Dokumentation bei der Ausstellung von Impfzertifikaten

„Klare Informationen wären schön gewesen“

Berlin - 21.06.2021, 17:50 Uhr

Neue Aufgaben werfen neue Fragen auf, auch beim digitalen Impfzertifikat aus der Apotheke. (Foto: IMAGO / Christian Ohde)

Neue Aufgaben werfen neue Fragen auf, auch beim digitalen Impfzertifikat aus der Apotheke. (Foto: IMAGO / Christian Ohde)


Seit einer Woche stellen Apotheken digitale Impfzertifikate aus. Unter anderem eine Frage sorgte für Verunsicherung: Was genau darf die Apotheke dokumentieren, um nachweisen zu können, dass sie ihren gesetzlich aufgegebenen Prüfpflichten hinreichend nachgekommen ist? DAZ.online hat daraufhin bei Datenschutzbehörden und dem Bundesgesundheitsministerium nachgehakt – die Antworten zeigen: Hier gibt es einen gewissen Interpretationsspielraum. Die ABDA hat ihre Handlungshilfe in diesem Punkt derweil aktualisiert und konkretisiert. 

In der vergangenen Woche zeigte sich: Zur Frage möglicher Dokumentation bei der Ausstellung von digitalen Impfzertifikaten gibt es unterschiedliche Standpunkte. Die ABDA schrieb in ihrer ersten Handlungshilfe, dass im Apothekenportal keine Daten und Dokumente gespeichert werden und zwischengespeicherte PDF-Dokumente im Browser zu löschen sind. Die Speicherung sei „nicht vorgesehen und mangels Rechtsgrundlage auch nicht zulässig“. Zudem hieß es: „Da in der Apotheke keine personenbezogenen Daten gespeichert oder aufbewahrt werden und auch nicht digital weiterverarbeitet oder gespeichert werden, ist eine zusätzliche Einverständniserklärung seitens des Kunden nicht erforderlich“. Die Kunden müssten nur über die Verarbeitung personenbezogener Daten in einer Datenschutzinformation beziehungsweise einer Datenschutzerklärung informiert werden – hierfür präsentiert die ABDA auch eine Formulierungshilfe.

Der Freiburger Rechtsanwalt Dr. Morton Douglas verwies gegenüber DAZ.online jedoch darauf, dass die Begründung zur Änderung des § 22 Infektionsschutzgesetz (IfSG) ausdrücklich vorsehe, dass die Durchführung der Überprüfung, die ordnungsgemäße Belehrung des Kunden und die Ausstellung des Impfzertifikats zu dokumentieren sind. „Im Idealfall wird daher der Kunde eine entsprechende Belehrung in der Apotheke unterschreiben, die dann zur Grundlage der Dokumentation gemacht wird.“ Er gesteht der ABDA zwar zu, dass es keine Pflicht der Apotheke zur Speicherung gibt. Doch er meint, die Apotheke wäre durchaus berechtigt, dies zu tun – dem stehe die Datenschutzgrundverordnung nicht entgegen. Die Rechtsgrundlage dafür sieht er direkt in Sicht § 22 Abs. 5 Satz 2 IfSG. Geeignete Maßnahmen zur Vermeidung der Ausstellung eines unrichtigen COVID-19-Impfzertifikats könnten eben auch die Speicherung von Daten umfassen.

Was die Belehrung der Kunden betrifft, verweist Douglas auf die Begründung zur Änderung des § 22 IfSG, wo zu lesen ist: „Die Durchführung der Überprüfung, die ordnungsgemäße Belehrung und die Ausstellung des Impfzertifikats sind zu dokumentieren“. Douglas meint: „Nicht zuletzt aufgrund der unerfreulichen Entwicklung im Zusammenhang mit den Testzentren halten wir es für erforderlich, diesen Passus aus der Gesetzesbegründung ernst zu nehmen“. Die Empfehlung seiner Kanzlei lautet daher, dass sich die Apotheke die ordnungsgemäße Belehrung durch den Kunden bestätigen lässt, was dann aber auch zugleich bedeutet, dass diese Bestätigung eine Verarbeitung personenbezogener Daten in Form der Speicherung derselben beinhaltet.

Der Verweis auf die Begründung klingt nachvollziehbar. Aber es gab durchaus schon Fälle, in denen Gerichte urteilten, der Wortlaut des Gesetzes selbst müsse hinreichend bestimmt sein – die Begründung genüge eben nicht. DAZ.online hat sich daher mit der Frage, was die Apotheke dokumentieren darf, um nachweisen zu können, dass sie ihren Prüfpflichten nach § 22 Abs. 5 Satz 2 IfSG hinreichend nachgekommen ist, an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gewandt. Doch dort hieß es, man könne die Frage nicht beantworten. „Der Bundesgesetzgeber hat nicht klar beschrieben, welchen Umfang die Dokumentation haben soll“, so ein Pressesprecher. Die Frage sei daher an das Bundesgesundheitsministerium (BMG) zu richten. Zudem verwies der BfDI-Sprecher auf die Landesbeauftragten für den Datenschutz, die für Aufsicht der Apotheken zuständig seien.



Kirsten Sucker-Sket (ks), Redakteurin Hauptstadtbüro
ksucker@daz.online


Diesen Artikel teilen:


2 Kommentare

by the way

von Karl Friedrich Müller am 22.06.2021 um 9:11 Uhr

finde ich es erschreckend, wie viele nicht mit ihrem Smartphone umgehen können. Viele haben eines, nutzen es jedoch nur für spezielle Zwecke. Schon das Herunterladen einer App wird zum Problem. So stellen wir den Kunden nicht nur Zeritifikate aus, sondern helfen auch noch weiter.
ABER: wie soll so das eRezept funktionieren? Der Besitz eines Smartphones sagt noch gar nichts aus über die digitale Kompetenz des Besitzers.
Bleibt die Arbeit der Aufklärung einmal mehr an den Apotheken hängen? Wie wird das vergütet? Frage ich mal ganz ketzerisch? Gar nicht? Wir haben nur eine Menge zusätzlicher Kosten? Immerhin könnte das zur Kundenbindung beitragen, wovon ich aber nicht unbedingt überzeugt bin. Wenn der Kunde die Apps der Versender entdeckt, ist wieder Schluss, möglicherweise.
2. Danke für den obigen Kommentar von Herrn Schenkel, der den anvisierten Bürokratiegau in die Schranken verweist.

» Auf diesen Kommentar antworten | 0 Antworten

Aufzeichnen für die Katz!

von Andreas P. Schenkel am 21.06.2021 um 20:49 Uhr

Indem der Kunde seinen Wunsch äußert, ein digitales Impfzertifikat zu erhalten, wird die Apotheke in seinem Auftrag gegenüber dem RKI tätig.

Bereits damit erklärt sich der Kunde mit der vorübergehenden Verarbeitung einiger seiner personenbezogenen Daten einverstanden. Denn ihm ist im Voraus bekannt, dass hierzu die Apotheke diese personenbezogenen Daten vorübergehend benötigt, um das Zertifikat ausgeben zu können. Jeder, der ein solches Zertifikat benötigt und anfordert, hat die hierfür nötige grundlegende Einsicht in technische Gegebenheiten, um zu wissen, dass eine Datenverarbeitung stattfinden wird.

Weiterhin verbleiben keinerlei Daten in der Apotheke, nachdem der Kunde sein Zertifikat erhalten hat. Der Zweck der Verarbeitung für den Kunden ist die Erlangung des Zertifikats, der Zweck für die Apotheke ist es, das Zertifikat abgeben zu können. Eine Aufzeichnung des Vorfalls über den Zeitpunkt der Zertifikatsausreichung hinaus wäre zwecklos. Da keine Daten in der Apotheke verbleiben, werden sie auch nicht mehr verarbeitet. Dementsprechend ist es nicht erforderlich, dass der Kunde einer Datenverarbeitung nach der Zertifikatsausgabe zuzustimmt.

Hinsichtlich des Belehrung ist dem Kunden im Voraus bekannt, dass Urkundenfälschung nach § 267 StGB strafbar ist. Bereits deshalb ist es fraglich, ob eine Belehrung nötig und im Übrigen auch sinnvoll ist. Damit scheint es recht zweifelhaft, ob die Aufzeichnung von personenbezogenen Daten deswegen gerechtfertigt ist.

Das einzige parlamentarische Dokument mit dem Inhalt der Aufzeichungspflichten, das ich auffinden konnte, war ein Entwurf einer Bundestagsfraktion. Im weiteren parlamentarischen Ablauf wurde dieser Passus jedoch nicht weitergeschrieben, quasi eine Extinktion im parlamentarischen Gesetzesfertigungsablauf. Evolutionär gesehen hat sich die Idee also nicht bewährt, wurde nicht konserviert und wurde folglich nicht in das Gesetz aufgenommen.

Somit scheint mir die Position der ABDA richtig zu sein: Nicht Erforderliches sollte nicht gemacht werden, aus rechtlichen und arbeitsökonomischen Gründen zugleich.

» Auf diesen Kommentar antworten | 0 Antworten

Das Kommentieren ist aktuell nicht möglich.