Datenschutzkonferenz äußert sich zur Verarbeitung des Impfstatus von Beschäftigten
Nachdem im September 2021 für Teile der Gesundheitsbranche sowie Kitas und Schulen die Abfrage des Impfstatus und Immunstatus der Beschäftigten gesetzlich geregelt wurde, hat sich nun die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) zur Verarbeitung des Impfstatus von Beschäftigten aller übrigen Branchen geäußert (Auskunftsrecht zum Impfstatus) darüber berichtet, dass in das Infektionsschutzgesetz (IfSG) für (ambulante) Pflegeeinrichtungen sowie Kitas und Schulen im Rahmen der epidemischen Lage ein Recht zur Abfrage des Impfstatus und Immunstatus aufgenommen worden ist. Für Krankenhäuser bestand dieses Abfragerecht schon länger.
Mit Beschluss vom 19. Oktober 2021 stellte die DSK nun fest, dass es ihrer Ansicht nach derzeit keine gesetzliche Ermächtigung zur Abfrage des Impf- und Immunstatus aller übrigen Beschäftigten – auch nicht im Rahmen der COVID-19-Pandemie – gibt. Beim Impf- und Immunstatus handelt es sich um ein Gesundheitsdatum gemäß Art. 4 Nr. 15 DS-GVO und damit um eine besondere Kategorie personenbezogener Daten im Sinne des Art. 9 Abs. 1 DS-GVO. Deren Verarbeitung ist grundsätzlich verboten und nur ausnahmsweise bei Eingreifen besonderer Gründe nach Art. 9 Abs. 2 DS-GVO oder im Rahmen von
§ 26 Abs. 3 Satz 1 BDSG gestattet, wenn die Verarbeitung von Gesundheitsdaten im Beschäftigungsverhältnis zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht erforderlich ist und schutzwürdige Interessen des Arbeitnehmers nicht überwiegen.
Laut DSK sei für Letzteres – also die Verarbeitung des Impf- und Immunstatus der Beschäftigten auf Grundlage von § 26 Abs. 3 S. 1 BDSG – kein Raum. Zwar ist der Beschluss nur für den weltlichen Datenschutz ergangen, dennoch gehen wir erfahrungsgemäß davon aus, dass der Beschluss auch der Auffassung der kirchlichen Datenschutzaufsichten entsprechen dürfte und daher § 53 KDG/KDR-OG und § 49 DSG-EKD ebenfalls keine ausreichenden Rechtsgrundlagen für die Verarbeitung des Impf- und Immunstatus sind.
Wenige Ausnahmen sind möglich
Laut DSK ist lediglich in Einzelfällen die Abfrage des Impfstatus und Immunstatus auf Grundlage gesetzlicher Regelungen möglich. Zum Beispiel bei bestimmten, im Gesetz genannten Arbeitgebern aus dem Gesundheitsbereich (Krankenhäuser, Arztpraxen usw.) sowie bei Kindertageseinrichtungen, Schulen und ambulanten Pflegediensten. Eine weitere Ausnahme bildet die Lohnfortzahlung im Quarantänefall. Daneben sei auch eine Verarbeitung möglich, soweit dies durch Rechtsverordnungen zur Pandemiebekämpfung auf Basis des IfSG vorgegeben sei.
Die Verarbeitung des Impf- und Immunstatus von Beschäftigten auf der Grundlage einer Einwilligung ist zwar weiterhin möglich, aber daran sind strenge Voraussetzungen gebunden. Die Einwilligung muss nämlich freiwillig erfolgen (§ 26 Abs. 2, Abs. 3 Satz 2 BDSG). Aufgrund des zwischen Arbeitgebern und ihren Beschäftigten bestehenden Über- und Unterordnungsverhältnisses bestehen regelmäßig Zweifel an der Freiwilligkeit und damit Rechtswirksamkeit der Einwilligung von Beschäftigten.
Grundsätze für die Datenverarbeitung sind bei der Abfrage des Impfstatus zu beachten
Darüber hinaus betont die DSK, dass Arbeitgeber die erfragten Angaben zum Impf- und Immunstatus ihrer Beschäftigten in jedem Fall datenschutzkonform verarbeiten müssen. Es gelten vor allem folgende Grundsätze der DS-GVO:
- Grundsatz der Datenminimierung: Zunächst muss geprüft werden, ob die reine Abfrage des Impf- und Immunstatus zur Zweckerreichung bereits ausreichend ist. Dann ist keine Speicherung erforderlich. Soll der Impf- und Immunstatus gespeichert werden, dürfen keine Kopien von Impfausweisen oder vergleichbaren Bescheinigungen (im Original oder als Kopie) in die Personalakte aufgenommen werden. Es ist ausreichend, wenn vermerkt wird, dass diese jeweils vorgelegt worden sind.
- Grundsatz der Speicherbegrenzung, Recht auf Löschung: Sobald der Zweck für die Speicherung des Impf- und Immunstatus entfallen ist, muss dieses personenbezogene Datum gelöscht werden.
- Grundsatz der Rechenschaftspflicht: Arbeitgeber müssen – sofern einschlägig – auch die Freiwilligkeit einer Einwilligung nachweisen können.
Sprechen Sie uns gerne an, wenn wir Ihnen bei der Umsetzung oder Einordnung des Beschlusses der DSK zur Abfrage des Impfstatus von Beschäftigten behilflich sein können.