Im letzten Beitrag zum Thema Corona und Impfung, welchen Sie hier abrufen können, habe ich versprochen, Sie zu diesem kontroversen Thema auf dem Laufenden zu halten.

Zur Wiederholung: Die Information, dass sich eine Person impfen ließ bzw. solche Nachweise an sich stellen ein Gesundheitsdatum dar und unterliegen dem Anwendungsbereich der DSGVO bzw. dem deutschen BDSG aufgrund deren Sensibilität.

Nunmehr wird die datenschutzrechtliche Perspektive dieser Thematik im Beschäftigungskontext beleuchtet und dabei der Fall konstruiert, dass der Arbeitgeber seine Mitarbeiter befragt, ob sie sich einer Corona-Impfung unterzogen haben. Dabei wird auch ein Blick nach Österreich geworfen werden, nachdem hier über eine Impfpflicht für Ärzte und Friseure berichtet wurde. In Österreich sieht das Epidemiegesetz in seinem § 17 Abs. 3 und 4 eine grundsätzliche gesetzliche Ermächtigung vor, Schutzimpfungen anzuordnen.

Deutschland – Rechtsgrundlage der Datenverarbeitung

Die Verarbeitung besonderer Kategorien personenbezogener Daten wird unter bestimmten Voraussetzungen in § 26 Abs. 3 BDSG geregelt:

„Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Absatz 2 gilt auch für die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten; die Einwilligung muss sich dabei ausdrücklich auf diese Daten beziehen. § 22 Absatz 2 gilt entsprechend.“

 20 Abs. 6 Infektionsschutzgesetz (IfSG) schafft eine Rechtsgrundlage für Verpflichtungen für „bedrohte Teile der Bevölkerung“ eine Impfpflicht zu normieren. Mangels einer entsprechenden Rechtsvorschrift scheitert es derzeit schon an einer tauglichen Rechtsgrundlage im deutschen Recht, sodass auf die Regelungen in der DSGVO zurückgegriffen werden müsste.

Sollte eine vergleichbare Bestimmung für bestimmte Berufsgruppen oder Personen – vergleichbar mit dem der verpflichtenden Masernschutzimpfung für bestimmte Personen gemäß § 20 Abs. 8 ff IfSG – eingeführt werden, so ist nach hier vertretener Auffassung § 26 Abs. 3 BDSG nicht heranzuziehen, da es sich um keine Pflichten aus dem Arbeitsrecht, der sozialen Sicherheit oder des Sozialschutzes handelt.

Im Rahmen der Covid-Pandemie wurde als Rechtsgrundlage für die Datenverarbeitung auf die Öffnungsklausel des Art. 9 Abs. 2 lit. i DSGVO zurückgegriffen, worunter auch bestimmte Regelungen des IfSG gezählt werden könnten. Als Öffnungsklausel könnte § 23a IfSG für bestimmte Einrichtungen (zB Krankenhäuser, Arztpraxen) bewertet werden:

„§ 23a Personenbezogene Daten über den Impf- und Serostatus von Beschäftigten

Soweit es zur Erfüllung von Verpflichtungen aus § 23 Absatz 3 in Bezug auf übertragbare Krankheiten erforderlich ist, darf der Arbeitgeber personenbezogene Daten eines Beschäftigten über dessen Impf- und Serostatus verarbeiten, um über die Begründung eines Beschäftigungsverhältnisses oder über die Art und Weise einer Beschäftigung zu entscheiden. Dies gilt nicht in Bezug auf übertragbare Krankheiten, die im Rahmen einer leitliniengerechten Behandlung nach dem Stand der medizinischen Wissenschaft nicht mehr übertragen werden können. Im Übrigen gelten die Bestimmungen des allgemeinen Datenschutzrechts.“

§ 23 Abs. 3 Nosokomiale Infektionen; Resistenzen; Rechtsverordnungen durch die Länder

Die Leiter folgender Einrichtungen haben sicherzustellen, dass die nach dem Stand der medizinischen Wissenschaft erforderlichen Maßnahmen getroffen werden, um nosokomiale Infektionen zu verhüten und die Weiterverbreitung von Krankheitserregern, insbesondere solcher mit Resistenzen, zu vermeiden:

  1. Krankenhäuser,
  2. Einrichtungen für ambulantes Operieren,
  3. Vorsorge- oder Rehabilitationseinrichtungen, in denen eine den Krankenhäusern vergleichbare medizinische Versorgung erfolgt,
  4. Dialyseeinrichtungen,
  5. Tageskliniken,
  6. Entbindungseinrichtungen,
  7. Behandlungs- oder Versorgungseinrichtungen, die mit einer der in den Nummern 1 bis 6 genannten Einrichtungen vergleichbar sind,
  8. Arztpraxen, Zahnarztpraxen,
  9. Praxen sonstiger humanmedizinischer Heilberufe,
  10. Einrichtungen des öffentlichen Gesundheitsdienstes, in denen medizinische Untersuchungen, Präventionsmaßnahmen oder ambulante Behandlungen durchgeführt werden,
  11. ambulante Pflegedienste, die ambulante Intensivpflege in Einrichtungen, Wohngruppen oder sonstigen gemeinschaftlichen Wohnformen erbringen, und
  12. Rettungsdienste.

Der Verweis auf § 23 Abs. 3 IfSG zeigt auf, dass der Impfstatus von Beschäftigten nur unter engen Voraussetzungen und nur bestimmten Arbeitgebern offengelegt werden darf. Durch den Verweis auf § 23 Abs. 3 IfSG kann derzeit nicht darauf geschlossen werden, dass dies für sämtliche Arbeitgeber gilt. Im Sinne der Erforderlichkeit ist dabei noch weiters zu beachten, dass eine Abfrage (Impfung ja/nein) unter diesen Gesichtspunkten gestattet ist. Nähere Informationen finden Sie auch in dieser Stellungnahme der Bundesministerien für Arbeit und Soziales sowie Gesundheit. Über § 23 IfSG hinaus sollte eine Abfrage nicht erfolgen, neben Zweifel an der Erforderlichkeit auch keine gesetzliche Grundlage im deutschen Recht vorgesehen ist.

Österreich

Im Unterschied zum deutschen Gesetzgeber erließ der österreichische keine dem § 26 BDSG vergleichbare Sondernorm zum Beschäftigtendatenschutz. Dies hat zur Folge, dass sich in Österreich die Datenverarbeitung im Rahmen des Beschäftigtenverhältnisses größtenteils gemäß der DSGVO beurteilt. Kollektivvereinbarungen wie Kollektivverträge (in Deutschland: Tarifverträge) oder Betriebsvereinbarungen können dann als taugliche Rechtsgrundlage herangezogen werden, wenn diese den Anforderungen des Art. 88 Abs. 2 DSGVO entsprechen: geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz. Es gelten daher im Grunde die gleichen Voraussetzungen wie oben beschrieben.

Spiegelbildlich zur deutschen Rechtslage sieht auch das österreichische Epidemiegesetz – wie eingangs erwähnt – eine Rechtsgrundlage dafür vor, für bestimmte gefährdete Personen bzw. Gruppen, z.B. Beschäftigte in Krankenhäuser, Schutzimpfungen behördlich anzuordnen.

Sofern in Österreich also behördlich angeordnet werden würde, dass sich bestimmte Berufs- oder Risikogruppen impfen lassen müssen, könnte der Arbeitgeber die Beschäftigten nach einer erfolgten Impfung fragen, sofern diese unter diese Gruppen fallen. Widrigenfalls ist nach hier vertretener Auffassung eine solche Offenlegung des Impfstatus mit Rahmen des Beschäftigungsverhältnisses nicht erforderlich.

„Na, dann holen wir uns halt eine Einwilligung“ – Geht das?

Grundsätzlich kann auch die Einwilligung im Beschäftigungsverhältnis als Rechtsgrundlage dienen, sofern diese freiwillig erteilt wurde. Unter Zugrundelegung des § 26 Abs. 2 BDSG für Deutschland bzw. Art. 7 Abs. 4 DSGVO für Österreich und dem Beschäftigungsverhältnis in der Regel immanente Abhängigkeitsverhältnis bestehen erhebliche Zweifel an einer freiwilligen Offenlegung der Beschäftigten über eine erfolgte Impfung und den ggf. damit einhergehenden Stigmatisierungen, falls eine Impfung nicht erfolgte.

Fazit

Neben den zweifelhaften Rechtsgrundlagen gemäß der DSGVO bzw. dem BDSG müssen darüber hinaus natürlich auch die weiteren Verpflichtungen aus der DSGVO umgesetzt werden: Die Information der betroffenen Mitarbeiter gemäß Art. 13 DSGVO sowie entsprechende technisch-organisatorische Maßnahmen. Nach Ansicht der Autorin bleibt es fraglich, ob Arbeitgeber eine Offenlegung des Impfstatus der Beschäftigten ohne gesetzlich determinierte Impfpflicht verlangen können, ohne dabei Beanstandungsrisiken durch die Aufsichtsbehörden einzugehen. Sofern eine Offenlegung erfolgt, sollte besonderes Augenmerk auf die technisch-organisatorischen Maßnahmen gelegt werden.