UPDATE: ABFRAGE DES IMPFSTATUS VON BESCHÄFTIGTEN DURCH DEN ARBEITGEBER

Bereits in unseren Blog-Beiträgen aus September und Oktober 2021 haben wir uns ausführlich mit den Problematiken im Zusammenhang mit der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber auseinandergesetzt. Mit den rasant steigenden Infektionszahlen wurden vermehrt die Rufe nach einer einheitlichen Rechtsgrundlage zur Verarbeitung des Test-, Genesenen- oder Impfstatus der Beschäftigten laut. Abhilfe schaffen nun die neuen Regelungen des Infektionsschutzgesetzes (IfSG), insbesondere des § 28b Abs. 3 IfSG, deren Inhalt dieser Beitrag datenschutzrechtlich umreißen soll.


WAS WIRD GEREGELT?

Die wesentliche Norm zur Abfrage des Test-, Genesenen- oder Impfstatus von Beschäftigten ist der Norm des § 28b Abs. 3 IfSG zu entnehmen. Darin heißt es im Wesentlichen:

„Alle Arbeitgeber sowie die Leitungen der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen sind verpflichtet, die Einhaltung der Verpflichtungen nach Absatz 1 Satz 1 und Absatz 2 Satz 1 durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren. Alle Arbeitgeber und jeder Beschäftigte sowie Besucher der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen sind verpflichtet, einen entsprechenden Nachweis auf Verlangen vorzulegen. Soweit es zur Erfüllung der Pflichten aus Satz 1 erforderlich ist, darf der Arbeitgeber sowie die Leitung der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen zu diesem Zweck personenbezogene Daten einschließlich Daten zum Impf-, Sero- (Genesenen-) [Anmerkung des Autors] und Teststatus in Bezug auf die Coronavirus-Krankheit-2019 (COVID-19) verarbeiten. Die Daten dürfen auch zur Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß den §§ 5 und 6 des Arbeitsschutzgesetzes verwendet werden, soweit dies erforderlich ist. § 22 Absatz 2 des Bundesdatenschutzgesetzes gilt entsprechend. […]. Die nach Satz 3 und nach Satz 8 erhobenen Daten sind spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen; die Bestimmungen des allgemeinen Datenschutzrechts bleiben unberührt.“

Weiterhin enthält die Regelung weitere Verpflichtungen für „in Absatz 2 Satz 1 genannte Einrichtungen.“ Hierunter zählen grundsätzlich Einrichtungen des Gesundheitswesens (§ 23 Abs. 3 Satz 1 IfSG), Pflegeeinrichtungen (§ 36 Abs. 1 Nr. 2 IfSG) sowie ambulante Pflegedienste (§ 36 Abs. 1 Nr. 7 IfSG). Derartige Einrichtungen müssen in Ergänzung zu den oben genannten Anforderungen, an die zuständigen Behörden in anonymisierter Form Angaben zu den durchgeführten Testungen sowie Angaben zum Anteil der geimpften Personen übermitteln.

Die Änderungen des Infektionsschutzgesetzes wurden am 23. November 2021 im Bundesgesetzblatt verkündet und sind zum 24. November 2021 in Kraft getreten.


WAS BEDEUTET DAS NUN DATENSCHUTZRECHTLICH?

Zunächst stellt die Regelung des § 28b Abs. 3 IfSG nun die einheitliche Rechtsgrundlage zur Verarbeitung des Test-, Genesenen- und Impfstatus der Beschäftigten dar. Da es sich bei diesen Angaben grundsätzlich um Gesundheitsdaten und damit um besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) handelt, ist die Datenverarbeitung auf Grundlage des Art. 9 Abs. 2 lit. i) DS-GVO in Verbindung mit § 28b Abs. 3 IfSG durchzuführen. Dabei ist grundsätzlich zu beachten, dass Aufgrund der Verpflichtung zur Durchführung und Dokumentation des Arbeitgebers ebenfalls eine Verpflichtung der Arbeitnehmer besteht, die entsprechenden Nachweise vorzulegen.

Die Verarbeitung der besonderen Kategorien personenbezogener Daten hat den datenschutzrechtlichen Grundsätzen gemäß Art. 5 Abs. 1 DS-GVO zu entsprechen. Das heißt beispielsweise, dass die Gesundheitsdaten ausschließlich für die im Infektionsschutzgesetz festgelegten Zwecke verarbeitet werden dürfen, die zu verarbeitenden personenbezogenen Daten auf das für den Zweck der Datenverarbeitung erforderliche Minimum reduziert sein müssen und ausschließlich so lange verarbeitet werden dürfen, wie es für den Zweck der Datenverarbeitung zwingend erforderlich ist. Das Infektionsschutzgesetz sieht hierbei eine maximale Aufbewahrung bis zum Ende des sechsten Monats nach der Erhebung vor.

Unter Beachtung der dargelegten Anforderungen ist es grundsätzlich möglich, das Vorliegen eines entsprechenden Nachweises bei Geimpften und Genesenen zunächst einmalig zu überprüfen, zu vermerken und bei Genesenen zusätzlich das Enddatum des Genesenenstatus zu dokumentieren. In der Praxis kann eine Zutrittskontrolle dann beispielsweise über die Vergabe gleich aussehender Passierscheine erfolgen, auf denen das jeweilige Enddatum (bei Getesteten für den aktuellen Tag, bei Genesenen für maximal sechs Monate, bei Geimpften zunächst unbegrenzt) vermerkt wird.

Darüber hinaus ist zu berücksichtigen, dass die personenbezogenen Daten aufgrund Ihrer besonderen Schutzbedürftigkeit seitens des Arbeitgebers sicher zu verarbeiten sind. Das heißt beispielsweise, dass eine Aufbewahrung ausschließlich in verschlossenen Aktenschränken oder auf verschlüsselten Datenträgern erfolgen darf sowie die mit der Verarbeitung betrauten Beschäftigten auf die besondere Schutzbedürftigkeit der Daten hinzuweisen und dementsprechend zu sensibilisieren sind.


WAS GILT ES NOCH ZU BEACHTEN?

Grundsätzlich wird die Regelung des § 28b Abs. 3 IfSG als Zutrittskontrollmaßnahme zu verstehen sein, das heißt der entsprechende Nachweis ist mit Zutritt zur Einrichtung des Arbeitsgebers vorzulegen. Hingegen nicht umfasst sein dürfte eine Verpflichtung der Beschäftigten zur Vorab-Information per E-Mail. Insbesondere auch aufgrund der besonderen Schutzbedürftigkeit der Gesundheitsdaten scheidet die Übermittlung per E-Mail aufgrund der meist fehlenden Ende-zu-Ende-Verschlüsselung sowie aufgrund der automatisierten Archivierung des E-Mail-Posteingangs in der Regel aus. Auch eine Anforderung einer Kopie des entsprechenden Nachweises zum Verbleib beim Arbeitgeber ist von der Regelung des § 28b Abs. 3 IfSG ausdrücklich nicht umfasst.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit begrüßt grundsätzlich das Vorliegen einer einheitlichen Rechtsgrundlage zur Verarbeitung des Test-, Genesenen- und Impfstatus der Beschäftigten. Im Rahmen einer Pressemitteilung stellte er jedoch klar, dass er hinsichtlich der konkreten Verarbeitung sowie hinsichtlich der Speicherdauer Verbesserungspotential bezüglich der gesetzlichen Normierung sieht. Dementsprechend sind die weiteren Entwicklungen im Blick zu behalten.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Corona-Pandemie
  • Gesundheitsdaten
  • Impfstatus
  • Infektionsschutzgesetz
Lesen

UPDATE: ABFRAGE DES IMPFSTATUS VON BESCHÄFTIGTEN DURCH DEN ARBEITGEBER

Mit dem Einzug des Herbstes wird auch die anhaltende Covid-19-Pandemie wieder zunehmender zum Thema in der Gesellschaft. Damit einhergehen gleichfalls zahlreiche datenschutzrechtliche Fragestellungen. Über die grundlegende Problematik der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber haben wir bereits berichtet. Aufgrund zahlreicher Praxisfälle sowie einer Reihe von Änderungen des Infektionsschutzgesetzes (IfSG) haben nunmehr ergänzend zu den bisherigen Mitteilungen noch die Landesdatenschutzbeauftragten aus Baden-Württemberg, Sachsen und Sachsen-Anhalt zu einigen Problempunkten Stellung bezogen. Die Rechtsansichten der Aufsichtsbehörden zur praxisrelevanten Thematik des bestehen des Fragerechtes des Arbeitgebers nach Impf- bzw. Genesenenstatus sollen Gegenstand des nachfolgenden Beitrages sein.


LOHNFORTZAHLUNG IM QUARANTÄNEFALL

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) beschäftigt sich in seiner Veröffentlichung der Frage nach einem Auskunftsanspruchs des Arbeitgebers gegenüber Beschäftigten im Rahmen der Lohnfortzahlung bei behördlicher angeordneter Quarantäne oder des Eingreifens anderweitiger Absonderungspflichten. In den vorbezeichneten Fällen ist der Arbeitgeber regelmäßig nach § 56 Abs. 1, Abs. 3,
Abs. 5 IfSG zur Verdienstausfallentschädigung für den Zeitraum von sechs Wochen verpflichtet. Der Arbeitgeber wiederrum kann von der zuständigen Behörde Erstattung verlangen, § 56 Abs. 5 Satz 3 IfSG. Ausgeschlossen ist die Ausfallentschädigung gemäß § 56 Abs. 1 Satz 4 und 5 IfSG jedoch in den Fällen, in denen der Beschäftigte durch Inanspruchnahme einer Schutzimpfung oder durch Nichtantritt einer vermeidbaren Reise in ein Risikogebiet diese Quarantäne hätte vermeiden können. In diesem Zusammenhang stellt sich trefflich die Frage, ob und bejahendenfalls in welchem Umfang der Arbeitgeber zu Geltendmachung der Erstattungsansprüche gegenüber der zuständigen Behörde, den Impfstatus der betroffenen Beschäftigten erfragen darf. Der LfDI kommt zu dem Ergebnis, dass der Arbeitgeber aufgrund der Entschädigung i.R.d. § 56 IfSG den Impfstatus der Beschäftigten erheben darf, diese allerdings nicht zur Offenbarung verpflichtet sind.  Dies ist dem Umstand geschuldet, dass das IfSG keine ausdrückliche Bestimmung zur Auskunftspflicht vorsieht, um den Vorgaben des Vorbehaltes des Gesetzes gerecht zu werden. Allerdings geht der LfDI wohl zutreffender Weise von einer entsprechenden Obliegenheit des Beschäftigten gegenüber dem Arbeitgeber aus:

„Er kann zwar frei entscheiden, ob er dem Arbeitgeber die persönlichen Informationen zur Geltendmachung des Erstattungsanspruchs nach § 56 Abs. 5 Satz 3 IfSG beisteuern will, läuft insofern jedoch das Risiko, mangels Mitwirkung Nachteile zu erleiden. Sollte der Arbeitgeber etwa nicht bereits aus § 616 BGB zur Fortzahlung des Lohns verpflichtet sein oder dem Beschäftigten kein Anspruch auf Entgeltfortzahlung im Krankheitsfall zustehen, könnte der Beschäftigte sich Ansprüchen des Arbeitgebers auf Rückzahlung des Lohns für die Zeit der Quarantäne ausgesetzt sehen bzw. keinen Lohn erhalten.“

Zusammengefasst: Sofern der Beschäftigte die Angaben verweigert, kann er mangels Mitwirkung auch Nachteile erleiden, also keine Lohnfortzahlung erhalten bzw. Rückzahlungsansprüche des Arbeitgebers ausgesetzt sein. Bemerkenswert ist, dass der LfDI im Zusammenhang mit § 56 Abs. 5 Satz 3 IfSG die Einwilligung als einschlägige Rechtsgrundlage und das Merkmal der Freiwilligkeit bereits in dem Moment als erfüllt ansieht, wenn „der Arbeitgeber dem Beschäftigten jederzeit die Wahl lässt, die erforderlichen Angaben ihm gegenüber zu machen oder nicht.“ Dies dürfte nach Auffassung des LfDI stringent sein, da dem Beschäftigten die Möglichkeit verbleibt gemäß § 56 Abs. 5 Satz 4 IfSG die Entschädigung selbst bei der zuständigen Behörde zu beantragen, ohne dass der Arbeitgeber in diesen Fällen den Impfstatus erfahren würde. 


FRAGERECHT DES ARBEITGEBERS IM RAHMEN DES SOGENANNTEN 2G-OPTIONSMODELLS?

Der Sächsische Datenschutzbeauftragte (SächsDSB) befasst sich in einer Stellungnahme mit der Frage, ob Arbeitgeber im Rahmen des sog. 2G-Optionsmodells der Sächsischen Corona-Schutz-Verordnung (SächsCoronaSchVO). Bei dem 2G-Optionsmodell können gemäß § 6a SächsCoronaSchVO in bestimmten Bereichen Angebote für geimpfte oder genesenen Personen ohne Pflicht zum Tragen einer Mund-Nasen-Bedeckung, ohne Pflicht zur Einhaltung des Abstandgebotes und ohne Beschränkung hinsichtlich der Auslastung der Höchstkapazität ermöglicht werden. Im Zusammenhang mit dem 2G-Optionsmodell sich unter Berücksichtigung der Voraussetzung, dass alle Anwesenden Personen über einen Impf- oder Genesenennachweis verfügen müssen, sogleich die Frage, ob der Arbeitgeber die Offenbarung des Impf- und Genesenenstatus oder die Offenbarung des Ergebnisses eines Tests (§ 6a Abs. 1 Satz 2 SächsCoronaSchVO sieht Ausnahmen für Beschäftigte vom Impf- oder Genesenennachweis vor, sofern diese über einen Testnachweis verfügen und einen medizinische Mund-Nasen-Bedeckung tragen) auf das Nichtvorliegen einer Infektion mit SARS-CoV-2 von seinen Beschäftigten verlangen darf.

Der SächsDSB lehnt ein entsprechendes Fragerecht des Arbeitgebers ab. Abgesehen von den Ausnahmebereichen der §§ 23a Satz 1, 23 Abs. 3 und § 36 Abs. 3 IfSG sieht die Aufsichtsbehörde keine einschlägige belastbare gesetzliche Rechtsgrundlage. Eine Negierung der Anspruchsgrundlage erfolgt ebenfalls für die Abfrage mittels Einwilligung des Beschäftigten, wobei hier nur ein pauschaler Hinweis auf das häufige Fehlen des Tatbestandsmerkmales der Freiwilligkeit ergeht, und keine vertiefte Auseinandersetzung erfolgt. Gleiches gilt für die Verarbeitung aufgrund von Kollektivvereinbarungen. Die streitgegenständliche Norm § 6a SächsCoronaSchVO scheitert im Ergebnis gleichermaßen, hier jedoch aufgrund der fehlenden Regelungskompetenz des sächsischen Verordnungsgebers für eine Rechtsgrundlage zur Abfrage des Impf- oder Genesenenstatus nach § 32 Satz 1 i. V. m. § 28 Absatz 1 Satz 1 und 2, § 28a Absatz 1, Abs. 2 Satz 1, Abs. 3 und Abs. 6 IfSG. Darüber hinaus sei der Arbeitgeber ebenfalls nicht berechtigt das Ergebnis eines Corona-Testes auf das Nichtvorliegen einer Infektion mit SARS-Cov2 von seinen Beschäftigten zu verarbeiten. Die Begründung hierfür wird Wortlaut der Norm bzw. der Systematik der SächsCoronaSchVO festgemacht: § 6a SächsCoronaSchVO sieht lediglich vor, dass der Beschäftigte über einen Testnachweis verfügen muss, eine Pflicht zur Vorlage wurde (beispielsweise abweichend zur Testpflicht für Urlaubsrückkehrer), explizit nicht geregelt.


DOKUMENTATION DES IMPFSTATUS BEI „FREIWILLIGER“ MITTEILUNG DER BESCHÄFTIGTEN

Auch der Landesbeauftragte für den Datenschutz Sachsen-Anhalt hat sich zur Thematik der Abfrage des Impfstatus durch den Arbeitgeber entsprechend geäußert. Zunächst wird herausgesellt, dass ein Zugang des Arbeitgebers zu den Daten über den Impfstatus von Beschäftigten nur sehr begrenzt, gegeben sein wird (z.B. § 24 Abs. 2 Gesetz über den öffentlichen Gesundheitsdienst und die Berufsausbildung im Gesundheitswesen im Land Sachsen-Anhalt). Neben diesen spezialgesetzlichen Normen und dem Verweis auf die bekannten Regelungen aus dem IfSG werden die übrigen Rechtsgrundlagen aus § 26 Abs. 3 BDSG (bzw. § 84 Beamtengesetz des Landes Sachsen-Anhalt), Arbeitsschutzgesetz, SARS-CoV-2-Arbeitsschutzverordnung sowie § 2a Abs. 3, 4 und 14 SARS-Cov2 Eindämmungsverordnung abgelehnt. Zur Begründung wird u.a. angeführt, dass neben der Abfrage des Status der Beschäftigten andere mildere technische und organisatorische Maßnahmen wie bspw. Umsetzung der AHA+L-Regeln, Ablauforganisation, Hygienekonzepte, Homeoffice etc. zur Verfügung stehen und daher im Zweifel keine Erforderlichkeit der Datenverarbeitung anzunehmen sei. Dies gilt auch da durch die Antwort des Beschäftigten auf die Abfrage Rückschlüsse auf dessen Stellung zur (Coronaschutz-)Impfung möglich sind und so Stigmatisierung und sozialer Druck die Folge sein können.

Gleichfalls schließt die Aufsichtsbehörde die Abfrage auf Basis einer Einwilligung des Beschäftigten in den meisten Fällen aufgrund der wohl fehlenden Freiwilligkeit aus. Wiederrum wird aber die Möglichkeit bejaht, dass der Arbeitgeber den Impfstatus verarbeiten darf (Speichern zur Dokumentation, nicht erfragen), wenn dieser von Beschäftigten freiwillig angegeben wird, z.B. um sich von einer Testpflicht zu befreien. In dieser Richtung äußerten sich bereits schon der Hessische Datenschutzbeauftragte in seiner Handreichung sowie das Bayrische Landesamt für Datenschutzaufsicht in einer entsprechenden Mitteilung. Dieses Ergebnis in den Fällen der „aufgedrängten Verarbeitung“ dürfte insbesondere mit Blick auf die derzeitige Praxis interessengerecht sein.


FAZIT

Zusammenfassend lässt sich festhalten, dass ein Fragerecht des Arbeitgebers nach dem Impf- bzw. dem Genesenenstatus weiterhin nur aufgrund einer ausdrücklichen gesetzlichen Normierung gestattet werden kann. Zwar lassen die Aufsichtsbehörden die Einwilligungserklärung prinzipiell offen, diese dürfte jedoch in den meisten Fällen am Tatbestandsmerkmal der Freiwilligkeit scheitern. Etwas anderes gilt nach nunmehr klarerer Tendenz unter den Aufsichtsbehörden lediglich für die Fälle, in denen die Beschäftigten dem Arbeitgeber ihren Impfstatus freiwillig mitteilen, ohne dass dem eine Abfrage seitens des Arbeitgebers vorangegangen wäre.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Corona-Pandemie
  • Einwilligung
  • Gesundheitsdaten
  • Impfstatus
Lesen

ABFRAGE DES IMPFSTATUS VON BESCHÄFTIGTEN DURCH DEN ARBEITGEBER

Im Zusammenhang mit der COVID-19-Pandemie ergeben sich immer mehr und stetig neue rechtliche Fragestellungen, so auch in datenschutzrechtlicher Hinsicht. Hierrüber haben wir in der Vergangenheit bereits berichtet. Mediale Aufmerksamkeit erlangt derzeit insbesondere die umstrittene Frage nach der Zulässigkeit der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber. Jüngst äußerte sich auch der Bundesbeauftrage für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber und rät für Rechtsklarheit zu einer bundeseinheitlichen Regelung. Der folgende Beitrag befasst sich mit den wesentlichen Punkten der Rechtsfrage, wobei hier insbesondere auf die im August 2021 veröffentlichte Handreichung der Hessischen Beauftragten für Datenschutz und Informationsfreiheit Bezug genommen wird.             


WO BEGINNT DAS PROBLEM?

Ausgangspunkt der rechtlichen Betrachtung ist der Umstand, dass es sich bei den Daten zum Impfstatus um Gesundheitsdaten im Sinne des (i.S.d.) Art. 4 Nr. 15 DS-GVO und mithin um besondere Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DS-GVO handelt. Gleichwohl ist die Verarbeitung dieser Kategorien personenbezogener Daten grundsätzlich untersagt, es sei denn es ergibt sich aus Art. 9 Abs. 2, Abs. 3 DS-GVO etwas anderes.  Genau an diesem Punkt knüpfen auch die tatsächlichen Schwierigkeiten an: Es gelten für geimpfte und genesene Personen nach § 28c Infektionsschutzgesetz (IfSG) in Verbindung mit (i.V.m.) der Verordnung zur Regelung von Erleichterung und Ausnahmen von Schutzmaßnahmen zur Verhinderung der Verbreitung von COVID-19 (COVID-19-Schutzmaßnahmen-Ausnahmenverordnung – SchAusnahmV) einige Ausnahmen wie bspw. von der Beschränkung privater Zusammenkünfte (§ 4), von der Beschränkung des Aufenthalts außerhalb einer Wohnung oder einer Unterkunft (§ 5) oder von der Absonderungspflicht (§ 10). Diese Gesamtschau lässt erkennen, dass auch der Arbeitgeber ein gewisses Interesse an der Abfrage des Impf- bzw. Genesenenstatus seiner Beschäftigten haben kann. Die einfache, wie zutreffende Frage ist: Darf er das?


WELCHE RECHTSGRUNDLAGEN KOMMEN IN BETRACHT?

Als belastbare Rechtsgrundlagen werden seitens der Datenschutz-Aufsichtsbehörden in den allermeisten Stellungnahmen bzw. Mitteilungen häufig Art. 9 Abs. 2 lit. h) bzw. lit. i) DS-GVO i.V.m. §§ 23a Satz 1, 23 Abs. 3 IfSG, Art. 9 Abs. 2 lit. b) DS-GVO i.V.m. dem Arbeitsschutzgesetz, der SARS-CoV-2-Arbeitsschutzverordnung, der Coronavirus-Schutzverordnung oder der Verordnung zur arbeitsmedizinischen Vorsorge herangezogen. Sämtlich scheitern diese Grundlagen jedoch (in den meisten Fällen) bereitsauf Tatbestandebene, da keine ausdrücklich normierte gesetzliche Rechtsgrundlage zur Verarbeitung des Impfstatus der Beschäftigten besteht. Ausnahmen bestehen hier für die in § 23 Abs. 3 IfSG genannten Arbeitgeber. Diese scheint deshalb zwingend, da insofern derzeit auch keine allgemeine gesetzlich normierte Impfpflicht hinsichtlich des Coronavirus besteht. Gegenwärtig gibt es keine gesicherten Erkenntnisse darüber, über welchen Zeitraum eine geimpfte Person vor einer COVID-19-Erkrankung geschützt ist, d. h. wie lange der Impfschutz besteht.

Abgestellt wird zudem häufig auf Art. 9 Abs. 2 lit. b) DS-GVO i.V.m. § 26 Abs. 3 BDSG. Hier kann man sich – wie in der Handreichung der Hessischen Datenschutzbeauftragten dargelegt – trefflich darüber streiten, ob § 26 Abs. 3 BDSG eine gesetzliche Grundlage voraussetzt oder aber ob hiernach etwa eine rechtliche Pflicht aus dem Arbeitsvertrag die Verarbeitung rechtfertigen kann. Unabhängig davon wird in der Regel keine rechtliche Pflicht aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und Sozialrecht einschlägig sein. Die Erforderlichkeit richtet sich nach Ansicht der Landesbeauftragen für Datenschutz und Informationsfreiheit Nordrhein-Westfalen jedenfalls wohl nicht nach der Fürsorge- und Schutzpflicht des Arbeitgebers vor potentiellen Ansteckungsrisiken der Beschäftigten oder der Kundschaft.


KANN DER BESCHÄFTIGTE NICHT EINWILLIGEN?

In der Praxis wird häufig als naheliegende Lösungsmöglichkeit die Einwilligung des Betroffenen, hier also der Beschäftigten in Betracht gezogen. Dieser Ansatz ist jedoch nicht immer zutreffend und die Einwilligung nicht die „ultimative“ Rechtsgrundlage für die sie gehalten wird. Im Normgenese des Art. 9 Abs. 2 DS-GVO wird hingegen unter lit. a) die ausdrückliche Einwilligung als Ausnahmetatbestand des Art. 9 Abs. 1 DS-GVO normiert. Im Beschäftigtenverhältnis sind über dies gemäß Art. 88 Abs. 1 DS-GVO in Verbindung mit § 26 Abs. 2 Satz 1 BDSG gesonderte Anforderungen zu berücksichtigen: Das Hauptaugenmerk liegt hier unstreitig auf dem sog. Freiwilligkeitsvorbehalt. Im Beschäftigtenverhältnis ergibt sich die besondere Situation eines Über-/Unterordnungsverhältnis zwischen Arbeitgeber und Beschäftigten, weshalb die Beschäftigten in einem Abhängigkeitsverhältnis zu ihrem Arbeitgeber stehen und daher bei der Abgabe einer Erklärung nur selten frei von Drucksituationen bzw. Zwängen sein können. Die Freiwilligkeit kann gemäß § 26 Abs. 2 Satz 2 BDSG insbesondere dann angenommen werden, wenn für die beschäftigten Personen ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz äußerte sich diesbezüglich, Abfragen des Impfstatus durch Arbeitgeber – und sei es auch nur durch freiwillige Angabe der Beschäftigten – als Teil eines Hygienekonzepts, aufgrund des dadurch für die Beschäftigten entstehenden sozialen Drucks und die Angst vor Repressalien dazu führen, dass ein indirekter Impfzwang entsteht. As diesem Grunde könne eine Einwilligung nicht als Grundlage für eine solche Datenerhebung herangezogen werden.

Die Hessische Datenschutzbeauftragte geht in ihrer Handreichung davon aus, dass die Verarbeitung des Impfstatus durch den Arbeitgeber auf Basis einer Einwilligung etwa dann möglich ist, wenn dies im Zusammenhang mit einem Anreizprogramm für die Beschäftigten erfolgt da der Arbeitgeber insoweit ein wirtschaftliches Interesse haben kann, dass krankheits- oder quarantänebedingte Ausfälle verhindert werden und so gleichfalls Anreize für die Impfung zu setzen. Beispiele für derartige Anreize sind demnach eine Freistellung von der Arbeit für eine Schutzimpfung durch den Betriebsarzt, Sachgeschenk oder finanzielle Anreize („Impf-Bonus“). Zudem wird die Freiwilligkeit nach der Handreichung für die Fälle angenommen, in denen eine Testpflicht besteht und er der Beschäftigt sich der Beschäftigte von dieser Testpflicht durch die Mitteilung befreien kann. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)  merkt in diesem Zusammenhang an, dass allerdings keine Verpflichtung der Beschäftigten besteht, den Impfstatus anzugeben. Entscheiden sich Beschäftigte, den Impfstatus nicht anzugeben, müssen sie sich stattdessen testen lassen.

Für das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) kommt laut entsprechender Mitteilung auf der Basis einer Einwilligung eine Abfrage des Impfstatus grundsätzlich nicht in Betracht. Einwilligungen müssten den Anforderungen des Art. 7 und der Erwägungsgründe 32, 42 und 43 DS-GVO genügen (insbes. Freiwilligkeit). Dies ist infolge der Abhängigkeiten im Beschäftigungsverhältnis in der Regel nicht gegeben (Ausnahmen im Sinne des § 26 Abs. 2 BDSG dürften in der Regel nicht vorliegen). Unabhängig davon ist ein Arbeitgeber aber befugt, den Impfstatus zumindest zu erheben bzw. zur Kenntnis zu nehmen, wenn er vom Beschäftigten freiwillig angegeben wird, um sich gemäß geltenden landesrechtlichen Vorschriften zur Pandemieeindämmung von einer gesetzlich geregelten Pflicht zur Testung zu befreien.


FAZIT

Im „rechtlichen“ Ergebnis wird es wohl derweil darauf hinauslaufen, dass im Detail zu unterscheiden sein wird, zwischen der „Abfrage“ seitens des Arbeitgebers und der „aufgedrängten“ Information durch die Beschäftigten durch die freiwillige Bekanntgabe des Impfstatus. Die Hessische Datenschutzbeauftragte weist im Zusammenhang mit der Einwilligung noch darauf hin, dass die Einwilligung des Beschäftigten in die Verarbeitung nicht automatisch auch die dauerhafte Speicherung des Impfstatus oder die Verarbeitung zusätzlicher Daten rechtfertigt. Der HmbBfDI teilt in seinen FAQ mit, dass soweit der Arbeitgeber den Impfstatus der Beschäftigten verarbeitet, zu beachten ist, dass lediglich ein Vermerk über das Vorliegen des Impfnachweises und den bestehenden Impfschutz in die Personalakte aufgenommen wird. Eine Kopie des Impfausweises ist nicht erforderlich und folglich datenschutzrechtlich unzulässig. In eine ähnliche Richtung ist die Aussage des BayLDA zu verstehen, dass eine Befugnis zur Speicherung der vorgelegten Nachweise in den bislang existierenden Vorschriften (Anm.: landesrechtlichen Vorschriften) dieser Art nicht geregelt ist und sich somit daraus nicht ableiten lässt. Mit Spannung wird daher zu erwarten sein, ob es zu der vom BfDI geforderten einheitlichen Regelung zur Abfrage des Impf- bzw. Genesenenstatus kommen der der Flickenteppich an Rechtsgrundlagen entstehen wird.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Corona-Pandemie
  • Einwilligung
  • Gesundheitsdaten
  • Impfstatus
Lesen