Impfstatus-Abfrage durch Arbeitgeber?

Dürfen Arbeitgeber nun den Impfstatus von Beschäftigten abfragen oder nicht? Und wenn doch, was darf verarbeitet werden? Die Datenschutzkonferenz (DSK) der unabhängigen Aufsichtsbehörden schafft nun mit einem Positionspapier Klarheit.

Foto: Pixabay.com/de; johaehn, vaccine-g97734b24b_1280.jpg

DSK - Wer ist das und wer hat da was zu sagen? 

Die Datenschutzkonferenz der unabhängigen Aufsichtsbehörden in Deutschland, kurz "DSK" genannt, ist ein Koordinations-Gremium. Die Aussagen der DSK sind zwar nicht rechtsverbindlich, geben jedoch einen sehr guten Anhaltspunkt, wie die aktuelle Rechtslage von den Aufsichtsbehörden interpretiert wird. 

Mit ihren Beschlüssen und Positionspapieren gibt die DSK also konkrete Umsetzungshilfen in Bereichen des Datenschutzes, die eher unklar sind. 

Impfstatusabfrage aus Sicht des Datenschutzes

Mit dem aktuellen Beschluss vom 19. Oktober 2021 zu "Verarbeitungen des Datums „Impfstatus“ von Beschäftigten durch die Arbeitgeberin oder den Arbeitgeber" schafft die DSK also Klarheit - aus Sicht der Datenschutz-Aufsichtsbehörden. 

Zunächst stellt die DSK auch klar, dass es ohne entsprechende Rechtsgrundlage keine Impstatus-Abfrage durch den Arbeitgeber geben darf: 

Bei dem Datum „Impfstatus“ handelt es sich um ein Gesundheitsdatum gemäß Artikel 4 Nummer 15 Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DS-GVO) und damit um eine besondere Kategorie personenbezogener Daten, Artikel 9 Absatz 1 DS-GVO.

Deren Verarbeitung ist grundsätzlich verboten und nur ausnahmsweise erlaubt.

Natürlich geht das Papier aber auch auf diese Ausnahmen ein: 

In Einzelfällen ist eine Verarbeitung des Datums „Impfstatus“ auf Grundlage gesetzlicher Regelungen möglich:

Bestimmte – im Gesetz genannte – Arbeitgeberinnen und Arbeitgeber aus dem Gesundheitsbereich (Krankenhäuser, Arztpraxen usw.) dürfen unter den in §§ 23a, 23 Absatz 3 des Infektionsschutzgesetzes (IfSG, externer Link, Bundesministerium für Justiz) genannten gesetzlichen Voraussetzungen den Impfstatus ihrer Beschäftigten verarbeiten;

Bestimmte – im Gesetz genannte – Arbeitgeberinnen und Arbeitgeber, zum Beispiel Trägerinnen und Träger von Kindertageseinrichtungen, ambulante Pflegedienste (Anmerkung: siehe auch § 33 IfSG; http://www.gesetze-im-internet.de/ifsg/__33.html) usw., dürfen unter den in § 36 Absatz 3 IfSG genannten Voraussetzungen den Impfstatus ihrer Beschäftigten im Zusammenhang mit COVID-19 verarbeiten;

Arbeitgeberinnen und Arbeitgeber dürfen den Impfstatus derjenigen Beschäftigten verarbeiten, die ihnen gegenüber einen Anspruch auf Geldentschädigung (Lohnersatz) nach § 56 Absatz 1 IfSG geltend machen. Dessen Voraussetzungen können im Einzelfall auch im Fall einer möglichen Infektion mit COVID-19 sowie einer sich anschließenden Quarantäne vorliegen. Anspruchsvoraussetzung ist unter anderem, ob die Möglichkeit einer Schutzimpfung bestand.

Arbeitgeberinnen und Arbeitgeber dürfen den Impfstatus von Beschäftigten auch verarbeiten, soweit dies durch Rechtsverordnungen zur Pandemiebekämpfung auf Basis des IfSG vorgegeben ist.

Einwilligung geht doch auch?

Die DSK weist ausdrücklich darauf hin, dass Einwilligungen in einem Beschäftigungsverhältnis eher nicht das Mittel der Wahl sein sollten. Grundsätzlich werden in einem solchen Fall an die Freiwilligkeit der Einwilligung besondere Bedingungen geknüpft, die meist nicht eingehalten werden können. 

Die Grundsätze des Datenschutzes

Zu guter Letzt weist die DSK darauf hin, dass - auch bei berechtigter Abfrage des Impfstatus Beschäftigter - die wichtigen Grundsätze der 

Datenminimierung (z.B. keine Speicherung des Impfstatus, wenn lediglich die Prüfung des Impfstatus erforderlich ist)

und 

Speicherbegrenzung (wenn also die Daten zum Impfstatus gespeichert werden sollen, so dürfen diese nicht länger als unbedingt erforderlich gespeichert werden und müssen danach gelöscht werden)

eingehalten werden müssen. 

Das ganze Papier der DSK finden Sie hier (PDF, BfDI - Bundesbeauftragter für Datenschutz und Informationsfreiheit)