Kontakt

Anfragen der Berufsgenossenschaften in Zusammenhang mit Covid-19-Erkrankungen

Nina Kill M. Sc.

Veröffentlicht am 14.06.2021 von Nina Kill M. Sc.

Im Zuge unseres Datenschutzmandates erreichen uns aktuelle Anfragen im Zusammenhang mit dem Infektionsschutz und anderen Maßnahmen während der Corona-Pandemie.

In dieser Nachricht geht es um die Datenverarbeitung durch Berufsgenossenschaften.

Die Berufsgenossenschaften versenden aktuell Fragebögen zu Covid-19-Infektionen von Versicherten, die sich in ihrem beruflichen Umfeld mit Covid-19 infiziert haben.

Diese Fragebögen beziehen sich nicht nur auf die Daten der Versicherten, sondern auch auf die Daten der Patienten, die sich zum Zeitpunkt der Infektion im Krankenhaus befunden haben. Der Grund für die Abfrage durch die Berufsgenossenschaft wäre die Beurteilung des notwendigen Beratungsbedarfs in Fällen eines schweren Krankheitsverlaufs.

Die Versicherten wurden aufgefordert die folgenden Informationen zu den Patienten, mit denen Kontakt am Arbeitsplatzt bestand, mitzuteilen: die Initialen der Patienten, den Aufenthaltszeitraum im Krankenhaus und den Wohnort.

Dieses Vorgehen stellt aus unserer Sicht keine Anonymisierung der Daten dar, denn es ist wahrscheinlich, dass die Berufsgenossenschaften die Identität der Patienten mithilfe der Gesamtheit der an sie übermittelten Daten feststellen könnten. Dabei ist zu berücksichtigen, über welche weiteren Informationen die Berufsgenossenschaften bereits verfügen und ob unter Hinzuziehung dieser Informationen die Identifizierung einzelner Personen möglich ist. Dies ist um so wahrscheinlicher, je kleiner die Personengruppe (der Infizierten) ist und je mehr Einzelmerkmale vorliegen. Daher ist aus unserer Sicht lediglich von einer Pseudonymisierung auszugehen.

Sollten dann auf Nachfrage der Berufsgenossenschaften auch die vollständigen Namen der infizierten Patienten, mit denen Kontakt bestand, mitgeteilt werden, ist natürlich in jedem Fall ein Personenbezug gegeben.

Bei der datenschutzrechtlichen Bewertung der hier dargestellten Übermittlung der Daten von an COVID-19 erkrankten Patienten an die Berufsgenossenschaften ist daher zunächst zu beurteilen, ob es sich um pseudonymisierte oder anonymisierte Daten handelt: auf pseudonymisierten Daten findet die DSGVO vollumfängliche Anwendung mit der Konsequenz, dass eine Rechtsgrundlage für die Verarbeitung der pseudonymisierten Daten zwingend erforderlich ist. Anonymisierte Daten hingegen unterliegen nicht den Anforderungen der DSGVO, da sie keine personenbezogenen Daten mehr sind.

Die Rechtsgrundlage der Datenverarbeitung durch Berufsgenossenschaften ergibt sich aus den gesetzlichen Vorschriften des Sozialgesetzbuches VII (gesetzliche Unfallversicherung) in Verbindung mit der DSGVO. Als Rechtsgrundlage kommt § 199 Abs.1 Nr. 6 SGB VII in Verbindung mit DSGVO in Betracht. In § 199 Abs. 1 Nr. 6 SGB VII heiß es:

„Die Unfallversicherungsträger dürfen Sozialdaten verarbeiten, soweit dies zur Erfüllung ihrer gesetzlich vorgeschriebenen oder zugelassenen Aufgaben erforderlich ist […] Die Aufgaben sind: Nr. 6 die Erforschung von Risiken und Gesundheitsgefahren für die Versicherten.“

Damit ist die Übermittlung der pseudonymisierten Daten der COVID-19-Patienten an die Berufsgenossenschaft von dieser Rechtsgrundlage nicht gedeckt. Denn für die Verarbeitung der pseudonymisierten Patientendaten müssen die Daten für die Erforschung der Risiko- und Gesundheitsgefahren für den Versicherten erforderlich sein. Aus unserer Sicht sind die Patientendaten Dritter für die Erfüllung der gesetzlich festgelegten Aufgaben der Berufsgenossenschaft irrelevant. Daher muss sich die Auskunft nur auf die Daten der Versicherten beschränken. Die Übermittlung der Patientendaten an die Berufsgenossenschaft wäre somit rechtswidrig.

Was können Sie tun?

Falls die Berufsgenossenschaft nicht nur die Daten der Versicherten, sondern auch Daten Dritter abfragt, sollten Sie Vorsicht walten lassen. Beschränken Sie die Übermittlung auf die Versichertendaten, die im Zusammenhang mit der Erkrankung stehen. Falls sie Daten Dritter an die Berufsgenossenschaft übermitteln wollen, denken Sie an die wirksame Anonymisierung dieser Daten, um datenschutzkonform zu handeln und teilen Sie keine Initialen mit. Teilen Sie weiter keine vollständigen Namen Dritter mit. Holen sie auch keine Einwilligung der Patienten zur Übermittlung dieser Informationen an die Berufsgenossenschaft ein, denn auch eine Einwilligung ersetzt nicht die fehlende Rechtsgrundlage für die Verarbeitung der Daten Dritter in diesem Zusammenhang.