Christoph Naucke

Christoph Naucke – Fotos: Rödl & Partner

Maximilian Dachlauer

Maximilian Dachlauer – Fotos: Rödl & Partner

von Christoph Naucke und Maximilian Dachlauer

Mit der SARS-CoV-2-Pandemie ist die Pflege vor dramatische Herausforderungen gestellt worden. Klienten und Bewohner gehören automatisch zu den besonderen Risikogruppen. Besuchsverbote, Masken und Abstandsgebote mussten unweigerlich zu depressiven Problematiken

bei den Bewohnern führen; auf demente Hochbetagte wirken solche Faktoren unverständlich und verstörend. Pflegeheime mussten befürchten, zu Hotspots der Pandemie mit einer großen Zahl an Opfern zu werden, wie das im Einzelfall leider auch tatsächlich geschehen ist. Der Bedarf an hochwertiger Pflege, die nur mit einer ausreichenden Zahl an angemessen ausgebildeten, vergüteten und motivierten Mitarbeiterinnen und Mitarbeitern möglich ist, wurde für die Gesellschaft deutlich sichtbar.

Zu der großen Zahl an elementaren und alltäglich drückenden Problemen kamen und kommen zusätzliche datenschutzrechtliche Herausforderungen hinzu, die durch die Pandemie zu lösen waren und sind. Auf drei ganz wesentliche Themen soll nachfolgend eingegangen werden und der aktuelle Stand aufgezeigt werden.

Besuchererfassung und Datenspeicherung

In der stationären Pflege ist die vorherige Anmeldung von Besuchern und deren namentliche Erfassung aufgrund landesrechtlicher Vorgaben häufig bereits in den Hygienekonzepten vorgesehen. Sofern ein solches auf der Grundlage des gültigen Landesrechts erstelltes Hygienekonzept dies vorsieht, ist daran nichts auszusetzen. Ohne eine schriftliche Fixierung im Hygienekonzept der Einrichtung, oder eine zumindest eindeutige Vorgabe im jeweils aktuellen Landesrecht, ist von einer Besuchererfassung „auf eigene Faust“ jedoch eher abzuraten, da hier im Zweifel keine tragfähige Rechtsgrundlage vorliegt.

Erfassung von Besucherdaten muss immer verhältnismäßig sein

Soweit auf der Grundlage des Landesrechts und ggf. eines hauseigenen Hygienekonzepts die Kontaktdaten der Besucher erhoben werden, ist allerdings immer wichtig zu beachten, dass diese Erfassung „verhältnismäßig“ sein muss, die Maßnahme darf also nicht über ihr Ziel hinausschießen.

Dies ergibt sich aus dem zwingenden Prinzip der Datensparsamkeit, das in Art. 5 Abs. 1 lit. c) DS-GVO vorgegeben ist. Deshalb muss die Speicherdauer der Besucherlisten verbindlich geregelt und zeitlich begrenzt sein. Die Aufbewahrung darf nicht länger erfolgen, als dies – im negativen Fall – für die Kontaktverfolgung erforderlich wäre, normalerweise also 14 Tage. Auch der Umfang der abgefragten Daten muss sich auf das für den Zweck notwendige beschränken: Datum, Uhrzeit, Name, Telefon/Mail, besuchter Bewohner, ggf. aufgesuchte Räume in der Einrichtung.

Die strenge Zweckbindung der Datenverarbeitung (Art. 5 Abs. 1 lit. b) DS-GVO) führt auch dazu, dass die Liste ausschließlich für den Fall einer ggf. erforderlichen Kontaktnachverfolgung genutzt werden darf, also nicht zugleich noch für andere Zwecke. Das muss allen Mitarbeitern bewusst sein, die Zugang zu der Liste haben. Zweckbindung und Datenminimierung bedeuten auch, dass die Liste nicht an einem Ort gespeichert werden darf, an dem eine beliebig große Zahl von Mitarbeitern auf die Datei zugreifen kann. Es sollte zudem darauf geachtet werden, dass Besucher, die sich auf der Liste eintragen, während des Eintragens keine Daten anderer Besucher einsehen können, da dies gegen das Prinzip der Vertraulichkeit (Art. 5 Abs. 1 lit. f) DS-GVO) verstoßen würde.

Testpflicht in Pflegeeinrichtungen

Bewohnerinnen und Bewohner von Alten- und Pflegeheimen tragen ein besonderes Risiko für schwere Krankheitsverläufe und bedürfen daher eines besonderen Schutzes. Mit Hilfe des Infektionsschutzgesetzes wurde für Beschäftigte und Besucher von Pflegeeinrichtungen eine bundeseinheitliche Regelung zur Testpflicht getroffen. Aus § 28b Abs. 2 IfSG ergibt sich, dass diese sich aktuell zweimal wöchentlich testen müssen, wobei zu beachten ist, dass die Regelung zunächst bis zum 19.03.2022 befristet ist.

Gem. § 28b Abs. 2 IfSG .dürfen Arbeitgeber, Beschäftigte und Besucher die Einrichtungen nur betreten oder in diesen tätig werden, wenn sie einen gültigen Testnachweis mit sich führen. Die Leitungen der Einrichtungen sind verpflichtet, die Einhaltung dieser Regelungen durch Nachweiskontrollen täglich zu überwachen und auch zu dokumentieren. Beschäftigte und Besucher sind verpflichtet, den Nachweis auf Verlangen vorzulegen.

Bei der Vorlage eines Impfnachweises oder einer Testbescheinigung handelt es sich um die Verarbeitung von Gesundheitsdaten gem. Art. 9 DS-GVO. Bei gesundheitsbezogenen Daten handelt es sich um höchstpersönliche Daten, denen ein besonderes Schutzrecht zukommt und die daher nur in Ausnahmefällen verarbeitet werden dürfen. Der Gesetzgeber hat mit dem § 28b IfSG im Rahmen der Pandemiebekämpfung von einer solchen Ausnahme Gebrauch gemacht. Art. 9 Abs. 2 lit. i) eröffnet die Möglichkeit, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, eine Verarbeitung von Gesundheitsdaten auch ohne die Einwilligung der Betroffenen zu ermöglichen.

Auch hier gilt: Die Prinzipien der Datensparsamkeit, der Zweckbindung und der Vertraulichkeit müssen eingehalten werden. Wenn der Arbeitgeber bzw. die Einrichtungsleitung nun den Impf- und Teststatus in Bezug auf Covid19 verarbeitet, muss auch eine Löschung dieser Daten in angemessener Zeit, spätestens sechs Monate nach der Datenerhebung, sichergestellt sein (§ 26b Abs. 3 S. 10 IfSG).

Die Bundesländer haben durch die sog. Länderöffnungsklausel die Möglichkeit, unter gewissen Voraussetzungen zusätzliche eigene, strengere Regelungen zu treffen. Voraussetzung hierfür ist, dass eine konkrete Gefahr der epidemischen Ausbreitung von Covid19 in einem Land besteht.[1]

Erkrankung eines Bewohners

Für den Fall, dass eine Bewohnerin oder ein Bewohner an SARS-CoV-2 erkrankt, muss im Einzelfall abgewogen werden, ob (und wenn ja, aus welchem zwingenden Grund) dessen Identität in der Einrichtung preisgegeben werden muss.

Sofern dies zum Schutz lebenswichtiger Interessen anderer, also beispielsweise zum Schutz der übrigen Bewohner, erforderlich erscheint und ein anderes, gleich wirksames Mittel nicht zur Verfügung steht, kann die Bekanntgabe zu vertreten sein. Diese Entscheidung sollte aber in jedem Einzelfall neu abgewogen und von der Geschäftsführung selbst unter vorheriger Abstimmung mit dem Datenschutzbeauftragten getroffen werden. Das Ergebnis und die Begründung für die getroffene Entscheidung sollten schriftlich festgehalten sein.

Die Vielzahl der datenschutzrechtlichen Fußangeln in der Pflege, die sich auch im Kontext von Covid 19 überdeutlich zeigt, unterstreicht die Notwendigkeit, alle Mitarbeiterinnen und Mitarbeiter regelmäßig zum Datenschutz zu schulen. Eine lediglich einmalige Schulung oder auch eine Schulung ausschließlich für Verwaltungsmitarbeiter und Führungskräfte genügt nicht, denn den Kontakt mit den zu schützenden personenbezogenen Daten haben ja nicht nur diese Mitarbeitergruppen.

[1] Gesetz zur Änderung des Infektionsschutzgesetzes und weiterer Gesetze anlässlich der Aufhebung der Feststellung der epidemischen Lage von nationaler Tragweite – Bundesgesundheitsministerium

Kurzinfo

Christoph Naucke
Datenschutzbeauftragter DSB-TÜV,
Datenschutzauditor DSA-TÜV,
zertifizierter Informationssicherheitsbeauftragter
(CISO-GGI®),
IT-Auditor IDW

Maximilian Dachlauer
Rechtsanwalt,
Datenschutzbeauftragter (TÜV),
Datenschutzauditor (TÜV)

Der Artikel ist in der Ausgabe 01/2022 zu finden.

Halten Sie sich auf dem Laufenden!

Unser Newsletter ist exklusiv für Einkauf und Management von Senioreneinrichtungen und Trägergesellschaften gedacht und erscheint quartalsweise. Melden Sie sich jetzt an!

Seniorenheim-Magazine 02/2023 und 01/2024