Recht auf Abfrage des Impfstatus und Immunstatus von Beschäftigten bleibt Ausnahme

Datenschutzkonferenz äußert sich zur Verarbeitung des Impfstatus von Beschäftigten

Arbeitgeber dürfen Impfstatus von Beschäftigten nur ausnahmsweise abfragen

Nachdem im September 2021 für Teile der Gesundheitsbranche sowie Kitas und Schulen die Abfrage des Impfstatus und Immunstatus der Beschäftigten gesetzlich geregelt wurde, hat sich nun die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) zur Verarbeitung des Impfstatus von Beschäftigten aller übrigen Branchen geäußert (Beschluss der DSK vom 19. Oktober 2021). Sie sieht für ein Recht auf Abfrage des Impfstatus durch den Arbeitgeber derzeit keine gesetzliche Grundlage und überdies Schwierigkeiten bei der Einwilligung.

Wir hatten bereits im September (im Artikel Auskunftsrecht zum Impfstatus) darüber berichtet, dass in das Infektionsschutzgesetz (IfSG) für (ambulante) Pflegeeinrichtungen sowie Kitas und Schulen im Rahmen der epidemischen Lage ein Recht zur Abfrage des Impfstatus und Immunstatus aufgenommen worden ist. Für Krankenhäuser bestand dieses Abfragerecht schon länger.

Mit Beschluss vom 19. Oktober 2021 stellte die DSK nun fest, dass es ihrer Ansicht nach derzeit keine gesetzliche Ermächtigung zur Abfrage des Impf- und Immunstatus aller übrigen Beschäftigten – auch nicht im Rahmen der COVID-19-Pandemie – gibt. Beim Impf- und Immunstatus handelt es sich um ein Gesundheitsdatum gemäß Art. 4 Nr. 15 DS-GVO und damit um eine besondere Kategorie personenbezogener Daten im Sinne des Art. 9 Abs. 1 DS-GVO. Deren Verarbeitung ist grundsätzlich verboten und nur ausnahmsweise bei Eingreifen besonderer Gründe nach Art. 9 Abs. 2 DS-GVO oder im Rahmen von
§ 26 Abs. 3 Satz 1 BDSG gestattet, wenn die Verarbeitung von Gesundheitsdaten im Beschäftigungsverhältnis zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht erforderlich ist und schutzwürdige Interessen des Arbeitnehmers nicht überwiegen.

Laut DSK sei für Letzteres – also die Verarbeitung des Impf- und Immunstatus der Beschäftigten auf Grundlage von § 26 Abs. 3 S. 1 BDSG – kein Raum. Zwar ist der Beschluss nur für den weltlichen Datenschutz ergangen, dennoch gehen wir erfahrungsgemäß davon aus, dass der Beschluss auch der Auffassung der kirchlichen Datenschutzaufsichten entsprechen dürfte und daher § 53 KDG/KDR-OG und § 49 DSG-EKD ebenfalls keine ausreichenden Rechtsgrundlagen für die Verarbeitung des Impf- und Immunstatus sind.

Wenige Ausnahmen sind möglich

Laut DSK ist lediglich in Einzelfällen die Abfrage des Impfstatus und Immunstatus auf Grundlage gesetzlicher Regelungen möglich. Zum Beispiel bei bestimmten, im Gesetz genannten Arbeitgebern aus dem Gesundheitsbereich (Krankenhäuser, Arztpraxen usw.) sowie bei Kindertageseinrichtungen, Schulen und ambulanten Pflegediensten. Eine weitere Ausnahme bildet die Lohnfortzahlung im Quarantänefall. Daneben sei auch eine Verarbeitung möglich, soweit dies durch Rechtsverordnungen zur Pandemiebekämpfung auf Basis des IfSG vorgegeben sei.

Die Verarbeitung des Impf- und Immunstatus von Beschäftigten auf der Grundlage einer Einwilligung ist zwar weiterhin möglich, aber daran sind strenge Voraussetzungen gebunden. Die Einwilligung muss nämlich freiwillig erfolgen (§ 26 Abs. 2, Abs. 3 Satz 2 BDSG). Aufgrund des zwischen Arbeitgebern und ihren Beschäftigten bestehenden Über- und Unterordnungsverhältnisses bestehen regelmäßig Zweifel an der Freiwilligkeit und damit Rechtswirksamkeit der Einwilligung von Beschäftigten.

Grundsätze für die Datenverarbeitung sind bei der Abfrage des Impfstatus zu beachten

Darüber hinaus betont die DSK, dass Arbeitgeber die erfragten Angaben zum Impf- und Immunstatus ihrer Beschäftigten in jedem Fall datenschutzkonform verarbeiten müssen. Es gelten vor allem folgende Grundsätze der DS-GVO:

  • Grundsatz der Datenminimierung: Zunächst muss geprüft werden, ob die reine Abfrage des Impf- und Immunstatus zur Zweckerreichung bereits ausreichend ist. Dann ist keine Speicherung erforderlich. Soll der Impf- und Immunstatus gespeichert werden, dürfen keine Kopien von Impfausweisen oder vergleichbaren Bescheinigungen (im Original oder als Kopie) in die Personalakte aufgenommen werden. Es ist ausreichend, wenn vermerkt wird, dass diese jeweils vorgelegt worden sind.
  • Grundsatz der Speicherbegrenzung, Recht auf Löschung: Sobald der Zweck für die Speicherung des Impf- und Immunstatus entfallen ist, muss dieses personenbezogene Datum gelöscht werden.
  • Grundsatz der Rechenschaftspflicht: Arbeitgeber müssen – sofern einschlägig – auch die Freiwilligkeit einer Einwilligung nachweisen können.


Sprechen Sie uns gerne an, wenn wir Ihnen bei der Umsetzung oder Einordnung des Beschlusses der DSK zur Abfrage des Impfstatus von Beschäftigten behilflich sein können.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Münster
LL.M.
Chris Brauckmann, externer Datenschutzbeauftragter und Auditor (TÜVcert.)
+49 (0)251 48261-0
 

Solidaris Rechtsanwaltsgesellschaft mbH

Münster
RA
Alexander Gottwald, EMBA, externer Datenschutzbeauftragter (GDDcert. EU)
+49 (0)251 48261-173
 

Solidaris Rechtsanwaltsgesellschaft mbH

Gottwald

Alexander Gottwald

  • Studium der Rechtswissenschaft in Frankfurt am Main und Münster
  • seit 2016 Rechtsanwalt
  • 2016 EMBA – Executive Master of Business Management, Betriebswirtschaftliches Masterprogramm der Westfälischen Wilhelms-Universität Münster
  • seit 2016 bei der Solidaris
  • 2017 – Ausbildung zum zertifizierten Datenschutzbeauftragten bei der Gesellschaft
    für Datenschutz und Datensicherheit (GDDcert. EU)

Aktivitäten

  • Lehrauftrag an der Hochschule FOM in Münster u.a. in dem Bachelor-Studiengang Wirtschafts-Informatik

Schwerpunkte

  • Gesellschafts-, Vereins- und Stiftungsrecht 
  • Steuer- und Gemeinnützigkeitsrecht 
  • Individual- und Kollektivarbeitsrecht 
  • Allg. Zivilrecht und Vertragsrecht 
  • IT-Recht und Datenschutz
  • Externer Datenschutzbeauftragter

Veröffentlichungen in der Fachpresse
2019

  • Datenschutz im MVZ: Health&Care Management, 12/2019, S. 60.
  • Datenschutz - ein Perspektivwechsel: PflegeManagement, 4-5/2019, S. 14-15.
  • Die Tücken der E-Mail-Verschlüsselung: BRAK Magazin, 1/2019, S. 6.
  • Erstmalig hohes Bußgeld: Health&Care Management, 2/2019, S.56.


Veröffentlichungen in der Fachpresse
2018

  • Richtlinie kurzfristig umsetzen: Wohlfahrt intern, 6/2018, S. 39. 
  • Datenschutz erhält mehr Gewicht: neue Caritas, 2/2018, S. 24.
  • Kirchen beschließen Novellierung des Datenschutzes: Health&Care Management Newsletter, 1/2018

Veröffentlichungen in der Fachpresse
2017

  • Freifunk für alle: Sozialwirtschaft, 9-10/2017, S. 36-37.
  • Neue Regeln für Befristungen: Sozialwirtschaft, 6/2017, S. 30-31.