Seit einer Woche stellen Apotheken digitale Impfzertifikate aus. Unter anderem eine Frage sorgte für Verunsicherung: Was genau darf die Apotheke dokumentieren, um nachweisen zu können, dass sie ihren gesetzlich aufgegebenen Prüfpflichten hinreichend nachgekommen ist? DAZ.online hat daraufhin bei Datenschutzbehörden und dem Bundesgesundheitsministerium nachgehakt – die Antworten zeigen: Hier gibt es einen gewissen Interpretationsspielraum. Die ABDA hat ihre Handlungshilfe in diesem Punkt derweil aktualisiert und konkretisiert.
In der vergangenen Woche zeigte sich: Zur Frage möglicher Dokumentation bei der Ausstellung von digitalen Impfzertifikaten gibt es unterschiedliche Standpunkte. Die ABDA schrieb in ihrer ersten Handlungshilfe, dass im Apothekenportal keine Daten und Dokumente gespeichert werden und zwischengespeicherte PDF-Dokumente im Browser zu löschen sind. Die Speicherung sei „nicht vorgesehen und mangels Rechtsgrundlage auch nicht zulässig“. Zudem hieß es: „Da in der Apotheke keine personenbezogenen Daten gespeichert oder aufbewahrt werden und auch nicht digital weiterverarbeitet oder gespeichert werden, ist eine zusätzliche Einverständniserklärung seitens des Kunden nicht erforderlich“. Die Kunden müssten nur über die Verarbeitung personenbezogener Daten in einer Datenschutzinformation beziehungsweise einer Datenschutzerklärung informiert werden – hierfür präsentiert die ABDA auch eine Formulierungshilfe.
Der Freiburger Rechtsanwalt Dr. Morton Douglas verwies gegenüber DAZ.online jedoch darauf, dass die Begründung zur Änderung des § 22 Infektionsschutzgesetz (IfSG) ausdrücklich vorsehe, dass die Durchführung der Überprüfung, die ordnungsgemäße Belehrung des Kunden und die Ausstellung des Impfzertifikats zu dokumentieren sind. „Im Idealfall wird daher der Kunde eine entsprechende Belehrung in der Apotheke unterschreiben, die dann zur Grundlage der Dokumentation gemacht wird.“ Er gesteht der ABDA zwar zu, dass es keine Pflicht der Apotheke zur Speicherung gibt. Doch er meint, die Apotheke wäre durchaus berechtigt, dies zu tun – dem stehe die Datenschutzgrundverordnung nicht entgegen. Die Rechtsgrundlage dafür sieht er direkt in Sicht § 22 Abs. 5 Satz 2 IfSG. Geeignete Maßnahmen zur Vermeidung der Ausstellung eines unrichtigen COVID-19-Impfzertifikats könnten eben auch die Speicherung von Daten umfassen.
Mehr zum Thema
Digitales Impfzertifikat
Ein QR-Code für jede Einzelimpfung, umstrittene Dokumentationspflichten
Digitales Impfzertifikat
Douglas: „Apotheken werden Improvisationskünste zeigen müssen“
Was die Belehrung der Kunden betrifft, verweist Douglas auf die Begründung zur Änderung des § 22 IfSG, wo zu lesen ist: „Die Durchführung der Überprüfung, die ordnungsgemäße Belehrung und die Ausstellung des Impfzertifikats sind zu dokumentieren“. Douglas meint: „Nicht zuletzt aufgrund der unerfreulichen Entwicklung im Zusammenhang mit den Testzentren halten wir es für erforderlich, diesen Passus aus der Gesetzesbegründung ernst zu nehmen“. Die Empfehlung seiner Kanzlei lautet daher, dass sich die Apotheke die ordnungsgemäße Belehrung durch den Kunden bestätigen lässt, was dann aber auch zugleich bedeutet, dass diese Bestätigung eine Verarbeitung personenbezogener Daten in Form der Speicherung derselben beinhaltet.
Der Verweis auf die Begründung klingt nachvollziehbar. Aber es gab durchaus schon Fälle, in denen Gerichte urteilten, der Wortlaut des Gesetzes selbst müsse hinreichend bestimmt sein – ein Verweis auf die Begründung genüge nicht. DAZ.online hat sich daher mit der Frage, was die Apotheke dokumentieren darf, um nachweisen zu können, dass sie ihren Prüfpflichten nach § 22 Abs. 5 Satz 2 IfSG hinreichend nachgekommen ist, an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gewandt. Doch dort hieß es, man könne die Frage nicht beantworten. „Der Bundesgesetzgeber hat nicht klar beschrieben, welchen Umfang die Dokumentation haben soll“, so ein Pressesprecher. Die Frage sei daher an das Bundesgesundheitsministerium (BMG) zu richten. Zudem verwies der BfDI-Sprecher auf die Landesbeauftragten für den Datenschutz, die für Aufsicht der Apotheken zuständig seien.
Quelle: Den ganzen Artikel lesen