Mo.-Fr.: 09.00 - 17.00 Uhr
Suche
Close this search box.
Personaldaten

Personaldaten

Impfstatus-Abfrage durch den Vorgesetzten – ja oder nein?

Die Inzidenzen sinken, die Impfquote steigt. Die Lage bessert sich und zahlreiche Einschränkungen werden aufgehoben. Auch viele Arbeitgeber planen die Rückkehr zur betrieblichen Normalität. Aber ist das ohne Kenntnis des Impfstatus möglich? Fragen danach sind nur begrenzt zulässig.
Alernon77, iStockphoto
Lesedauer 4 Minuten

Inhaltsverzeichnis

Aufgrund des rückläufigen Infektionsgeschehens wurden die Vorschriften zum betrieblichen Infektionsschutz zum 1. Juli 2021 angepasst. Mit dieser Anpassung wurde auch die Homeoffice-Pflicht aufgehoben. Allerdings ist es dem Arbeitgeber überlassen, den eigenen Beschäftigten weiterhin freiwillig das Arbeiten im Homeoffice zu ermöglichen, um sie bestmöglich vor einer Infektion zu schützen. 

Der Impfstatus zählt zu den besonderen personenbezogen Daten

Informationen über den Impfstatus des Beschäftigten sind ebenso Gesundheitsdaten gemäß Art. 4 Nr. 15 DSGVO wie das Ergebnis eines Coronatests. Gesundheitsdaten zählen zu den schützenswerten personenbezogenen Daten, deren Verarbeitung gemäß Art. 9 Abs. 1 DSGVO grundsätzlich untersagt ist und die nur unter den eng zu verstehenden Ausnahmen des Art. 9 Abs. 2 DSGVO verarbeitet werden dürfen.

Ausnahme 1: Beschäftigte im Gesundheitswesen

Die Verarbeitung kann zulässigerweise dann erfolgen, wenn hierfür ein gesetzliche Regelung besteht. In Betracht kommt § 23a Infektionsschutzgesetz (IfSG). Danach darf der Arbeitgeber personenbezogene Daten eines Beschäftigten hinsichtlich dessen Impfstatus verarbeiten, um über die Begründung eines Beschäftigungsverhältnisses oder über die Art und Weise einer Beschäftigung zu entscheiden, soweit es zur Erfüllung von Verpflichtungen aus § 23 Abs. 3 IfSG in Bezug auf übertragbare Krankheiten erforderlich ist. § 23 IfSG bezieht sich jedoch nur auf die Leitungen der dort aufgeführten medizinischen Einrichtungen, wie Krankenhäuser oder Tageskliniken. Die Erlaubnis zur Impfstatuserhebung kann demzufolge nur für Beschäftigte dieser Einrichtungen herangezogen werden.

Ausnahme 2: Beschäftigte in der Pflege und Kindertageseinrichtungen

Nach den in §36 Absatz 3 IfSG genannten Voraussetzungen dürfen weitere im Gesetz genannte Arbeitgeber:innen eine Abfrage des Impfstatus ihrer Beschäftigten im Zusammenhang mit COVID-19 verarbeiten, dazu gehören zum Beispiel Träger:innen von Kindertagesstätten und ambulante Pflegedienste.

Ausnahme 3: Forderung von Lohnersatz

Wenn Beschäftigte ihren Arbeitgeber:innen gegenüber Anspruch auf Lohnersatz nach §56 Absatz 1 IfSG erheben, dürfen diese den Impfstatus der Beschäftigten verarbeiten. Laut einem Beschluss der Datenschutzkonferenz vom 19. Oktober 2021 können dessen Voraussetzungen auch im Fall einer möglichen Infektion mit COVID-19 sowie einer sich anschließenden Quarantäne vorliegen. Anspruchsvoraussetzung ist demnach unter anderem, ob die Möglichkeit einer Schutzimpfung gegeben war.

Ausnahme 4: Rechtsverordnung zur Pandemiebekämpfung

Sobald die Rechtsverordnung zur Pandemiebekämpfung auf Basis des Infektionsschutzgesetzes dies vorgibt, dürfen Arbeitgeber:innen den Impfstatus der Beschäftigen ebenfalls verarbeiten.

Erforderlichkeit der Datenerhebung

Für Beschäftigte außerhalb der genannten Einrichtungen richtet sich die Abfrage des Impfstatus hingegen nach Art. 9 Abs. 2 lit. b DSGVO. Für den nicht-öffentlichen Bereich gilt darüber hinaus § 26 Abs. 3 Bundesdatenschutzgesetz (BDSG) und für den öffentlichen Bereich die einschlägige Norm des jeweiligen Landesdatenschutzgesetzes.

Soweit dem Verantwortlichen auf dem Gebiet des Arbeitsrechts, des Rechts der sozialen Sicherheit oder des Sozialschutzes nach Unionsrecht, dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung Pflichten oder Rechte erwachsen, rechtfertigt Art. 9 Abs. 2 lit. b DSGVO die Verarbeitung der hierfür erforderlichen sensiblen Daten.
Danach ist eine Datenverarbeitung nur dann erforderlich, sollte sie zur Erfüllung der rechtlichen Pflichten aus dem Arbeitsverhältnis unabdingbar sein. 

Nach jetzigem Stand stellt dies aber keine anwendbare Rechtsgrundlage dar, weil nicht gesichert ist, dass Personen, die gegen COVID-19 geimpft sind, das Virus nicht mehr übertragen. Zudem ist nicht geklärt, ob die Impfung dauerhaft gegen Neuerkrankungen, insb. neue Mutanten, zuverlässig schützt. Es ist also nicht zur Erfüllung der Fürsorgepflicht des Arbeitgebers in Bezug auf den Gesundheitsschutz seiner Beschäftigten erforderlich, da er dieser auch durch andere geeignete Maßnahmen im Rahmen des Hygienekonzeptes nachkommen kann.

Impfabfragen dürfen nicht in Hygienekonzepte eingebunden werden

Impfungen sind nach aktueller Rechtslage weder in den jeweils geltenden Landesverordnungen noch in der SARS-CoV2-Arbeitsschutzverordnung des Bundes als Teil des Hygienekonzepts vorgesehen. Insbesondere sieht der Gesetzgeber derzeit keine Pflicht zur Impfung gegen eine COVID-19-Erkrankung vor. Die gängigen Hygieneregeln sind hingegen weiterhin trotz möglicherweise vorhandenem Impfschutz einzuhalten. Demzufolge muss der Arbeitgeber ein Hygienekonzept bereitstellen, das die erforderlichen Maßnahmen, wie das Tragen eines Mund-Nasen-Schutzes oder das Angebot eines Corona-Tests, zum betrieblichen Infektionsschutz festlegt und die Umsetzung der Maßnahmen prüfen. 

Die festgelegten Maßnahmen im Hygienekonzept können sich allerdings nur auf die ohnehin gesetzlich angeordneten Regelungen beziehen. Sollte der Arbeitgeber die Frage nach dem Impfstatus als Teil des Hygienekonzepts vorsehen, kann dies aufgrund des dadurch für die Beschäftigten entstehenden sozialen Drucks und der Angst vor negativen Konsequenzen im Arbeitsverhältnis zu einem mittelbaren Impfzwang führen – selbst dann, wenn die Information über den Impfstatus auf der freiwilligen Angabe des Beschäftigten beruht. Angesichts des wirtschaftlichen Abhängigkeitsverhältnisses des  Beschäftigten mangelt es demnach an einer echten Wahlmöglichkeit, sodass auch eine Einwilligung in die Erhebung der Daten nicht in Betracht kommt.

Diese Meinung vertritt auch der Landesbeauftragte für Datenschutz und Informationssicherheit Nordrhein-Westfalen in seiner Aussage vom 18.03.2021:

„Die Erforderlichkeit der Abfrage des Corona-Impfstatus durch den Arbeitgeber richtet sich nach § 26 Abs. 3 BDSG, Art. 9 Abs. 2 lit. b) DS-GVO, soweit keine Spezialnorm (wie z. B. § 23 a IFSG) greift. Diese ist derzeit grundsätzlich zu verneinen. Für die Erhebung des Impfstatus durch Arbeitgeber, die nicht unter besondere Spezialnormen fallen, besteht derzeit keine Rechtsgrundlage. Impfbescheinigungen dürfen dementsprechend nicht mit zur Personalakte genommen werden.
Die Erforderlichkeit richtet sich nach den konkreten Zwecken. Oftmals wird durch Arbeitgeber angeführt, dass sie durch die Abfrage des Impfstatus sich selbst, ihre Beschäftigten (Fürsorge- und Schutzpflicht, § 613 BGB, § 3 ArbSchG) und die Kundschaft (die dies ggf. fordern könnten) vor potenziellen Ansteckungsrisiken besser schützen können. Die aktuelle Rechtslage sieht mit Blick auf den Eingriff in die Grundrechte der einzelnen Person aktuell keine Impfpflicht zum Schutze vor der COVID-19-Erkrankung vor. Bei Abfragen des Impfstatus durch den Arbeitgeber könnte ein sozialer Druck aufgebaut werden. […]“ 

Fazit

Solange es in Deutschland keine Impfpflicht gegen COVID-19 gibt, ist es die private Angelegenheit eines Beschäftigten, ob dieser sich impfen lässt oder nicht. Die Erforderlichkeit der Impfstatusabfrage ist somit zum jetzigen Zeitpunkt abzulehnen, die oben genannten Ausnahmesituationen sind dabei zu berücksichtigen. Ein ausreichendes Hygienemanagement lässt sich auch ohne die Abfrage des Impfstatus bewerkstelligen. Von einer Erforderlichkeit der Datenerhebung kann demnach nicht ausgegangen werden.

Quellenangabe: bund-verlag.de, dr-datenschutz.de, datenschutz-notizen.de

Unser Experte

Picture of George Pinon
George Pinon
George-Anthony Pinon ist Datenschutzbeauftragter, Autor und Berater. Nach 11-jähriger Berufserfahrung im Elektronikbereich und als Produktionsleiter unterstützt er seit 2021 als Datenschutzbeauftragter die PRO-DSGVO.