Verarbeitungen des Datums „Impfstatus“ von Beschäftigten durch die Arbeitgeberin oder den Arbeitgeber

Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder

Arbeitgeberinnen und Arbeitgeber dürfen das Datum „Impfstatus“ ihrer Beschäftigten ohne eine ausdrückliche gesetzliche Ermächtigung grundsätzlich nicht verarbeiten – auch nicht im Rahmen der COVID-19-Pandemie. 

Als Rechtsgrundlage kommt für die Verarbeitung des Datums „Impfstatus“ von Be-schäftigten § 26 Absatz 3 Satz 1 des Bundesdatenschutzgesetzes (BDSG) nicht zum Tragen.  

Bei dem Datum „Impfstatus“ handelt es sich um ein Gesundheitsdatum gemäß Artikel 4 Nummer 15 Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DS-GVO) und damit um eine besondere Kategorie personenbezogener Daten, Artikel 9 Absatz 1 DS-GVO. Deren Verarbeitung ist grundsätzlich verboten und nur ausnahmsweise erlaubt. 

In Einzelfällen ist eine Verarbeitung des Datums „Impfstatus“ auf Grundlage gesetzli-cher Regelungen möglich:

• Bestimmte – im Gesetz genannte – Arbeitgeberinnen und Arbeitgeber aus dem Gesundheitsbereich (Krankenhäuser, Arztpraxen usw.) dürfen unter den in §§ 23a, 23 Absatz 3 des Infektionsschutzgesetzes (IfSG) genannten gesetzlichen Voraussetzungen den Impfstatus ihrer Beschäftigten verarbeiten;

• Bestimmte – im Gesetz genannte – Arbeitgeberinnen und Arbeitgeber, zum Bei-spiel Trägerinnen und Träger von Kindertageseinrichtungen, ambulante Pfle-gedienste usw., dürfen unter den in § 36 Absatz 3 IfSG genannten Vorausset-zungen den Impfstatus ihrer Beschäftigten im Zusammenhang mit COVID-19 verarbeiten;

• Arbeitgeberinnen und Arbeitgeber dürfen den Impfstatus derjenigen Beschäf-tigten verarbeiten, die ihnen gegenüber einen Anspruch auf Geldentschädi-gung (Lohnersatz) nach § 56 Absatz 1 IfSG geltend machen. Dessen Voraus-setzungen können im Einzelfall auch im Fall einer möglichen Infektion mit CO-VID-19 sowie einer sich anschließenden Quarantäne vorliegen. Anspruchsvo-raussetzung ist unter anderem, ob die Möglichkeit einer Schutzimpfung be-stand.

• Arbeitgeberinnen und Arbeitgeber dürfen den Impfstatus von Beschäftigten auch verarbeiten, soweit dies durch Rechtsverordnungen zur Pandemiebe-kämpfung auf Basis des IfSG vorgegeben ist.

Die Verarbeitung des Datums „Impfstatus“ von Beschäftigten auf der Grundlage von Einwilligungen ist nur dann möglich, wenn die Einwilligung freiwillig und damit rechts-wirksam erteilt worden ist, § 26 Absatz 3 Satz 2 und Absatz 2 BDSG. Aufgrund des zwischen Arbeitgeberinnen und Arbeitgebern sowie ihren Beschäftigten bestehenden Über- und Unterordnungsverhältnisses bestehen regelmäßig Zweifel an der Freiwillig-keit und damit Rechtswirksamkeit der Einwilligung von Beschäftigten. 

Im Zusammenhang mit der Abfrage des Datums „Impfstatus“ sind weiter zu beachten:

• Grundsatz der „Datenminimierung“, Artikel 5 Absatz 1 Buchstabe c DS-GVO: Zunächst muss geprüft werden, ob die reine Abfrage des Impfstatus zur Zweckerreichung bereits ausreichend ist. Dann ist keine Speicherung erforder-lich. Soll der Impfstatus gespeichert werden, dürfen keine Kopien von Impfaus-weisen oder vergleichbaren Bescheinigungen (im Original oder als Kopie) in die Personalakte aufgenommen werden. Es ist ausreichend, wenn vermerkt wird, dass diese jeweils vorgelegt worden sind.

• Grundsatz der „Speicherbegrenzung“, Artikel 5 Absatz 1 Buchstabe e DS-GVO, Recht auf Löschung, Artikel 17 DS-GVO:

Sobald der Zweck für die Speicherung des Impfstatus entfallen ist, muss dieses personenbezogene Datum gelöscht werden.

• Grundsatz der „Rechenschaftspflicht“, Artikel 5 Absatz 2 DS-GVO: Arbeitgeberinnen und Arbeitgeber müssen – sofern einschlägig – auch die Frei-willigkeit einer Einwilligung nachweisen können, Artikel 7 Absatz 1 DS-GVO.

Quelle: DSK – Datenschutzkonferenz