1. Home
  2. News
  3. Dürfen Arbeitgeber den Impfstatus abfragen?
  • Datenschutz

Dürfen Arbeitgeber den Impfstatus abfragen?

Bund und Länder haben sich am 23. August 2021 für die Einführung der 3G-Regel (geimpft, genesen, getestet) entschieden. Viele Arbeitgeber gehen daher fälschlicherweise davon aus, dass sie deshalb auch dazu berechtigt sind den Impfstatus Ihrer Beschäftigten abzufragen. Nach der derzeitigen Rechtslage ist das aber nicht ohne weiteres möglich. Die 3G Regel gilt zunächst nur für öffentlich zugänglichen Innenräume, wie die Innengastronomie und Beherbergungen, Krankenhäuser- und Pflegeheime, Kinos, Fitnessstudios, Schwimmbäder, körpernahe Dienstleistungen wie Frisöre und bei Veranstaltungen in Innenräumen und auch hier nur für die Besucher. Möchte der Arbeitgeber dennoch den Impfnachweis seiner Beschäftigten erheben, muss er derzeit nach rechtlichen Alternativen suchen.

Rechtliche Einordnung

Der Impfstatus ist ein Gesundheitsdatum im Sinne des Art. 9 Absatz 1 DSGVO und deshalb besonders schützenswert. Gesundheitsdaten dürfen in der Regel nur mit einer Einwilligung verarbeitet werden oder wenn eine Ausnahmevorschrift vorliegt. Die Ausnahmetatbestände sind jedoch nur eingeschränkt anwendbar, da Verarbeitungen von personenbezogenen Daten nach Art. 9 Absatz 1 nach dem Willen des Gesetzgebers grundsätzlich nicht erwünscht sind.

Einwilligung

Möchte man nun als Arbeitgeber wissen, ob die Beschäftigten geimpft sind, so kann man eine Einwilligung einholen. Problematisch ist dabei jedoch, dass eine datenschutzrechtliche Einwilligung immer nur dann wirksam ist, wenn sie auch freiwillig erteilt wurde. Man kann die Beschäftigten also nicht dazu zwingen eine Einwilligungserklärung zu unterschreiben, eine unterlassene Unterschrift darf auch nicht zu anderen Nachteilen führen (z.B. den Zutritt zum Betrieb verweigern).
Bei der Einwilligung muss auch das sogenannte Kopplungsverbot nach Art. 7 Absatz 4 DSGVO berücksichtigt werden. Das wird dann relevant, wenn die Beschäftigen durch eine Prämie dazu motiviert werden sollen, einen Impfnachweis vorzulegen. Ein Verstoß gegen das Kopplungsverbot liegt vor, wenn die betroffene Person eine Leistung nur unter der Bedingung angeboten wird, dass in die Datenverarbeitung eingewilligt wird. Dabei schließt nicht jede Unannehmlichkeit die Freiwilligkeit aus. Daher sind kleine Prämien (z.B. Kinogutscheine) zulässig. Beförderungen oder Gehaltserhöhungen als Prämien sind dagegen ein Verstoß gegen das Kopplungsverbot.
Neben der Freiwilligkeit sind unbedingt auch die weiteren datenschutzrechtlichen Voraussetzungen zu beachten (Datenschutz-Information, insbesondere ein Hinweis auf das Widerrufsrecht, Nachweisbarkeit der Einwilligung).
Auch bei einer wirksam erteilten Einwilligung ist der Grundsatz der Datenminimierung zu beachten, der besagt, dass so wenig personenbezogene Daten wie möglich zu verarbeiten sind. Das hat zur Folge, dass die Einwilligung keine Kopie oder Scan des Impfnachweises rechtfertigt. Die Dokumentation der Kontrolle kann durch die Anfertigung einer internen Aktennotiz über Vorlage und Sichtung des Impfausweises erfolgen. Durch die Hinzuziehung einer zweiten beschäftigten Person kann außerdem in datenschutzkonformer Weise Missbrauch verhindert und der Beweiswert der Aktennotiz gestärkt werden (Vier-Augen-Prinzip).

Ausnahmevorschriften

Für Arbeitgeber wird es schwierig sein, ein Hygienekonzept zu entwickeln, das auf einer Datenlage aufbauen soll, die auf Einwilligungen beruht, da man damit rechnen muss, dass einige Beschäftigte diese verweigern werden. Daher liebäugeln viele Unternehmen damit, die Abfrage des Impfstatus auf eine andere rechtliche Grundlage zu stützen.
Einer dieser Rechtsgrundlagen ist der Artikel 9 Absatz 2 b DSGVO iVm § 26 Absatz 3 BDSG. Danach können Gesundheitsdaten erhoben und verarbeitet werden, wenn dies erforderlich ist, damit der Arbeitgeber seine Rechte bzw. Pflichten aus dem Arbeitsrecht ausüben kann. So ergibt sich für den Arbeitgeber gegenüber seinen Beschäftigten eine Fürsorgepflicht hinsichtlich deren Gesundheit.
Der Knackpunkt der Regelung ist hierbei der Begriff der Erforderlichkeit. Die Verarbeitung ist nach der Ausnahmeregelung erforderlich, wenn sie unabdingbar ist für die Erfüllung der rechtlichen Pflichten aus dem Arbeitsverhältnis.
Die Datenschutzbehörde in NRW stellt auf Ihrer Website klar, dass eine Abfrage des Impfstatus nach der aktuellen Lage nicht als erforderlich angesehen werden kann. Als Argumente führt sie u.a. an, dass die Abfrage des Impfstatus einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellt. Grundrechtseingriffe dürfen jedoch nur durch Gesetze gerechtfertigt werden. Aktuell sieht der Gesetzgeber keine generelle Reglung zur Abfrage des Impfstatus vor.
Daher empfehlen die Behörden das Hygienekonzept auf die bisher bekannten Maßnahmen zu stützen (Abstand, Hygiene, Maske, Lüften).
Eine weitere Ausnahmevorschrift ist § 23a Infektionsschutzgesetz (IfSG). Danach darf der Impfstatus der Beschäftigten unter bestimmten Voraussetzungen verarbeitet werden. Jedoch handelt es sich dabei nur um die folgenden Einrichtungen:

  1. Krankenhäuser
  2. Einrichtungen für ambulantes Operieren
  3. Vorsorge- oder Rehabilitationseinrichtungen, in denen eine den Krankenhäusern vergleichbare medizinische Versorgung erfolgt,
  4. Dialyseeinrichtungen,
  5. Tageskliniken,
  6. Entbindungseinrichtungen,
  7. Behandlungs- oder Versorgungseinrichtungen, die mit einer der in den Nummern 1 bis 6 genannten Einrichtungen vergleichbar sind,
  8. Arztpraxen, Zahnarztpraxen,
  9. Praxen sonstiger humanmedizinischer Heilberufe,
  10. Einrichtungen des öffentlichen Gesundheitsdienstes, in denen medizinische Untersuchungen, Präventionsmaßnahmen oder ambulante Behandlungen durchgeführt werden,
  11. ambulante Pflegedienste, die ambulante Intensivpflege in Einrichtungen, Wohngruppen oder sonstigen gemeinschaftlichen Wohnformen erbringen, und
  12. Rettungsdienste

Zudem hat die die Bundesregierung beschlossen, dass der Arbeitgeber zukünftig den Impfstatus von Beschäftigten in Pflegeheimen, Kitas, Schulen und Massenunterkünften abfragen darf

Rechtsfolgen

Verarbeitet der Arbeitgeber den Impfstatus, obwohl keine Einwilligung oder gesetzliche Erlaubnis vorliegt, riskiert er damit ein Bußgeld oder setzt sich Schadensersatzansprüchen aus.
Verweigert der Arbeitgeber ohne rechtliche Grundlage einem Beschäftigten den Zutritt zum Betrieb, so behält der Beschäftigte seinen Entgeltanspruch (§§ 615, 612a BGB).

Fazit

Da bis auf die oben genannten Ausnahmen der Gesetzgeber keine rechtliche Grundlage geschaffen hat, die es gestattet den Impfstatus zu verarbeiten, wird die Verarbeitung ohne Einwilligung durch die meisten Unternehmen rechtswidrig sein.
Bis zur Schaffung einer neuen Rechtsgrundlage besteht die Herausforderung darin, neben der Erfüllung der rechtlichen Verpflichtungen zur Bekämpfung der Pandemie auch den Datenschutz im Auge zu behalten, um einer Haftung zu entgehen. Bei dieser Herausforderung stehen Ihnen unsere Experten der GINDAT zur Seite.

Max Macht
Volljurist

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo