Nur wer geimpft, genesen oder getestet ist, darf derzeit in NRW ins Fitnessstudio, ins Kino oder in die Innengastronomie. Dafür muss bei jedem Besuch ein entsprechender Nachweis vorgezeigt werden. Gerade Dienstleister mit einer Stammkundschaft möchten den Check-In einfach und bequem halten. Daher bieten erste Fitnessstudios die Speicherung des persönlichen Impfstatus in ihrer Mitgliederdatenbank an.
Was auf den ersten Blick als kundenfreundliche Lösung erscheint, sollte jedoch mit Bedacht abgewogen werden. „Immer wenn Verbraucher:innen personenbezogene Daten preisgeben, besteht das Risiko, dass ihre Daten zweckentfremdet oder missbräuchlich genutzt werden könnten”, erklärt Carl Christoph Möller, Jurist und Experte für Datenschutz bei der Verbraucherzentrale NRW. Darauf sollten Verbraucher:innen achten:
- Impfstatus speichern – ist das legal?
Die Registrierung des Impfstatus zählt zur Verarbeitung von Gesundheitsdaten. Nach der Datenschutzgrundverordnung (DSGVO) kann eine solche Speicherung zulässig sein, wenn die Verbraucher:innen ausdrücklich und freiwillig eingewilligt haben. Wichtig ist hierbei, dass eine echte Wahl besteht, die Einwilligung auch zu verweigern. Müssten die Mitglieder eines Fitnessstudios ihren Impfstatus registrieren lassen, um überhaupt dort trainieren zu können, kann die Verarbeitung prinzipiell nicht auf eine Einwilligung gestützt werden. Können die Mitglieder hingegen selbst entscheiden, entweder ihren Impfstatus registrieren zu lassen oder ihren Getestet-/Genesen-/Geimpft-Nachweis im Rahmen einer Sichtkontrolle beim Einlass vorzuzeigen, wird die Einwilligung und mit ihr die Registrierung in der Regel zulässig sein. Ein seriöser Anbieter wird in diesem Fall die Erteilung der Einwilligung schriftlich oder elektronisch festhalten. Verbraucher:innen können die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
- Mit persönlichen Daten geizen:
Verbraucher:innen sollten generell sparsam mit ihren Daten umgehen. Das betrifft insbesondere die Weitergabe von sensiblen Gesundheitsdaten wie dem Impfstatus. Das Risiko von Datenmissbrauch kann nie ausgeschlossen werden, selbst wenn ein Fitnessstudiobetreiber höchste Sicherheitsstandards an die Datenverarbeitung legt und sämtliche datenschutzrechtliche Pflichten erfüllt. Daher sollte man sich gut überlegen, ob die gesparte Wartezeit beim Einlass ins Fitnessstudio die Speicherung des Impfstatus auf dem Server des Anbieters oder gar in der Cloud wert ist.
- Impfnachweis ohne Datenweitergabe:
Die Sichtkontrolle beim Einlass ist im Hinblick auf den Datenschutz die risikoärmere Form, den Impfnachweis zu erbringen. Dies kann über den Impfpass und das digitale Covid-Impfzertifikat der EU erfolgen – entweder in ausgedruckter Form oder digital abgespeichert in der Corona-Warn-App oder der CovPass-App. Im Vergleich zum Impfpass auf Papier bietet die digitale Lösung den praktischen Vorteil, dass andere nur Informationen über die Covid-19-Impfung erhalten, aber nicht über weitere Impfungen. Theoretisch besteht auch beim digitalen Impfnachweis die Gefahr, dass Daten durch installierte Spionage-Software in fremde Hände geraten. Die Daten werden aber bei der CovPass- und der Corona-Warn-App ausschließlich auf dem Smartphone gespeichert und nicht an einen Cloud-Speicher oder Anbieter übermittelt.
www.verbraucherzentrale.nrw