Muss ich meinem Arbeitgeber das offen legen?

Als Antwort gilt wie so oft: Es kommt darauf an.

Impfungen gegen das Corona-Virus könnten das (Arbeits-)Leben normalisieren. Deshalb wird aktuell viel diskutiert, ob und wie Unternehmen eine Impfung der Beschäftigten verlangen oder aber zumindest fördern können, um dieses Ziel schneller zu erreichen, sobald ausreichend Impfstoff verfügbar ist. Dies ist jedoch stets verknüpft mit der Frage, ob der Beschäftigte schon geimpft ist oder nicht. Da bei der Beantwortung personenbezogene Daten erhoben werden, dürfen natürlich die datenschutzrechtlichen Aspekte nicht außer Betracht bleiben.

Nachweis der Impfung – ein Gesundheitsdatum

Zunächst ist festzustellen, dass es sich bei dem Nachweis einer Impfung um ein Gesundheitsdatum im Sinne des Art. 9 Abs. 1 DSGVO handelt (wir berichteten: Blogbeitrag). Damit liegen besondere personenbezogene Daten vor, die sensibler als beispielsweise Daten wie Vor- und Nachname sind und deshalb vom Arbeitgeber nur in bestimmten Ausnahmefällen erhoben und verarbeitet werden dürfen.

Grundsätzlich unzulässig?

Wann ein solcher Ausnahmefall vorliegt, ist in Art. 9 Abs. 2 DSGVO, § 26 Abs. 3 BDSG normiert.

Demnach kann Art. 9 Abs. 2 lit. b DSGVO herangezogen werden, wenn die Verarbeitung erforderlich ist, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist. Nach jetzigem Stand stellt dies aber keine anwendbare Rechtsgrundlage dar, weil nicht gesichert ist, dass Personen, die gegen Covid 19 geimpft sind, das Virus nicht mehr übertragen. Zudem ist nicht geklärt, ob die Impfung dauerhaft gegen Neuerkrankungen, insb. neue Mutanten, zuverlässig schützt. Es ist also nicht zur Erfüllung der Fürsorgepflicht des Arbeitgebers in Bezug auf den Gesundheitsschutz seiner Beschäftigten erforderlich, da er dieser auch durch andere geeignete Maßnahmen nachkommen kann. Diese Meinung vertritt auch der Landesbeauftragte für Datenschutz und Informationssicherheit Nordrhein-Westfalen in seiner Aussage vom 18.03.2021:

„Die Erforderlichkeit der Abfrage des Corona-Impfstatus durch den Arbeitgeber richtet sich nach § 26 Abs. 3 BDSG, Art. 9 Abs. 2 lit. b) DS-GVO, soweit keine Spezialnorm (wie z. B. § 23 a IFSG) greift. Diese ist derzeit grundsätzlich zu verneinen. Für die Erhebung des Impfstatus durch Arbeitgeber, die nicht unter besondere Spezialnormen fallen, besteht derzeit keine Rechtsgrundlage. Impfbescheinigungen dürfen dementsprechend nicht mit zur Personalakte genommen werden.

Die Erforderlichkeit richtet sich nach den konkreten Zwecken. Oftmals wird durch Arbeitgeber angeführt, dass sie durch die Abfrage des Impfstatus sich selbst, ihre Beschäftigten (Fürsorge- und Schutzpflicht, § 613 BGB, § 3 ArbSchG) und die Kundschaft (die dies ggf. fordern könnten) vor potentiellen Ansteckungsrisiken besser schützen können. Die aktuelle Rechtslage sieht mit Blick auf den Eingriff in die Grundrechte der einzelnen Person aktuell keine Impfpflicht zum Schutze vor der COVID-19-Erkrankung vor. Bei Abfragen des Impfstatus durch den Arbeitgeber könnte ein sozialer Druck aufgebaut werden. […]

Dazu kommt, dass mangels vorhandenem Impfstoff aktuell nicht allen Beschäftigten eine Impfmöglichkeit zur Verfügung steht. Die Abfragen der Arbeitgeber und die sich daraus möglicherweise ergebenden Konsequenzen könnten zu einer Benachteiligung einzelner Personen beziehungsweise Personengruppen führen.“  

Auch Art. 9 Abs. 2 lit. g DSGVO kann nicht herangezogen werden, der eine Verarbeitung aus Gründen des öffentlichen Interesses legitimiert, denn der Arbeitgeber hat vordergründig ein betriebliches und kein öffentliches Interesse an der Offenlegung.

Ausnahmsweise zulässig?

Es gibt jedoch auch verschiedene Konstellationen, in denen ein Abfragen des Impfstatus zulässig ist.

Das oben Gesagte ist nämlich nicht auf Sachverhalte anwendbar, in denen der Ausnahmetatbestand des § 23a IfSG greift, so etwa für Beschäftigte in Arztpraxen oder Krankenhäuer (wir berichteten: Blogbeitrag). Hier gilt, dass der Arbeitgeber einer solchen Einrichtung den Impfstatus abfragen und verarbeiten darf.

Außerdem können Arbeitgeber, die nicht einer solchen Einrichtung angehören, den Impfstatus ihrer Arbeitnehmer abfragen, wenn sie dies mit einer Impfprämie verknüpfen. Möglich sind hier eine einmalige Bonuszahlung, Sachgeschenke oder auch ein zusätzlicher Urlaubstag. Hier ist zu beachten, dass Arbeitnehmer nicht sachgrundlos benachteiligt werden dürfen. Möchte der Beschäftigte eine Prämie erhalten, kann der Nachweis der Impfung verlangt werden. Im Rahmen der Datenminimierung und Speicherbegrenzung ist es jedoch nicht möglich, etwa eine Kopie des Impfpasses zu speichern. Denkbar wäre, sich den Nachweis zeigen zu lassen und dies in einer Liste abzuhaken. Selbst der Impfnachweis sollte nicht gespeichert werden.

Weiterhin könnte der Arbeitgeber sich auf die Einwilligung, Art. 9 Abs. 2 lit. a DSGVO, berufen und den Impfstatus abfragen, wenn der Beschäftigte in die Beantwortung der Frage eingewilligt hat. Eine solche freiwillige Erhebung ist nicht ausgeschlossen, allerdings mit hohen Hürden verbunden, die stets mit dem Datenschutzbeauftragten abgesprochen werden sollten, da gerade im Beschäftigtenverhältnis und dem sich daraus ergebenden Über-/ Unterordnungsverhältnis zwischen Arbeitgeber und Arbeitnehmer wohl nur selten eine zweifelsfrei freiwillige Einwilligung vorliegt.

Teilweise wird vertreten, dass aus dem Fragerecht des Arbeitgebers etwa nach dem Aufenthalt in einem Risikogebiet, eine wertungsmäßige Parallele zur Frage nach der Impfung gezogen werden könne und deshalb auch hier ein Fragerecht bejaht werden könne. Dieser Ansicht wird vorliegend nicht gefolgt. Es muss unterschieden werden, ob der Arbeitgeber einerseits wissen muss, ob ein Beschäftigter (möglicherweise) infiziert ist, um die übrigen Beschäftigten zu schützen und andererseits der Frage nach dem Impfstatus, der (zumindest aktuell) keine ausschlaggebende Rolle für die Kollegen des Geimpften spielt. Dies wird auch vom Bundesbeauftragten für Datenschutz und Informationsfreiheit vertreten, der in seinem Artikel “Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie” nur die folgenden Maßnahmen als datenschutzrechtlich legitimiert betrachtet:

„Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat oder in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.“               

Fazit

Solange es in Deutschland keine Impfpflicht gegen Covid 19 gibt, ist es grundsätzlich die persönliche und private Angelegenheit eines Arbeitnehmers, ob dieser sich impfen lässt oder nicht und geht den Arbeitgeber nichts an. Ob es hierbei bleiben wird, ist jedoch abzuwarten. Wie aus der Pressemitteilung vom 31.03.2021 der Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) hervorgeht, fordert die DSK den Gesetzgeber dazu auf, schnellstmöglich zu handeln und eine gesetzliche Grundlage zu schaffen, die den strengen Vorgaben des Art. 9 Abs. 2 DSGVO bei der Verarbeitung von Gesundheitsdaten genügt.