Im Zusammenhang mit der COVID-19-Pandemie ergeben sich immer mehr und stetig neue rechtliche Fragestellungen, so auch in datenschutzrechtlicher Hinsicht. Hierrüber haben wir in der Vergangenheit bereits berichtet. Mediale Aufmerksamkeit erlangt derzeit insbesondere die umstrittene Frage nach der Zulässigkeit der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber. Jüngst äußerte sich auch der Bundesbeauftrage für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber und rät für Rechtsklarheit zu einer bundeseinheitlichen Regelung. Der folgende Beitrag befasst sich mit den wesentlichen Punkten der Rechtsfrage, wobei hier insbesondere auf die im August 2021 veröffentlichte Handreichung der Hessischen Beauftragten für Datenschutz und Informationsfreiheit Bezug genommen wird.
WO BEGINNT DAS PROBLEM?
Ausgangspunkt der rechtlichen Betrachtung ist der Umstand, dass es sich bei den Daten zum Impfstatus um Gesundheitsdaten im Sinne des (i.S.d.) Art. 4 Nr. 15 DS-GVO und mithin um besondere Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DS-GVO handelt. Gleichwohl ist die Verarbeitung dieser Kategorien personenbezogener Daten grundsätzlich untersagt, es sei denn es ergibt sich aus Art. 9 Abs. 2, Abs. 3 DS-GVO etwas anderes. Genau an diesem Punkt knüpfen auch die tatsächlichen Schwierigkeiten an: Es gelten für geimpfte und genesene Personen nach § 28c Infektionsschutzgesetz (IfSG) in Verbindung mit (i.V.m.) der Verordnung zur Regelung von Erleichterung und Ausnahmen von Schutzmaßnahmen zur Verhinderung der Verbreitung von COVID-19 (COVID-19-Schutzmaßnahmen-Ausnahmenverordnung – SchAusnahmV) einige Ausnahmen wie bspw. von der Beschränkung privater Zusammenkünfte (§ 4), von der Beschränkung des Aufenthalts außerhalb einer Wohnung oder einer Unterkunft (§ 5) oder von der Absonderungspflicht (§ 10). Diese Gesamtschau lässt erkennen, dass auch der Arbeitgeber ein gewisses Interesse an der Abfrage des Impf- bzw. Genesenenstatus seiner Beschäftigten haben kann. Die einfache, wie zutreffende Frage ist: Darf er das?
WELCHE RECHTSGRUNDLAGEN KOMMEN IN BETRACHT?
Als belastbare Rechtsgrundlagen werden seitens der Datenschutz-Aufsichtsbehörden in den allermeisten Stellungnahmen bzw. Mitteilungen häufig Art. 9 Abs. 2 lit. h) bzw. lit. i) DS-GVO i.V.m. §§ 23a Satz 1, 23 Abs. 3 IfSG, Art. 9 Abs. 2 lit. b) DS-GVO i.V.m. dem Arbeitsschutzgesetz, der SARS-CoV-2-Arbeitsschutzverordnung, der Coronavirus-Schutzverordnung oder der Verordnung zur arbeitsmedizinischen Vorsorge herangezogen. Sämtlich scheitern diese Grundlagen jedoch (in den meisten Fällen) bereitsauf Tatbestandebene, da keine ausdrücklich normierte gesetzliche Rechtsgrundlage zur Verarbeitung des Impfstatus der Beschäftigten besteht. Ausnahmen bestehen hier für die in § 23 Abs. 3 IfSG genannten Arbeitgeber. Diese scheint deshalb zwingend, da insofern derzeit auch keine allgemeine gesetzlich normierte Impfpflicht hinsichtlich des Coronavirus besteht. Gegenwärtig gibt es keine gesicherten Erkenntnisse darüber, über welchen Zeitraum eine geimpfte Person vor einer COVID-19-Erkrankung geschützt ist, d. h. wie lange der Impfschutz besteht.
Abgestellt wird zudem häufig auf Art. 9 Abs. 2 lit. b) DS-GVO i.V.m. § 26 Abs. 3 BDSG. Hier kann man sich – wie in der Handreichung der Hessischen Datenschutzbeauftragten dargelegt – trefflich darüber streiten, ob § 26 Abs. 3 BDSG eine gesetzliche Grundlage voraussetzt oder aber ob hiernach etwa eine rechtliche Pflicht aus dem Arbeitsvertrag die Verarbeitung rechtfertigen kann. Unabhängig davon wird in der Regel keine rechtliche Pflicht aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und Sozialrecht einschlägig sein. Die Erforderlichkeit richtet sich nach Ansicht der Landesbeauftragen für Datenschutz und Informationsfreiheit Nordrhein-Westfalen jedenfalls wohl nicht nach der Fürsorge- und Schutzpflicht des Arbeitgebers vor potentiellen Ansteckungsrisiken der Beschäftigten oder der Kundschaft.
KANN DER BESCHÄFTIGTE NICHT EINWILLIGEN?
In der Praxis wird häufig als naheliegende Lösungsmöglichkeit die Einwilligung des Betroffenen, hier also der Beschäftigten in Betracht gezogen. Dieser Ansatz ist jedoch nicht immer zutreffend und die Einwilligung nicht die „ultimative“ Rechtsgrundlage für die sie gehalten wird. Im Normgenese des Art. 9 Abs. 2 DS-GVO wird hingegen unter lit. a) die ausdrückliche Einwilligung als Ausnahmetatbestand des Art. 9 Abs. 1 DS-GVO normiert. Im Beschäftigtenverhältnis sind über dies gemäß Art. 88 Abs. 1 DS-GVO in Verbindung mit § 26 Abs. 2 Satz 1 BDSG gesonderte Anforderungen zu berücksichtigen: Das Hauptaugenmerk liegt hier unstreitig auf dem sog. Freiwilligkeitsvorbehalt. Im Beschäftigtenverhältnis ergibt sich die besondere Situation eines Über-/Unterordnungsverhältnis zwischen Arbeitgeber und Beschäftigten, weshalb die Beschäftigten in einem Abhängigkeitsverhältnis zu ihrem Arbeitgeber stehen und daher bei der Abgabe einer Erklärung nur selten frei von Drucksituationen bzw. Zwängen sein können. Die Freiwilligkeit kann gemäß § 26 Abs. 2 Satz 2 BDSG insbesondere dann angenommen werden, wenn für die beschäftigten Personen ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz äußerte sich diesbezüglich, Abfragen des Impfstatus durch Arbeitgeber – und sei es auch nur durch freiwillige Angabe der Beschäftigten – als Teil eines Hygienekonzepts, aufgrund des dadurch für die Beschäftigten entstehenden sozialen Drucks und die Angst vor Repressalien dazu führen, dass ein indirekter Impfzwang entsteht. As diesem Grunde könne eine Einwilligung nicht als Grundlage für eine solche Datenerhebung herangezogen werden.
Die Hessische Datenschutzbeauftragte geht in ihrer Handreichung davon aus, dass die Verarbeitung des Impfstatus durch den Arbeitgeber auf Basis einer Einwilligung etwa dann möglich ist, wenn dies im Zusammenhang mit einem Anreizprogramm für die Beschäftigten erfolgt da der Arbeitgeber insoweit ein wirtschaftliches Interesse haben kann, dass krankheits- oder quarantänebedingte Ausfälle verhindert werden und so gleichfalls Anreize für die Impfung zu setzen. Beispiele für derartige Anreize sind demnach eine Freistellung von der Arbeit für eine Schutzimpfung durch den Betriebsarzt, Sachgeschenk oder finanzielle Anreize („Impf-Bonus“). Zudem wird die Freiwilligkeit nach der Handreichung für die Fälle angenommen, in denen eine Testpflicht besteht und er der Beschäftigt sich der Beschäftigte von dieser Testpflicht durch die Mitteilung befreien kann. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) merkt in diesem Zusammenhang an, dass allerdings keine Verpflichtung der Beschäftigten besteht, den Impfstatus anzugeben. Entscheiden sich Beschäftigte, den Impfstatus nicht anzugeben, müssen sie sich stattdessen testen lassen.
Für das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) kommt laut entsprechender Mitteilung auf der Basis einer Einwilligung eine Abfrage des Impfstatus grundsätzlich nicht in Betracht. Einwilligungen müssten den Anforderungen des Art. 7 und der Erwägungsgründe 32, 42 und 43 DS-GVO genügen (insbes. Freiwilligkeit). Dies ist infolge der Abhängigkeiten im Beschäftigungsverhältnis in der Regel nicht gegeben (Ausnahmen im Sinne des § 26 Abs. 2 BDSG dürften in der Regel nicht vorliegen). Unabhängig davon ist ein Arbeitgeber aber befugt, den Impfstatus zumindest zu erheben bzw. zur Kenntnis zu nehmen, wenn er vom Beschäftigten freiwillig angegeben wird, um sich gemäß geltenden landesrechtlichen Vorschriften zur Pandemieeindämmung von einer gesetzlich geregelten Pflicht zur Testung zu befreien.
FAZIT
Im „rechtlichen“ Ergebnis wird es wohl derweil darauf hinauslaufen, dass im Detail zu unterscheiden sein wird, zwischen der „Abfrage“ seitens des Arbeitgebers und der „aufgedrängten“ Information durch die Beschäftigten durch die freiwillige Bekanntgabe des Impfstatus. Die Hessische Datenschutzbeauftragte weist im Zusammenhang mit der Einwilligung noch darauf hin, dass die Einwilligung des Beschäftigten in die Verarbeitung nicht automatisch auch die dauerhafte Speicherung des Impfstatus oder die Verarbeitung zusätzlicher Daten rechtfertigt. Der HmbBfDI teilt in seinen FAQ mit, dass soweit der Arbeitgeber den Impfstatus der Beschäftigten verarbeitet, zu beachten ist, dass lediglich ein Vermerk über das Vorliegen des Impfnachweises und den bestehenden Impfschutz in die Personalakte aufgenommen wird. Eine Kopie des Impfausweises ist nicht erforderlich und folglich datenschutzrechtlich unzulässig. In eine ähnliche Richtung ist die Aussage des BayLDA zu verstehen, dass eine Befugnis zur Speicherung der vorgelegten Nachweise in den bislang existierenden Vorschriften (Anm.: landesrechtlichen Vorschriften) dieser Art nicht geregelt ist und sich somit daraus nicht ableiten lässt. Mit Spannung wird daher zu erwarten sein, ob es zu der vom BfDI geforderten einheitlichen Regelung zur Abfrage des Impf- bzw. Genesenenstatus kommen der der Flickenteppich an Rechtsgrundlagen entstehen wird.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.