Salta al contenuto
News

Garante Privacy prüft Beschwerde gegen Emirates wegen Gesundheitsdaten von Passagieren

Garante Privacy prüft Beschwerde gegen Emirates wegen Gesundheitsdaten von Passagieren

Auf einen Blick

Der Garante für den Schutz personenbezogener Daten hat ein Ermittlungsverfahren bezüglich einer Beschwerde gegen Emirates eingeleitet, die die Erfassung von Gesundheitsdaten von Passagieren mit eingeschränkter Mobilität betrifft. Der Einspruch bezieht sich auf die Anforderung des MEDIF-Formulars ohne entsprechende Datenschutzerklärung und Einwilligung zur Verarbeitung der Informationen. Dieses Verfahren würde, so der Beschwerdeführer, die Vorschriften zum Schutz personenbezogener Daten nicht einhalten. Emirates verteidigt sich mit Verweis auf die Sicherheitsvorschriften des Luftverkehrs.

Hintergrund

Der Garante für den Schutz personenbezogener Daten hat eine am 29.01.2025 von Frau XX gegen Emirates eingereichte Beschwerde geprüft. Die Beschwerdeführerin hat sich darüber beschwert, dass die Fluggesellschaft die Ausfüllung des MEDIF-Formulars (Medical Information for Fitness to Travel or Special Assistance) für Passagiere mit eingeschränkter Mobilität (PMR) verlangt habe, einschließlich ihrer selbst, obwohl sie nicht in die streng notwendigen Kategorien falle. Der Hauptkritikpunkt betrifft die angebliche fehlende Datenschutzerklärung zur Verarbeitung personenbezogener Daten und das Fehlen einer ausdrücklichen Einwilligung zur Erhebung von „zahlreichen Informationen über den Gesundheitszustand“. Das MEDIF-Formular sei ihr per E-Mail an MEDAattachments@emirates.com zugesandt worden. Nach dem vom Garante mit Schreiben vom 08.05.2025 (Prot.-Nr. 61864) eingeleiteten Ermittlungsverfahren hat Emirates am 06.06.2025 ihre Stellungnahme abgegeben. Die Fluggesellschaft begründete die Datenerfassung mittels MEDIF damit, dass der Luftverkehrssektor durch komplexe Vorschriften (wie die Verordnung (EG) Nr. 1107/2006) geregelt ist, die strenge Sicherheits- und Gesundheitsschutzpflichten für Passagiere auferlegen. Das MEDIF-Formular wird als standardisiertes Instrument zur Bewertung der Flugtauglichkeit und zur Bereitstellung besonderer Unterstützung beschrieben, das nur bei spezifischen medizinischen Bedingungen (z.B. Notwendigkeit medizinischer Hilfe während des Fluges, Verwendung medizinischer Geräte, kürzliche Operationen oder Krankheiten) und nicht nur für Bodenassistenz erforderlich ist. Die erhobenen Informationen umfassen Identifikationsdaten, Kontaktdaten, Angaben zum Gesundheitszustand, etwaige medizinische oder Mobilitätsbedürfnisse sowie die Daten des behandelnden Arztes und des eventuellen Begleiters, die als „streng notwendig für die verfolgten Zwecke“ erachtet werden. Der Text endet vor der endgültigen Entscheidung des Garante.

Warum es wichtig ist

Diese Maßnahme ist äußerst relevant für alle Verantwortlichen der Datenverarbeitung, insbesondere für jene, die besondere Kategorien personenbezogener Daten wie Gesundheitsdaten verwalten. Sie unterstreicht die Bedeutung der strikten Einhaltung der Verpflichtungen gemäß der Verordnung (EU) 2016/679 (DSGVO), insbesondere hinsichtlich der Rechtsgrundlage der Verarbeitung, der Information der betroffenen Personen und der gegebenenfalls erforderlichen Einholung einer ausdrücklichen Einwilligung. Die Verarbeitung von Gesundheitsdaten erfordert eine robuste Rechtsgrundlage (wie die ausdrückliche Einwilligung oder Gründe von erheblichem öffentlichem Interesse oder lebenswichtige Interessen), und Organisationen müssen die Verhältnismäßigkeit der Erhebung und die Notwendigkeit der Daten im Verhältnis zu den angegebenen Zwecken nachweisen. Das Fehlen einer klaren Datenschutzerklärung und einer gültigen Einwilligung, wie in der Beschwerde bemängelt, stellt eine potenzielle schwerwiegende Verletzung der Grundsätze der Transparenz und Rechtmäßigkeit der Verarbeitung dar. Obwohl der Text vor der endgültigen Entscheidung endet, zeigt er auf, wie Begründungen, die auf sektorspezifischen regulatorischen Pflichten (wie den Sicherheitsvorschriften im Luftverkehr) basieren, dennoch mit den Grundsätzen der DSGVO in Einklang gebracht werden müssen, um sicherzustellen, dass die Rechte der betroffenen Personen nicht beeinträchtigt werden. Für die Einhaltung von ISO 27001 und NIS2 ist die korrekte Datenverwaltung, insbesondere von sensiblen Daten, ein grundlegender Pfeiler der Informationssicherheit und der operativen Resilienz, wodurch Datenpannen und Sanktionen verhindert werden.

Was zu tun ist

  • Überprüfen Sie, ob alle Datenerfassungsverfahren, insbesondere für besondere Kategorien von Daten wie Gesundheitsdaten, eine klare und vollständige Datenschutzerklärung enthalten.
  • Stellen Sie sicher, dass Sie die korrekte Rechtsgrundlage für die Verarbeitung jeder Art von Daten gemäß der DSGVO identifiziert und dokumentiert haben.
  • Holen Sie die ausdrückliche, spezifische und informierte Einwilligung der betroffenen Personen für die Verarbeitung sensibler Daten ein, wenn keine andere geeignete Rechtsgrundlage anwendbar ist.
  • Führen Sie Datenschutz-Folgenabschätzungen (DSFA) für Hochrisikoverarbeitungen durch, wie die großflächige Verwaltung von Gesundheitsdaten.
  • Schulen Sie das Personal in der korrekten Verwaltung personenbezogener Daten und der Einhaltung des Datenschutzes.

Was zu vermeiden ist

  • Vermeiden Sie es, personenbezogene Daten, insbesondere Gesundheitsdaten, ohne eine solide und dokumentierte Rechtsgrundlage zu erheben.
  • Lassen Sie die Datenschutzerklärung bei der Datenerfassung nicht weg oder gestalten Sie sie schwer zugänglich.
  • Gehen Sie nicht von einer stillschweigenden Einwilligung zur Verarbeitung sensibler Daten aus.
  • Machen Sie die Erbringung einer Dienstleistung nicht von der Bereitstellung nicht unbedingt notwendiger Daten oder ohne die gebotenen Datenschutzgarantien abhängig.

Praktische Auswirkungen

Dieser Fall zeigt, dass Organisationen operative oder Sicherheitsanforderungen nicht automatisch gegenüber der DSGVO-Compliance priorisieren können, ohne eine sorgfältige Abwägung und Integration zwischen den Vorschriften vorzunehmen. Die Notwendigkeit der Datenerhebung aus Sicherheitsgründen muss als verhältnismäßig und im Einklang mit den in der DSGVO festgelegten Grundsätzen der Transparenz, Datenminimierung und Rechtsgrundlage nachgewiesen werden. Die Nichtbeachtung dieser Garantien setzt die Organisation Beschwerden, Untersuchungen durch Aufsichtsbehörden und potenziellen Sanktionen aus, was die Bedeutung eines robusten Datenschutzrahmens auch in stark regulierten Sektoren unterstreicht.

Empfohlene Maßnahmen

  • Alle Verarbeitungen personenbezogener Daten abbilden und dokumentieren, mit besonderem Augenmerk auf besondere Kategorien.
  • Datenerfassungsformulare (online und offline) überprüfen, um die Existenz und Klarheit der Datenschutzerklärung zu gewährleisten.
  • Mechanismen zur Einholung einer ausdrücklichen und dokumentierbaren Einwilligung implementieren, wo erforderlich.
  • Das Personal regelmäßig zur DSGVO und zum Umgang mit sensiblen Daten schulen.

Zu vermeidende Fehler

  • Beschwerden betroffener Personen ignorieren oder deren Auswirkungen unterschätzen.
  • Annehmen, dass sektorspezifische Sicherheitsauflagen die Anwendung der DSGVO automatisch ausschließen.
  • Keine klare Kontaktstelle für datenschutzrelevante Fragen bereitstellen.

Fragen zur Selbsteinschätzung

  • Erhebt meine Organisation sensible Daten (z.B. Gesundheitszustand)? Falls ja, haben wir für jede Verarbeitung eine solide und dokumentierte Rechtsgrundlage?
  • Enthalten unsere Datenerfassungsformulare eine vollständige, klare und leicht zugängliche Datenschutzerklärung für die betroffenen Personen?
  • Wird die Einwilligung (falls Rechtsgrundlage der Verarbeitung) ausdrücklich, freiwillig, spezifisch, informiert und dokumentierbar eingeholt?
  • Sind die von uns erhobenen Daten für die angegebenen Zwecke unbedingt notwendig? Wenden wir den Grundsatz der Datenminimierung an?
  • Haben wir definierte Verfahren, um auf Beschwerden betroffener Personen bezüglich des Datenschutzes zeitnah zu reagieren und diese zu bearbeiten?

Verweise

Nationales Recht: Regolamento (UE) 2016/679 (GDPR) · Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101) · Regolamento (CE) n. 1107/2006 (diritti delle persone con disabilità e delle persone a mobilità ridotta nel trasporto aereo)

Zum Originalartikel auf garanteprivacy.it ↗

Lesen Sie auch