Trotz der aktuellen Krisensituation aufgrund der Corona-Pandemie bleibt es dabei, dass Arbeitgeber die Gesundheitsdaten ihrer Mitarbeiter ohne eine ausdrückliche gesetzliche Ermächtigungsgrundlage nicht verarbeiten dürfen. Bei der Information über den Impfstatus einer Person oder das Ergebnis eines Corona-Tests handelt es sich um Gesundheitsdaten, die von der DSGVO besonders geschützt sind.
Als einschlägige Ermächtigungsgrundlagen für die Verarbeitung dieser Daten kommen hier vor allen
- 9 Abs. 2 lit. g DSGVO (Verarbeitung ist aufgrund des Rechts eines Mitgliedstaats aus Gründen eines erheblichen öffentlichen Interesses erforderlich) und
- 9 Abs. 2 lit. a DSGVO (Einwilligung des Mitarbeiters) in Betracht.
Recht eines Mitgliedstaats (Art. 9 Abs. 2 lit. g DSGVO)
Die DSGVO hat als europäische Verordnung grundsätzlich Vorrang vor nationalen Vorschriften der Mitgliedsstaaten der EU, sodass deutsche Gesetze nicht ohne weiteres das europäische Datenschutzrecht aushebeln können. Art. 9 Abs. 2 lit. g DSGVO sieht jedoch eine Öffnungsklausel für nationales Recht vor, wenn dieses „aus Gründen eines erheblichen öffentliches Interesses erforderlich“ ist. Die Prävention oder Kontrolle ansteckender Krankheiten ist in den Erwägungsgründen zur DSGVO ausdrücklich als ein solches Interesse genannt. Daher können das Infektionsschutzgesetz und die Infektionsschutzverordnungen der Länder grundsätzlich zur Verarbeitung von Daten über den Impfstatus und die Corona-Testergebnisse von Mitarbeitern herangezogen werden.
Aktuell (Rechtsstand 06.12.2021) gilt gemäß § 28b IfSG bundesweit 3G am Arbeitsplatz, soweit physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können. Soweit es zur Erfüllung der Überprüfungs- und Dokumentationspflicht erforderlich ist, darf der Arbeitgeber zu diesem Zweck personenbezogene Daten einschließlich Daten zum Impf-, Sero- und Teststatus in Bezug auf die Coronavirus-Krankheit-2019 (COVID-19) verarbeiten. Die Daten dürfen auch zur Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß den §§ 5 und 6 des Arbeitsschutzgesetzes (ArbSchG) verwendet werden, soweit dies erforderlich ist. Darüber hinaus sind ggf. weitergehende Verordnungen der einzelnen Bundesländer zu beachten.
Einwilligung des Mitarbeiters (Art. 9 Abs. 2 lit. a DSGVO)
Die Verarbeitung der Gesundheitsdaten von Beschäftigten ist zwar auch auf der Grundlage von Einwilligungen möglich, jedoch ist die Einwilligung nur dann rechtswirksam, wenn sie „freiwillig“ erteilt wurde. Aufgrund des bestehenden Über- und Unterordnungsverhältnisses im Arbeitsverhältnis bestehen regelmäßig Zweifel an der Freiwilligkeit der Einwilligung von Beschäftigten. Freiwilligkeit kann jedoch insbesondere dann vorliegen, wenn der Arbeitnehmer dadurch für sich einen Vorteil erreicht oder wenn Arbeitgeber und Arbeitnehmer gleichgelagerte Interessen verfolgen.
Im Zusammenhang mit der 3G-Regelung am Arbeitsplatz ist die Einwilligung des Mitarbeiters immer dann interessant, wenn mehr gespeichert werden soll als gesetzlich notwendig. So sieht zum Beispiel § 28b Abs. 3 IfSG vor, dass der 3G-Status des Arbeitnehmers täglich kontrolliert werden muss, was bei einem geimpften Mitarbeiter einen unnötigen Aufwand auf Arbeitnehmer- und Arbeitgeberseite bedeutet. Für den Arbeitnehmer besteht jedoch die Möglichkeit auf Grundlage einer Einwilligung seinen Nachweis beim Arbeitgeber zu hinterlegen.
Datenschutzkonforme Umsetzung
Aufgrund der Vielfältigkeit der Möglichkeiten einer datenschutzkonformen Umsetzung der Corona-Auflagen im Unternehmen, der teilweise länderspezifischen Besonderheiten und der bisweilen enormen Kurzlebigkeit der Vorschriften kann an dieser Stelle keine allgemeingültige Lösung gegeben werden.
Insoweit sind dringend die jeweiligen Voraussetzungen der Rechtsgrundlage zu beachten. Denn im Datenschutz gilt weiterhin der Grundsatz der Datenminimierung, d.h. die Datenverarbeitung darf keinesfalls weiter gehen, als für die Einhaltung der Ermächtigungsgrundlage (Infektionsschutzgesetz, Corona-Schutzverordnung) erforderlich.
Sieht zum Beispiel die Rechtsgrundlage eine reine Abfrage des Impfstatus vor, ist eine Speicherung dieser Information nicht erforderlich und daher nicht datenschutzkonform. Muss hingegen der Impfstatus gespeichert werden, bedeutet dies nicht automatisch, dass Kopien von Impfausweisen oder Corona-Testergebnissen gespeichert werden dürfen. Weiterhin sind stets die jeweiligen Löschfristen zu beachten.
Sollten Sie Ihren Präsenz-Betrieb unter Einhaltung der 3G-Regelung fortführen, empfehlen wir Ihnen daher Ihr diesbezügliches Hygieneschutzkonzept in Bezug auf die Einhaltung des Datenschutzes mit Ihrem Datenschutzbeauftragen abzustimmen.