(MSC) Wenn immer mehr Menschen geimpft sind, stellt sich sowohl für viele Arbeitgeber als auch für Arbeitnehmer die Frage, ob es möglich ist, durch Vorlage einer Impfbestätigung wieder uneingeschränkt an den Arbeitsplatz zurückzukehren. Die Rückkehr zum ursprünglichen Arbeitsplatz, der gemeinsame Besuch der Kantine oder auch die Planung der nächsten Weihnachtsfeier wären doch um ein Vielfaches einfacher, wenn der Impfstatus durch den Arbeitgeber erfragt, geprüft und dokumentiert werden könnte. In unserer Reihe „Neues aus den Aufsichtsbehörden“ befassen wir uns heute mit dieser Frage:

Muss ich meinem Arbeitgeber meinen Impfstatus mitteilen?

Die Verarbeitung von Gesundheitsdaten im Beschäftigungskontext muss die Anforderungen der Datenschutz-Grundverordnung erfüllen. Informationen über Gesundheitsdaten – und hierzu gehören sowohl Corona Tests als auch ein Impfstatus oder der Nachweis einer überstandenen Infektion – stehen unter dem besonders strengen Schutz der DS-GVO und dürfen nur unter eng auszulegenden Ausnahmen verarbeitet werden.

In Artikel 9 der DS-GVO ist der Umgang mit Gesundheitsdaten eindeutig geregelt bzw. untersagt, wenn nicht Ausnahmen nach Absatz 2 die Verarbeitung erlauben. Ausnahmen könnten eine Einwilligung der betroffenen Person sein, der Schutz lebenswichtiger Interessen, ein öffentliches Interesse, wissenschaftliche Forschungszwecke u.a. All diese Ausnahmen bieten keine tragfähige Rechtsgrundlage, um den Impfschutz zu erfragen. Demnach bliebe nur die Einwilligung der betroffenen Person. Doch hierzu gibt es eine eindeutige Entschließung der Datenschutzkonferenz (DSK) – dem Zusammenschluss aller Datenschutzbehörden des Bundes und der Länder:   

 „Coronavirus: Impfnachweis, Nachweis negativen Testergebnisses und Genesungsnachweis in der Privatwirtschaft und im Beschäftigungsverhältnis gehören gesetzlich geregelt!“. „In Ermangelung einer gesetzlichen Grundlage bedarf es somit in der Regel einer Einwilligung der Restaurant- oder Konzertbesucher, Arbeitnehmer etc. in die Erhebung und Verarbeitung ihrer Gesundheitsdaten, wobei vor allem im Beschäftigungsbereich die Freiwilligkeit der Einwilligung regelmäßig problematisch ist“. (https://www.datenschutzkonferenz-online.de/media/en/20210331_entschliessung_impfdatenverarbeitung.pdf)

Wenn demnach die Einwilligung seitens der DSK grundsätzlich als problematisch eingestuft wird, könnten die weiteren Ausnahmen, die eine Verarbeitung nach Art. 9 rechtfertigen, wie zum Beispiel „Zwecke der Gesundheitsvorsorge“, „lebenswichtige Interessen“ oder gar „öffentliches Interesse“ in Betracht gezogen werden.

Doch auch hier wird es problematisch. Eine nachvollziehbare Abwägung der beiderseitigen Interessen, also die des Arbeitgebers und die der Beschäftigten, wird nicht gelingen.

Dem Arbeitgeber obliegt die Pflicht einen sicheren Arbeitsplatz anzubieten, er hat diese Fürsorgepflicht auch in Bezug auf den Gesundheitsschutz. Dieser Pflicht kann er nicht nur durch den Nachweis einer Impfung nachkommen, sondern er kann sich anderer Möglichkeiten bedienen (z.B. einem Hygienekonzept, Homeoffice, Abstandregelungen etc.).

In diesem Zusammenhang muss der Arbeitgeber auch berücksichtigen, dass nach bisherigem Kenntnisstand nicht sicher ist, ob der Impfschutz zur Immunität führt. Er kann nach derzeitigem Kenntnisstand nicht davon ausgehen, dass geimpfte Personen kein Risiko mehr darstellen. Es besteht die Vermutung, dass auch Geimpfte noch Viren übertragen können.

Schon allein unter Betrachtung dieser Problematik kann eine Verarbeitung von Gesundheitsdaten auf der Grundlage von Art. 9 DS-GVO nicht erfolgen.

Die DSK unterstreicht in Ihrer Pressemitteilung vom 31.03.2021 die Forderung nach einer gesetzlichen Regelung:

„Ohne eine solche gesetzliche Regelung kommt als Rechtsgrundlage zwar eine Einwilligung in Betracht, deren Wirksamkeit ist allerdings daran zu messen ist, ob diese freiwillig abgegeben wurde. Einzelfallbezogene Abwägungen hinsichtlich der Wirksamkeit der Einwilligung können dabei komplex und mit großer Rechtsunsicherheit verbunden sein“. „Die Datenschutzkonferenz fordert den Gesetzgeber mit ihrer heutigen Entschließung daher auf, schnellstmöglich zu handeln und eine gesetzliche Grundlage zu schaffen, die den strengen Vorgaben des Artikels 9 Absatz 2 Datenschutz-Grundverordnung bei der Verarbeitung von Gesundheitsdaten genügt“.(https://www.datenschutzkonferenz-online.de/media/pm/20210331_pm_entschliessung_impfdaten.pdf)

An dieser Stelle sei der Einwand erlaubt, dass nach § 20 Infektionsschutzgesetz (IfSG) die Verarbeitung von Impfdaten der Masernschutzimpfung von Kindern erlaubt ist. In diesem Gesetz wird die Offenlegung von Impfdaten legalisiert. „Personen, die nach dem 31.12.1970 geboren sind und in einer Gemeinschafsteinrichtung […] betreut werden, müssen entweder einen ausreichenden Impfschutz gegen Masern nachweisen oder eine Immunität gegen Masern aufweisen“ (§ 20 IfSG (8)). Hier hat der Gesetzgeber für eine Regelung insbesondere für den Schutz von Kindern in Kindertageseinrichtungen getroffen.

Im Zusammenhang mit der Corona-Pandemie fehlt jedoch bisher eine solche Regelung, die aktuell von der Datenschutzkonferenz eingefordert wird. Solange keine gesetzliche Regelung besteht, dürfen Arbeitgeber keinen Impfstatus erfragen oder gar dokumentieren.

Übrigens: Im Rahmen einer Besucherkontrolle steht es Ihnen frei, Gäste, Besucher, Kunden […] nach deren Impfstatus, Genesung oder Immunität zu fragen – Sie können Hausrecht geltend machen und auf der Grundlage von Art. 7 DS-GVO die Einwilligung einholen – dies gilt aber wie oben ausgeführt keinesfalls für Beschäftigte in Ihrem Unternehmen.