Bereits in unseren Blog-Beiträgen aus September und Oktober 2021 haben wir uns ausführlich mit den Problematiken im Zusammenhang mit der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber auseinandergesetzt. Mit den rasant steigenden Infektionszahlen wurden vermehrt die Rufe nach einer einheitlichen Rechtsgrundlage zur Verarbeitung des Test-, Genesenen- oder Impfstatus der Beschäftigten laut. Abhilfe schaffen nun die neuen Regelungen des Infektionsschutzgesetzes (IfSG), insbesondere des § 28b Abs. 3 IfSG, deren Inhalt dieser Beitrag datenschutzrechtlich umreißen soll.
WAS WIRD GEREGELT?
Die wesentliche Norm zur Abfrage des Test-, Genesenen- oder Impfstatus von Beschäftigten ist der Norm des § 28b Abs. 3 IfSG zu entnehmen. Darin heißt es im Wesentlichen:
„Alle Arbeitgeber sowie die Leitungen der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen sind verpflichtet, die Einhaltung der Verpflichtungen nach Absatz 1 Satz 1 und Absatz 2 Satz 1 durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren. Alle Arbeitgeber und jeder Beschäftigte sowie Besucher der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen sind verpflichtet, einen entsprechenden Nachweis auf Verlangen vorzulegen. Soweit es zur Erfüllung der Pflichten aus Satz 1 erforderlich ist, darf der Arbeitgeber sowie die Leitung der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen zu diesem Zweck personenbezogene Daten einschließlich Daten zum Impf-, Sero- (Genesenen-) [Anmerkung des Autors] und Teststatus in Bezug auf die Coronavirus-Krankheit-2019 (COVID-19) verarbeiten. Die Daten dürfen auch zur Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß den §§ 5 und 6 des Arbeitsschutzgesetzes verwendet werden, soweit dies erforderlich ist. § 22 Absatz 2 des Bundesdatenschutzgesetzes gilt entsprechend. […]. Die nach Satz 3 und nach Satz 8 erhobenen Daten sind spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen; die Bestimmungen des allgemeinen Datenschutzrechts bleiben unberührt.“
Weiterhin enthält die Regelung weitere Verpflichtungen für „in Absatz 2 Satz 1 genannte Einrichtungen.“ Hierunter zählen grundsätzlich Einrichtungen des Gesundheitswesens (§ 23 Abs. 3 Satz 1 IfSG), Pflegeeinrichtungen (§ 36 Abs. 1 Nr. 2 IfSG) sowie ambulante Pflegedienste (§ 36 Abs. 1 Nr. 7 IfSG). Derartige Einrichtungen müssen in Ergänzung zu den oben genannten Anforderungen, an die zuständigen Behörden in anonymisierter Form Angaben zu den durchgeführten Testungen sowie Angaben zum Anteil der geimpften Personen übermitteln.
Die Änderungen des Infektionsschutzgesetzes wurden am 23. November 2021 im Bundesgesetzblatt verkündet und sind zum 24. November 2021 in Kraft getreten.
WAS BEDEUTET DAS NUN DATENSCHUTZRECHTLICH?
Zunächst stellt die Regelung des § 28b Abs. 3 IfSG nun die einheitliche Rechtsgrundlage zur Verarbeitung des Test-, Genesenen- und Impfstatus der Beschäftigten dar. Da es sich bei diesen Angaben grundsätzlich um Gesundheitsdaten und damit um besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) handelt, ist die Datenverarbeitung auf Grundlage des Art. 9 Abs. 2 lit. i) DS-GVO in Verbindung mit § 28b Abs. 3 IfSG durchzuführen. Dabei ist grundsätzlich zu beachten, dass Aufgrund der Verpflichtung zur Durchführung und Dokumentation des Arbeitgebers ebenfalls eine Verpflichtung der Arbeitnehmer besteht, die entsprechenden Nachweise vorzulegen.
Die Verarbeitung der besonderen Kategorien personenbezogener Daten hat den datenschutzrechtlichen Grundsätzen gemäß Art. 5 Abs. 1 DS-GVO zu entsprechen. Das heißt beispielsweise, dass die Gesundheitsdaten ausschließlich für die im Infektionsschutzgesetz festgelegten Zwecke verarbeitet werden dürfen, die zu verarbeitenden personenbezogenen Daten auf das für den Zweck der Datenverarbeitung erforderliche Minimum reduziert sein müssen und ausschließlich so lange verarbeitet werden dürfen, wie es für den Zweck der Datenverarbeitung zwingend erforderlich ist. Das Infektionsschutzgesetz sieht hierbei eine maximale Aufbewahrung bis zum Ende des sechsten Monats nach der Erhebung vor.
Unter Beachtung der dargelegten Anforderungen ist es grundsätzlich möglich, das Vorliegen eines entsprechenden Nachweises bei Geimpften und Genesenen zunächst einmalig zu überprüfen, zu vermerken und bei Genesenen zusätzlich das Enddatum des Genesenenstatus zu dokumentieren. In der Praxis kann eine Zutrittskontrolle dann beispielsweise über die Vergabe gleich aussehender Passierscheine erfolgen, auf denen das jeweilige Enddatum (bei Getesteten für den aktuellen Tag, bei Genesenen für maximal sechs Monate, bei Geimpften zunächst unbegrenzt) vermerkt wird.
Darüber hinaus ist zu berücksichtigen, dass die personenbezogenen Daten aufgrund Ihrer besonderen Schutzbedürftigkeit seitens des Arbeitgebers sicher zu verarbeiten sind. Das heißt beispielsweise, dass eine Aufbewahrung ausschließlich in verschlossenen Aktenschränken oder auf verschlüsselten Datenträgern erfolgen darf sowie die mit der Verarbeitung betrauten Beschäftigten auf die besondere Schutzbedürftigkeit der Daten hinzuweisen und dementsprechend zu sensibilisieren sind.
WAS GILT ES NOCH ZU BEACHTEN?
Grundsätzlich wird die Regelung des § 28b Abs. 3 IfSG als Zutrittskontrollmaßnahme zu verstehen sein, das heißt der entsprechende Nachweis ist mit Zutritt zur Einrichtung des Arbeitsgebers vorzulegen. Hingegen nicht umfasst sein dürfte eine Verpflichtung der Beschäftigten zur Vorab-Information per E-Mail. Insbesondere auch aufgrund der besonderen Schutzbedürftigkeit der Gesundheitsdaten scheidet die Übermittlung per E-Mail aufgrund der meist fehlenden Ende-zu-Ende-Verschlüsselung sowie aufgrund der automatisierten Archivierung des E-Mail-Posteingangs in der Regel aus. Auch eine Anforderung einer Kopie des entsprechenden Nachweises zum Verbleib beim Arbeitgeber ist von der Regelung des § 28b Abs. 3 IfSG ausdrücklich nicht umfasst.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit begrüßt grundsätzlich das Vorliegen einer einheitlichen Rechtsgrundlage zur Verarbeitung des Test-, Genesenen- und Impfstatus der Beschäftigten. Im Rahmen einer Pressemitteilung stellte er jedoch klar, dass er hinsichtlich der konkreten Verarbeitung sowie hinsichtlich der Speicherdauer Verbesserungspotential bezüglich der gesetzlichen Normierung sieht. Dementsprechend sind die weiteren Entwicklungen im Blick zu behalten.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.