[go: up one dir, main page]

≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.05.2022

7. Soziales und Gesundheit

7.1. Vollzug des Masernschutzgesetzes durch Kindertageseinrichtungen und Gesundheitsämter

Im Berichtszeitraum haben mich zahlreiche Bürgeranfragen zum Vollzug des Masernschutzgesetzes im Zusammenhang mit dem Besuch von Kindertageseinrichtungen in öffentlich-rechtlicher Trägerschaft erreicht. Die Anfragen bezogen sich auf Datenverarbeitungen zum einen durch die Kindertageseinrichtungen, zum anderen durch die bayerischen Gesundheitsämter.

7.1.1. Rechtsgrundlagen

Seit 1. März 2020 gilt bundesweit das Masernschutzgesetz. In Gemeinschaftseinrichtungen wie Kindertagesstätten besteht nach § 20 Infektionsschutzgesetz (IfSG) für dort Betreute und Beschäftigte die Pflicht, einen Nachweis bezüglich ihres Masernimmunstatus zu erbringen. Wenn eine verpflichtete Person minderjährig ist, müssen die Sorgeberechtigten den Nachweis erbringen. Die Leitung der Einrichtung hat den Nachweis zu prüfen und unter bestimmten Umständen das Gesundheitsamt zu informieren.

Dies bedeutet, dass für alle Kinder, die ab dem 1. März 2020 in eine Kindertageseinrichtung aufgenommen werden, vor dem Beginn der Betreuung ein Nachweis gemäß Masernschutzgesetz vorgelegt werden muss (§ 20 Abs. 8 IfSG). Für alle Kinder, die am 1. März 2020 bereits eine Kindertageseinrichtung besuchen, muss der Nachweis bis zum Ablauf des 31. Juli 2022 erbracht werden (§ 20 Abs. 10 IfSG). Entsprechendes gilt für in den Kindertageseinrichtungen tätige Personen, sofern sie nach 1970 geboren sind.

Den Nachweis kann die betreffende Person gemäß § 20 Abs. 9 IfSG erbringen

  • durch Vorlage eines Impfausweises oder eines ärztlichen Zeugnisses (auch in Form einer Anlage zum Untersuchungsheft für Kinder) darüber, dass bei ihr ein altersentsprechender Impfschutz gegen Masern besteht,
  • durch ein ärztliches Zeugnis darüber, dass bei ihr eine Immunität gegen Masern vorliegt (durch eine Titerbestimmung), oder
  • durch ein ärztliches Zeugnis darüber, dass sie aufgrund einer dauerhaften medizinischen Kontraindikation nicht geimpft werden kann.

Zum Inhalt eines Kontraindikationsattests hat das Bayerische Staatsministerium für Gesundheit und Pflege mir gegenüber geäußert, dass darin lediglich Angaben zur zeitlichen Dauer von Kontraindikationen enthalten sein müssen (Feststellung, dass die betreffende Person aufgrund einer medizinischen Kontraindikation nicht gegen Masern geimpft werden kann), nicht aber Angaben zum medizinischen Grund der Kontraindikation.

Alternativ kommt auch eine Bestätigung einer staatlichen Stelle oder der Leitung einer anderen vom Gesetz betroffenen Einrichtung darüber in Betracht, dass ein Nachweis bereits vorgelegen hat.

7.1.2. Datenschutzkonforme Vorlage bei der Kindertageseinrichtung - Dokumentation ohne Kopie des Nachweises

Es wurde wiederholt die Frage an mich herangetragen, wie bei Kindern in Kindertageseinrichtungen die Vorlage des Nachweises zum Masernimmunstatus zu dokumentieren sei, insbesondere, ob die Kindertageseinrichtung den Nachweis kopieren und zum Kinderakt nehmen dürfe.

Die Frage ist in Hinblick auf den Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) dahin zu beantworten, dass der Nachweis durch die (auf das Erforderliche beschränkte) Gewährung der Einsicht in den Impfpass (beziehungsweise das Kinderuntersuchungsheft) oder durch Vorlage einer ärztlichen Bescheinigung geführt werden kann. Die Einsicht in den vollständigen Impfpass (beziehungsweise das vollständige Nachweisheft) ist grundsätzlich nicht erforderlich und daher unzulässig.

Die Vorlage des Impfpasses bezieht sich grundsätzlich auf das Originaldokument. Geschwärzte Fotos oder Scans des Impfpasses müssen von der Einrichtung nicht akzeptiert werden, da aufgrund des fehlenden Personenbezugs der Einzelseiten des Impfpasses im Fall von Fotokopien die Zuordnung zu einer konkreten Person nicht hinreichend gewährleistet ist.

Die für den Nachweis bei der Kindertageseinrichtung vorgelegten Dokumente sind nur zur Prüfung der Voraussetzungen notwendig. Die Aufbewahrung von Kopien der vorgelegten Nachweise ist nach Abschluss der Prüfung regelmäßig nicht erforderlich und damit unzulässig.

Der Nachweis soll lediglich im erforderlichen Umfang (Erfüllung oder Nichterfüllung der Voraussetzungen des § 20 Abs. 9 IfSG) schriftlich - idealerweise in der hierfür vorgesehenen Dokumentationshilfe - dokumentiert und in dieser Form zu den Akten genommen werden.

Mir wurde ebenfalls davon berichtet, dass verschiedene Gesundheitsämter Kindertageseinrichtungen zur Kopie und Aufbewahrung des Nachweises in den Unterlagen der Gemeinschaftseinrichtung aufgefordert hätten. Aus den genannten Gründen halte ich auch eine solche Aufforderung für nicht datenschutzkonform.

7.1.3. Meldung an das zuständige Gesundheitsamt

Das Masernschutzgesetz sieht vor, dass die Leitung der Kindertageseinrichtung das zuständige Gesundheitsamt unverzüglich zu benachrichtigen hat, wenn ein im Einzelfall zu führender Nachweis nach dem Masernschutzgesetz nicht vorgelegt wird, oder wenn sich ergibt, dass ein Impfschutz gegen Masern erst zu einem späteren Zeitpunkt möglich ist oder vervollständigt werden kann. Dabei ist zu beachten, dass bei Nichtvorlage des Nachweises eine Datenübermittlung erst mit Ablauf des im Gesetz benannten Stichtages zulässig ist.

Die Anforderungen nach dem Masernschutzgesetz können auch dann als nicht erfüllt bewertet werden, wenn die vorgelegten Nachweise/Bescheinigungen nicht eindeutig waren oder die Einrichtungsleitung auf Tatsachen basierte Zweifel an der Glaubwürdigkeit des Attests hat. Auch in diesen Fällen erscheint daher eine Datenübermittlung an das Gesundheitsamt datenschutzrechtlich zulässig (siehe § 20 Abs. 9 Satz 2, § 20 Abs. 9a Satz 2 IfSG).

7.1.4. Übermittlung einer Kopie des Nachweises nur mit Einwilligung

Sofern die Voraussetzungen für eine Meldung an das Gesundheitsamt vorliegen, umfasst die Benachrichtigungspflicht nach § 20 Abs. 9 und Abs. 9a IfSG lediglich die Übermittlung der im Gesetz genannten personenbezogenen Angaben (Name und Vorname, Geschlecht, Geburtsdatum, Anschrift der Hauptwohnung oder des gewöhnlichen Aufenthaltsortes und, falls abweichend, Anschrift des derzeitigen Aufenthaltsortes der betroffenen Person sowie, soweit vorliegend, Telefonnummer undE-Mail-Adresse, vgl. § 2 Nr. 16 IfSG) und den Grund für die Meldung gemäß der Dokumentationshilfe. Die Dokumentationshilfe dient dabei zugleich als Übermittlungsbogen an das zuständige Gesundheitsamt.

Für das Anfertigen einer Kopie des Nachweises durch die Gemeinschaftseinrichtung und die Übersendung an das Gesundheitsamt existiert keine gesetzliche Datenverarbeitungsbefugnis. Nur bei Vorliegen einer ausdrücklichen Einwilligung der betroffenen Person gemäß Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 9 Abs. 2 Buchst. a DSGVO ist dieses Vorgehen datenschutzrechtlich zulässig. Die nach Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 4 Nr. 11, Art. 7 DSGVO für die Einwilligung geltenden Voraussetzungen, insbesondere die Freiwilligkeit der Erteilung, sind dabei strikt zu beachten. In der Vollzugspraxis dürfte dies in erster Linie Fälle betreffen, in denen Eltern von sich aus den Einrichtungen Nachweise überlassen. Nach Art. 7 Abs. 1 DSGVO muss die verantwortliche Einrichtung dann insoweit nachweisen können, dass eine wirksame Einwilligung vorliegt.

Aufforderungen der Gesundheitsämter an die Kindertageseinrichtungen, Kopien der Nachweise zu übermitteln, sind daher ebenfalls datenschutzrechtlich unzulässig, sofern das Erfordernis der Einwilligung dabei nicht beachtet wird.

7.1.5. Keine Übermittlung von Listen über vorgelegte Kontraindikationsnachweise

Vereinzelt wurden mir Fälle geschildert, in denen Gesundheitsämter bei Kindertageseinrichtungen Listen mit personenbezogenen Angaben zu Kindern angefordert haben, für die eine ärztliche Bescheinigung über das Bestehen einer vorübergehenden oder dauerhaften Kontraindikation vorgelegt wurde. Meiner vom Gesundheits- und vom Sozialministerium geteilten Ansicht nach ist weder eine solche Datenerhebung des Gesundheitsamtes noch die Datenübermittlung durch die Kindertageseinrichtung von einer gesetzlichen Grundlage gedeckt und daher datenschutzrechtlich unzulässig. In dieser Fallkonstellation offenkundig nicht einschlägig ist insbesondere § 20 Abs. 9 IfSG, auf die sich einzelne Gesundheitsämter berufen hatten.

7.1.6. Datenverarbeitungsbefugnisse des Gesundheitsamtes

Als Folge der Benachrichtigungspflicht kann das zuständige Gesundheitsamt nach § 20 Abs. 12 IfSG die zum Nachweis verpflichtete Person zu einer Beratung laden und gegebenenfalls weitere Maßnahmen anordnen (förmliches Auffordern zur Nachholung der Impfung bis hin zum Erlass eines Betretungsverbotes der Einrichtung).

§ 20 Abs. 12 IfSG enthält generell die Befugnis des Gesundheitsamtes, sich auf Anforderung die entsprechenden Nachweise von Personen vorlegen zu lassen, die in Kindertageseinrichtungen betreut werden. Von welchen Personen das Gesundheitsamt einen solchen Nachweis anfordert, steht in seinem Ermessen. Die Gesundheitsämter dürfen ihn daher selbst kontrollieren - unabhängig von der durch die Einrichtung vorgenommenen Bewertung des Nachweises und auch dann, wenn sie keine Benachrichtigung durch die Leitung der Einrichtung erhalten haben.

7.1.7. Datenschutzkonforme Vorlage und Prüfung des Nachweises beim Gesundheitsamt

Zu der Frage, was unter Vorlage des Nachweises im Sinne von § 20 Abs. 12 IfSG zu verstehen ist, vertrete ich die Auffassung, dass eine Vorlage des Nachweises die (kurzfristige) Aushändigung des Originals einschließt. Dies gilt jedenfalls für eine vorübergehende Entgegennahme etwa zur Überprüfung des Dokuments.

Möglicherweise kann eine Entscheidung, ob das ärztliche Attest als Nachweis im Sinne des § 20 Abs. 9 Satz 1 IfSG anerkannt werden kann, im Zeitpunkt der Vorlage nicht abschließend getroffen werden. Das Gesundheitsamt darf nach meinem Dafürhalten in diesem Fall im Rahmen der Erforderlichkeit zur Erfüllung seiner gesetzlich vorgegebenen (Prüf-)Aufgaben ausnahmsweise eine Kopie des vorgelegten Attestes anfertigen. Die rechtlichen Grundlagen dafür finden sich in § 20 Abs. 12 IfSG in Verbindung mit Art. 6 Abs. 1 UAbs. 1 Buchst. c in Verbindung mit Abs. 3 Satz 1 Buchst. b, Art. 9 Abs. 2 Buchst. i DSGVO (dies ist abzugrenzen von der Aufforderung von Gesundheitsämtern gegenüber Kindertageseinrichtungen, Kopien von Nachweisen pauschal bzw. präventiv zu übermitteln; insoweit ist eine gesetzliche Befugnis zu verneinen, siehe Nr. 7.1.4..).

Die Kopie des Attestes darf grundsätzlich nur so lange aufbewahrt werden, bis der Zweck, für den die Kopie angefertigt wurde, erfüllt ist. Grundsätzlich besteht danach ein Recht auf Löschung nach Art. 17 Abs. 1 Buchst. a DSGVO.

7.2. Vollzug des Masernschutzgesetzes in Krankenhäusern

Im Berichtszeitraum haben mich Anfragen zum Vollzug des Masernschutzgesetzes in Krankenhäusern öffentlich-rechtlicher Träger erreicht. Die Anfragen betrafen Patientinnen und Patienten, die in den entsprechenden Einrichtungen betreut wurden, aber auch in der und für die Einrichtung tätige Personen.

Gemäß § 20 Abs. 8 und 9 Infektionsschutzgesetz (IfSG) müssen Personen, die nach dem 31. Dezember 1970 geboren sind und in bestimmten Einrichtungen wie zum Beispiel Krankenhäusern betreut werden oder tätig sind, den Nachweis eines Impfschutzes oder der Immunität gegen Masern erbringen oder den Nachweis, dass aufgrund einer medizinischen Kontraindikation nicht geimpft werden kann.

Der Nachweis ist bei Neuaufnahmen seit dem 1. März 2020 vor Beginn der Betreuung beziehungsweise vor Aufnahme der Tätigkeit zu erbringen. Gemäß § 20 Abs. 10 IfSG haben Personen, die am 1. März 2020 bereits in Einrichtungen betreut wurden oder dort tätig waren, der Leitung der jeweiligen Einrichtung einen Nachweis bis zum Ablauf des 31. Juli 2022 vorzulegen.

Zu klären waren insbesondere folgende Fragestellungen:

  1. Sind Kopien des Impfpasses bzw. der ärztlichen Bescheinigung bei der Einrichtung zulässig?
  2. Wie weit ist der Personenkreis zu fassen, der in diesen Einrichtungen "tätig" ist und wie ist der Nachweis zu erbringen?

Zu 1.: Zur Frage der Kopien vertrete ich die Auffassung, dass der Nachweis durch die (auf das Erforderliche beschränkte) Gewährung der Einsicht in den Impfpass oder durch Vorlage einer ärztlichen Bescheinigung geschehen kann. Die Einsicht in den vollständigen Impfpass sowie das Fertigen von Kopien sind daher ebenso wie die anschließende Aufbewahrung datenschutzrechtlich nicht erforderlich und daher unzulässig.

Zur Erfüllung der Dokumentationspflicht der im Masernschutzgesetz genannten Einrichtungen sehe ich es als ausreichend an, wenn die verantwortliche Einrichtungsleitung schriftlich dokumentiert, dass einer der im Masernschutzgesetz genannten Nachweise vorgelegt wurde, und diese Dokumentation zu den Akten nimmt.

Zu 2.: Mich beschäftigte darüber hinaus insbesondere die Frage, welcher Personenkreis als "tätig" im Sinne des § 20 Abs. 8 und 9 IfSG anzusehen ist. Ein großer Sozialträger verlangte von allen Geschäftspartnern vorab in Kopie einen Impfnachweis ihrer Beschäftigten (Handwerker, Installateure, Kundendienstmonteure usw.) und drohte damit, andernfalls die externen Dienstleister nicht in das Haus zu lassen und dem Gesundheitsamt zu melden.

Ich habe die Auffassung vertreten, dass diese Auslegung der genannten Vorschriften zu weitgehend ist. Nach der Gesetzesbegründung sollen zwar auch Personen erfasst sein, die nicht unmittelbar mit den Bewohnern der Einrichtung in Kontakt sind, allerdings ist erkennbar, dass es sich um Personen handeln soll, die in einer engen Verbindung zur Einrichtung stehen. Folgende Personen werden vom Gesetzgeber genannt:

  • medizinisches Personal (Einrichtungen nach § 23 Abs. 3 Satz 1 IfSG);
  • Lehr- und Erziehungspersonal (Einrichtungen nach § 33 Nr. 1 bis 4 IfSG);
  • Pflege- oder Aufsichtspersonal (Einrichtungen nach § 36 Abs. 1 Nr. 4 IfSG);
  • Hausmeisterinnen und Hausmeister;
  • Transportpersonal;
  • Küchenpersonal;
  • Reinigungspersonal;
  • ehrenamtlich Tätige;
  • Praktikanten.

In Abstimmung mit dem Bayerischen Staatsministerium für Gesundheit und Pflege habe ich dem Sozialträger folgende Hinweise gegeben, die dabei helfen sollen, die Verarbeitung von Gesundheitsdaten im Rahmen des Masernschutzgesetzes nur auf das erforderliche Maß zu beschränken:

Bei externen Dienstleistern (wie etwa Handwerkerinnen und Handwerkern, Installateurinnen und Installateuren oder Kundendienstmonteurinnen und Kundendienstmonteuren) ist nicht nur pauschal, sondern im Einzelfall vom verantwortlichen Träger zu beurteilen, ob eine Nachweispflicht besteht.

Die Nachweispflicht nach § 20 Abs. 8, Abs. 9 IfSG gilt für alle Personen, die in der Einrichtung regelmäßig und zeitlich nicht nur vorübergehend tätig sind.

"Regelmäßig" ist eine Tätigkeit insbesondere dann, wenn sie nicht nur für wenige Tage verrichtet wird. "Nicht nur zeitlich vorübergehend" ist eine Tätigkeit dann, wenn sie nicht nur jeweils wenige Minuten, sondern über einen längeren Zeitraum anhält.

Nicht nachweispflichtige Tätigkeiten im Sinne des Masernschutzgesetzes sind insbesondere:

  • Einzelaufträge bis zu 14 Tagen ("absolute Grenze");
  • wiederkehrende Tätigkeiten bis zu 1 Tag pro Monat (also pro Jahr maximal 12 × 1 Tag);
  • Tätigkeiten, die ausschließlich auf den außerhalb der Räumlichkeiten bestehenden Baustellen stattfinden.

Bei Dienstleistern, die regelmäßig und zeitlich nicht nur vorübergehend in der Einrichtung tätig sind, genügt es zur Erfüllung der Nachweispflicht, wenn die verantwortliche Einrichtungsleitung belegen kann, dass sie die eingesetzten Dienstleister privatrechtlich verpflichtet hat, nur den Anforderungen des Masernschutzgesetzes entsprechende Personen in der Einrichtung einzusetzen. Es genügt auch, dass sie diese Verpflichtung an die Stellen kommuniziert hat, die die Verträge mit externen Dienstleistern abgeschlossen haben und dies bei einer Kontrolle durch das Gesundheitsamt belegen kann. Die verantwortliche Einrichtungsleitung kann sich die Nachweise im Einzelfall aber auch selbst vorlegen lassen, eine Verpflichtung hierzu besteht jedoch nicht.

7.3. Datenschutzrechtliche Anforderungen an Reihentestungen auf den Erreger SARS-CoV-2 in (Rehabilitations- und Pflege-) Einrichtungen

Im Verlauf der COVID-19-Pandemie erreichte mich die Beratungsanfrage der behördlichen Datenschutzbeauftragten einer Kreisverwaltungsbehörde im Zusammenhang mit gesundheitsbehördlich angeordneten Reihentestungen von Bewohnerinnen, Bewohnern und des Personals in Rehabilitations- und Pflegeeinrichtungen auf den Erreger SARS-CoV-2.

7.3.1. Datenerhebung aufgrund einer behördlichen Anordnung oder aufgrund einer datenschutzrechtlichen Einwilligung

Zunächst wurde die Frage aufgeworfen, ob es im Wirkungsbereich einer gesundheitsbehördlich angeordneten Reihentestung in einer konkreten Pflegeeinrichtung hinsichtlich der damit beabsichtigten, umfassenden Erhebung von Testergebnissen einer datenschutzrechtlichen Einwilligung der betroffenen Personen bedarf. Dabei wurde innerhalb des verantwortlichen Landratsamtes im Austausch mit der behördlichen Datenschutzbeauftragten diskutiert, ob es insofern maßgeblich auf eine Abwägung des (möglicherweise als vorrangig zu beurteilenden) öffentlichen Interesses gegenüber dem Interesse der betroffenen Personen ankommen könnte.

Dazu habe ich die folgenden datenschutzrechtlichen Hinweise gegeben:

Tritt in Einrichtungen, wie zum Beispiel einem Senioren- oder Pflegeheim, ein COVID-19-Fall auf, ist aufgrund der Art der Übertragung von SARS-CoV-2 (angesichts der seinerzeit im November/Dezember 2020 noch mangelnden Verfügbarkeit eines Impfstoffs) von einem allgemeinen Ansteckungsverdacht in Bezug auf das (Pflege-) Personal sowie die Bewohnerinnen und Bewohner auszugehen. In der Regel legitimiert dieser Ansteckungsverdacht gemäß § 25 Abs. 1, Abs. 3 Satz 2 Infektionsschutzgesetz (IfSG) die behördliche Anordnung der Reihenuntersuchung (im Gegensatz zu einer anlasslosen Reihentestung, die nach § 25 IfSG nicht erlaubt wäre).

§ 25 IfSG

Ermittlungen

(1) Ergibt sich oder ist anzunehmen, dass jemand krank, krankheitsverdächtig, ansteckungsverdächtig oder Ausscheider ist oder dass ein Verstorbener krank, krankheitsverdächtig oder Ausscheider war, so stellt das Gesundheitsamt die erforderlichen Ermittlungen an, insbesondere über Art, Ursache, Ansteckungsquelle und Ausbreitung der Krankheit. Das Gesundheitsamt kann auch Ermittlungen anstellen, wenn sich ergibt oder anzunehmen ist, dass jemand durch eine Schutzimpfung oder andere Maßnahme der spezifischen Prophylaxe eine gesundheitliche Schädigung erlitten hat.

(2) Für die Durchführung der Ermittlungen nach Absatz 1 gilt § 16 Absatz 1 Satz 2, Absatz 2, 3, 5 und 8 entsprechend. Das Gesundheitsamt kann eine im Rahmen der Ermittlungen im Hinblick auf eine bedrohliche übertragbare Krankheit erforderliche Befragung in Bezug auf die Art, Ursache, Ansteckungsquelle und Ausbreitung der Krankheit unmittelbar an eine dritte Person, insbesondere an den behandelnden Arzt, richten, wenn eine Mitwirkung der betroffenen Person oder der nach § 16 Absatz 5 verpflichteten Person nicht oder nicht rechtzeitig möglich ist; die dritte Person ist in entsprechender Anwendung von § 16 Absatz 2 Satz 3 und 4 zur Auskunft verpflichtet.

(3) Die in Absatz 1 genannten Personen können durch das Gesundheitsamt vorgeladen werden. Sie können durch das Gesundheitsamt verpflichtet werden,

  1. Untersuchungen und Entnahmen von Untersuchungsmaterial an sich vornehmen zu lassen, insbesondere die erforderlichen äußerlichen Untersuchungen, Röntgenuntersuchungen, Tuberkulintestungen, Blutentnahmen und Abstriche von Haut und Schleimhäuten durch die Beauftragten des Gesundheitsamtes zu dulden, sowie
  2. das erforderliche Untersuchungsmaterial auf Verlangen bereitzustellen.

Darüber hinausgehende invasive Eingriffe sowie Eingriffe, die eine Betäubung erfordern, dürfen nur mit Einwilligung des Betroffenen vorgenommen werden; § 16 Absatz 5 gilt nur entsprechend, wenn der Betroffene einwilligungsunfähig ist. Die bei den Untersuchungen erhobenen personenbezogenen Daten dürfen nur für Zwecke dieses Gesetzes verarbeitet werden.

[...]

Gemäß § 25 Abs. 2 Satz 1 IfSG in Verbindung mit § 16 Abs. 1 Satz 2 IfSG kann die zuständige Behörde im Rahmen ihrer sogenannten Ermittlungsmaßnahmen personenbezogene Daten erheben.

§ 16 IfSG

Allgemeine Maßnahmen zur Verhütung übertragbarer Krankheiten

(1) Werden Tatsachen festgestellt, die zum Auftreten einer übertragbaren Krankheit führen können, oder ist anzunehmen, dass solche Tatsachen vorliegen, so trifft die zuständige Behörde die notwendigen Maßnahmen zur Abwendung der dem Einzelnen oder der Allgemeinheit hierdurch drohenden Gefahren. Im Rahmen dieser Maßnahmen können von der zuständigen Behörde personenbezogene Daten erhoben werden; diese dürfen nur von der zuständigen Behörde für Zwecke dieses Gesetzes verarbeitet werden.

[...]

Die Datenschutz-Grundverordnung lässt derartige, auf Fachrecht beruhende Anordnungen, die eine datenschutzrechtliche Verarbeitungsbefugnis vermitteln, auf nationaler Ebene zu (siehe Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 2, Abs. 3 UAbs. 1 Buchst. b DSGVO).

Neben einer solchen nationalen Regelung, welche die zweckgebundene Verarbeitung von Gesundheitsdaten erlaubt, bleibt für eine datenschutzrechtliche Einwilligung grundsätzlich kein Raum. Dies verdeutlicht beispielsweise Erwägungsgrund 54 Satz 1 DSGVO.

"Aus Gründen des öffentlichen Interesses in Bereichen der öffentlichen Gesundheit kann es notwendig sein, besondere Kategorien personenbezogener Daten auch ohne Einwilligung der betroffenen Person zu verarbeiten."

Für das Zusammenspiel zwischen Einwilligung und gesetzlichen Erlaubnistatbeständen wird hier deutlich, dass die Einwilligung nicht als Ergänzung neben die gegebene Anordnungsbefugnis treten soll. Denn grundsätzlich ist nicht zu empfehlen, eine Verarbeitung sowohl auf eine datenschutzrechtliche Einwilligung als auch auf einen gesetzlichen Verarbeitungstatbestand zu stützen. Unzulässig sind Einwilligungen regelmäßig auch dann, wenn die Anwendung eines im Grunde einschlägigen gesetzlichen Verarbeitungstatbestands an einem Grundsatz der Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 DSGVO) scheitert. Dabei soll zugleich vermieden werden, dass die datenverarbeitende Stelle etwa im Falle der Verweigerung, des Widerrufs oder der Unwirksamkeit einer Einwilligung doch wieder auf einen gesetzlichen Erlaubnistatbestand zurückgreifen könnte.

Dies ist auch unter dem Aspekt der Freiwilligkeit der Einwilligung folgerichtig. Gemäß Art. 4 Nr. 11 DSGVO ist die Einwilligung eine freiwillige Willensbekundung.

Art. 4 DSGVO

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

[...]

  1. "Einwilligung" der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

[...].

Von Freiwilligkeit kann jedoch keine Rede sein, sofern die betroffene Person zu einem bestimmten Tun, Dulden oder Unterlassen aufgrund einer behördlichen Anordnung verpflichtet ist.

Im Ergebnis ist festzuhalten, dass die Erhebung personenbezogener Testergebnisse durch die zuständige Behörde im Rahmen einer von ihr gemäß § 25 IfSG angeordneten Reihenuntersuchung auf den Erreger SARS-CoV-2 in einer (Rehabilitations- und Pflege-) Einrichtung keiner zusätzlichen Einwilligung der betroffenen Personen bedarf. Auf die in diesem Zusammenhang seitens des zuständigen Landratsamtes mir gegenüber als Argument in Betracht gezogene Abwägung des öffentlichen Interesses mit den privaten Interessen des Betroffenenkreises kommt es insofern nicht an.

7.3.2. Übermittlungsbefugnis des Gesundheitsamts auf Ersuchen der Einrichtungsleitung

Im Anschluss wurde von Seiten der behördlichen Datenschutzbeauftragten des verantwortlichen Landratsamtes die Frage an mich herangetragen, ob das betreffende Gesundheitsamt die Ergebnisse sämtlicher aufgrund entsprechender Anordnung getesteten Personen (sowohl der Beschäftigten als auch der Bewohnerinnen und Bewohner und gegebenenfalls der Patientinnen und Patienten) an die Einrichtungsleitung (auf deren Ersuchen hin) übermitteln darf.

Aus datenschutzrechtlicher Sicht ist in Fällen dieser Art Folgendes zu beachten:

Wie ich in meinem 30. Tätigkeitsbericht 2020 unter Nr. 3.3 ausgeführt habe, darf das Gesundheitsamt Testergebnisse unmittelbar an die Einrichtungsleitung übermitteln, wenn dies zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist und die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben (Art. 6 Abs. 1 UAbs. 1 Buchst. d, Art. 9 Abs. 2 Buchst. c DSGVO). Naturgemäß können diese Tatbestandsmerkmale nicht allgemein und pauschal für alle betroffenen Personenkategorien in einer Einrichtung bejaht werden; vielmehr bedarf es grundsätzlich einer eigenständigen Prüfung in jedem Einzelfall.

Diese Voraussetzungen sind bei Mitarbeiterinnen und Mitarbeitern der Einrichtung, die weder aus körperlichen noch aus rechtlichen Gründen außerstande sind, ihre Einwilligung zu erteilen, nicht gegeben. Es stellt sich dann die Frage, ob es nach geltendem Datenschutzrecht der Einwilligung jeder oder jedes einzelnen Beschäftigten bedarf, um das jeweilige Testergebnis an die Einrichtungsleitung übermitteln zu dürfen, oder ob eine anderweitige Rechtsgrundlage für die Übermittlung existiert.

Gemäß Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 2, Abs. 3 UAbs. 1 Buchst. b, Art. 9 Abs. 2 Buchst. i DSGVO kann die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, zulässig sein, wenn dies erforderlich und in einem nationalen Gesetz vorgesehen ist, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Personen, insbesondere des Berufsgeheimnisses, vorsieht.

Nachdem sich die betroffenen Personen vorliegend nicht freiwillig, sondern aufgrund einer verpflichtenden Anordnung des Gesundheitsamtes einem Test auf SARS-CoV 2 unterzogen hatten, ist die Verbotsnorm des Art. 30 Abs. 1 Satz 3 Gesundheitsdienst- und Verbraucherschutzgesetz (GDVG) - mangels Freiwilligkeit der Testung - nicht einschlägig. Folglich ist der Anwendungsbereich des Art. 30 Abs. 2 GDVG, der Ausnahmen von diesem Verarbeitungsverbot regelt, ebenfalls nicht eröffnet.

Da sich meines Erachtens darüber hinaus auch aus dem Infektionsschutzgesetz (insbesondere aus § 27 IfSG) keine Unterrichtungs- oder Übermittlungsbefugnisse gegenüber (der Leitung von) Pflege- und Rehabilitationseinrichtungen ergeben (und ein Rückgriff auf Verarbeitungsbefugnisse aus dem BayDSG am Vorrang des spezialgesetzlichen Regelungsregimes des GDVG und des IfSG scheitert), verbleibt nurmehr die Einwilligung gemäß Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 9 Abs. 2 Buchst. a, Art. 4 Nr. 11, Art. 7 DSGVO als mögliche Rechtsgrundlage für eine entsprechende Datenübermittlung durch das Gesundheitsamt.

Allerdings sind im Rahmen eines "klaren Ungleichgewichts" zwischen dem Verantwortlichen und der betroffenen Person generell besonders hohe Anforderungen an die Freiwilligkeit der Einwilligung zu stellen (siehe Erwägungsgrund 43 Satz 1 DSGVO).

"Um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, sollte diese in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern."

Dies gilt speziell im Verhältnis der Mitarbeiterinnen und Mitarbeiter zur Einrichtungsleitung. Angesichts des im Beschäftigungsverhältnis typischerweise bestehenden Abhängigkeitsverhältnisses dürfte die Freiwilligkeit einer Einwilligung im Sinne des Art. 4 Nr. 11 DSGVO daher regelmäßig zweifelhaft sein. So könnte allenfalls dann, wenn es möglich wäre, sicherzustellen, dass bei einer Einwilligungsverweigerung keinerlei Nachteile entstehen, die Unfreiwilligkeit der Einwilligung vermieden werden. Wie das konkret gelingen kann, erscheint jedoch fraglich.

Vor diesem Hintergrund dürfte es aus meiner Sicht effektiv kaum gelingen, bei Patientinnen und Patienten, bei Bewohnerinnen und Bewohnern wie auch bei Beschäftigten einer (Rehabilitations- und Pflege-) Einrichtung geeignete Maßnahmen vorzusehen, die den betroffenen Personen den Einwilligungsdruck nehmen und folglich eine Freiwilligkeit der Einwilligung im Rechtssinne gewährleisten könnten. Ohne tatsächlich belegbare Maßnahmen zur Herbeiführung der Freiwilligkeit verblieben erhebliche Zweifel an der Wirksamkeit einer solchen Einwilligung.

Somit kann die Einrichtungsleitung ihre an das Gesundheitsamt gerichtete Bitte um Übermittlung sämtlicher Ergebnisse einer gesundheitsbehördlich angeordneten Reihentestung nicht auf eine wirksame Einwilligung der betroffenen Personen stützen, da es der Einrichtungsleitung regelmäßig nicht gelingen dürfte, besondere Maßnahmen zur Gewährleistung der Freiwilligkeit nachzuweisen.

7.3.3. Datenverarbeitung als Annex einer behördlichen Anordnung zu Zwecken von Infektionsschutz und Pandemiebekämpfung

Nach den obigen Erwägungen wird es somit in aller Regel (mangels derart weitreichender Übermittlungsbefugnisse) unzulässig sein, (standardmäßig) eine vollständige Liste des Gesundheitsamtes, die alle Testergebnisse sämtlicher betroffener Patientinnen und Patienten, Bewohnerinnen und Bewohner sowie Mitarbeiterinnen und Mitarbeiter umfasst, an die Einrichtungsleitung zu übermitteln. Unabhängig davon kann dem Gesundheitsamt im Rahmen seines Auswahlermessens als zuständige Stelle und nach Maßgabe des Grundsatzes der Erforderlichkeit (Art. 5 Abs. 1 Buchst. c DSGVO) die Befugnis zur Übermittlung eines positiven Testergebnisses im Einzelfall zustehen. Dies wird dann der Fall sein, wenn damit infektionsschutzrechtliche Zwecke verfolgt werden, die sich auf andere Weise (etwa durch Anordnung umfassender Schutzmaßnahmen ohne Personenbezug) nicht erreichen lassen. Infektionsschutz und die Pandemiebekämpfung (beziehungsweise Pandemieeindämmung, vgl. § 28 Abs. 1 IfSG) wären zugleich Anlass und Zweck einer solchen "Annex-Datenverarbeitung", wobei sich die Offenbarung des Personenbezugs als eine notwendige Begleiterscheinung der behördlichen Anordnung darstellt.

7.3.4. Weitere Entwicklung und Ausblick

Seit dem 24. November 2021 gilt eine bundesweite 3G-Regelung am Arbeitsplatz (§ 28b IfSG), insbesondere auch für Beschäftige und ehrenamtlich Tätige mit Patientenkontakt in Krankenhäusern und Pflegeeinrichtungen. Zunächst bedeutete dies, dass auch Beschäftigte und ehrenamtlich Tätige mit Patientenkontakt ohne Geimpften- oder Genesenenstatus für die genannten Einrichtungen (anfangs grundsätzlich zweimal wöchentlich) einen negativen Testnachweis als Zugangserfordernis erbringen mussten. Soweit ersichtlich, sind für auskunftspflichtige geimpfte, genesene und getestete Beschäftigte angeordnete Reihentestungen in Pflegeeinrichtungen in der Folge entfallen und insoweit auch das Ersuchen von Einrichtungsleitungen an das Gesundheitsamt um Übermittlung von Testergebnissen.

Gegenwärtig sind die geltenden Bestimmungen regelmäßigen, pandemiebedingten Aktualisierungen unterworfen. Durch erneute Anpassung des Infektionsschutzgesetzes am 10. Dezember 2021 besteht nun gemäß § 20a IfSG ab dem 16. März 2022 eine einrichtungsbezogene Impfpflicht für Arbeitnehmerinnen und Arbeitnehmer in Kliniken, Pflegeheimen, Arzt- und Zahnarztpraxen, Rettungs- und Pflegediensten, Geburtshäusern und anderen medizinisch-pflegerischen Einrichtungen.

Für Bewohnerinnen und Bewohner von Alten- und Pflegeeinrichtungen geht das Robert Koch-Institut ausweislich seiner unter dem Datum des 21. Januar 2022 auf seiner Homepage veröffentlichten Empfehlungen mit dem Titel "Prävention und Management von COVID-19 in Alten- und Pflegeeinrichtungen und Einrichtungen für Menschen mit Beeinträchtigungen und Behinderungen" von der weiteren Durchführung regelmäßiger Reihentestungen aus (siehe Ziffer 3.9 der Veröffentlichung). Für diese Fälle gelten die obigen datenschutzrechtlichen Erwägungen fort.

7.4. Datenweitergabe durch Impfzentrum an Arbeitgeber

Zu Beginn des Berichtszeitraums war die Impfkampagne gegen COVID-19 gerade aufgenommen worden; zunächst stand nicht genügend Impfstoff für alle impfwilligen Bürgerinnen und Bürger zur Verfügung. Impfungen zum Schutz vor COVID-19 waren mangels ausreichender Verfügbarkeit in erster Linie Bewohnerinnen und Bewohnern von Senioren- und Pflegeeinrichtungen sowie dem Personal in medizinischen Einrichtungen vorbehalten. Außerhalb dieser Einrichtungen wurden Impfungen ausschließlich in Impfzentren und nur bei nachweislich erfüllten Priorisierungskriterien verabreicht.

Vor diesem Hintergrund befasste ich mich unter anderem mit folgender Beschwerde gegen die Weitergabe von personenbezogenen Gesundheitsinformationen an ein Krankenhaus in seiner Funktion als Arbeitgeber der betroffenen Person.

7.4.1. Zugrundeliegender Sachverhalt

Nach ihrer Online-Registrierung im digitalen Impfportal der Bayerischen Staatsregierung erhielt die betroffene Person zunächst einen Termin für eine COVID-19-Schutzimpfung im Impfzentrum, welches vom örtlichen Landratsamt betrieben wurde. Dort wurde die impfwillige Person zunächst nach ihrer Arbeitsstätte befragt. Nach wahrheitsgemäßer Angabe, dass sie in einem Krankenhaus beschäftigt sei, wurde der betroffenen Person die Impfung verwehrt, weil sie sich bei ihrem Arbeitgeber impfen lassen könne.

Die betroffene Person beschwerte sich daraufhin beim Landratsamt. Sie bat um Mitteilung der Rechtsgrundlage für die Erhebung der Arbeitsstätte durch das Impfzentrum und für die Stornierung ihres Termins. Dabei wies sie ausdrücklich darauf hin, dass sie sich aufgrund einer chronischen Erkrankung nicht an ihrer Arbeitsstätte impfen lassen wolle. Sie befürchte, im Impf-Anamnesebogen Vorerkrankungen und Diagnosen gegenüber Arbeitskolleginnen oder Arbeitskollegen beziehungsweise gegenüber ihrem Arbeitgeber transparent machen zu müssen. Zusätzlich bat sie um einen umgehenden Ersatztermin für die COVID-19-Schutzimpfung.

Anstatt der Beschwerde abzuhelfen nahm das Landratsamt telefonisch Kontakt mit dem Arbeitgeber auf. Er hinterließ wenig später auf dem Anrufbeantworter der betroffenen Person eine Nachricht an ihrer Arbeitsstätte, mit der er verschiedene Reihenimpftermine für Beschäftigte des Krankenhauses zur Auswahl anbot. Die betroffene Person machte von diesem Angebot keinen Gebrauch, weil sie sich nach wie vor nicht an ihrer Arbeitsstätte impfen lassen wollte. Stattdessen wandte sie sich mit einer Beschwerde an mich. Parallel bemühte sie sich nochmals um einen Impftermin im örtlichen Impfzentrum, den sie im weiteren Verlauf erhielt und wahrnahm.

7.4.2. Stellungnahme des Landratsamtes

Auf meine Aufforderung zur Stellungnahme räumte das zuständige Landratsamt zwar ein, dass der Anruf beim Arbeitgeber der betroffenen Person, soweit er die Beschwerde der betroffenen Person beim Landratsamt zum Gegenstand gehabt hatte, nicht zur Aufgabenerfüllung erforderlich gewesen sei. Allerdings vertrat die Behörde im Übrigen die Auffassung, dass die Weitergabe der personenbezogenen Daten an den Arbeitgeber durch Art. 5 Abs. 1 Satz 1 Nr. 1 BayDSG legitimiert gewesen sei.

Art. 5 BayDSG

Übermittlung

(1) 1Eine Übermittlung personenbezogener Daten ist zulässig, wenn

  1. sie zur Erfüllung einer der übermittelnden oder der empfangenden öffentlichen Stelle obliegenden Aufgabe erforderlich ist oder
  2. der Empfänger eine nicht öffentliche Stelle ist, diese Stelle ein berechtigtes Interesse an ihrer Kenntnis glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat; dies gilt auch, soweit die Daten zu anderen Zwecken als denjenigen, zu denen sie erhoben wurden, übermittelt werden.

2Bei einer Übermittlung nach Satz 1 Nr. 2 darf der Empfänger die übermittelten Daten nur für den Zweck verarbeiten, zu dem sie ihm übermittelt wurden.

Ferner habe es zur Bewältigung der COVID-19-Pandemie, insbesondere zum Zwecke der Koordinierung und Organisation der Impfkampagne, einer Kommunikation zwischen den verschiedenen impfenden Einrichtungen bedurft. Nachdem die betroffene Person zum Personal des betreffenden Krankenhauses gehört habe, sei insoweit eine Abklärung zwischen dem Impfzentrum und ihrer Arbeitsstelle erforderlich gewesen. Insofern seien dem Arbeitgeber der betroffenen Person außer der Nennung des Namens, der Anschrift und des Geburtsdatums keine weiteren personenbezogenen Daten telefonisch mitgeteilt worden.

7.4.3. Datenschutzrechtliche Bewertung der Übermittlung

Der Rechtsauffassung des Landratsamtes konnte ich mich aus folgenden Gründen nicht anschließen:

Bei der Bereitschaft, sich impfen zu lassen, handelt es sich um ein Gesundheitsdatum im Sinne des Art. 4 Nr. 15 DSGVO, da diese Information einen Rückschluss auf eine begehrte und regelmäßig auch bevorstehende medizinische Behandlung einer Person erlaubt. Im gegebenen Einzelfall wurde nicht nur der Name, die Anschrift und das Geburtsdatum der betroffenen Person, sondern auch deren Bereitschaft, sich im Impfzentrum impfen zu lassen, offenbart. Somit lag der Rückschluss auf eine begehrte und wohl auch bevorstehende medizinische Behandlung - nämlich eine Impfung - auf der Hand. Gesundheitsdaten wurden also übermittelt. Diese unterliegen gemäß Art. 9 Abs. 1 DSGVO einem generellen Verarbeitungsverbot, das nur unter besonderen Voraussetzungen (siehe Art. 9 Abs. 2 DSGVO, Art. 8 BayDSG) durchbrochen werden kann. Nach Erwägungsgrund 51 Satz 6 DSGVO sollten Ausnahmen von diesem allgemeinen Verarbeitungsverbot ausdrücklich vorgesehen werden, unter anderem bei ausdrücklicher Einwilligung der betroffenen Person oder bei bestimmten Notwendigkeiten.

"Ausnahmen von dem allgemeinen Verbot der Verarbeitung dieser besonderen Kategorien personenbezogener Daten sollten ausdrücklich vorgesehen werden, unter anderem bei ausdrücklicher Einwilligung der betroffenen Person oder bei bestimmten Notwendigkeiten, insbesondere wenn die Verarbeitung im Rahmen rechtmäßiger Tätigkeiten bestimmter Vereinigungen oder Stiftungen vorgenommen wird, die sich für die Ausübung von Grundfreiheiten einsetzen."

Mit Blick darauf habe ich verdeutlicht, dass Beschäftigte im Verantwortungsbereich des Landratsamtes nachdrücklich zu sensibilisieren sind, damit sie zukünftig Gesundheitsdaten als solche erkennen und den schutzwürdigen datenschutzrechtlichen Interessen der betroffenen Personen umfänglich Rechnung tragen können.

Im Übrigen ergibt sich aus dem dargelegten Zweck der Koordinierung und Organisation der Impfkampagne ebenfalls keine datenschutzrechtlich tragfähige Grundlage für die stattgefundene Übermittlung. Insoweit liegt vielmehr ein Verstoß gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 Buchst. c DSGVO vor.

Art. 5 DSGVO

Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

[...]

  1. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ("Datenminimierung");

[...].

Die konkreten Umstände des Einzelfalles einschließlich der Gesundheitsdaten hätten nicht unter Offenbarung der Identität der beschwerdeführenden Person mit deren Arbeitgeber erörtert werden dürfen, da sie ersichtlich für den dargelegten Zweck nicht erheblich sind. Zur Legitimation der Weitergabe von personenbezogenen Gesundheitsdaten genügt es nicht, wenn der Verantwortliche die Erforderlichkeit zur Aufgabenerfüllung pauschal behauptet. Vielmehr hätte die deutliche Beschwerde der betroffenen Person das Landratsamt dazu veranlassen müssen, die Erforderlichkeit für die Aufgabenerfüllung kritisch zu hinterfragen und letztlich die Entscheidung zu treffen, in diesem Zusammenhang keine personenbezogenen Daten zu offenbaren.

Richtigerweise ist bei Abstimmungen über die Organisation und Koordinierung von Impfungen in den impfberechtigten Einrichtungen - etwa mit dem Ziel, eine doppelte Impfterminvergabe zu vermeiden - zu fordern, dass diese zunächst ohne Personenbezug, das heißt insbesondere ohne Offenlegung von Gesundheitsdaten (etwa der Impfbereitschaft einer bestimmten Person) erfolgen.

Vorliegend ist es der verantwortlichen Stelle nicht gelungen, plausibel darzulegen, weshalb die allgemeine Aufgabe der Organisation und Koordinierung von Impfungen für eine Vielzahl von Impfberechtigten, gerade von der spezifischen Weitergabe der personenbezogenen Daten einer bestimmten Person abhängen sollte. Solche Gründe konnte ich auch in Anbetracht der generell ausgestalteten Vorschriften der bundesrechtlichen Coronavirus-Impfverordnung in der Fassung vom 8. Februar 2021 (BAnz. AT vom 8. Februar 2021, V1, im Folgenden: CoronaImpfV 2/2021) sowie der landesrechtlichen Vollzugsvorgaben nicht erkennen.

7.4.4. Erhebung von Arbeitgeberdaten

Im Zusammenhang mit der Organisation von Terminen in den Impfzentren halte ich demgegenüber die Erhebung von Informationen über medizinische Einrichtungen als Arbeitgeber nicht allgemein für beanstandenswert. Denn der Verordnungsgeber hat beispielsweise in § 3 Abs. 1 Nr. 4 CoronaImpfV 2/2021 ausdrücklich vorgesehen, dass Personen, die in stationären oder teilstationären Einrichtungen zur Behandlung, Betreuung oder Pflege geistig oder psychisch behinderter Menschen tätig sind oder im Rahmen ambulanter Dienste regelmäßig geistig oder psychisch behinderte Menschen behandeln, betreuen oder pflegen, mit hoher Priorität Anspruch auf eine Schutzimpfung haben.

§ 3 CoronaImpfV 2/2021

Schutzimpfungen mit hoher Priorität

(1) Folgende Personen haben mit hoher Priorität Anspruch auf Schutzimpfung:

  1. Personen, die das 70. Lebensjahr vollendet haben,
  2. folgende Personen, bei denen ein sehr hohes oder hohes Risiko für einen schweren oder tödlichen Krankheitsverlauf nach einer Infektion mit dem Coronavirus SARS-CoV-2 besteht:
  3. Personen mit Trisomie 21,
  4. Personen nach Organtransplantation,
  5. Personen mit einer Demenz oder mit einer geistigen Behinderung oder mit schwerer psychiatrischer Erkrankung, insbesondere bipolare Störung, Schizophrenie oder schwere Depression,
  6. Personen mit malignen hämatologischen Erkrankungen oder behandlungsbedürftigen soliden Tumorerkrankungen, die nicht in Remission sind oder deren Remissionsdauer weniger als fünf Jahre beträgt,
  7. Personen mit interstitieller Lungenerkrankung, COPD, Mukoviszidose oder einer anderen, ähnlich schweren chronischen Lungenerkrankung,
  8. Personen mit Diabetes mellitus (mit HbA1c = 58 mmol/mol oder = 7,5%),
  9. Personen mit Leberzirrhose oder einer anderen chronischen Lebererkrankung,
  10. Personen mit chronischer Nierenerkrankung,
  11. Personen mit Adipositas (Personen mit Body-Mass-Index über 40),
  12. Personen, bei denen nach individueller ärztlicher Beurteilung aufgrund besonderer Umstände im Einzelfall ein sehr hohes oder hohes Risiko für einen schweren oder tödlichen Krankheitsverlauf nach einer Infektion mit dem Coronavirus SARS-CoV-2 besteht,
  13. bis zu zwei enge Kontaktpersonen
  14. von einer nicht in einer Einrichtung befindlichen pflegebedürftigen Person nach den Nummern 1 und 2 und nach § 2 Absatz 1 Nummer 1, die von dieser Person oder von einer sie vertretenden Person bestimmt werden,
  15. von einer schwangeren Person, die von dieser Person oder von einer sie vertretenden Person bestimmt werden,
  16. Personen, die in stationären Einrichtungen zur Behandlung, Betreuung oder Pflege geistig oder psychisch behinderter Menschen tätig sind oder im Rahmen ambulanter Pflegedienste regelmäßig geistig oder psychisch behinderte Menschen behandeln, betreuen oder pflegen,
  17. Personen, die in Bereichen medizinischer Einrichtungen mit einem hohen oder erhöhten Expositionsrisiko in Bezug auf das Coronavirus SARS-CoV-2 tätig sind, insbesondere Ärzte und sonstiges Personal mit regelmäßigem unmittelbarem Patientenkontakt, Personal der Blut- und Plasmaspendedienste und in SARS-CoV-2-Testzentren,
  18. Polizei- und Ordnungskräfte, die in Ausübung ihrer Tätigkeit zur Sicherstellung der öffentlichen Ordnung, insbesondere bei Demonstrationen, einem hohen Infektionsrisiko ausgesetzt sind, sowie Soldatinnen und Soldaten, die bei Einsätzen im Ausland einem hohen Infektionsrisiko ausgesetzt sind,

6a. Personen, die in Kinderbetreuungseinrichtungen, in der Kindertagespflege und in Grundschulen, Sonderschulen oder Förderschulen tätig sind,

  1. Personen, die im öffentlichen Gesundheitsdienst oder in besonders relevanter Position zur Aufrechterhaltung der Krankenhausinfrastruktur tätig sind,
  2. Personen, die in Einrichtungen nach § 36 Absatz 1 Nummer 3 oder Nummer 4 des Infektionsschutzgesetzes untergebracht oder tätig sind,
  3. Personen, die im Rahmen der nach Landesrecht anerkannten Angebote zur Unterstützung im Alltag im Sinne des § 45a des Elften Buches Sozialgesetzbuch regelmäßig bei älteren oder pflegebedürftigen Menschen tätig sind.

(2) § 2 Absatz 2 sowie, für Personen nach Absatz 1 Nummer 1, § 2 Absatz 3 gelten entsprechend.

Grundsätzlich erscheint somit die Erhebung von Arbeitgeberdaten im gegebenen Kontext nicht als unzulässig. Denn es besteht ein Sachzusammenhang mit der Priorisierung impfwilliger Personen. Im Einklang damit ist auch die "Datenschutzinformation zur Digitalen Impfverwaltung" in Bayern verfasst, so hieß es dort seinerzeit beispielsweise unter Nr. 4.1.1:

"Zu Ihrem Account geben sie zunächst folgende Datenarten an:

[...]

Angaben zu Ihrer beruflichen Tätigkeit /Wohnsituation:

‚Ich arbeite in einer Pflege- oder medizinischen Einrichtung, in [...]‘ (z. B. Alten- und Pflegeheim, med. Einrichtung mit sehr hohem Expositionsrisiko) [...]"

Auch die Erläuterung unter Nr. 4.1.3 bestätigt die Erheblichkeit des beruflichen Umfelds für die Priorisierungskriterien:

"Personen mit höherem Kennwert gelten als gefährdeter und/oder risikobehafteter (weil sie beispielsweise berufsmäßig mit vielen anderen Menschen in Kontakt sind) und erhalten daher vorrangig einen Impftermin."

Vorliegend hat allerdings die Antwort auf die zulässige Frage nach dem Arbeitgeber letztlich dazu geführt, dass der bereits zugeteilte Impftermin im Impfzentrum storniert worden ist. Dieser Entscheidung vor Ort liegt jedoch keine datenschutzrechtlich relevante Verarbeitung zugrunde, sondern eine Anwendung bzw. Auslegung des Fachrechts (das heißt insbesondere der fachrechtlichen Vorgaben zur Priorisierung der Corona-Schutzimpfungen). Deshalb habe ich den Sachverhalt auch nicht hinsichtlich der weiteren rein fachrechtlichen Aspekte überprüft, etwa der Frage, ob zum damaligen Zeitpunkt Tatsachen vorgelegen haben, die bereits für sich genommen und damit unabhängig vom Beschäftigungsverhältnis die Voraussetzungen für eine hohe Priorisierung der betroffenen Person im Sinne des § 3 Abs. 1 CoronaImpfV 2/2021 erfüllten.

Im Ergebnis stellt die vom Impfzentrum vorgenommene Erhebung von Informationen über medizinische Einrichtungen als Arbeitgeber im gegebenen Kontext der Impfpriorisierung keinen Verstoß gegen Datenschutzrecht dar.

7.5. Impfzentrum: Aufbewahrung von Dokumentationen zur Impfberechtigung

Zu Beginn der Impfkampagne gegen das Coronavirus SARS-CoV-2 war der Zugang zu den Impfungen reglementiert. Gemäß der bis zum 6. Juni 2021 geltenden Coronavirus-Impfverordnung vom 31. März 2021 (BAnz. AT vom 1. April 2021), mussten anspruchsberechtigte Personen vor der Schutzimpfung einen Nachweis der Anspruchsberechtigung und zur Prüfung der Priorisierung vorlegen.

Ich wurde im Rahmen eines Beschwerdeverfahrens darauf aufmerksam, dass ein Impfzentrum sich die Unterlagen nicht nur vorlegen ließ, sondern teilweise auch die Originale einbehielt oder Kopien anfertigte. Das Impfzentrum hatte angenommen, dass die Nachweise ähnlich einem Beweismittel aufzubewahren seien.

Mein Einwand, dass nach Art. 5 Abs. 1 Buchst. c DSGVO der Grundsatz der Datenminimierung zu beachten sei und daher nach Vorlage der entsprechenden Nachweise ein interner Aktenvermerk ausreichend sein sollte, wurde kooperativ aufgenommen und umgesetzt.

Art. 5 DSGVO

(1) Personenbezogene Daten müssen

[...]

  1. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ("Datenminimierung");

[...].

Dies führte im Ergebnis dazu, dass ab diesem Zeitpunkt die Verarbeitung nach dem Grundsatz der Datensparsamkeit durchgeführt wurde sowie auch 60.000 Impfakten im Nachhinein bereinigt und die nicht erforderlichen Unterlagen datenschutzgerecht vernichtet wurden.

7.6. Forschungsstudie ohne Einwilligung

Im Rahmen einer anerkannten medizinischen Screeningstudie zur Prostatakrebsvorsorge wurden personenbezogene Daten von etwa 45.000 Probanden für eine Zusatzstudie (Sexualstudie) verarbeitet, ohne dass hierfür eine ausreichende Einwilligung der betroffenen Personen vorlag. Im Ergebnis führte dies zu einer förmlichen Beanstandung.

Die Einwilligung zur Datenverarbeitung in einem Forschungsvorhaben unterliegt bestimmten Anforderungen. Hierzu zählt neben der Freiwilligkeit insbesondere auch die Transparenz der Verarbeitung. Der Proband muss anhand der ihm gegebenen Informationen erkennen können, in welche Datenverarbeitung er einwilligt und zu welchem Zweck seine Daten verarbeitet werden sollen.

In den Fragebögen befand sich jedoch ein erheblicher Teil an zusätzlichen, sehr intimen Fragen sexueller Natur, die für die Basisstudie nicht relevant waren, sondern einer darüber hinausgehenden Sexualstudie dienten.

Diese äußerst sensiblen Daten wurden erhoben, ohne dass die für die Basisstudie eingeholte Einwilligung ergänzt worden war und den weitergehenden Zweck der Sexualstudie umfasste.

Ich stellte daher fest, dass sowohl die Erhebung als auch die weitere Verwendung der zusätzlichen Daten für die Sexualstudie, welche im Rahmen der Basisstudie erhoben wurden, mangels wirksamer Einwilligungen unzulässig waren. Daher hatte die Forschungseinrichtung gegen datenschutzrechtliche Vorgaben gemäß Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 9 Abs. 1 und Art. 9 Abs. 2 Buchst. a DSGVO verstoßen.

Der Datenschutzverstoß wog umso schwerer, da die betroffenen Personen im Glauben waren, für einen rein medizinischen Zweck ihre Daten freiwillig zur Verfügung zu stellen.

Da es sich um einen Datenschutzverstoß von erheblichem Gewicht handelte, habe ich eine Beanstandung ausgesprochen und hierüber die Rechtsaufsichtsbehörde der Forschungseinrichtung verständigt.

Im Ergebnis löschte die Forschungseinrichtung sämtliche im Zusammenhang mit der Zusatzstudie erhobenen Daten und zog die Veröffentlichungen zur Sexualstudie zurück.

7.7. Übermittlung von Daten zu COVID-19-Infektionsketten an Berufsgenossenschaften

Angehörige von Heil- und Pflegeberufen haben den Verdacht einer Erkrankung, die Erkrankung sowie den Tod in Bezug auf die Krankheit COVID-19 an die Gesundheitsämter zu melden (siehe § 6 Abs. 1 Satz 1 Nr. 1 Buchst. t Infektionsschutzgesetz - IfSG). Die Gesundheitsämter sollen dadurch in die Lage versetzt werden, die zur Überwachung und Eindämmung der Krankheit notwendigen Maßnahmen zu ergreifen. Hierzu gehört es beispielsweise, eine sogenannte Infektionskette - also die Quelle einer Infektion, deren Übertragungsweg sowie mögliche weitere infizierte Personen (Kontaktpersonen) - zu ermitteln.

Wenn sich eine Person in ihrem beruflichen Umfeld infiziert hat, so kann dies grundsätzlich einen Versicherungsfall der gesetzlichen Unfallversicherung darstellen. Um prüfen zu können, ob die Voraussetzungen für eine Leistungspflicht der gesetzlichen Unfallversicherung bestehen, wurden in einigen Fällen die Gesundheitsämter von den insoweit zuständigen Berufsgenossenschaften gebeten, dort vorhandene Erkenntnisse, insbesondere aus dem Kontext einer Kontaktnachverfolgung, zu übermitteln. Mehrere Gesundheitsämter haben mich gefragt, ob sie einem solchen Übermittlungsersuchen nachkommen dürfen oder gar nachkommen müssen.

Für die Beantwortung dieser Frage ist zunächst zu beachten, dass Anfragen von Berufsgenossenschaften zu etwaigen Infektionsketten nicht nur Daten der versicherten Person, sondern auch Daten Dritter betreffen. Das Gesundheitsamt hat insoweit zu prüfen, wann eine Rechtsgrundlage für eine Datenübermittlung eingreift.

7.7.1. Gesetzliche Befugnis

Personenbezogene Daten dürfen gemäß Art. 6 Abs. 1 DSGVO nur verarbeitet, also auch übermittelt werden (vgl. Art. 4 Nr. 2 DSGVO), wenn es dafür eine Rechtsgrundlage gibt. Zu denken wäre insbesondere an Art. 6 Abs. 1 UAbs. 1 Buchst. c oder e DSGVO in Verbindung mit einer nationalen Befugnisnorm. Des Weiteren dürften die seitens des Gesundheitsamtes verarbeiteten Daten überwiegend Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO darstellen, die gemäß Art. 9 Abs. 1 DSGVO grundsätzlich einem strikten Verarbeitungsverbot unterliegen und daher nur ausnahmsweise (Art. 9 Abs. 2 DSGVO) verarbeitet werden dürfen. Zu beachten ist ferner, dass diese Daten ursprünglich allein zum Zweck der Verhütung und Bekämpfung der COVID-19-Erkrankung durch das Gesundheitsamt erhoben worden sind.

Bei einer etwaigen Übermittlung an eine Berufsgenossenschaft würde es sich folglich um eine zweckändernde Weiterverarbeitung handeln, für die das Gesundheitsamt eine ausdrückliche Rechtsgrundlage benötigt. Eine allein für die Berufsgenossenschaft im Recht der gesetzlichen Unfallversicherung vorhandene Verarbeitungs-, insbesondere Erhebungsbefugnis reicht hier nicht aus. Denn nach dem im Datenschutzrecht relevanten sogenannten Doppeltürmodell müssen sowohl die übermittelnde Behörde als auch die empfangende Stelle sich jeweils auf eine Rechtsgrundlage für ihre Datenverarbeitung stützen können. Außerdem muss eine Zweckänderungserlaubnis bestehen.

So kann eine Übermittlung von Gesundheitsdaten grundsätzlich nach Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 UAbs. 1 Buchst. b, Art. 9 Abs. 2 Buchst. h, Abs. 3 DSGVO zulässig sein. Hiernach ist die Verarbeitung unter anderem für Zwecke der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedsstaats erlaubt. Ein solches nationales Gesetz ist in Bayern das Gesundheitsdienst- und Verbraucherschutzgesetz (GDVG). Insbesondere bei den Vorschriften der Art. 30 und 31 GDVG handelt es sich um sogenannte bereichsspezifische Rechtsnormen, die gegenüber den allgemeinen Bestimmungen des Bayerischen Datenschutzgesetzes vorrangig sind.

Dem Gesundheitsdienst- und Verbraucherschutzgesetz lässt sich allerdings derzeit keine Rechtsvorschrift entnehmen, die eine Datenübermittlung zugunsten der gesetzlichen Unfallversicherung ausdrücklich gestattet; dies gilt ebenso für das Infektionsschutzgesetz und das Siebte Buch Sozialgesetzbuch - Gesetzliche Unfallversicherung -.

Die Berufsgenossenschaften führten insoweit die Vorschriften über die Amtshilfe (§§ 3 ff. Zehntes Buch Sozialgesetzbuch - Sozialverwaltungsverfahren und Sozialdatenschutz - SGB X) sowie die Vorschrift des § 69 Abs. 1 Nr. 1 SGB X als Rechtsgrundlagen für die Datenübermittlung durch das Gesundheitsamt an. Die allgemeinen Vorschriften über die Amtshilfe stellen allerdings keine datenschutzrechtlichen Befugnisnormen dar. Auch kann die eine Übermittlung von Sozialdaten regelnde Bestimmung des § 69 Abs. 1 Nr. 1 Var. 3 SGB X nicht unmittelbar herangezogen werden. Denn personenbezogene Gesundheitsdaten werden erst dann zu Sozialdaten, wenn sie in den Herrschaftsbereich des Sozialleistungsträgers gelangt sind (siehe die Begriffsbestimmung des § 67 Abs. 2 Satz 1 SGB X).

Sofern es sich bei den beim Gesundheitsamt gespeicherten Informationen auch um Daten im Sinne von § 28a Abs. 1 Nr. 17 IfSG (sogenannte Kontaktdaten) handeln sollte, steht die Vorschrift des § 28a Abs. 4 Satz 6 IfSG einer zweckändernden Verarbeitung sogar ausdrücklich entgegen.

7.7.2. Einwilligung

Ist demnach keine gesetzliche Grundlage für eine Datenübermittlung durch das Gesundheitsamt vorhanden, verbleibt allenfalls die Einholung einer Einwilligung betroffener Personen.

Sofern es sich dabei um Daten der versicherten Person selbst handelt, muss diese in die Übermittlung ausdrücklich einwilligen (Art. 9 Abs. 2 Buchst. a DSGVO). Hinsichtlich der Bedingungen für die Einwilligung möchte ich auf Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 4 Nr. 11 und Art. 7 DSGVO hinweisen. Die Gesundheitsämter müssen die ersuchte Datenübermittlung auf diejenigen Gesundheitsdaten beschränken, die von der Einwilligung der versicherten Person abgedeckt sind.

Bei Daten Dritter muss jeweils deren eigene Einwilligung zusätzlich eingeholt werden (sofern diesbezüglich keine anderweitige Rechtsgrundlage ersichtlich ist), um die Übermittlung von deren Gesundheitsdaten, zum Beispiel im Zusammenhang mit einer eigenen COVID-19-Erkrankung, zu rechtfertigen.

Demnach könnte beispielsweise nach Einholung einer Einwilligungserklärung der versicherten Person der anfragenden Berufsgenossenschaft zwar mitgeteilt werden, dass es sich um eine Ansteckung im Betrieb gehandelt habe; eine Offenlegung - falls überhaupt möglich -, welche Person der konkrete Überträger gewesen ist, wäre dagegen ohne deren eigene Einwilligung nicht zulässig.

Daten im Sinne von § 28a Abs. 1 Nr. 17 IfSG können schon deshalb nicht auf Grundlage einer Einwilligung übermittelt werden, weil die Gesundheitsämter sich damit über das in § 28a Abs. 4 Satz 6 IfSG bestimmte Weitergabeverbot hinwegsetzen würden.

7.7.3. Fazit

Abschließend lässt sich festhalten, dass bei einer etwaigen Datenübermittlung durch die Gesundheitsämter zu berücksichtigen ist, dass unterschiedliche Kategorien von Daten unterschiedlichen rechtlichen Vorgaben unterliegen können. Auch ist besonders darauf zu achten, dass von einem Übermittlungsersuchen nicht nur Daten der versicherten Person, sondern auch Daten Dritter betroffen sein können.

Zusammenfassend ist derzeit keine gesetzliche Befugnis erkennbar, die es den Gesundheitsämtern erlaubt, die erbetenen Daten an Berufsgenossenschaften zu übermitteln. Eine solche Datenübermittlung kann allenfalls auf eine datenschutzrechtliche Einwilligungserklärung der jeweils betroffenen Personen gestützt werden, wobei die Einwilligung nicht die vom Gesetzgeber im Zusammenhang mit der Kontaktdatenerfassung bewusst gezogenen Verarbeitungsgrenzen überspielen darf.

Im Übrigen empfehle ich, vor einer Datenübermittlung an die anfragende Berufsgenossenschaft die behördliche Datenschutzbeauftragte oder den behördlichen Datenschutzbeauftragten des Gesundheitsamts zu beteiligen.

7.8. Unterhaltsvorschussleistungen: Datenverarbeitungen durch das Jugendamt und das Landesamt für Finanzen

Im Zusammenhang mit der Gewährung von Unterhaltsvorschussleistungen für Kinder alleinstehender Mütter und Väter auf Grundlage des Unterhaltsvorschussgesetzes (UhVorschG) war ich mehrfach mit der Frage beschäftigt, ob das jeweils zuständige Jugendamt und das Landesamt für Finanzen über ausreichende Verarbeitungsbefugnisse verfügen.

Gegenstand meiner Prüfung waren vor allem Datenübermittlungen des Jugendamts im Zusammenhang mit der Auszahlung der Hilfeleistung sowie mit einer gerichtlichen Vertretung des Freistaates Bayern bei der Durchsetzung von Ansprüchen nach § 7 UhVorschG.

In der Verwaltungspraxis bewilligen zwar die Jugendämter Unterhaltsvorschussleistungen, ausgezahlt werden diese jedoch durch die beim Landesamt für Finanzen eingerichtete Staatsoberkasse Bayern. Dies setzt eine Übermittlung der insoweit notwendigen Daten durch das Jugendamt voraus. Ähnlich verhält es sich auch in Erstattungs- beziehungsweise Regressverfahren. Diese führt das Landesamt für Finanzen (gerichtlich) durch, welches die hierfür benötigten Daten wiederum von den Jugendämtern erhält.

Ich bezweifelte, dass es für die jeweiligen Datenübermittlungen durch die Jugendämter eine Rechtsgrundlage gibt. Die Prüfung erfolgte anhand der Regelungen im Sozialgesetzbuch, da das Unterhaltsvorschussgesetz gemäß § 68 Nr. 14 Erstes Buch Sozialgesetzbuch - Allgemeiner Teil - als ein besonderer Teil dieses Gesetzbuches gilt. Dies hat zur Folge, dass vor allem die allgemeinen leistungsbereichsübergreifenden Regelungen des Sozialgesetzbuches - im Wesentlichen seines Ersten und Zehnten Buches - auch in diesem Bereich Anwendung finden. Problematisch war dabei eine bayerische Regelung im Gesetz zur Ausführung der Sozialgesetze (AGSG), wonach die Jugendämter in Bayern für den Vollzug des Unterhaltsvorschussgesetzes für zuständig erklärt wurden. Der Wortlaut dieser Vorschrift war meines Erachtens dahingehend zu verstehen, dass nur die Jugendämter - nicht also die Staatsoberkasse - für die Gewährung von Unterhaltsvorschussleistungen, das heißt von der Bewilligung, Auszahlung bis hin zu einer eventuellen Geltendmachung eines Erstattungs- oder Regressanspruchs, zuständig sind.

Da ich die tatsächliche Handhabung in der Praxis, die so wohl auch vom Bundesgesetzgeber gebilligt wird, nachvollziehen konnte, die Rechtslage in Bayern diese Vorgehensweise allerdings nicht hinreichend widerspiegelte, regte ich gegenüber dem Bayerischen Staatsministerium für Familie, Arbeit und Soziales sowie dem Bayerischen Staatsministerium der Finanzen und für Heimat eine Änderung des Gesetzes zur Ausführung der Sozialgesetze an. Die Bayerische Staatsregierung hat diese Anregung aufgegriffen und eine entsprechende Änderung initiiert. Mit dem Gesetz zur Änderung des Bayerischen Kinderbildungs- und -betreuungsgesetzes und des Gesetzes zur Ausführung der Sozialgesetze vom 23. April 2021 wurde nunmehr in Art. 62 AGSG mit einem neuen Satz 3 die bisherige Praxis kodifiziert.

Art. 62 AGSG

Zuständigkeit nach dem Unterhaltsvorschussgesetz

1Die Jugendämter sind zuständig für den Vollzug des Unterhaltsvorschussgesetzes. 2[...] 3Satz 1 gilt jedoch nicht für die Kassenaufgaben nach Art. 79 der Bayerischen Haushaltsordnung mit Ausnahme der für die rechtzeitige und vollständige Entrichtung der Einzahlungen erforderlichen Maßnahmen und für die gerichtliche Vertretung des Freistaates Bayern zur Durchsetzung von Ansprüchen nach § 7 des Unterhaltsvorschussgesetzes.

Nach Satz 1 sind die bayerischen Jugendämter zwar weiterhin für den Vollzug des Unterhaltsvorschussgesetzes zuständig; allerdings nicht für die Kassenaufgaben nach Art. 79 Bayerische Haushaltsordnung und für die Durchsetzung von Ansprüchen nach § 7 UhVorschG, was sich jetzt eindeutig aus Satz 3 ergibt.

Damit erfolgte die von mir gewünschte gesetzliche Klarstellung der Aufgabenverteilung beim Vollzug des Unterhaltsvorschussgesetzes. Die Datenübermittlungsbefugnisse der Jugendämter ergeben sich auf dieser Basis aus dem Zehnten Buch Sozialgesetzbuch - Sozialverwaltungsverfahren und Sozialdatenschutz - (SGB X). In der Gesetzesbegründung ist aufgrund meiner weiteren Anregung der Hinweis aufgenommen worden, dass das Landesamt für Finanzen (einschließlich der Staatsoberkasse Bayern) als Empfänger der Daten von den Jugendämtern die Zweckbindung sowie die Geheimhaltungspflichten nach § 78 SGB X zu beachten hat.

7.9. Datenverarbeitung im Zusammenhang mit Kindeswohlgefährdungen

Im Berichtszeitraum war ich mit der datenschutzrechtlichen Bewertung eines Sachverhaltes befasst, bei dem die Frage der Zulässigkeit einer Datenerhebung von Fotoaufnahmen durch ein Jugendamt zu klären war.

Ein Veterinäramt und ein Jugendamt eines Landratsamtes hatten gemeinsam einen Hausbesuch bei einer Familie durchgeführt. Parallel im Raum standen eine nicht artgerechte Hundehaltung und eine Kindeswohlgefährdung. Nachdem das Jugendamt die Örtlichkeit in Augenschein genommen hatte, nahm es das betroffene Kind sogleich in Obhut. An zwei weiteren Terminen führte das Veterinäramt allein Vor-Ort-Kontrollen durch, um nochmals die Hundehaltung zu überprüfen. Bei allen drei Terminen machte das Veterinäramt Fotoaufnahmen von den räumlichen Gegebenheiten und stellte sie dem Jugendamt auf Nachfrage zur Verfügung.

Das Jugendamt darf zwar im Zuge der Prüfung einer Kindeswohlgefährdung personenbezogene Daten des betroffenen Kindes sowie dessen Eltern im erforderlichen Umfang erheben (auch etwa im Rahmen eines Vor-Ort-Termins). Allerdings sieht das Achte Buch Sozialgesetzbuch - Kinder und Jugendhilfe - (SGB VIII) anders als das Tierschutzgesetz (TierSchG) nicht vor, dass Fotoaufnahmen von häuslichen Situationen ohne Einwilligung der betroffenen Personen angefertigt werden dürfen. Dem kommt es gleich, wenn solche Fotos bei einer anderen Stelle angefordert werden.

Eine Rechtsgrundlage für das Anfertigen von Fotoaufnahmen durch das Veterinäramt findet sich in § 16 Abs. 3 Satz 1 Nr. 2 Buchst. b TierSchG:

§ 16 TierSchG

(3) Personen, die von der zuständigen Behörde beauftragt sind, sowie in ihrer Begleitung befindliche Sachverständige der Europäischen Kommission und anderer Mitgliedstaaten dürfen zum Zwecke der Aufsicht über die in Absatz 1 bezeichneten Personen und Einrichtungen und im Rahmen des Absatzes 2

[...]

  1. zur Verhütung dringender Gefahren für die öffentliche Sicherheit und Ordnung
  2. die in Nummer 1 bezeichneten Grundstücke, Räume, Gebäude und Transportmittel außerhalb der dort genannten Zeiten,
  3. Wohnräume des Auskunftspflichtigen

betreten, besichtigen sowie zur Dokumentation Bildaufzeichnungen, mit Ausnahme von Bildaufzeichnungen von Personen, anfertigen; das Grundrecht der Unverletzlichkeit der Wohnung (Artikel 13 des Grundgesetzes) wird insoweit eingeschränkt,

[...].

Diese Vorschrift kann allerdings eine Datenerhebung durch das Jugendamt aufgrund der damit verbundenen Beeinträchtigung der Unverletzlichkeit der Wohnung nicht legitimieren. Ich konnte zwar die Zielrichtung des Vorgehens des Jugendamtes - auch unter Berücksichtigung der gesetzlichen Wertungen hinsichtlich in Raum stehender Kindeswohlgefährdungen - grundsätzlich nachvollziehen. Allerdings konnte ich bei meiner Bewertung nicht außer Acht lassen, dass dem Jugendamt nur eine Hilfe- und Schutzfunktion und nicht die Rolle einer Ermittlungsbehörde - mit Beweissicherung, etwa durch Fotoaufnahmen - zukommt. Auch § 8a Abs. 1 Satz 2 SGB VIII spricht derzeit unter anderem nur davon, sich "einen unmittelbaren Eindruck von dem Kind und von seiner persönlichen Umgebung zu verschaffen".

Das Anfertigen und somit Erheben von Fotoaufnahmen - auch von der häuslichen Situation eines Kindes - könnte folglich allenfalls auf Basis von Einwilligungen der betroffenen Personen erfolgen; dies gilt auch für die Erhebung solcher Fotoaufnahmen von einer anderen Stelle. Die Bedingungen für die Einwilligung sind Art. 7 DSGVO zu entnehmen. Ohnehin kommt die Einwilligung als Legitimationsgrundlage für Verarbeitungen im öffentlichen Sektor nur ausnahmsweise in Betracht, wenn sie nicht in einem Spannungsverhältnis zum Vorbehalt des Gesetzes steht.

Bei dem von mir bewerteten Sachverhalt habe ich nach Ausübung des mir zustehenden Ermessens letztendlich doch von datenschutzaufsichtlichen Maßnahmen abgesehen. Denn das Jugendamt hatte grundsätzlich die Befugnis, eine Inaugenscheinnahme der Wohnung vorzunehmen. Aufgrund dessen wog die Beeinträchtigung durch das Erheben von Bildaufnahmen der Wohnung weniger schwer als in anderen Fallkonstellationen, in denen eine Behörde überhaupt keine Befugnis zur Wohnungsbesichtigung hat.

Da jedoch bei Vergleich der oben genannten tierschutzrechtlichen Regelung mit den Datenverarbeitungsbefugnissen im Achten Buch Sozialgesetzbuch ein gewisser Wertungswiderspruch erkennbar wird, habe ich das Bayerische Staatsministerium für Familie, Arbeit und Soziales gewandt und auf die Problematik hingewiesen.

7.10. Mitteilungspflichten des Medizinischen Dienstes bei Behandlungsfehlerbegutachtungen

Bereits mehrmals habe ich mich mit den Mitteilungspflichten des Medizinischen Dienstes Bayern gemäß § 277 Fünftes Buch Sozialgesetzbuch - Gesetzliche Krankenversicherung - (SGB V) befasst (siehe meine Ausführungen im 25. Tätigkeitsbericht 2012 unter Nr. 8.13 und im 18. Tätigkeitsbericht 1998 unter Nr. 4.8.1). Dieses Mal lag der Schwerpunkt meiner Prüfung bei den Mitteilungspflichten des Medizinischen Dienstes gegenüber den Leistungserbringern und krankenversicherten Personen, konkret im Zusammenhang mit der Begutachtung von Behandlungsfehlern.

In der dafür maßgeblichen, bis zum 20. Juli 2021 geltenden Vorschrift in § 277 Abs. 1 Satz 1 SGB V-alt hieß es:

"1Der Medizinische Dienst hat dem an der vertragsärztlichen Versorgung teilnehmenden Arzt, sonstigen Leistungserbringern, über deren Leistungen er eine gutachtliche Stellungnahme abgegeben hat, und der Krankenkasse das Ergebnis der Begutachtung und der Krankenkasse die erforderlichen Angaben über den Befund mitzuteilen."

7.10.1. Mitteilungspflicht gegenüber Leistungserbringerinnenund Leistungserbringern

Nach § 277 Abs. 1 Satz 1 SGB V-alt war der Medizinische Dienst verpflichtet, Leistungserbringerinnen oder Leistungserbringern, über deren Leistungen er eine gutachtliche Stellungnahme abgegeben hat, das Ergebnis seiner Begutachtung mitzuteilen. Ich habe diesbezüglich die Auffassung vertreten, dass diese Vorschrift auch in Fällen zur Anwendung kommen solle, in denen der Medizinische Dienst beauftragt ist, etwaige von Ärztinnen und Ärzten verursachte Behandlungsfehler zu begutachten.

§ 277 SGB V knüpft nämlich, bereits aus gesetzessystematischen Gründen, an die Aufgabenzuweisung des Medizinischen Dienstes in § 275 SGB V an. Nach § 275 Abs. 1 Satz 1 Nr. 1 SGB V sind die Krankenkassen in den gesetzlich bestimmten Fällen, oder wenn es nach Art, Schwere, Dauer oder Häufigkeit der Erkrankung oder nach dem Krankheitsverlauf erforderlich ist, verpflichtet, bei Erbringung von Leistungen, insbesondere zur Prüfung von Voraussetzungen sowie Art und Umfang der Leistung, eine gutachtliche Stellungnahme des Medizinischen Dienstes einzuholen. Unter Art und Umfang der Leistung ist meines Erachtens auch die Prüfung von Regressansprüchen der Krankenkasse zu verstehen. Bei diesen Regressansprüchen handelt es sich um Schadensersatzansprüche, die auf die Krankenkasse gemäß § 116 Zehntes Buch Sozialgesetzbuch - Sozialverwaltungsverfahren und Sozialdatenschutz - (SGB X) übergegangen sind. Somit kommt bei einer Beauftragung des Medizinischen Dienstes durch die Krankenkasse zur Überprüfung eines Behandlungsfehlers zum Zweck der Geltendmachung von Regressansprüchen § 275 Abs. 1 Satz 1 Nr. 1 SGB V und infolgedessen § 277 Abs. 1 SGB V zur Anwendung.

Für die von Versicherten (allein) geltend gemachten Schadensersatzansprüche wegen Behandlungsfehlern, die nicht auf die jeweilige Krankenkasse gemäß § 116 SGB X übergegangen sind, kann eine Beauftragung des Medizinischen Dienstes durch die Krankenkasse (ergänzend) nach § 275 Abs. 3 Satz 1 Nr. 4, § 66 SGB V erfolgen. In diesen Fällen wird dementsprechend die Mitteilungspflicht gemäß § 277 Abs. 1 SGB V ausgelöst.

Der Medizinische Dienst Bayern sowie das Bayerische Staatsministerium für Gesundheit und Pflege teilten meine Rechtsauffassung. Eine meiner Zuständigkeit unterliegende Krankenkasse war dagegen anderer Ansicht. Sie führte an, dass die Mitteilung gegenüber beteiligten und insbesondere eines Behandlungsfehlers beschuldigten Leistungserbringerinnen oder Leistungserbringern der Zielsetzung des Gesetzes widerspreche. Eine Mitteilung an die Leistungserbringerin oder den Leistungserbringer wäre bei einer Leistungsbegutachtung sinnvoll; bei der Begutachtung eines Behandlungsfehlers würde eine solche jedoch zu einer Schwächung der Verhandlungsposition der krankenversicherten Personen (in den Fällen des § 66 SGB V) sowie der Krankenkassen (in den Fällen des § 116 SGB X) führen.

Diese Befürchtung war zwar grundsätzlich plausibel. Gleichwohl war ich der Meinung, dass eine Mitteilung der Prüfergebnisse zu mehr Transparenz für den betroffenen Leistungserbringer führen und deshalb eher zu einem für alle Beteiligten ausgewogenen Verfahren beitragen kann. Schließlich geht es bei der betreffenden Begutachtung durch den Medizinischen Dienst um die von der Leistungserbringerin oder dem Leistungserbringer selbst erbrachte und gegebenenfalls von ihr oder ihm verschuldete Schlechtleistung. Vor diesem Hintergrund sollte sie oder er dann auch die Bewertung ihrer oder seiner Leistung durch den Medizinischen Dienst unmittelbar erfahren. Diese Vorgehensweise stand im Einklang mit den allgemeinen Vorgaben der Datenschutz-Grundverordnung zur Transparenz, insbesondere den Art. 12 ff. DSGVO.

Im Ergebnis bestand daher für den Medizinischen Dienst auch bei einem etwaigen Behandlungsfehler die Pflicht, der Leistungserbringerin oder dem Leistungserbringer das Prüfungsergebnis mitzuteilen.

Der Gesetzgeber hat auf diese Situation reagiert und mit dem Gesetz zur Weiterentwicklung der Gesundheitsversorgung vom 11. Juli 2021 § 277 Abs. 1 Satz 1 bis 3 SGB V neu gefasst:

"1Der Medizinische Dienst hat der Krankenkasse das Ergebnis der Begutachtung und die wesentlichen Gründe für dieses Ergebnis mitzuteilen. 2Der Medizinische Dienst ist befugt und in dem Fall, dass das Ergebnis seiner Begutachtung von der Verordnung, der Einordnung der erbrachten Leistung als Leistung der gesetzlichen Krankenversicherung oder der Abrechnung der Leistung mit der Krankenkasse durch den Leistungserbringer abweicht, verpflichtet, diesem Leistungserbringer das Ergebnis seiner Begutachtung mitzuteilen; dies gilt bei Prüfungen nach § 275 Absatz 3 Satz 1 Nummer 4 nur, wenn die betroffenen Versicherten in die Übermittlung an den Leistungserbringer eingewilligt haben. 3Fordern Leistungserbringer nach der Mitteilung nach Satz 2 erster Halbsatz mit Einwilligung der Versicherten die wesentlichen Gründe für das Ergebnis der Begutachtung durch den Medizinischen Dienst an, ist der Medizinische Dienst zur Übermittlung dieser Gründe verpflichtet."

Diese Gesetzesänderung führt im Ergebnis dazu, dass der Medizinische Dienst nicht mehr verpflichtet ist, den Leistungserbringern nach Begutachtung eines etwaigen Behandlungsfehlers das Prüfungsergebnis mitzuteilen. Eine grundsätzliche Befugnis zur Weitergabe dieses Ergebnisses dürfte allerdings dem Wortlaut von § 277 Abs. 1 Satz 2 Halbsatz 1 SGB V weiterhin zu entnehmen sein. Bei Prüfungen nach § 275 Abs. 3 Satz 1 Nr. 4 SGB V bedarf es jedoch vor einer solchen freiwilligen Übermittlung an die Leistungserbringerin oder den Leistungserbringer der Einwilligung der betroffenen versicherten Person (§ 277 Abs. 1 Satz 2 Halbsatz 2 SGB V). Die Information darüber, ob eine solche Einwilligung vorliegt, hat die Krankenkasse dem Medizinischen Dienst im Rahmen der Beauftragung mitzuteilen, da es sich um eine für die Begutachtung erforderliche Angabe handelt (§ 276 Abs. 1 Satz 1 SGB V). Falls eine Leistungserbringerin oder ein Leistungserbringer mit Einwilligung der versicherten Person die wesentlichen Gründe für das Ergebnis der Begutachtung durch den Medizinischen Dienst anfordern sollte, ist der Medizinische Dienst zur Übermittlung dieser Gründe dann auch weiterhin verpflichtet (siehe § 277 Abs. 1 Satz 3 SGB V).

7.10.2. Mitteilungspflicht gegenüber Versicherten

Darüber hinaus wurde ich gefragt, ob der Medizinische Dienst in Bayern verpflichtet ist, einer versicherten Person das über einen möglicherweise zu ihren Lasten begangenen Behandlungsfehler erstellte Gutachten direkt zu übersenden. Eine solche Pflicht bestand zunächst nicht. Dem Wortlaut von § 277 Abs. 1 SGB V-alt konnte ich eine solche Pflicht zur Übersendung zumindest nicht entnehmen.

Dies bedeutete aber nicht, dass sich die versicherte Person nur an die eigene Krankenkasse, die behandelnde Ärztin oder den behandelnden Arzt wenden musste, um das über ihre Person erstellte Gutachten zu erhalten. Denn eine versicherte Person hatte ebenfalls gegenüber dem Medizinischen Dienst Auskunfts- und Akteneinsichtsrechte (zum Beispiel § 276 Abs. 3 SGB V).

Inzwischen enthält § 277 Abs. 1 Satz 5 SGB V eine ausdrückliche Regelung, wonach der Medizinische Dienst verpflichtet ist, den versicherten Personen zumindest die sie betreffenden Gutachten nach § 275 Abs. 3 Satz 1 Nr. 4 SGB V in vollständiger Form zu übermitteln. Bei Begutachtungen des Medizinischen Dienstes zu Behandlungsfehlervorwürfen haben diese Personen häufig ein nachvollziehbares Interesse, das vollständige Gutachten zu erhalten, um dies in die Prüfung der weiteren Vorgehensweise einzubeziehen. Um den Interessen der versicherten Personen ausreichend Rechnung zu tragen, haben diese daher nunmehr einen direkten Anspruch auf Übermittlung dieses Gutachtens durch den Medizinischen Dienst.

7.11. Abfragen beim Ausländerzentralregister im Sozialbereich

Das Ausländerzentralregister ist eine vom Bundesverwaltungsamt im Auftrag des Bundesamtes für Migration und Flüchtlinge betriebene Datenbank, in der personenbezogene Daten von Ausländerinnen und Ausländern gespeichert sind. Mit rund 26 Millionen Datensätzen ist das Ausländerzentralregister eines der großen automatisierten Register der öffentlichen Verwaltung in der Bundesrepublik Deutschland. Das Ausländerzentralregister dient auch in Bayern vielen Behörden als Informationsquelle und unterstützt diese bei vielfältigen Aufgaben (beispielsweise im asylrechtlichen Bereich).

Im zurückliegenden Berichtszeitraum habe ich eine anlasslose Prüfung in Bezug auf Abfragen beim Ausländerzentralregister eingeleitet. Hiervon betroffen waren verschiedene Stellen aus dem Sozialbereich (insbesondere Jobcenter, Jugendämter, Sozialämter).

Die bei der Prüfung gewonnenen Erkenntnisse haben mich insbesondere zu den folgenden Hinweisen für die Nutzung des Ausländerzentralregisters veranlasst:

  • Abfragen beim Ausländerzentralregister finden in unterschiedlichen Bereichen in der Sozialverwaltung statt. Begründet wurden diese regelmäßig mit der Überprüfung oder Vervollständigung von Angaben sowie der Klärung etwaiger Leistungsberechtigungen.

    Diesbezüglich ist zu beachten, dass im (Sozial-)Datenschutzrecht der Grundsatz besteht, dass Daten zunächst bei der betroffenen Person selbst zu erheben sind (sog. Grundsatz der Ersterhebung). Deshalb sind die für die Sachbearbeitung notwendigen Daten bei der betroffenen Person grundsätzlich selbst zu erheben.

    Eine Datenerhebung bei Dritten, also auch der Abruf beim Ausländerzentralregister, ist dagegen nur ausnahmsweise zulässig (vgl. zum Beispiel § 67a Abs. 2 Satz 2 Zehntes Buch Sozialgesetzbuch - Sozialverwaltungsverfahren und Sozialdatenschutz - SGB X). Deshalb ist bei einem Abruf beim Ausländerzentralregister im Einzelfall immer zu prüfen, ob eine Befugnis vorhanden ist, die eine damit verbundene Drittdatenerhebung ausdrücklich gestattet.

  • Des Weiteren ist mir einerseits dargelegt worden, dass zwar Abfragen beim Ausländerzentralregister erfolgt seien. Beispielsweise sei der Aufenthaltsstatus eingesehen worden. Allerdings sei anschließend kein Ausdruck in der Akte hinterlegt worden, was ich ausdrücklich begrüßt habe.

    Andererseits ist mir aber auch erläutert worden, dass unter gewissen Umständen zur weiteren Bearbeitung Ausdrucke aus dem Ausländerzentralregister zur Akte genommen werden müssten. Dabei gilt es zu beachten, dass die auf den Ausdrucken vorhandenen, für die Aufgabenerfüllung nicht erforderlichen Daten zu schwärzen oder in anderer Form unkenntlich zu machen sind. Denn es dürfen nur die Daten erhoben und zur Akte in Papier- oder elektronischer Form genommen werden, die zur konkreten Aufgabenerfüllung im Einzelfall erforderlich sind. Eine Datensammlung auf Vorrat ist dagegen nicht zulässig.

  • Darüber hinaus ist mir hinsichtlich der Verwendung von Fachverfahren (wie beispielsweise Prosoz) mitgeteilt worden, dass sich dabei das Problem stellen würde, dass darin Datenfelder (zum Beispiel zur Religionszugehörigkeit) vorgesehen sind, die zwar von der Sachbearbeitung nach vorheriger Abfrage aus dem Ausländerzentralregister der Vollständigkeit halber ausgefüllt worden seien, die jedoch für die Aufgabenerfüllung nicht notwendig seien.

    Die sich im Einsatz befindlichen Fachverfahren sind daher einer kritischen Prüfung hinsichtlich der Erforderlichkeit der Datenfelder zu unterziehen und die einsetzenden Stellen müssten sich gegebenenfalls mit dem Verfahrenshersteller bezüglich einer Möglichkeit zur Löschung von Datenfeldern in Verbindung setzen. Falls eine Anpassung des Fachverfahrens nicht möglich sein sollte, sind die Sachbearbeitungen dahingehend zu sensibilisieren, dass nur die für die Aufgabenerfüllung erforderlichen Daten beim Ausländerzentralregister erfragt und anschließend in das Fachverfahren eingetragen werden dürfen; gegebenenfalls verbleiben dann gewisse Datenfelder ohne Inhalt.

  • In Bezug auf meine Nachfrage nach Erfüllung der Informationspflichten im Sinne von Art. 13 f. DSGVO habe ich die Rückmeldung erhalten, dass Informationen bislang (grundlos) unterblieben seien.

    Im Zuge der Erfüllung der Informationspflichten ist - falls keine diesbezügliche Ausnahmevorschrift, beispielsweise Art. 14 Abs. 5 Buchst. a DSGVO, eingreifen sollte - sorgfältig zu prüfen, ob den Vorgaben der Datenschutz-Grundverordnung nachgekommen wird. Dabei sollte im Rahmen der Erfüllung der Informationspflichten die Abfrage beim Ausländerzentralregister als Möglichkeit, Daten bei Dritten zu erheben, ausdrücklich benannt sein.

    Im Einzelfall kann auch ein Ausnahmetatbestand gegeben sein, wonach Informationen unterbleiben dürfen. Dieser Umstand ist auf Art. 23 DSGVO zurückzuführen, der den Mitgliedstaaten unter anderem erlaubt, das Recht einer betroffenen Person auf Informationserteilung einzuschränken. Hierfür bedarf es jedoch einer gesetzlichen Regelung. Eine solche findet sich zum Beispiel im Zehnten Buch Sozialgesetzbuch. Danach kann eine Information bei einer Datenerhebung bei Dritten unterbleiben, soweit die Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten geheim gehalten werden müssen und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss (§ 82a Abs. 1 Nr. 2 SGB X). Der Verantwortliche hat allerdings schriftlich festzuhalten, aus welchen Gründen er von einer Information abgesehen hat.

    Falls ein solcher Ausnahmetatbestand greifen sollte, sind eine sorgfältige Prüfung der dazugehörigen Voraussetzungen sowie eine entsprechende (interne) Dokumentation vorzunehmen.

Diese Hinweise sollten von allen Sozialbehörden, die die Abfragemöglichkeit beim Ausländerzentralregister nutzen, beachtet werden.

  1. Bayerisches Staatsministerium für Gesundheit und Pflege, Dokumentationshilfe für Einrichtungen bzw. Übermittlungsbogen an das zuständige Gesundheitsamt, Internet: https://www.lgl.bayern.de/gesundheit/praevention/impfen/masernschutzgesetz.htm (externer Link). [Zurück]
  2. Vgl. Bundestags-Drucksache 19/13452, S. 28 zu § 20 Abs. 8 Nr. 3 IfSG. [Zurück]
  3. Siehe Buchner/Petri, in: Kühling/Buchner, Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, 3. Aufl. 2020, Art. 6 DSGVO Rn. 23. [Zurück]
  4. Siehe zur Unfreiwilligkeit in sozialen Abhängigkeitsverhältnissen: Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 7 DSGVO Rn. 64. [Zurück]
  5. Internet: https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/Alten_Pflegeeinrichtung_Empfehlung.html (externer Link). [Zurück]
  6. Siehe Weichert, in: Kühling/Buchner, Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, 2. Aufl. 2018, Art. 9 DSGVO Rn. 1 bis 6. [Zurück]
  7. Siehe beispielsweise Bundesverfassungsgericht, Beschluss vom 24. Januar 2012, 1 BvR 1299/05, BeckRS 2012, 47556, Rn. 123; Bayerischer Verwaltungsgerichtshof, Beschluss vom 20. Mai 2020, 12 B 19.1648, BeckRS 2020, 10398, Rn. 46 f. [Zurück]
  8. Vgl. Bayerisches Oberstes Landesgericht, Beschluss vom 6. August 2020, 1 VA 33/20, BeckRS 2020, 18859, Rn. 43. [Zurück]
  9. Siehe hierzu ausführlich Bayerischer Landesbeauftragter für den Datenschutz, Die Einwilligung nach der Datenschutz-Grundverordnung, Stand 9/2021, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Überblick". [Zurück]
  10. Siehe Art. 62 AGSG in der bis zum 30. April 2021 geltenden Fassung. [Zurück]
  11. Siehe Bundestags-Drucksache 17/8802, S. 11. [Zurück]
  12. Siehe Landtags-Drucksache 18/11716. [Zurück]
  13. GVBl. 2021 S. 196. [Zurück]
  14. Vgl. Landtags-Drucksache 18/11716, S. 9. [Zurück]
  15. So auch Deutsches Institut für Jugendhilfe und Familienrecht, Zulässigkeit von Fotoaufnahmen von Wohnung bzw. Kind gegen den Willen der Eltern zur Dokumentation des Vorgehens bei Kindeswohlgefährdungen?, Rechtsgutachten vom 8. Januar 2008, JAmt 2008, S. 23 f. [Zurück]
  16. Nähere Ausführungen dazu bei Bayerischer Landesbeauftragter für den Datenschutz, Die Einwilligung nach der Datenschutz-Grundverordnung, Stand 10/2018, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Orientierungs- und Praxishilfen - Einwilligung". [Zurück]
  17. Neue Bezeichnung durch das MDK-Reformgesetz vom 14. Dezember 2019, BGBl. I S. 2789 ff. - vormals: Medizinischer Dienst der Krankenversicherung. [Zurück]
  18. So im Ergebnis auch Sichert/Seifert: in Becker/Kingreen, SGB V, Gesetzliche Krankenversicherung, 7. Aufl. 2020, § 275 SGB V Rn. 9; Nebendahl in: Spickhoff, Medizinrecht, 3. Aufl. 2018, § 275 SGB V Rn. 6. [Zurück]
  19. Beispielsweise die Geltendmachung eines Anspruchs auf Schmerzensgeld. [Zurück]
  20. § 275 Abs. 3 Satz 1 Nr. 4 SGB V hat wohl gegenüber § 275 Abs. 1 Satz 1 Nr. 1 SGB V nur klarstellende Funktion, siehe Sichert/Seifert: in Becker/Kingreen, SGB V, Gesetzliche Krankenversicherung, 7. Aufl. 2020, § 275 SGB V Rn. 9; Nebendahl in: Spickhoff, Medizinrecht, 3. Aufl. 2018 § 275 SGB V, Rn. 6. [Zurück]
  21. BGBl. I S. 2754 ff. [Zurück]
  22. Siehe Bundesrats-Drucksache 12/21, S. 127; Bundestags-Drucksache 19/26822, S. 112. [Zurück]
  23. Siehe Bundesrats-Drucksache 12/21, S. 127; Bundestags-Drucksache 19/26822, S. 112. [Zurück]
  24. Bundesverwaltungsamt, Aufgaben von A-Z, Ausländerzentralregister, Internet: https://www.bva.bund.de/DE/Das-BVA/Aufgaben/A/Auslaenderzentralregister/azr_node.html (externer Link). [Zurück]
  25. Siehe ausführlich Bayerischer Landesbeauftragter für den Datenschutz, Der Sozialdatenschutz unter Geltung der Datenschutz-Grundverordnung, Stand 3/2021, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Einzelthemen". [Zurück]