Datenschutz

Datenschutz im Unternehmen: Auskunft über Impfstatus?

04.10.2021

IITR Information[IITR – 04.10.21] „Bist Du schon geimpft?“ Eine Frage, die seit diesem Frühjahr in kaum einem Smalltalk mehr fehlte und somit wohl das altbekannte „schönes Wetter heute“ abgelöst hat. Ein recht simpler Lückenfüller, bei dem sich keiner der Fragesteller Sorgen darum machte, ob man so etwas fragen könne oder dürfe.

Darf der Arbeitgeber den Impfstatus abfragen?

Weg vom Freundes- und Bekanntenkreis, hin zur Arbeitswelt. Darf eine solche Frage eigentlich auch der Arbeitgeber stellen?

„[Im Sinne dieser Verordnung bezeichnet der Ausdruck] „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche und geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;“ (Art. 4 Nr. 15 DSGVO)

Beim Impf- oder auch beim Genesenen-Status sowie auch bei einem Coronatest-Ergebnis handelt es sich zweifelsfrei um ein solches „Gesundheitsdatum“. Fraglich ist nun die Abfrage einer solch sensiblen Information.

Datenschutz-Aufsicht: kein Fragerecht des Arbeitgebers

Die Antwort der Aufsichtsbehörden fällt relativ klar aus: „Ein Arbeitgeber darf seine Beschäftigten zur Durchführung des Beschäftigungsverhältnisses nicht nach ihrem Impfstatus bezüglich SARS-CoV-2 fragen (…).“ (So stellvertretend für alle die Bayerische Landesaufsicht auf ihrer Webseite.)

Lediglich in sensiblen Bereichen wie dem der medizinischen Versorgung sei es durch eine Rechtsgrundlage möglich, den Impfstatus der Mitarbeiter abzufragen und aus datenschutzrechtlicher Sicht zu „verarbeiten“.

„(…) die Verarbeitung von Gesundheitsdaten (…) ist untersagt.“ (Art. 9 Abs. 1 DSGVO)

Eine solche ist nämlich grundsätzlich durch die Datenschutzgrundverordnung untersagt. Nur in den gesetzlich aufgeführten Fällen kann eine Ausnahme zur Verarbeitung gemacht werden.

Nun liegt es nahe, dass manch ein umsichtiger oder auch sorgsamer Arbeitgeber versucht, sich auf einen der Erlaubnistatbestände zu stützen.

Arbeitgeber könnten beispielsweise mit einer Einwilligung des Arbeitnehmers im Sinne des Art. 9 Abs. 2 lit. a DSGVO versuchen zu argumentieren:

„Absatz 1 gilt nicht in folgenden Fällen:
Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt (…).“

Bei der Einwilligung – insbesondere im Arbeitsverhältnis – stellt sich die Problematik der „Freiwilligkeit“. Ob in solchen Fällen des Parteienungleichgewichts (vgl. Erwägungsgrund 43) eine Einwilligung tatsächlich freiwillig abgegeben werden kann, ist mehr als umstritten. Noch dazu sprechen die Umstände der Impfung und der verbreiteten Angst, gesellschaftlich als „Impfgegner“ oder gar „Querdenker“ abgestempelt zu werden nicht dafür, dass der Befragte völlig frei seine Einwilligung erteilen wird. Eine solche Lösungsfindung ist den Arbeitgebern somit nicht anzuraten.

„…die Verarbeitung ist für Zwecke der Gesundheitsvorsorge (…) erforderlich.“ / „…die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren (…) erforderlich.“
(Art. 9 Abs. 2 lit. h, i DSGVO)

Als aufmerksamer Leser des Artikel 9 der Datenschutzgrundverordnung wird man über diese Ausnahmefälle stolpern. In Fragen der Gesundheit wäre möglicherweise eine Verarbeitung gesetzlich erlaubt. Das mag auf den ersten Blick zwar gut und passend klingen, jedoch sind hier die verschiedenen Schutzgüter und Interessen abzuwägen. Ein milderes Mittel, das den gleichen Erfolg verspricht, stellt bspw. ein striktes Hygienekonzept mit Maskenpflicht, Abstand, Home-Office bzw. keine volle Büroauslastung etc. dar. Hierzu bedarf es keinerlei Erhebung und damit Verarbeitung solch sensibler Informationen. Somit ist eine solche auch nicht unbedingt erforderlich, so dass auch diese Ausnahme nicht greifen kann.

Dass es für weite Bereiche der Arbeitswelt eine solche Erlaubnis nicht gibt, dafür spricht auch das Handeln des Gesetzgebers, der explizit für Teilbereiche eine solche Erlaubnis erst durch Gesetzgebung möglich machte. Eine solche Regelung wäre redundant gewesen, hätte es bereits durch die Datenschutzgrundverordnung selbst Möglichkeiten gegeben, den Impfstatus abzufragen.

„Die DSK fordert den Gesetzgeber auf, kurzfristig ein entsprechendes Gesetzgebungsverfahren in die Wege zu leiten.“ (Datenschutzkonferenz zu Coronavirus)

Bereits am 29. März 2021 kamen die Datenschutzaufsichtsbehörden zu dem Ergebnis, dass in diesem Punkt dringender Handlungsbedarf seitens des Gesetzgebers bestünde. Dieser konnte sich jedoch nur auf eine Teilbereichslösung einigen.

Fragerecht nur in explizit geregelten Ausnahme-Fällen

„Soweit es zur Erfüllung von Verpflichtungen aus § 23 Absatz 3 in Bezug auf übertragbare Krankheiten erforderlich ist, darf der Arbeitgeber personenbezogene Daten eines Beschäftigten über dessen Impf- und Serostatus verarbeiten“ (§ 23a IfSG)

Der Blick in § 23 Abs. 3 IfSG zeigt, für welche Bereiche eine solche Ausnahme getroffen wurde:

  1. Krankenhäuser
  2. Einrichtungen für ambulantes Operieren
  3. Vorsorge- oder Rehabilitationseinrichtungen, in denen eine den Krankenhäusern vergleichbare Versorgung erfolgt
  4. Dialyseeinrichtungen
  5. Tageskliniken
  6. Entbindungseinrichtungen
  7. Behandlungs- oder Vorsorgeeinrichtungen, die mit einer der in den Nummern 1 bis 6 genannten Einrichtungen vergleichbar sind
  8. Arztpraxen, Zahnarztpraxen
  9. Praxen sonstiger humanmedizinischer Heilberufe
  10. Einrichtungen des öffentlichen Gesundheitsdienstes, in denen medizinische Untersuchungen, Präventionsmaßnahmen oder ambulante Behandlungen durchgeführt werden
  11. ambulante Pflegedienste, die ambulante Intensivpflege in Einrichtungen, Wohngruppen oder sonstigen gemeinschaftlichen Wohnformen erbringen
  12. Rettungsdienste

Umgehungsversuche: Verdienstausfall wegen Corona-Quarantäne

„Der Arbeitgeber darf das fragen“, sagte Uwe Lahl, Amtschef im [Sozial-]Ministerium [in Stuttgart] (…) „Der Datenschutz muss an der Stelle zurücktreten.“ (So die Badische Zeitung)

Dieses interessante Zitat bezieht sich auf den Sonderfall des Verdienstausfalls wegen Corona-Quarantäne. So soll ab November für Ungeimpfte ein solcher Ausfall nicht mehr ausgeglichen werden. Dazu ist es logischerweise zwingend notwendig, den Impfstatus der Beschäftigten in solchen Fällen aufzunehmen. Das hehre Ziel einer hohen Impfquote in der Gesellschaft durch Druck auf Ungeimpfte verdränge Aspekte und Bedenken hinsichtlich des Datenschutzes, die von Dr. Stefan Brink als zuständigem Landesbeauftragten des Landes Baden-Württemberg vorgebracht würden.

Eine pikante Situation, sozusagen eine Abfragemöglichkeit durch die Hintertür, die neben Dr. Brink noch weiteren Datenschützern Bauchschmerzen bereiten dürfte. All dies ließe sich durch eine breiter angelegte Gesetzesgrundlage lösen. In dieser Form herrscht lediglich Unsicherheit bei Unternehmen, die nicht einmal durch Rücksprache bei Datenschutzbeauftragten oder Experten aufgelöst werden kann.

Inzwischen hat Herr Dr. Brink seine Ansicht auch nochmal weiter differenziert und spricht im Zusammenhang mit der Auszahlung einer Entschädigung nach § 56 IfSG von einem Fragerecht des Arbeitgebers, aber keiner Pflicht des Beschäftigten zur Antwort. Der Beschäftigte habe nach Auffassung von Dr. Brink in jedem Fall die Möglichkeit, anstelle einer Auskunft gegenüber seinem Arbeitgeber die  Entschädigung nach § 56 IfSG selbst zu verlangen – was das Gesundheitsministerium wiederum verneint und ein Antragsrecht allein beim Arbeitgeber sieht.

Stellungnahme der Datenschutzkonferenz

[Update vom 19.10.2021:] Mittlerweile hat die Datenschutzkonferenz Stellung zu diesem Thema bezogen. So sei auch aus ihrer Sicht eine grundsätzliche Verarbeitungsmöglichkeit des Impfstatus – und somit auch die Abfrage des solchen – nicht möglich, weil es an einer passenden Rechtsgrundlage dafür fehle. Lediglich in den oben angesprochenen sensiblen Bereichen oder im Sonderfall eines arbeitnehmerseitigen Anspruchs auf Geldentschädigung (Lohnersatz) nach § 56 Abs. 1 IfSG sei dies ausnahmsweise möglich. Auch den Weg einer Einwilligung von Arbeitnehmern sehe man angesichts des Aspekts der “Freiwilligkeit” in Über- und Unterordnungsverhältnissen kritisch. Somit kommt man auch hier letztlich zu dem Ergebnis, dass eine solche Abfrage ohne weitere staatliche Schritte nicht möglich sei.

Blick nach Italien: Kein Lohn ohne Impfung oder Test

„Al lavoro con il green pass o addio stipendio“ (so die italienische Tageszeitung Il Sole 24 Ore)

Um zu sehen, wie eine staatliche Lösung aussehen kann, genügt ein Blick über die Alpen auf die italienische Halbinsel. Dort hat das Parlament am 17. September 2021 beschlossen, dass in der Arbeitswelt der sogenannte „Green Pass“ (ein Zertifikat, das das Vorliegen eines Status im Sinne der „3G“ vorweist) verpflichtend ist. Dem Arbeitgeber ist dabei nicht lediglich ein Recht zur Abfrage des Impfstatus eingeräumt worden, sondern er muss den „Green Pass“ ab 15. Oktober 2021 verpflichtend kontrollieren, soweit ein Arbeitnehmer ins Büro oder in die Fabrik kommt. Sollte dieser keinen „Green Pass“ vorlegen können oder wollen, wird sein Arbeitgeber umgehend von der Pflicht zur Gehaltszahlung befreit.

Davon verspricht man sich in Italien eine noch höhere Impfquote: „Die Zahlen unserer Kampagne sind sehr ermutigend. Aber es ist klar, dass eine noch stärkere Nutzung des Greenpasses, so wie wir es jetzt mit diesem Dekret beschlossen haben, uns noch stärker helfen wird, die Impfkampagne voranzutreiben.“ (So Mario Draghi laut tagesschau.de)

Das soll nun keineswegs als Beispiel für den deutschen Gesetzgeber dienen, jedoch zeigt es, dass andere Länder hier aktiv sind und handeln.

Autor: Michael Wehowsky

Michael Wehowsky

Über den Autor - Michael Wehowsky, CIPP/E, CIPT

Michael Wehowsky verfügt als Certified Information Privacy Professional (CIPP/E) und Certified Information Privacy Technologist (CIPT) sowie als zertifizierter Datenschutzbeauftragter (udis, FernUni Hagen) über eine Kombination aus juristischem und technischem Fachwissen.
Er berät Unternehmen verschiedener Ausrichtung und Größe in deutscher, englischer und italienischer Sprache, mit besonderem Schwerpunkt auf Software- und Internet-Datenschutz. Darüber hinaus teilt er seine Erfahrungen als Speaker auf nationalen und internationalen Konferenzen.

Beitrag teilen:

Kontakt

Rechtsanwalt Dr. Sebastian Kraska,
externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail: email@iitr.de
www.iitr.de

0 Kommentar zu diesem Beitrag:

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IITR Chatbot IITR Chatbot