„Klare Informationen wären schön gewesen“

In der vergangenen Woche zeigte sich: Zur Frage möglicher Dokumentation bei der Ausstellung von digitalen Impfzertifikaten gibt es unterschiedliche Standpunkte. Die ABDA schrieb in ihrer ersten Handlungshilfe, dass im Apothekenportal keine Daten und Dokumente gespeichert werden und zwischengespeicherte PDF-Dokumente im Browser zu löschen sind. Die Speicherung sei „nicht vorgesehen und mangels Rechtsgrundlage auch nicht zulässig“. Zudem hieß es: „Da in der Apotheke keine personenbezogenen Daten gespeichert oder aufbewahrt werden und auch nicht digital weiterverarbeitet oder gespeichert werden, ist eine zusätzliche Einverständniserklärung seitens des Kunden nicht erforderlich“. Die Kunden müssten nur über die Verarbeitung personenbezogener Daten in einer Datenschutzinformation beziehungsweise einer Datenschutzerklärung informiert werden – hierfür präsentiert die ABDA auch eine Formulierungshilfe.

Der Freiburger Rechtsanwalt Dr. Morton Douglas verwies gegenüber DAZ.online jedoch darauf, dass die Begründung zur Änderung des § 22 Infektionsschutzgesetz (IfSG) ausdrücklich vorsehe, dass die Durchführung der Überprüfung, die ordnungsgemäße Belehrung des Kunden und die Ausstellung des Impfzertifikats zu dokumentieren sind. „Im Idealfall wird daher der Kunde eine entsprechende Belehrung in der Apotheke unterschreiben, die dann zur Grundlage der Dokumentation gemacht wird.“ Er gesteht der ABDA zwar zu, dass es keine Pflicht der Apotheke zur Speicherung gibt. Doch er meint, die Apotheke wäre durchaus berechtigt, dies zu tun – dem stehe die Datenschutzgrundverordnung nicht entgegen. Die Rechtsgrundlage dafür sieht er direkt in Sicht § 22 Abs. 5 Satz 2 IfSG. Geeignete Maßnahmen zur Vermeidung der Ausstellung eines unrichtigen COVID-19-Impfzertifikats könnten eben auch die Speicherung von Daten umfassen.

Was die Belehrung der Kunden betrifft, verweist Douglas auf die Begründung zur Änderung des § 22 IfSG, wo zu lesen ist: „Die Durchführung der Überprüfung, die ordnungsgemäße Belehrung und die Ausstellung des Impfzertifikats sind zu dokumentieren“. Douglas meint: „Nicht zuletzt aufgrund der unerfreulichen Entwicklung im Zusammenhang mit den Testzentren halten wir es für erforderlich, diesen Passus aus der Gesetzesbegründung ernst zu nehmen“. Die Empfehlung seiner Kanzlei lautet daher, dass sich die Apotheke die ordnungsgemäße Belehrung durch den Kunden bestätigen lässt, was dann aber auch zugleich bedeutet, dass diese Bestätigung eine Verarbeitung personenbezogener Daten in Form der Speicherung derselben beinhaltet.

Der Verweis auf die Begründung klingt nachvollziehbar. Aber es gab durchaus schon Fälle, in denen Gerichte urteilten, der Wortlaut des Gesetzes selbst müsse hinreichend bestimmt sein – die Begründung genüge eben nicht. DAZ.online hat sich daher mit der Frage, was die Apotheke dokumentieren darf, um nachweisen zu können, dass sie ihren Prüfpflichten nach § 22 Abs. 5 Satz 2 IfSG hinreichend nachgekommen ist, an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gewandt. Doch dort hieß es, man könne die Frage nicht beantworten. „Der Bundesgesetzgeber hat nicht klar beschrieben, welchen Umfang die Dokumentation haben soll“, so ein Pressesprecher. Die Frage sei daher an das Bundesgesundheitsministerium (BMG) zu richten. Zudem verwies der BfDI-Sprecher auf die Landesbeauftragten für den Datenschutz, die für Aufsicht der Apotheken zuständig seien.

Das BMG erklärt in seiner Antwort an DAZ.online zunächst, was unter den geeigneten Maßnahmen gegen eine missbräuchliche Ausstellung zu verstehen ist: „Hierzu gehört neben einer Schulung des Personals, der gewissenhaften Prüfung der Echtheit der Impfdokumentation und der Identität der geimpften Person auch die Belehrung über die Strafbarkeit eines rechtswidrigen Gebrauchs einer fehlerhaft erstellten Impfdokumentation durch die geimpfte Person im Rechtsverkehrt (§ 75a IfSG)“. Weiter heißt es, dass die Regelungen des § 22 Abs. 5 IfSG sowie § 9 Abs. 3 der Coronavirus-Impfverordnung gesetzliche Datenverarbeitungstatbestände für die Ausstellung und Abrechnung schaffen. „Eine Speicherung des Zertifikats oder die Durchführung einer personenbezogenen Dokumentation ist insoweit nicht vorgesehen“. Aber: Neben den genannten gesetzlichen Datenverarbeitungstatbeständen könne auch allgemeines Datenschutzrecht zur Anwendung kommen und als Rechtsgrundlage für eine entsprechende Dokumentation der Durchführung einer Belehrung dienen. Das heißt: Verboten ist diese Dokumentation aus BMG-Sicht nicht. Auch die Nutzung eines entsprechenden Einwilligungsformulars für eine personenbezogene Dokumentation zum Nachweis des Nachkommens der Prüfpflicht aus § 22 Abs. 5 Satz 2 IfSG hält man dort für eine datenschutzrechtlich zulässige Möglichkeit.

Inwieweit als Alternative noch weitere datenschutzrechtliche Erlaubnistatbestände nach der Datenschutz-Grundverordnung greifen können (wie von Douglas beschrieben), sei eine Auslegungsfrage, die von den jeweiligen Datenschutzaufsichtsbehörden unterschiedlich beurteilt werden könne, so der BMG-Sprecher weiter. Es sei daher immer sinnvoll, sich frühzeitig mit der jeweils zuständigen Landesaufsichtsbehörde in Verbindung zu setzen.

Baden-Württemberg macht sich tiefgehende Gedanken

Und was sagen nun die Landesdatenschutzbehörden? DAZ.online hat exemplarisch bei dreien von ihnen nachgefragt. Die ausführlichste Antwort kam aus Baden-Württemberg. Auch hier wird konstatiert, dass das Gesetz nicht ausdrücklich regelt, wie Apotheken den Prüfpflichten nach § 22 Abs. 5 Satz 2 IfSG nachzukommen und inwieweit sie etwas (für wie lange) zu dokumentieren haben. Eine datenschutzrechtliche Verantwortlichkeit könne man (aus Wortlaut und Begründung) nur für das Robert Koch-Institut (RKI) erkennen. Dorthin übermittle der Apotheker zur Erstellung des Impfzertifikats einen bestimmten Datensatz – dann sei das RKI befugt, die zur Erstellung und Bescheinigung des COVID-19-Impfzertifikats erforderlichen personenbezogenen Daten zu verarbeiten.

Die Pressestelle des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg verweist in ihrer Antwort im Weiteren auch auf die von Douglas herangezogene Begründung, zitiert diese aber noch umfassender:

In Baden-Württemberg versteht man dies zunächst wie Douglas: Als Teil der Maßnahmen zur Vermeidung der Erstellung unrichtiger Impfzertifikate müsse „eine Dokumentation (und zwar wohl durch die Apotheke) erfolgen, und zwar über die vorgenommene Identitäts- und Authentizitätsprüfung, über eine durchzuführende Belehrung, über die Konsequenzen der Vorlage einer unrichtigen Impfdokumentation‘ und über die Ausstellung des Impfzertifikats“ erfolgen. „Daran ist bemerkenswert, dass diese (ohnehin – z. B. hinsichtlich des Detailgrads der Dokumentation und der Speicherdauer – nicht ganz klaren) Vorstellungen der Autoren des Gesetzes im Gesetz kaum einen Niederschlag gefunden haben“. Wieso nur die in der Begründung genannten Maßnahmen geeignet und damit zwingend sein sollten, erschließe sich nicht vollständig.

Und wie ist nun mit dieser Differenz zwischen Gesetzesbegründung und Gesetzeswortlaut umzugehen? Das konnte man in Baden-Württemberg bis vergangene Woche noch nicht abschließend klären. „Wir werden uns hierzu mit den Datenschutzaufsichtsbehörden des Bundes und der Länder, mit der Landesapothekerkammer und anderen beteiligten Institutionen ins Benehmen setzen, um möglichst zu einer einheitlichen Auffassung zu gelangen“, so der Pressesprecher.

Bis dahin sieht man dort – im Ergebnis wie die ABDA – keine Veranlassung dafür, dass die Apotheker im Rahmen der Erstellung des Impfzertifikats personenbezogene Daten der Geimpften in eigener Verantwortung speichern. Die Ausführungen des Bundestagsausschusses für Gesundheit verstehe man bislang so, „dass die Dokumentation in einer personenbezogenen Weise durch die Apotheker vorgenommen werden muss“. Eine personenbezogene Speicherung durch die Apotheke selbst vorzunehmen, erscheint den Landesdatenschützern auch nicht erforderlich, um zu prüfen, „ob eine Eintragung beim RKI (bei dem ja die wesentlichen Informationen im Sinne des übermittelten Datensatzes gespeichert werden) tatsächlich von einer bestimmten Apotheke veranlasst wurde“. Für derartige Kontrollzwecke sei vielmehr ausreichend, wenn bei der Apotheke die Umstände vermerkt würden, dass zu einem bestimmten Zeitpunkt in einer bestimmten Apotheke nach Durchführung bestimmter Prüfungen und Erteilung von Hinweisen und gegebenenfalls durch eine bestimmte Person ein Zertifikat beim RKI eingeholt wurde, ohne dass weitere individualisierbare Merkmale der geimpften Person gespeichert werden müssten.

Hinweis auf Datenminimierung

Und der Landesdatenschützer schwenkt noch mehr auf ABDA-Linie: „Wir sehen daher derzeit nicht nur keine Verpflichtung, sondern auch keine Berechtigung der Apotheke, personenbezogene Daten der geimpften Person zu speichern. Für die Speicherung solcher Daten bedürfte es neben einer Rechtsgrundlage eines legitimen Zwecks und der Wahrung des Grundsatzes der Datenminimierung nach Artikel 5 Absatz 1 Buchstaben a, b, c DSGVO. Solange allein die Vorlage des Impfnachweises und die Authentifizierung ohne die Verarbeitung personenbezogener Daten rechtlich verbindlich vorgesehen sind, können wir einen legitimen Zweck für die Speicherung der Daten nicht erkennen“.

Auch mit Blick auf das Risiko, wegen Ausstellung unrichtiger Gesundheitszeugnisse strafrechtlich belangt zu werden, sei eine personenbezogene Speicherung nicht zuzulassen – schließlich sei hier nur die vorsätzliche Begehungsweise strafbar.

Sehr viel schmaler fiel die Antwort des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen aus. Die Frage, ob und inwiefern Dokumentationspflichten nach dem Infektionsschutzgesetz bestünden, stelle keine datenschutzrechtliche Frage dar, die in den dortigen Zuständigkeitsbereich falle. Aus den FAQ zum Digitalen Impfnachweis, die der BfDI auf seiner Webseite veröffentlicht habe, ergäben sich keine Hinweise auf Dokumentationspflichten der Apotheken im Zusammenhang mit der Erstellung des digitalen Impfzertifikates.

Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein, räumte gegenüber DAZ.online ein, ihre Behörde habe es ähnlich schwer wie DAZ.online, an die nötigen Informationen heranzukommen. Auch sie verweist auf die BfDI-FAQ. Dort heiße es zur Frage, wer für die Datenverarbeitung zur Erstellung des digitalen Impfzertifikats verantwortlich sei: „In der Bundesrepublik ist das Robert Koch-Institut die verantwortliche Stelle für die Datenverarbeitung zur Erstellung des digitalen Impfnachweises.“

„Der Mechanismus ist also von Bundesseite vorgegeben“, so Hansen weiter. Daher würde sie erwarten, „dass bundesweit einheitliche Datenverarbeitungen spezifiziert sind und damit verbunden auch Art und Umfang der im Rahmen der datenschutzrechtlichen Informationspflichten für die geimpften Personen bereitzustellenden Informationen, Datenspeicherungen und Aufbewahrungs-/Löschfristen kommuniziert werden, um ein einheitliches rechtskonformes Vorgehen zu gewährleisten“ – dies sei aus ihrer Sicht auch sinnvoll. Ihr abschließender Kommentar: „Optimal wäre gewesen, vorab klare Informationen an alle Akteure und an die Aufsichtsbehörden zu geben. Das ist leider noch nicht geschehen“.

ABDA: Dokumentation nicht erforderlich, QMS empfehlenswert

Am sichersten scheint es derzeit wohl, sich an die ABDA-Vorgaben zu halten, auch wenn Apotheken im Grunde mehr erlaubt wäre. Sie hat ihre Handlungshilfe zum Impfzertifikat im Punkt „Dokumentation und Speicherung“ am vergangenen Donnerstag ohnehin aktualisiert. Dort heißt es nun unter anderem ausdrücklich:

„Es ist keine personenbezogene Dokumentation in der Apotheke erforderlich, mit der die Durchführung der Überprüfung der Dokumente, die Belehrung des Kunden und die Erstellung des Impfausweises belegt wird bzw. vom Kunden bestätigt wird. Es empfiehlt sich jedoch, einen entsprechenden Prozess im QMS der Apotheke zu hinterlegen, damit die ordnungsgemäße Durchführung in der Apotheke belegbar ist“.

Zudem stellt sie jetzt klar: „Die für die Abrechnung zu übermittelnden Angaben dürfen keinen Bezug zu den Personen haben, für welche COVID-19-Impfzertifikate ausgestellt wurden.“