EDÖB: Datenschutzrechtliche Anforderungen für die Erhebung von Gesundheitsdaten durch Unternehmen im Zusammenhang mit der Pandemiebekämpfung


Ihre Kontakte

Aufgrund der anhaltenden Covid-Pandemie hat sich der Eidgenössische Datenschutzbeauftragte (EDÖB) zu den Anforderungen an die Erhebung von Gesundheitsdaten durch Private geäussert. Anders als in früheren Stellungnahmen in den Medien bekräftigt er nun den Grundsatz der Verhältnismässigkeit und hält eine Einzelfallprüfung für angezeigt. Demnach kann es auch nach Ansicht des EDÖB zulässig sein, die Nutzung von Angeboten vom Nachweis einer Impfung abhängig zu machen.

Datenbearbeitungen in der Covid-Pandemie

Im Zuge der Covid-Pandemie werden einerseits durch verschiedene öffentliche Stellen und Institutionen Daten über die Lungenkrankheit Covid-19 erhoben, beispielsweise zu den Fallzahlen oder den Impfungen, anderseits aber auch durch Private, wie etwa im Falle von Temperaturmessungen. Ferner werden in der Schweiz wie in vielen anderen Ländern auch im Rahmen von Contact Tracing Apps eine Vielzahl von Daten erhoben (vgl. dazu bereits MLL-News vom 7.5.2020). Die dadurch gewonnenen Daten, sollen helfen, Übertragungen und Erkrankungen zu verhindern.

Insbesondere seit dem Aufkommen von Schnelltests und Impfungen haben verschiedene private Anbieter angekündigt, dass sie erwägen, den Zugang zu Gütern oder Leistungen zu gegebener Zeit von der Bekanntgabe von Testresultaten oder Impfnachweisen abhängig zu machen. In früheren Interviews hat der Eidgenössische Datenschutzbeauftragte (EDÖB) eine solche Datenbearbeitung durch Private generell für unzulässig erklärt, solange der Bund hierfür keine gesetzliche Grundlage erlasse. In einer Mitteilung vom 22. Januar 2021 ist er richtigerweise von diesem Standpunkt abgewichen und hat sich differenzierter zu diesem Thema geäussert.

Im Zentrum steht die Verhältnismässigkeit

Der EDÖB weist zunächst in allgemeinen Ausführungen darauf hin, dass Datenbearbeitungen nach den Grundsätzen des Bundesgesetzes über den Datenschutz (DSG) verhältnismässig und zweckgebunden sein müssen. Werde der Zugang zu Gütern oder Leistungen von der Preisgabe von Gesundheitsdaten abhängig gemacht, könne dies die Persönlichkeit der Betroffenen verletzen. Eine solche Verletzung müsse durch Einwilligung der Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt sein. Dabei würden aktuell weder das öffentliche noch das private Recht zur Einforderung allfällige Weiterbearbeitung von Test- oder Impfdaten umfassende Regelungen enthalten. Deshalb hängt es von den konkreten Umständen im Einzelfall ab, ob die Einforderung und allfällige Weiterbearbeitung von Test- oder Impfdaten eine Persönlichkeitsverletzung darstellt und diese gegebenenfalls gerechtfertigt ist.

Aufgrund der hohen Aktualität solcher Datenerhebung hat der EDÖB nun in seiner Mitteilung vom 22. Januar 2021 auf die datenschutzrechtlichen Anforderungen hingewiesen, welche Private erfüllen müssen, bevor sie den Zugang zu Gütern oder Leistungen von der Preisgabe solcher Personendaten abhängig machen:

  • Der Grundsatz der Verhältnismässigkeit muss erfüllt sein. Dies bedeutet, dass eine rechtliche Regelung die Interessen der Betroffenen nicht stärker einschränken soll, als dies zum Schutz der entgegenstehenden Interessen erforderlich ist. Die Datenbearbeitung muss deshalb geeignet und zumutbar sein.
  • Die Beschaffung und Weiterbearbeitung der Personendaten muss deshalb geeignet sein, den verfolgten Zweck zu erfüllen. Konkret muss also die Beschaffung und allfällige Weiterverarbeitung von Test- und Impfresultaten durch Private geeignet sein, zum Schutz vor Übertragung und Erkrankung von Covid-19 beizutragen. Für diese Beurteilung seien Stellungnahmen der zuständigen Gesundheitsbehörden, namentlich des Bundesamtes für Gesundheit, zur Aussagekraft der Tests und zu den Auswirkungen der Impfung zu berücksichtigen. Die datenschutzrechtliche Beurteilung erfolge auf der Grundlage der Einschätzungen und Publikationen dieser Fachbehörden.
  • Darüber hinaus wird vorausgesetzt, dass die Beschaffung und Bearbeitung von Gesundheitsdaten zumutbar ist. Wird die der Zugang zu Gütern oder Leistungen von der Bearbeitung der geforderten Gesundheitsdaten abhängig gemacht, ist dies nach Ansicht des EDÖB nur gestattet, wenn der Verzicht auf diese Güter oder Leistungen unzumutbar und der Zugang auch nicht anderweitig in zumutbarer Weise gewährleistet wäre.
  • Nach der Beurteilung über die Gewährung des Zugangs, so sollen die beschafften Personendaten nur dann gespeichert und allenfalls weitergegeben werden, wenn dies unbedingt nötig und sachlich begründet ist oder von den Betroffenen ausdrücklich verlangt wird. Die Weiterbearbeitung und Aufbewahrungsdauer sollte dabei auf das notwendige Minimum beschränkt werden. Schliesslich ist die Datensicherheit durch geeignete technische und organisatorische Massnahmen sicherzustellen.
  • Für Personen, welche kein Smartphone mit installierter App vorzeigen wollen oder die aufgrund ihres Alters, ihrer Gesundheit oder wegen Behinderungen gar nicht in der Lage sind, müssen gemäss EDÖB zumutbare Alternativen zur digitalen Datenbeschaffung unter vergleichbaren Bedingungen angeboten werden.
  • Schliesslich muss die Beschaffung, der Zweck und die allfällige Weiterbearbeitung der Gesundheitsdaten transparent sein. Betroffene müssen deshalb umfassend und verständlich über die Modalitäten aufgeklärt werden.

Fazit und Anmerkungen

Die Hinweise des EDÖB für die Erhebung von Gesundheitsdaten durch Private im Zusammenhang mit der Pandemiebekämpfung sind zu begrüssen. Sie liefern den Unternehmen wichtige Anhaltspunkte für die Beurteilung. Erfreulich ist dabei primär, dass der EDÖB (implizit) von seinem unzutreffenden Standpunkt abgewichen ist, wonach Private den Zugang zu ihren Angeboten nicht vom Nachweis einer Impfung abhängig machen dürfen, solange keine gesetzliche Grundlage dafür besteht. Richtig ist vielmehr, dass unter Berücksichtigung des Einzelfalls und hinreichender technisch und organisatorischen Massnahmen die Beschaffung von Impfnachweisen durch Private zulässig sein kann.

Zu Recht weist der EDÖB nun aber darauf hin, dass eine Prüfung des Einzelfalls unabdingbar ist. Vor der Einführung solcher Datenbearbeitungen müssen Unternehmen die Zulässigkeit daher sorgfältig prüfen. Im Fokus steht dabei die Frage der Verhältnismässigkeit der geplanten Bearbeitung. Entscheidend wird dabei sein, inwiefern die Kunden auf die Leistung des jeweiligen Unternehmens angewiesen sind. Diese Frage ist bereits in anderem Zusammenhang umstritten, wobei mit Blick auf die Wirtschaftsfreiheit und die auf Unternehmerseite durch die einschneidenden Vorgaben hoch zu gewichtenden Interessen ein liberaler Massstab angezeigt ist. Beim Grossteil der Unternehmen fehlt nach richtiger Ansicht die Angewiesenheit auf die Angebote und die Einforderung von Impfresultaten darf jedenfalls datenschutzrechtlich noch nicht bereits daran scheitern (vgl. ausführlich zu dieser Frage der Freiwilligkeit von Einwilligungen den Aufsatz von Lukas Bühlmann und Michael Schüepp im Jusletter vom 15. März 2021, Rz. 29 ff.). Allerdings gibt es auch im Verhältnis unter Privaten Fälle, wo eine Angewiesenheit oder besondere Machtverhältnisse vorliegen können, die zu einer anderen Einschätzung führen können. Besonders sorgfältig müssen in diesem Zusammenhang auch Bearbeitungen von Mitarbeiterdaten geprüft werden.

Ferner betont aber auch der EDÖB zu Recht, dass die Details der Datenbearbeitung entscheidend sind. Hierzu zählen z.B. die Vermeidung von Daten, der Verzicht auf die Speicherung, der Einsatz der Pseudonymisierung sowie die Einschränkung des Zugriffs auf gleichwohl verbleibende Daten. Dabei ist auch zu beurteilen, ob tatsächlich besonders schützenswerte Personendaten bzw. Gesundheitsdaten bearbeitet werden. Bloss, weil Daten im Rahmen der Pandemiebekämpfung einen Kontext zur Gesundheit aufweisen, gelten diese jedoch noch nicht per se als «besonders schützenswerte Personendaten» im Sinne von Art. 3 lit. c Ziff. 2 DSG.

Schliesslich müssen aber auch weitere Stellungnahmen oder Ergänzungen der vorgenannten Anforderungen berücksichtigt werden. Derzeit erarbeiten die zuständigen Bundesämter zuhanden des Bundesrates eine Auslegeordnung über allfällige Regelungen und deren Folgen für Private, welche Gesundheitsdaten von Mitbürgern erheben.

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

 

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.