Das wohl derzeit präsenteste Thema ist die Diskussion über wohl sämtliche Problematiken rund um das Corona-Virus. Immer wieder kommen neue Fragen auf, denen es sich zu stellen gilt. Auch das Problem, wie mit dem Impfstatus in Bezug auf den Datenschutz umzugehen ist, ist momentan in aller Munde.
Als Beispiel lässt sich die Frage anführen, ob der Arbeitgeber seinen Mitarbeiter nach einem Nachweis über eine Impfung fragen darf oder gar eine Auskunft des Impfstatus verlangen kann. Wie so oft ist dies rechtlich nicht ganz klar zu beantworten.
Infektionsschutzgesetz trifft Regelung für bestimmte Berufsgruppen
Zu beachten ist vorab das Infektionsschutzgesetz, welches in § 23a IfSG nominiert, dass es für bestimmte Einrichtungen, die in § 23 Abs. 3 IfSG aufgezählt sind (z.B. Krankenhäuser, Arztpraxen oder Rettungsdienste), in Bezug auf übertragbare Krankheiten möglich ist, dass der Arbeitgeber personenbezogene Daten eines Beschäftigten über dessen Impfstatus oder Serostatus (die An- oder Abwesenheit spezifischer Antikörper im Patientenserum) verarbeiten darf, um über die Begründung eines Beschäftigungsverhältnisses oder über die Art und Weise einer Beschäftigung zu entscheiden.
Allerdings darf der Impfstatus nach dieser Norm nicht erhoben oder verarbeitet werden, wenn die Impfung zwar den Ausbruch der Erkrankung bei der geimpften Person verhindert, allerdings trotzdem für Dritte noch „ansteckend“ bleibt. Ebenso verhält es sich, wenn bei neuen Impfstoffen noch nicht genügend Daten darüber vorliegen. Bei COVID-19-mRNA-Impfungen liegen nach derzeitigen Wissenstand allerdings ausreichende Erkenntnisse vor, die eine Anwendung von § 23a IfSG aus diesen Gründen nicht ausschließen lassen.
Schon zu Beginn des Impfstarts gegen das Corona-Virus wusste man im Zusammenhang mit den in § 23 Abs. 3 IfSG benannten Einrichtungen nicht, ob sich die Grundsätze über die Offenlegung und Verarbeitung eines Impfstatus im Sinne des allgemeinen Datenschutzrechts auch auf sämtliche andere Arbeitgeber übertragen lassen. Schließlich zählt die Norm nur bestimmte Berufsgruppen für die Rechtfertigung über die Verarbeitung des Impfstatus auf.
Hierbei muss ein Blick auf das Bundesdatenschutzgesetz (BDSG) und die EU-Datenschutzgrundverordnung (DSGVO) geworfen werden. Denn allgemein gehören hiernach Gesundheitsdaten zur besonderen Kategorie personenbezogener Daten. In Art. 9 Abs. 1 DSGVO wird eine Verarbeitung solcher Gesundheitsdaten allerdings untersagt. Nur in Ausnahmefällen ist dies zulässig.
Impfstatus als „gesundheitsbezogenes Datum“
Dabei gilt allerdings erst einmal zu klären, ob es sich bei dem Nachweis einer Impfung überhaupt um ein solches gesundheitsbezogenes Datum handelt. In der datenschutzrechtlichen Literatur wird diese Frage klar bejaht, denn der Begriff umfasst schließlich nicht nur Beschreibungen über den Gesundheitszustand, sondern auch andere Vorgänge, in denen die Durchführung, die Nachweise derselben oder gar nur eine darüber gestellte Frage umfasst werden. Damit ist ein Impfstatus ein Gesundheitsdatum.
Grundlage für die Verarbeitung des Impfstatus
Die Abfrage des Impfstatus könnte allerdings eine in Art. 9 Abs. 2 DSGVO beschriebene Ausnahme darstellen, die eine Verarbeitung der Gesundheitsdaten wiederum rechtfertigt.
Auf den ersten Blick könnten sogar mehrere Konstellationen eine Abfrage zulässig erscheinen lassen.
Zum einen ist eine nach Art. 9 Abs. 2 lit. a DSGVO ausdrückliche Einwilligung in die Verarbeitung möglich, wobei aber Obacht geboten ist, da gerade im Beschäftigtenverhältnis und dem sich daraus ergebenden Über-/ Unterordnungsverhältnis zwischen Arbeitgeber und Arbeitnehmer darauf geachtet werden muss, dass es sich wirklich unzweifelhaft um eine freiwillige Einwilligung handelt.
Abgesehen von einer solchen Einwilligung kann nach aktuellem Kenntnisstand wohl nur noch nach Art. 9 Abs. 2 lit. i DSGVO aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren eine Verarbeitung möglich sein. Ein Beispiel für einen wichtigen Grund des öffentlichen Interesses nennt auch der Erwägungsgrund 46 der DSGVO, bei dem konkret die Überwachung und Ausbreitung einer Epidemie aufgezählt wird. Dies umfasst sodann wohl auch die Verarbeitung der gesundheitsbezogenen Daten für die Bekämpfung einer Pandemie.
Es muss somit bei jedem Sachverhalt genau geschaut werden, ob die oben besprochenen Punkte gegeben sind. So ist die rechtliche Beurteilung wie so oft von den Umständen des Einzelfalls abhängig und die Einschätzung darf nicht verallgemeinert werden.
Fazit und Ausblick
Ist ein Nachweis der Impfung auch außerhalb der in § 23 Abs. 3 IfSG genannten Berufsgruppen für eine Stelle derart relevant, dass es ein wichtigen Grund des öffentlichen Interesses darstellt, so darf diese den Impfstatus auch verarbeiten.
Da dies jedoch unter den strengen Voraussetzungen der DSGVO fällt und sich ein solcher Grund wohl nur schwerlich argumentiert lässt, besteht für die Erhebung des Impfstatus durch den Arbeitgeber, der nicht unter besondere Spezialnormen fällt, momentan keine Rechtsgrundlage. Damit bedarf es in den meisten Fällen der Einwilligung des Arbeitgebers für die Abfrage des Impfstatus.
Auch wenn derzeit keinerlei Indizien dafür vorliegen, ist mit Blick auf die Zukunft, ohne zu hypothetisch zu werden, daran zu denken, dass mit einer möglichen sog. gesetzlich verankerten Impfpflicht auch eine Verarbeitung auf Grundlage des Unionsrechts oder Rechts eines Mitgliedsstaats gemäß Art. 9 Abs. 2 lit. j DSGVO als Rechtsgrundlage in Betracht käme.
In Hinblick auf die zukünftigen Entwicklungen und der momentan nicht hundertprozentig eindeutigen Rechtslage muss dringend eine einheitliche Rechtsgrundlage geschaffen werden, in der vor allem auch sämtliche Berufsgruppen Rechtsklarheit haben.
Das Verfassen eines Kommentars ist ohne Angabe personenbezogener Daten möglich. Mehr Informationen in der Datenschutzerklärung.