≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Corona-Pandemie > Übermittlung von Daten zu COVID-19-Infektionsketten an Berufsgenossenschaften

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 01.10.2021

Aktuelle Kurz-Information 37: Übermittlung von Daten zu COVID-19-Infektionsketten
an Berufsgenossenschaften

Stichwörter: Berufsgenossenschaften - COVID-19-Pandemie - Einwilligung - Gesundheitsdaten - Infektionsketten - Kontaktpersonen | Stand: 1. Oktober 2021

Der Verdacht einer Erkrankung, die Erkrankung sowie der Tod in Bezug auf die Krankheit COVID-19 müssen an die Gesundheitsämter gemeldet werden (siehe § 6 Abs. 1 Satz 1 Nr. 1 Buchst. t Infektionsschutzgesetz - IfSG). Die Gesundheitsämter sollen dadurch in die Lage versetzt werden, die zur Überwachung und Eindämmung der Krankheit notwendigen Maßnahmen zu ergreifen. Hierzu gehört es beispielsweise, eine sogenannte Infektionskette - also die Quelle einer Infektion, deren Übertragungsweg sowie mögliche weitere infizierte Personen (Kontaktpersonen) - zu ermitteln.

Wenn sich eine Person in ihrem beruflichen Umfeld infiziert hat, so kann dies grundsätzlich einen Versicherungsfall der gesetzlichen Unfallversicherung darstellen. Um prüfen zu können, ob die Voraussetzungen für eine Leistungspflicht der gesetzlichen Unfallversicherung bestehen, wurden in einigen Fällen die Gesundheitsämter von den insoweit zuständigen Berufsgenossenschaften gebeten, dort vorhandene Erkenntnisse, insbesondere aus dem Kontext einer Kontaktnachverfolgung, zu übermitteln. Mehrere Gesundheitsämter haben mich gefragt, ob sie einem solchen Übermittlungsersuchen nachkommen dürfen oder gar nachkommen müssen.

Für die Beantwortung dieser Frage ist zunächst zu beachten, dass Anfragen von Berufsgenossenschaften zu etwaigen Infektionsketten nicht nur Daten der versicherten Person, sondern auch Daten Dritter betreffen. Das Gesundheitsamt hat insoweit zu prüfen, wann eine Rechtsgrundlage für eine Datenübermittlung eingreift.

1. Gesetzliche Befugnis

Personenbezogene Daten dürfen gemäß Art. 6 Abs. 1 Datenschutz-Grundverordnung (DSGVO) nur verarbeitet, also auch übermittelt werden (vgl. Art. 4 Nr. 2 DSGVO), wenn es dafür eine Rechtsgrundlage gibt. Zu denken wäre beispielsweise an Art. 6 Abs. 1 UAbs. 1 Buchst. c oder e DSGVO in Verbindung mit einer nationalen Befugnisnorm. Des Weiteren dürften die seitens des Gesundheitsamtes verarbeiteten Daten überwiegend Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO darstellen, die gemäß Art. 9 Abs. 1 DSGVO grundsätzlich einem strikten Verarbeitungsverbot unterliegen und daher nur ausnahmsweise (Art. 9 Abs. 2 DSGVO) verarbeitet werden dürfen. Zu beachten ist ferner, dass diese Daten ursprünglich (allein) zum Zweck der Verhütung und Bekämpfung der COVID-19-Erkrankung durch das Gesundheitsamt erhoben worden sind.

Bei einer etwaigen Übermittlung an eine Berufsgenossenschaft würde es sich folglich um eine zweckändernde Weiterverarbeitung handeln, für die es auf Seiten des Gesundheitsamtes einer ausdrücklichen Rechtsgrundlage bedarf. Eine allein für die Berufsgenossenschaft im Recht der gesetzlichen Unfallversicherung vorhandene Verarbeitungs-, insbesondere Erhebungsbefugnis reicht hier nicht aus. Denn nach dem im Datenschutzrecht relevanten sogenannten Doppeltürmodell benötigen sowohl die übermittelnde Behörde als auch die empfangende Stelle jeweils eine Rechtsgrundlage für ihre Datenverarbeitung. Außerdem muss eine Zweckänderungserlaubnis bestehen.

So kann eine Übermittlung von Gesundheitsdaten grundsätzlich nach Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3, Art. 9 Abs. 2 Buchst. h, Abs. 3 DSGVO zulässig sein. Hiernach ist die Verarbeitung unter anderem für Zwecke der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedsstaats erlaubt. Ein solches nationales Gesetz ist in Bayern das Gesundheitsdienst- und Verbraucherschutzgesetz (GDVG). Insbesondere bei den Vorschriften der Art. 30 und 31 GDVG handelt es sich um sogenannte bereichsspezifische Rechtsnormen, die gegenüber den allgemeinen Bestimmungen des Bayerischen Datenschutzgesetzes vorrangig sind.

Dem Gesundheitsdienst- und Verbraucherschutzgesetz lässt sich allerdings derzeit keine Rechtsvorschrift entnehmen, die eine Datenübermittlung zugunsten der gesetzlichen Unfallversicherung ausdrücklich gestattet; dies gilt ebenso für das Infektionsschutzgesetz und das Siebte Buch Sozialgesetzbuch - Gesetzliche Unfallversicherung -.

Von Seiten der Berufsgenossenschaften werden die Vorschriften über die Amtshilfe (§§ 3 ff. Zehntes Buch Sozialgesetzbuch - Sozialverwaltungsverfahren und Sozialdatenschutz - SGB X) sowie die Vorschrift des § 69 Abs. 1 Nr. 1 SGB X als Rechtsgrundlagen für die Datenübermittlung durch das Gesundheitsamt angeführt. Die (allgemeinen) Vorschriften über die Amtshilfe stellen allerdings keine datenschutzrechtlichen Befugnisnormen dar. Zudem kann die eine Übermittlung von Sozialdaten regelnde Bestimmung des § 69 Abs. 1 Nr. 1 Var. 3 SGB X nicht unmittelbar herangezogen werden. Denn personenbezogene Daten, auch Gesundheitsdaten, werden erst dann zu Sozialdaten, wenn sie in den Herrschaftsbereich des Sozialleistungsträgers gelangt sind (siehe die Begriffsbestimmung des § 67 Abs. 2 Satz 1 SGB X).

Sofern es sich bei den beim Gesundheitsamt gespeicherten Informationen auch um Daten im Sinne von § 28a Abs. 1 Nr. 17 IfSG (sogenannte Kontaktdaten) handeln sollte, steht die Vorschrift des § 28a Abs. 4 Satz 6 IfSG einer zweckändernden Verarbeitung sogar ausdrücklich entgegen.

2. Einwilligung

Ist demnach keine gesetzliche Grundlage für eine Datenübermittlung durch das Gesundheitsamt vorhanden, verbleibt allenfalls die Einholung einer Einwilligung betroffener Personen.

Sofern es sich dabei um Daten der versicherten Person selbst handelt, muss diese in die Übermittlung ausdrücklich einwilligen (Art. 9 Abs. 2 Buchst. a DSGVO). Hinsichtlich der Bedingungen für die Einwilligung möchte ich auf Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 4 Nr. 11 und Art. 7 DSGVO hinweisen. Die Gesundheitsämter müssen die ersuchte Datenübermittlung auf diejenigen Gesundheitsdaten beschränken, die von der Einwilligung der versicherten Person abgedeckt sind.

Bei Daten Dritter muss jeweils deren eigene Einwilligung zusätzlich eingeholt werden (sofern diesbezüglich keine anderweitige Rechtsgrundlage ersichtlich ist), um die Übermittlung von deren Gesundheitsdaten, zum Beispiel im Zusammenhang mit einer eigenen COVID-19-Erkrankung, zu rechtfertigen.

Demnach könnte beispielsweise nach Einholung einer Einwilligungserklärung der versicherten Person der anfragenden Berufsgenossenschaft zwar mitgeteilt werden, dass es sich um eine Ansteckung im Betrieb gehandelt habe; eine Offenlegung - falls überhaupt möglich -, welche Person der konkrete Überträger gewesen ist, wäre dagegen ohne deren eigene Einwilligung nicht zulässig.

Daten im Sinne von § 28a Abs. 1 Nr. 17 IfSG können nicht auf Grundlage einer Einwilligung übermittelt werden. Denn insoweit können sich die Gesundheitsämter nicht über das in § 28a Abs. 4 Satz 6 IfSG bestimmte Weitergabeverbot hinwegsetzen.

Den Gesundheitsämtern sind zum Teil bereits Einwilligungserklärungen der versicherten Personen durch die Berufsgenossenschaften vorgelegt worden. Diesbezüglich haben die Gesundheitsämter sorgfältig zu prüfen, ob diese Erklärungen als Rechtsgrundlage für die Datenübermittlung herangezogen werden können. So dürfte etwa das Gesundheitsamt nicht der im Rahmen eines Musterformulars verwendeten Formulierung "Betriebsärztlicher Dienst/Arbeitsmedizinischer Dienst" unterfallen.

3. Fazit

Abschließend lässt sich festhalten, dass bei einer etwaigen Datenübermittlung durch die Gesundheitsämter zu berücksichtigen ist, dass unterschiedliche Kategorien von Daten unterschiedlichen rechtlichen Vorgaben unterliegen können. Auch ist besonders darauf zu achten, dass von einem Übermittlungsersuchen nicht nur Daten der versicherten Person, sondern auch Daten Dritter betroffen sein können.

Zusammenfassend ist derzeit keine gesetzliche Befugnis erkennbar, die es den Gesundheitsämtern erlaubt, die erbetenen Daten an Berufsgenossenschaften zu übermitteln. Eine solche Datenübermittlung kann allenfalls auf eine datenschutzrechtliche Einwilligungserklärung der jeweils betroffenen Personen gestützt werden.

Im Übrigen empfehle ich, vor einer Datenübermittlung an die anfragende Berufsgenossenschaft die behördliche Datenschutzbeauftragte oder den behördlichen Datenschutzbeauftragten des Gesundheitsamts zu beteiligen.

  1. Siehe beispielsweise Bundesverfassungsgericht, Beschluss vom 24. Januar 2012, 1 BvR 1299/05, BeckRS 2012, 47556, Rn. 123; Bayerischer Verwaltungsgerichtshof, Beschluss vom 20. Mai 2020, 12 B 19.1648, BeckRS 2020, 10398, Rn. 46 f. [Zurück]
  2. Vergleiche Bayerisches Oberstes Landesgericht, Beschluss vom 6. August 2020, 1 VA 33/20, BeckRS 2020, 18859, Rn. 43. [Zurück]
  3. Siehe hierzu ausführlich Bayerischer Landesbeauftragter für den Datenschutz, Die Einwilligung nach der Datenschutz-Grundverordnung, Stand 9/2021, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018 – Überblick“. [Zurück]