erforderlich.

Damit wäre eine fortgesetzte Speicherung der Daten durch die Verantwortlichen als unzulässige Vorratsdatenspeicherung zu bewerten, mit Ausnahme der gem. § 35 Abs. 6 IfSG erhobenen Daten.

Fazit

Mit dem Auslaufen der einrichtungsbezogenen Impfpflicht ist nicht zwangsläufig eine Pflicht zur Löschung der entsprechenden Daten verbunden. Je nach Einrichtung bestehen zumindest zeitlich begrenzt (bis April 2023) noch eine gesetzliche Grundlage für die fortgesetzte Speicherung.

Wenn diese Regelung des IfSG ausgelaufen ist und nicht verlängert wird, muss eine zeitnahe Löschung der Daten erfolgen. Der Impf- oder Genesenen-Status eines Menschen gehört zu den sensiblen und besonders geschützten Gesundheitsdaten, die eigentlich grundsätzlich nicht abgefragt werden dürfen. In der Pandemie wurde lediglich eine zeitlich befristete Ausnahme gemacht. Spätestens mit Ablauf des Monats April 2023 sind diese Daten zu löschen, sofern keine neue Rechtsgrundlage geschaffen wird.