Abfrage des Impfstatus von Beschäftigten
Seitdem die Möglichkeit, sich gegen das neuartige Corona-Virus impfen zu lassen, immer mehr Personen eröffnet ist, treten vermehrt Dienstherren und Arbeitgeber an die Datenschutzaufsicht heran, um in Erfahrung zu bringen, ob sie zulässigerweise den Impfstatus der bei ihnen Beschäftigten erfragen dürfen. Bei der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber oder den Dienstherrn handelt es sich um eine Erhebung besonderer Kategorien personenbezogener Beschäftigtendaten in Form von Gesundheitsdaten. Dies kann zulässigerweise nur dann erfolgen, wenn hierfür ein gesetzlicher Erlaubnistatbestand existiert.
Ein solcher Erlaubnistatbestand ist in § 23a Infektionsschutzgesetz (IfSG) zu sehen. Danach darf der Arbeitgeber, soweit es zur Erfüllung von Verpflichtungen aus § 23 Abs. 3 IfSG in Bezug auf übertragbare Krankheiten erforderlich ist, personenbezogene Daten eines Beschäftigten über dessen Impf- und Serostatus verarbeiten, um über die Begründung eines Beschäftigungsverhältnisses oder über die Art und Weise einer Beschäftigung zu entscheiden. § 23 Abs. 3 IfSG bezieht sich jedoch nur auf die Leitungen der dort aufgeführten medizinischen Einrichtungen, wie beispielsweise Krankenhäuser oder Pflegeeinrichtungen, weshalb die Erlaubnis zur Impfstatuserhebung nur für die in diesen Einrichtungen Beschäftigten herangezogen werden kann.
Für alle übrigen Beschäftigten richtet sich die Zulässigkeit dieser Vorgehensweise nach Art. 9 Abs. 2 lit. b Datenschutz-Grundverordnung (DSGVO) i. v. m. § 26 Abs. 3 Bundesdatenschutzgesetz (BDSG) beziehungsweise im öffentlichen Bereich nach § 20 Abs. Abs. 3 Landesdatenschutzgesetz (LDSG). Danach ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht (oder dem Beamtenrecht), dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Die landesrechtliche Regelung ergänzt diese Aufzählung noch um die Erfüllung der Pflichten der Gesundheitsvorsorge oder der Arbeitsmedizin.
Von einer Erforderlichkeit kann nur dann ausgegangen werden, wenn die personenbezogenen Daten für die Aufgabenerfüllung der verantwortlichen Stelle unabdingbar sind. Dies ist wiederum der Fall, wenn die Aufgabe ohne die Kenntnis der Information nicht, nicht rechtzeitig, nur mit unverhältnismäßigem Aufwand oder nur mit sonstigen unverhältnismäßigen Nachteilen erfüllt werden kann. Um im vorliegenden Fall eine Erforderlichkeit bejahen zu können, dürfte der Arbeitgeber bzw. Dienstherr also ohne die Information über den Impfstatus schlechterdings nicht in der Lage sein, seinen Betrieb zu organisieren oder seinen Verpflichtungen als Arbeitsgeber nachzukommen. Zur Beurteilung, ob dies der Fall ist, sind die Wertungen der im Zusammenhang mit der Corona-Pandemie erlassenen Regelungen auf Bundes- und Landesebene heranzuziehen.
Dabei ist zunächst festzuhalten, dass weder in der derzeit geltenden 21. Corona-Bekämpfungsverordnung Rheinland-Pfalz (21. CoBeLVO) noch in der SARS-CoV2-Arbeitsschutzverordnung (Corona-ArbSchV) des Bundes Impfungen als Teil des Hygienekonzepts vorgesehen sind. Auch ist festzuhalten, dass die aktuelle Rechtslage mit Blick auf den Eingriff in die Grundrechte der einzelnen Person aktuell keine Impfpflicht zum Schutze vor der COVID-19-Erkrankung vorsieht. Während dies für die oben genannten Personengruppen, deren Impfstatus zulässigerweise abgefragt werden darf, dazu führen könnte, dass gewisse berufsbezogene Tätigkeiten aufgrund dieser Tatsache nicht mehr durchgeführt werden können, erwachsen Beschäftigten in übrigen Berufszweigen hier keine Einschränkungen. Dies wird bereits daran deutlich, dass die gängigen Hygieneregelungen, wie das Tragen einer medizinischen Maske und das Abstandhalten, nach wie vor und trotz möglicherweise vorhandenem Impfschutz einzuhalten sind. So regelt auch § 3 Corona-ArbSchV ausdrücklich, dass der Arbeitgeber auf der Grundlage einer Gefährdungsbeurteilung und unter Berücksichtigung der SARS-CoV-2-Arbeitsschutzregel in einem Hygienekonzept die erforderlichen Maßnahmen zum betrieblichen Infektionsschutz festzulegen und umzusetzen hat. Dies kann sich allerdings nur auf die ohnehin gesetzlich angeordneten Regelungen erstrecken. Würde der Arbeitgeber die Abfrage des Impfstatus – und sei es auch nur durch freiwillige Angabe der Beschäftigten – als Teil des Hygienekonzepts vorsehen, könnte dies aufgrund des dadurch für die Beschäftigten entstehenden sozialen Drucks und die Angst vor Repressalien dazu führen, dass ein indirekter Impfzwang entsteht. Aus diesem Grunde kann auch eine Einwilligung von Beschäftigten nicht als Grundlage für eine solche Datenerhebung herangezogen werden, da sie aufgrund der angesichts des wirtschaftlichen Abhängigkeitsverhältnisses mangelnden echten Wahlmöglichkeit der Beschäftigten nicht freiwillig zustande kommen kann.
Der Gesamtschau der gesetzlichen Regelungen ist zu entnehmen, dass der Gesetzgeber der Ansicht ist, dass sich ein ausreichendes Hygienemanagement und eine zuverlässige Betriebsplanung auch ohne die Kenntnis des Impfstatus von Beschäftigten bewerkstelligen lässt und der Arbeitgeber so seinen Fürsorgeund Schutzpflichten aus § 613 BGB hinreichend nachkommen kann. Ob und inwieweit die Fürsorgepflicht des Arbeitgebers Schutzpflichten zur Gestaltung der Arbeitsorganisation beinhaltet, kann nur vor dem Hintergrund der Wertungen des Gesetzgebers konkretisiert werden. Die Abfrage des Impfstatus von Beschäftigten außerhalb der in § 23 Abs. 3 IfSG genannten Bereiche ist daher grundsätzlich unzulässig.
Ausnahmen können dort gelten, wo aufgrund der geltenden Corona-Vorschriften der Zugang zu gewissen Einrichtungen nur unter Vorlage eines negativen Testergebnisses gewährt wird. Dies ist derzeit im schulischen Bereich der Fall. Ausweislich § 28b Abs. 3 IfSG ist die Teilnahme am Präsenzunterricht nur zulässig für Schülerinnen und Schüler sowie für Lehrkräfte, die zweimal in der Woche mittels eines anerkannten Tests auf eine Infektion mit dem Coronavirus SARS-CoV-2 getestet werden.
Gemäß der auf Grundlage des § 28c IfSG erlassenen Schutzmaßnahmen-Ausnahmeverordnung besteht nunmehr die Möglichkeit, im Falle des Nachweises eines vollständigen Impfschutzes von der verpflichtenden Teilnahme an der Testung befreit zu werden. In diesem Zusammenhang bestehen hinsichtlich der Abfrage des Impfstatus durch den Dienstherrn keine datenschutzrechtlichen Bedenken, da die Mitteilung durch die Beschäftigten in diesem Falle aufgrund der bestehenden Wahlmöglichkeit, ob sie statt der Offenbarung ihres Impfstatus weiterhin an verpflichtenden Testungen teilnehmen möchten, freiwillig erfolgt.
Sollten sich die Beschäftigten für die Mitteilung des Impfstatus entschließen, ist zu beachten, dass lediglich ein Vermerk über die Inaugenscheinnahme des Impfnachweises und den bestehenden Impfschutz in die Personalakte aufzunehmen ist und keinesfalls eine Kopie des Impfpasses.
Für andere Berufszweige gilt in Bezug auf Corona-Schnelltests, dass Arbeitgeber und Dienstherrn gemäß § 5 Abs. 1 Corona-ArbSchV zur Minderung des betrieblichen SARS-CoV2-Infektionsrisikos Beschäftigten, soweit diese nicht ausschließlich in ihrer Wohnung arbeiten, mindestens zweimal pro Kalenderwoche einen Test in Bezug auf einen direkten Erregernachweis des Coronavirus SARS-CoV-2 anzubieten haben. Eine Verpflichtung für Beschäftigte, dieses Angebot anzunehmen oder zur Teilnahme an Schnelltest vor Betreten der Tätigkeitsstätte ist derzeit nicht vorgesehen, sondern lediglich empfohlen. Daher gilt hier in Anlehnung an das oben Gesagte, dass eine Erhebung von Testergebnissen durch den Arbeitgeber oder Dienstherrn unzulässig ist.
Darüber hinaus gibt es auch keine Rechtsgrundlage, die es Kunden eines Unternehmens erlaubt, von Mitarbeitern dieses Unternehmens ein negatives Testzertifikat oder Mitteilungen über den Impfstatus zu verlangen, solange es sich nicht um Dienstleister im Sinne des § 23 Abs. 3 IfSG handelt. Seinen (vor)vertraglichen Verpflichtungen gegenüber Kunden, Besuchern oder schutzbedürftigen Beschäftigten muss der Dienstherr/Arbeitgeber ohnehin im Wege der oben genannten Hygienemaßnahmen nachkommen, und bezüglich einer möglicherweise bestehenden Einwilligung gilt das oben Gesagte. Eine Übermittlung von Daten aus Testzertifikaten von Beschäftigten an Kunden kann somit weder durch eine Rechtsgrundlage, noch aufgrund einer Einwilligung der Beschäftigten legitimiert werden und ist somit generell unzulässig.
Quelle: LfDI Rheinland-Pfalz
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks