Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
Arbeitgeberinnen und Arbeitgeber dürfen das Datum „Impfstatus“ ihrer Beschäftigten ohne eine ausdrückliche gesetzliche Ermächtigung grundsätzlich nicht verarbeiten – auch nicht im Rahmen der COVID-19-Pandemie.
Als Rechtsgrundlage kommt für die Verarbeitung des Datums „Impfstatus“ von Be-schäftigten § 26 Absatz 3 Satz 1 des Bundesdatenschutzgesetzes (BDSG) nicht zum Tragen.
Bei dem Datum „Impfstatus“ handelt es sich um ein Gesundheitsdatum gemäß Artikel 4 Nummer 15 Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DS-GVO) und damit um eine besondere Kategorie personenbezogener Daten, Artikel 9 Absatz 1 DS-GVO. Deren Verarbeitung ist grundsätzlich verboten und nur ausnahmsweise erlaubt.
In Einzelfällen ist eine Verarbeitung des Datums „Impfstatus“ auf Grundlage gesetzli-cher Regelungen möglich:
• Bestimmte – im Gesetz genannte – Arbeitgeberinnen und Arbeitgeber aus dem Gesundheitsbereich (Krankenhäuser, Arztpraxen usw.) dürfen unter den in §§ 23a, 23 Absatz 3 des Infektionsschutzgesetzes (IfSG) genannten gesetzlichen Voraussetzungen den Impfstatus ihrer Beschäftigten verarbeiten;
• Bestimmte – im Gesetz genannte – Arbeitgeberinnen und Arbeitgeber, zum Bei-spiel Trägerinnen und Träger von Kindertageseinrichtungen, ambulante Pfle-gedienste usw., dürfen unter den in § 36 Absatz 3 IfSG genannten Vorausset-zungen den Impfstatus ihrer Beschäftigten im Zusammenhang mit COVID-19 verarbeiten;
• Arbeitgeberinnen und Arbeitgeber dürfen den Impfstatus derjenigen Beschäf-tigten verarbeiten, die ihnen gegenüber einen Anspruch auf Geldentschädi-gung (Lohnersatz) nach § 56 Absatz 1 IfSG geltend machen. Dessen Voraus-setzungen können im Einzelfall auch im Fall einer möglichen Infektion mit CO-VID-19 sowie einer sich anschließenden Quarantäne vorliegen. Anspruchsvo-raussetzung ist unter anderem, ob die Möglichkeit einer Schutzimpfung be-stand.
• Arbeitgeberinnen und Arbeitgeber dürfen den Impfstatus von Beschäftigten auch verarbeiten, soweit dies durch Rechtsverordnungen zur Pandemiebe-kämpfung auf Basis des IfSG vorgegeben ist.
Die Verarbeitung des Datums „Impfstatus“ von Beschäftigten auf der Grundlage von Einwilligungen ist nur dann möglich, wenn die Einwilligung freiwillig und damit rechts-wirksam erteilt worden ist, § 26 Absatz 3 Satz 2 und Absatz 2 BDSG. Aufgrund des zwischen Arbeitgeberinnen und Arbeitgebern sowie ihren Beschäftigten bestehenden Über- und Unterordnungsverhältnisses bestehen regelmäßig Zweifel an der Freiwillig-keit und damit Rechtswirksamkeit der Einwilligung von Beschäftigten.
Im Zusammenhang mit der Abfrage des Datums „Impfstatus“ sind weiter zu beachten:
• Grundsatz der „Datenminimierung“, Artikel 5 Absatz 1 Buchstabe c DS-GVO: Zunächst muss geprüft werden, ob die reine Abfrage des Impfstatus zur Zweckerreichung bereits ausreichend ist. Dann ist keine Speicherung erforder-lich. Soll der Impfstatus gespeichert werden, dürfen keine Kopien von Impfaus-weisen oder vergleichbaren Bescheinigungen (im Original oder als Kopie) in die Personalakte aufgenommen werden. Es ist ausreichend, wenn vermerkt wird, dass diese jeweils vorgelegt worden sind.
• Grundsatz der „Speicherbegrenzung“, Artikel 5 Absatz 1 Buchstabe e DS-GVO, Recht auf Löschung, Artikel 17 DS-GVO:
Sobald der Zweck für die Speicherung des Impfstatus entfallen ist, muss dieses personenbezogene Datum gelöscht werden.
• Grundsatz der „Rechenschaftspflicht“, Artikel 5 Absatz 2 DS-GVO: Arbeitgeberinnen und Arbeitgeber müssen – sofern einschlägig – auch die Frei-willigkeit einer Einwilligung nachweisen können, Artikel 7 Absatz 1 DS-GVO.
Quelle: DSK – Datenschutzkonferenz