Beschluss der DSK: Verarbeitungen des Datums „Impfstatus“ von Beschäftigten durch die Arbeitgeberin oder den Arbeitgeber
Aus gegebenem Anlass wird besonders auf die Möglichkeit der Verarbeitung des Datums auf der Grundlage einer freiwilligen Einwilligung der ArbeitnehmerInnen hingewiesen:
Verarbeitungen des Datums „Impfstatus“ von Beschäftigten durch die Arbeitgeberin oder den Arbeitgeber
Arbeitgeberinnen und Arbeitgeber dürfen das Datum „Impfstatus“ ihrer Beschäftigten ohne eine ausdrückliche gesetzliche Ermächtigung grundsätzlich nicht verarbeiten –auch nicht im Rahmen der COVID-19-Pandemie. Als Rechtsgrundlage kommt für die Verarbeitung des Datums „Impfstatus“ von Beschäftigten § 26 Absatz 3 Satz 1 des Bundesdatenschutzgesetzes (BDSG) nicht zum Tragen. Bei dem Datum „Impfstatus“ handelt es sich um ein Gesundheitsdatum gemäß Artikel 4 Nummer 15 Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung –DS-GVO) und damit um eine besondere Kategorie personenbezogener Daten, Artikel 9 Absatz 1 DS-GVO. Deren Verarbeitung ist grundsätzlich verboten und nur ausnahmsweise erlaubt.
In Einzelfällen ist eine Verarbeitung des Datums „Impfstatus“ auf Grundlage gesetzlicher Regelungen möglich:
- Bestimmte –im Gesetz genannte –Arbeitgeberinnen und Arbeitgeber aus dem Gesundheitsbereich (Krankenhäuser, Arztpraxen usw.) dürfen unter den in §§ 23a, 23 Absatz 3 des Infektionsschutzgesetzes (IfSG) genannten gesetzlichen Voraussetzungen den Impfstatus ihrer Beschäftigten verarbeiten;
- Bestimmte –im Gesetz genannte –Arbeitgeberinnen und Arbeitgeber, zum Beispiel Trägerinnen und Träger von Kindertageseinrichtungen, ambulante Pflegedienste usw., dürfen unter den in § 36 Absatz 3 IfSG genannten Voraussetzungen den Impfstatus ihrer Beschäftigten im Zusammenhang mit COVID-19 verarbeiten;
- Arbeitgeberinnen und Arbeitgeber dürfen den Impfstatus derjenigen Beschäftigten verarbeiten, die ihnen gegenüber einen Anspruch auf Geldentschädigung (Lohnersatz) nach § 56 Absatz 1 IfSG geltend machen. Dessen Voraussetzungen können im Einzelfall auch im Fall einer möglichen Infektion mit CO-VID-19 sowie einer sich anschließenden Quarantäne vorliegen. Anspruchsvoraussetzung ist unter anderem, ob die Möglichkeit einer Schutzimpfung bestand.
- Arbeitgeberinnen und Arbeitgeber dürfen den Impfstatus von Beschäftigten auch verarbeiten, soweit dies durch Rechtsverordnungen zur Pandemiebekämpfung auf Basis des IfSG vorgegeben ist.
Die Verarbeitung des Datums „Impfstatus“ von Beschäftigten auf der Grundlage von Einwilligungen ist nur dann möglich, wenn die Einwilligung freiwillig und damit rechtswirksam erteilt worden ist, § 26 Absatz 3 Satz 2 und Absatz 2 BDSG. Aufgrund des zwischen Arbeitgeberinnen und Arbeitgebern sowie ihren Beschäftigten bestehenden Über-und Unterordnungsverhältnisses bestehen regelmäßig Zweifel an der Freiwilligkeit und damit Rechtswirksamkeit der Einwilligung von Beschäftigten.
Im Zusammenhang mit der Abfrage des Datums „Impfstatus“ sind weiter zu beachten:
- Grundsatz der „Datenminimierung“, Artikel 5 Absatz 1 Buchstabe c DS-GVO: Zunächst muss geprüft werden, ob die reine Abfrage des Impfstatus zur Zweckerreichung bereits ausreichend ist. Dann ist keine Speicherung erforderlich. Soll der Impfstatus gespeichert werden, dürfen keine Kopien von Impfausweisen oder vergleichbaren Bescheinigungen (im Original oder als Kopie) in die Personalakte aufgenommen werden. Es ist ausreichend, wenn vermerkt wird, dass diese jeweils vorgelegt worden sind.
- Grundsatz der „Speicherbegrenzung“, Artikel 5 Absatz 1 Buchstabe e DS-GVO, Recht auf Löschung, Artikel 17 DS-GVO: Sobald der Zweck für die Speicherung des Impfstatus entfallen ist, muss dieses personenbezogene Datum gelöscht werden.
- Grundsatz der „Rechenschaftspflicht“, Artikel 5 Absatz 2 DS-GVO: Arbeitgeberinnen und Arbeitgeber müssen – sofern einschlägig – auch die Freiwilligkeit einer Einwilligung nachweisen können, Artikel 7 Absatz 1 DS-GVO.
Thüringer Landesbeauftragter für den Datenschutz
Häßlerstraße 8
99096 Erfurt
Telefon: +49 (361) 57-3112900
Telefax: +49 (361) 57-3112904
http://www.tlfdi.de
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Telefon: +49 (361) 3771-901
E-Mail: poststelle@datenschutz.thueringen.de