Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 19.10.2021 einen Beschluss zur Verarbeitung des Impfstatus von Beschäftigten durch den Arbeitgeber gefasst, der die geltende Rechtslage zusammenfassen soll.
Unseren aktuellen Beitrag zum Datenschutz bei der Kontrolle der 3G-Regeln am Arbeitsplatz finden Sie unter folgendem Link: https://www.dr-datenschutz.de/3g-am-arbeitsplatz-vorgaben-der-datenschutzaufsichtsbehoerden/.
Der Inhalt im Überblick
Vorher: Die Entschließung der DSK aus dem Frühjahr
Mit Entschließung der DSK vom 29.03.2021 hat diese klare und transparente gesetzliche Regelungen zu dem Umgang mit Nachweisen zu Testungen, Genesung und Impfung in der Privatwirtschaft und im Beschäftigungsverhältnis für die Pandemiezeit durch die Politik gefordert. Die DSK hatte darauf aufmerksam gemacht, dass im Zusammenhang mit der Coronapandemie bislang weitestgehend konkrete gesetzliche Regelungen fehlen würden, die wie § 20 IfSG bei der Masernschutzimpfung im Bereich von Kindertageseinrichtungen die Verarbeitung solcher Daten z.B. für den Zugang zu privatwirtschaftlichen Einrichtungen explizit zulassen und detailliert regeln würden. Insbesondere im Beschäftigungsverhältnis bliebe oftmals mangels gesetzlicher Spezialregelungen lediglich ein rechtlich problematischer Rückgriff auf allgemeine Vorschriften des Datenschutzes, der zu großen Rechtsunsicherheiten bzw. -risiken führe. Mit anderen Worten: „Wie sollen Arbeitgeber das pragmatisch und zugleich rechtssicher handhaben?“.
Der „kleine Wurf“ des Gesetzgebers
Nach vielen Diskussionen hat dann der Bundesrat am 10.09.2021 einer Änderung des Infektionsschutzgesetzes (IfSG) zugestimmt, die allerdings eher klein ausgefallen ist. Dadurch wurde die Abfrage des Impfstatus neben dem medizinischen Bereich für einige wenige weitere Berufsfelder wie Schulen, Kindertageseinrichtungen, Obdachlosenunterkünfte oder Justizvollzugsanstalten oder bei Tätigkeiten am Menschen in die Regelungen des IfSG aufgenommen.
Erwiderung der DSK
Nachdem einzelne Aufsichtsbehörden der Länder bereits Stellung bezogen hatten, hat nunmehr auch die DSK mit Beschluss vom 19.10.2021 den „Blumenstrauß der Möglichkeiten“, der den Arbeitgebern nunmehr bleibt, noch einmal zusammenfassend dargestellt.
Mögliche Rechtsgrundlage zur Verarbeitung des Impfstatus
Viel diskutiert wird in letzter Zeit die „Auffanglösung“, § 26 Abs. 3 BDSG als Rechtsgrundlage für die Verarbeitung des sensiblen Datums „Impfstatus“ der Beschäftigten heranzuziehen. Argumentiert wird, dass die allgemeine Pflicht des Arbeitgebers, für die Gesundheit seiner Beschäftigten zu sorgen (als Ausformung der allgemeinen Fürsorgepflicht), unter diese Vorschriften gefasst werden könnte. Doch dieser Lösung hat die DSK – ohne weitere Begründung – eine klare Absage erteilt.
„Impfstatus“ als sensibles Datum?
Der weitere Einwand von Kommentatorenseite, ob denn mit der Verarbeitung des Datums „Impfstatus“ überhaupt ein besonderes personenbezogenes Datum verarbeitet wird, wird ebenso wenig sichtbar hinterfragt.
Spezialgesetzliche Vorschriften
Damit bleibt hinsichtlich der Verarbeitung des Impfstatus laut DSK dem Arbeitgeber lediglich folgender „schmale Steg“:
- § 23 Abs. 3, 23 a IfSG: bestimmte Beschäftigtengruppen der medizinischen Versorgung im weiteren Sinne (Krankenhäuser, Reha-Einrichtungen, Arztpraxen etc.),
- § 36 Abs. 3 IfSG (neu seit 09/21): Beschäftigte von Kitas, Schulen, Obdachlosenunterkünfte, JVAs etc.,
- § 56 Abs. 1 IfSG: Beschäftigte, die gegenüber ihrem Arbeitgeber einen Anspruch auf Lohnersatz gem. § 56 Abs. 1 IfSG geltend machen (möglich ab 01.11.2021 nur noch, soweit sie geimpft sind oder nicht geimpft sind, weil es keine Möglichkeit der Schutzimpfung gab),
- Rechtsverordnung auf Basis des IfSG.
Einwilligung einholen
Hinsichtlich des Einholens einer Einwilligung (hier § 26 Abs. 3 S. 2 und Abs. 2 BDSG) wird noch einmal auf die grundsätzlichen Zweifel bezüglich der notwendigen „Freiwilligkeit“ verwiesen:
„Aufgrund des zwischen Arbeitgeberinnen und Arbeitgebern sowie ihren Beschäftigten bestehenden Über- und Unterordnungsverhältnisses bestehen regelmäßig Zweifel an der Freiwilligkeit und damit Rechtswirksamkeit der Einwilligung von Beschäftigten.“
Eine recht vage Formulierung, die aber ggf. verdeutlicht: „Lassen Sie grundsätzlich besser die Finger davon!“.
Taugliche Rechtsgrundlagen rar gesät
Unterm Strich gilt: Wenn keine spezialgesetzliche Rechtsgrundlage greift, und es auch mit der Einwilligung im konkreten Fall schwierig ist, wird die Luft sehr dünn.
Nicht zu vergessen: die Grundsätze des Datenschutzes
Sollte doch eine taugliche Rechtsgrundlage gefunden werden, müssen zudem die allgemeinen Grundsätze des Datenschutzes eingehalten werden, so dass laut DSK insbesondere zu achten ist auf einen möglichst geringen Umfang der verarbeiteten Daten, auf eine möglichst kurze Speicherdauer und – sicherlich besonders schwierig – auf die Möglichkeit der Darlegung der „Freiwilligkeit“ bezüglich einer ggf. gewählten Einwilligung.
Wichtige Hinweise der DSK
Hier gibt die DSK im Zusammenhang mit dem Grundsatz der Datenminimierung wichtige Hinweise:
- Vor der Verarbeitung des Impfstatus durch den Arbeitgeber sei er sogar verpflichtet zu überprüfen, ob nicht eine reine „Abfrage des Impfstatus“ ausreichend sei. Wenn dem so ist, muss die Abfrage allein genügen. Entsprechend werden keine personenbezogenen Daten zum Impfstatus vom Arbeitgeber gespeichert.
- Muss der Impfstatus doch verarbeitet werden, darf der Arbeitgeber jedenfalls keine Kopien von Impfausweis oder vergleichbaren Bescheinigungen (egal ob Original oder Kopie) in die Personalakte aufnehmen, sondern es sollte ausschließlich die Vorlage des Originals dokumentiert werden.
„Ihr habt es nicht anders gewollt“
Nach der Entschließung des DSK vom 29.03.2021 und dem gesetzgeberischen Tätigwerden der Bundespolitik hinterlässt auch dieser Entschluss bei vielen Arbeitgebern Ernüchterung, aber „zwischen den Zeilen“ ergibt sich natürlich: „Der Gesetzgeber hat es so gewollt“. Es bleibt nun ggf. abzuwarten, ob die Rechtsprechung die Ansichten der DSK in allen Facetten teilt.
wie sieht das Ganze denn aus, wenn im November die „epidemische Notlage nationaler Tragweite“ ausläuft? Die (Noch-)Regierung will es ja so und die neue scheinbar auch. Von daher wäre es sicherlich auch interessant, wenn nicht sogar interessanter, wie es danach weitergeht.
Auch die „reine Abfrage des Impfstatus ist eine Verarbeitung im Sinne der DSGVO und daher außer in den geregelten Fällen unzulässig:
Artikel 4 Nr. 2
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
Ohne Regelung durch den Gesetzgeber, der ja die Verhältnismäßigkeit bzw. die verschiedenen Interessen bei seiner Gesetzgebung bereits abgewogen hat, ist die Frage nach dem Impfstatus daher rechtswidrig, es sei denn man geht davon aus, dass der Gesetzgeber hier falsch liegt und das Fragerecht nach dem Impfstatus in unzulässiger, verfassungswidriger Weise einschränkt.
Vielen Dank für Ihren Kommentar. Wir haben den Artikel geändert und die Diskussion an der Stelle herausgenommen, auch wenn sich die DSK in ihrem Beschluss an dieser Stelle einer Stellungnahme enthält und lediglich erwähnt, dass bei der „reinen Abfrage des Impfstatus“ „keine Speicherung erforderlich“ ist.
Ist bei einer mündlichen Frage überhaupt der Anwendungsbereich von DSGVO und BDSG eröffnet?
Normalerweise nicht, aber im Beschäftigtenverhältnis ist immer an die Besonderheit zu denken, dass der Gesetzgeber mit § 26 Abs. 7 BDSG den Anwendungsbereich des Beschäftigtendatenschutzes erheblich ausgeweitet hat und so quasi jede Information über Beschäftigte in jeder Form schützt. Darunter fällt nach Ansicht der Aufsichtsbehörden auch „die alltägliche Informationserhebung durch persönliche Befragung (S.9).“
Wie tauglich wäre denn § 14 Abs. 1 (3) Verarbeitung besonderer Kategorien personenbezogener Daten BlnDSG für Behörden als Rückfallklausel:
„aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren“
Ganz grob: Es besteht ein öffentliches Interesse schweren Gesundheitsgefahren vorzubeugen. Das Vorzeigen ggf. auch das Verarbeiten des Impfstatus ist geeignet die Pandemie einzudämmen und andere Beschäftigte zu schützen. Zumindest in Zeiten der nationale Notlage könnte das herangezogen werden?
Mit der genannten Vorschrift ist eine Öffnungsklausel der DSGVO genutzt und eine landesspezifische Regelung für den öffentlichen Bereich geschaffen worden, die jedoch im Wortlaut nahezu identisch ist mit Art. 9 Abs. 2 lit. i DSGVO (der Öffnungsklausel). Bezüglich der Auslegung muss insofern auf die Erklärungen der DSGVO zu Art. 9 Abs. 2 lit. i DSGVO zurückgegriffen werden. Zur Definition des Begriffes „öffentliche Gesundheit“ ist auf ErwG 54 zur DSGVO abzustellen, der wiederum auf die VO (EG) Nr. 1338/2008 verweist. Demnach sind unter „öffentlicher Gesundheit“ „alle Elemente im Zusammenhang mit der Gesundheit“ der Bevölkerung zu verstehen.
An den aufgeführten Beispielen wird jetzt sehr deutlich, was gemeint ist bzw. was nicht:
– Gesundheitszustand
– Bedarf an Gesundheitsversorgung
– Mittel für die Gesundheitsversorgung
– Bereitstellung von Gesundheitsversorgungsleistungen
– allgemeiner Zugang zu den Gesundheitsversorgungsleistungen
– Finanzierung der Gesundheitsversorgungsleistungen
Aus diesen Ausführungen wird deutlich, dass sich § 14 Abs. 1 Ziff. 3 BIndSG nicht auf die Möglichkeit der Verarbeitung personenbezogener Daten im Dienst- bzw. Beschäftigungsverhältnis bezieht, sondern es soll ganz allgemein eine Verarbeitung besonderer Kategorien personenbezogener Daten für „Maßnahmen zum Gesundheitsschutz der Bevölkerung“ durch die öffentliche Stelle im Anwendungsbereich des Gesetzes ermöglicht werden. Diese Regelung gilt immer dort, wo es keine spezialgesetzliche Regelung gibt, jedoch nicht im Verhältnis öffentliche Stelle – Mitarbeiter, sondern nur im Verhältnis öffentliche Stelle – Bürger.
Würden Sie die Aussage der DSK nach der Änderung des Infektionsschutzgesetzes weiterhin für anwendbar halten, dass gerade keine Kopien von Impfausweisen oder Testnachweisen durch den Arbeitgeber erstellt werden sollten?
Wohl zumindest soweit der Arbeitnehmer oder die Arbeitnehmerin eine Speicherung nicht von sich aus wünscht, um die Kontrollen zu vereinfachen. Siehe dazu etwa den FAQ des BMAS zur verabschiedeten 3-G Regelung.
Insbesondere die Antwort auf Frage 10:
Der Schwerpunkt der Kontrollen liegt auf der Gültigkeit der Testnachweise. (vergleiche c unter der Frage „Was ist bezüglich der mitzuführenden 3G-Nachweise zu beachten?“). Für nicht Geimpfte bzw. nicht Genesene ist eine tägliche Überprüfung ihres negativen Teststatus Voraussetzung für den Zugang zur Arbeitsstätte (oder die Aufnahme in einen Sammeltransport siehe Frage 5).
Wenn der Arbeitgeber den Genesenennachweis oder den Impfnachweis einmal kontrolliert und diese Kontrolle dokumentiert hat, können Beschäftigte mit gültigem Impf- oder Genesenennachweis anschließend grundsätzlich von den täglichen Zugangskontrollen ausgenommen werden.
Allerdings müssen die Beschäftigten und auch Arbeitgeber selbst den Impf- /Genesenen-/Testnachweis (z.B. im Spind) für Kontrollen der zuständigen Behörde bereithalten. Art und Umfang der einzusetzenden Kontrollinstrumente und -verfahren sind nicht festgelegt.
Nachweise können von den Beschäftigten auch beim Arbeitgeber hinterlegt werden. Diese Hinterlegung ist freiwillig.
Sowie zum Datenschutz in Frage 14:
§ 28b IfSG verpflichtet den Arbeitgeber zu Nachweiskontrollen, um zu überwachen und zu dokumentieren, dass die Beschäftigten der Pflicht zur Mitführung oder zum Hinterlegen eines 3G-Nachweises nachkommen. Soweit es dazu erforderlich ist, darf der Arbeitgeber personenbezogene Daten wie den Namen und das Vorliegen eines gültigen 3G-Nachweises inkl. der Gültigkeitsdauer abfragen und dokumentieren. Weitere Gesundheitsdaten der Beschäftigten dürfen durch den Arbeitgeber auf Grundlage diese Bestimmung nicht erhoben bzw. verarbeitet werden.
Der Arbeitgeber hat die Vorgaben des Datenschutzes einzuhalten, insbesondere angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen nach § 22 Absatz 2 BDSG vorzusehen. Dafür sind unter anderem technische und organisatorische Maßnahmen zur Datensicherheit zu ergreifen. Die Arbeitgeber haben sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte (zum Beispiel Dritte oder Kolleginnen und Kollegen) ausgeschlossen ist.
Der Arbeitgeber darf den Impf-, Genesenen- und Testnachweis nur verarbeiten, soweit dies zum Zwecke zur Nachweiskontrolle erforderlich ist. Darüber hinaus wird ihm gestattet, die Daten bei der Anpassung des betrieblichen Hygienekonzepts zu verwenden. Es gilt der Grundsatz der Zweckbindung (Art. 5 Absatz 1 Buchstabe b DSGVO). Eine Verarbeitung zu einem anderen Zweck ist nicht zulässig. Verstößt der Arbeitgeber gegen die Datenschutz-Grundverordnung können ihm Bußgelder und Schadensersatz drohen.
Und in seiner Pressemitteilung erklärte der BfDI zu den Änderungen heute:
„Ich bin der Auffassung, dass auch für dieses Gesetz grundsätzlich keine längerfristige Speicherung der personenbezogenen 3G-Daten bei Arbeitgeberinnen und Arbeitgebern erforderlich ist. Für die Zutrittskontrolle genügt ein ‚Abhaken‘. Für die „regelmäßige Dokumentation“, ob die Zutrittsvoraussetzungen eingehalten werden, reicht es aus, wenn Arbeitgeberinnen und Arbeitgeber nachprüfbare Prozesse etabliert haben, auf welche Weise täglich der 3G-Status der Beschäftigten geprüft wird. Die personengenaue Speicherung sensibler Gesundheitsdaten ist dafür nicht erforderlich. Das Gesetz nennt auch keinen Zweck für diese bald sehr große Menge an Daten.“
Vielen Dank.