Ihre Kontakte
Aufgrund der anhaltenden Covid-Pandemie hat sich der Eidgenössische Datenschutzbeauftragte (EDÖB) zu den Anforderungen an die Erhebung von Gesundheitsdaten durch Private geäussert. Anders als in früheren Stellungnahmen in den Medien bekräftigt er nun den Grundsatz der Verhältnismässigkeit und hält eine Einzelfallprüfung für angezeigt. Demnach kann es auch nach Ansicht des EDÖB zulässig sein, die Nutzung von Angeboten vom Nachweis einer Impfung abhängig zu machen.
Datenbearbeitungen in der Covid-Pandemie
Im Zuge der Covid-Pandemie werden einerseits durch verschiedene öffentliche Stellen und Institutionen Daten über die Lungenkrankheit Covid-19 erhoben, beispielsweise zu den Fallzahlen oder den Impfungen, anderseits aber auch durch Private, wie etwa im Falle von Temperaturmessungen. Ferner werden in der Schweiz wie in vielen anderen Ländern auch im Rahmen von Contact Tracing Apps eine Vielzahl von Daten erhoben (vgl. dazu bereits MLL-News vom 7.5.2020). Die dadurch gewonnenen Daten, sollen helfen, Übertragungen und Erkrankungen zu verhindern.
Insbesondere seit dem Aufkommen von Schnelltests und Impfungen haben verschiedene private Anbieter angekündigt, dass sie erwägen, den Zugang zu Gütern oder Leistungen zu gegebener Zeit von der Bekanntgabe von Testresultaten oder Impfnachweisen abhängig zu machen. In früheren Interviews hat der Eidgenössische Datenschutzbeauftragte (EDÖB) eine solche Datenbearbeitung durch Private generell für unzulässig erklärt, solange der Bund hierfür keine gesetzliche Grundlage erlasse. In einer Mitteilung vom 22. Januar 2021 ist er richtigerweise von diesem Standpunkt abgewichen und hat sich differenzierter zu diesem Thema geäussert.
Im Zentrum steht die Verhältnismässigkeit
Der EDÖB weist zunächst in allgemeinen Ausführungen darauf hin, dass Datenbearbeitungen nach den Grundsätzen des Bundesgesetzes über den Datenschutz (DSG) verhältnismässig und zweckgebunden sein müssen. Werde der Zugang zu Gütern oder Leistungen von der Preisgabe von Gesundheitsdaten abhängig gemacht, könne dies die Persönlichkeit der Betroffenen verletzen. Eine solche Verletzung müsse durch Einwilligung der Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt sein. Dabei würden aktuell weder das öffentliche noch das private Recht zur Einforderung allfällige Weiterbearbeitung von Test- oder Impfdaten umfassende Regelungen enthalten. Deshalb hängt es von den konkreten Umständen im Einzelfall ab, ob die Einforderung und allfällige Weiterbearbeitung von Test- oder Impfdaten eine Persönlichkeitsverletzung darstellt und diese gegebenenfalls gerechtfertigt ist.
Aufgrund der hohen Aktualität solcher Datenerhebung hat der EDÖB nun in seiner Mitteilung vom 22. Januar 2021 auf die datenschutzrechtlichen Anforderungen hingewiesen, welche Private erfüllen müssen, bevor sie den Zugang zu Gütern oder Leistungen von der Preisgabe solcher Personendaten abhängig machen:
- Der Grundsatz der Verhältnismässigkeit muss erfüllt sein. Dies bedeutet, dass eine rechtliche Regelung die Interessen der Betroffenen nicht stärker einschränken soll, als dies zum Schutz der entgegenstehenden Interessen erforderlich ist. Die Datenbearbeitung muss deshalb geeignet und zumutbar sein.
- Die Beschaffung und Weiterbearbeitung der Personendaten muss deshalb geeignet sein, den verfolgten Zweck zu erfüllen. Konkret muss also die Beschaffung und allfällige Weiterverarbeitung von Test- und Impfresultaten durch Private geeignet sein, zum Schutz vor Übertragung und Erkrankung von Covid-19 beizutragen. Für diese Beurteilung seien Stellungnahmen der zuständigen Gesundheitsbehörden, namentlich des Bundesamtes für Gesundheit, zur Aussagekraft der Tests und zu den Auswirkungen der Impfung zu berücksichtigen. Die datenschutzrechtliche Beurteilung erfolge auf der Grundlage der Einschätzungen und Publikationen dieser Fachbehörden.
- Darüber hinaus wird vorausgesetzt, dass die Beschaffung und Bearbeitung von Gesundheitsdaten zumutbar ist. Wird die der Zugang zu Gütern oder Leistungen von der Bearbeitung der geforderten Gesundheitsdaten abhängig gemacht, ist dies nach Ansicht des EDÖB nur gestattet, wenn der Verzicht auf diese Güter oder Leistungen unzumutbar und der Zugang auch nicht anderweitig in zumutbarer Weise gewährleistet wäre.
- Nach der Beurteilung über die Gewährung des Zugangs, so sollen die beschafften Personendaten nur dann gespeichert und allenfalls weitergegeben werden, wenn dies unbedingt nötig und sachlich begründet ist oder von den Betroffenen ausdrücklich verlangt wird. Die Weiterbearbeitung und Aufbewahrungsdauer sollte dabei auf das notwendige Minimum beschränkt werden. Schliesslich ist die Datensicherheit durch geeignete technische und organisatorische Massnahmen sicherzustellen.
- Für Personen, welche kein Smartphone mit installierter App vorzeigen wollen oder die aufgrund ihres Alters, ihrer Gesundheit oder wegen Behinderungen gar nicht in der Lage sind, müssen gemäss EDÖB zumutbare Alternativen zur digitalen Datenbeschaffung unter vergleichbaren Bedingungen angeboten werden.
- Schliesslich muss die Beschaffung, der Zweck und die allfällige Weiterbearbeitung der Gesundheitsdaten transparent sein. Betroffene müssen deshalb umfassend und verständlich über die Modalitäten aufgeklärt werden.
Fazit und Anmerkungen
Die Hinweise des EDÖB für die Erhebung von Gesundheitsdaten durch Private im Zusammenhang mit der Pandemiebekämpfung sind zu begrüssen. Sie liefern den Unternehmen wichtige Anhaltspunkte für die Beurteilung. Erfreulich ist dabei primär, dass der EDÖB (implizit) von seinem unzutreffenden Standpunkt abgewichen ist, wonach Private den Zugang zu ihren Angeboten nicht vom Nachweis einer Impfung abhängig machen dürfen, solange keine gesetzliche Grundlage dafür besteht. Richtig ist vielmehr, dass unter Berücksichtigung des Einzelfalls und hinreichender technisch und organisatorischen Massnahmen die Beschaffung von Impfnachweisen durch Private zulässig sein kann.
Zu Recht weist der EDÖB nun aber darauf hin, dass eine Prüfung des Einzelfalls unabdingbar ist. Vor der Einführung solcher Datenbearbeitungen müssen Unternehmen die Zulässigkeit daher sorgfältig prüfen. Im Fokus steht dabei die Frage der Verhältnismässigkeit der geplanten Bearbeitung. Entscheidend wird dabei sein, inwiefern die Kunden auf die Leistung des jeweiligen Unternehmens angewiesen sind. Diese Frage ist bereits in anderem Zusammenhang umstritten, wobei mit Blick auf die Wirtschaftsfreiheit und die auf Unternehmerseite durch die einschneidenden Vorgaben hoch zu gewichtenden Interessen ein liberaler Massstab angezeigt ist. Beim Grossteil der Unternehmen fehlt nach richtiger Ansicht die Angewiesenheit auf die Angebote und die Einforderung von Impfresultaten darf jedenfalls datenschutzrechtlich noch nicht bereits daran scheitern (vgl. ausführlich zu dieser Frage der Freiwilligkeit von Einwilligungen den Aufsatz von Lukas Bühlmann und Michael Schüepp im Jusletter vom 15. März 2021, Rz. 29 ff.). Allerdings gibt es auch im Verhältnis unter Privaten Fälle, wo eine Angewiesenheit oder besondere Machtverhältnisse vorliegen können, die zu einer anderen Einschätzung führen können. Besonders sorgfältig müssen in diesem Zusammenhang auch Bearbeitungen von Mitarbeiterdaten geprüft werden.
Ferner betont aber auch der EDÖB zu Recht, dass die Details der Datenbearbeitung entscheidend sind. Hierzu zählen z.B. die Vermeidung von Daten, der Verzicht auf die Speicherung, der Einsatz der Pseudonymisierung sowie die Einschränkung des Zugriffs auf gleichwohl verbleibende Daten. Dabei ist auch zu beurteilen, ob tatsächlich besonders schützenswerte Personendaten bzw. Gesundheitsdaten bearbeitet werden. Bloss, weil Daten im Rahmen der Pandemiebekämpfung einen Kontext zur Gesundheit aufweisen, gelten diese jedoch noch nicht per se als «besonders schützenswerte Personendaten» im Sinne von Art. 3 lit. c Ziff. 2 DSG.
Schliesslich müssen aber auch weitere Stellungnahmen oder Ergänzungen der vorgenannten Anforderungen berücksichtigt werden. Derzeit erarbeiten die zuständigen Bundesämter zuhanden des Bundesrates eine Auslegeordnung über allfällige Regelungen und deren Folgen für Private, welche Gesundheitsdaten von Mitbürgern erheben.
Weitere Informationen: