< zurück zum Blog

Impfquote im Unternehmen – Was darf der Arbeitgeber wissen?

20.07.2021

Impfquote im Unternehmen – Was darf der Arbeitgeber wissen?

Die Corona-Impfung - Ein Thema was uns alle nun seit Monaten beschäftigt und auch aus datenschutzrechtlicher Sicht ein sehr interessantes und brisantes Thema ist.
Bereits in unseren Blogbeiträgen https://sidit.de/blog/coronawarnapp-in-unternehmen, https://sidit.de/blog/corona-positiv-durfen-wir-es-unseren-mitarbeitern-sagen, https://sidit.de/blog/coronatest-in-unternehmen-fur-mitarbeiter und https://sidit.de/blog/luca-datenschutzkonform-einsetzbar haben wir uns ausführlich mit den Auswirkungen der Corona-Pandemie in datenschutzrechtlicher Hinsicht beschäftigt.

In unserem heutigen Blogbeitrag wollen wir die Corona-Impfquote in Unternehmen im datenschutzrechtlichen Kontext beleuchten und uns mit der Frage befassen, welche Informationsrechte ein Arbeitgeber in diesem Zusammenhang hat.

Damit wollen wir auch unsere Blogbeitragsreihe für die kommenden drei Wochen einläuten, in der wir spannende Fragestellungen rund um das Thema „Impfungen in Unternehmen“ aufgreifen wollen.

Die Impfung und Impfquote sind besonders sensible personenbezogene Daten

Personenbezogene Daten sind schützenswert, besonders sensible personenbezogene Daten nach Art. 9 DSGVO erst recht. Um solche besonders sensiblen personenbezogenen Daten handelt es sich bei dem Impfstatus der betroffenen Person, denn diese Daten stellen Gesundheitsdaten dar.

Diese Daten dürfen nur in Ausnahmefällen verarbeitet werden. Wann ein solcher Ausnahmefall vorliegt, bestimmt Art. 9 Abs. 2 DSGVO. So kann z.B. die betroffene Person bspw. in die Verarbeitung einwilligen.

Des Weiteren kann die Verarbeitung u.a. auch für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin und für die Beurteilung der Arbeitsfähigkeit des Beschäftigten erforderlich sein.

Abweichend von Art. 9 Abs. 1 DSGVO ist die Verarbeitung von besonderen Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt, § 26 Abs. 3 DSGVO.

Eine Rechtfertigung der Verarbeitung über das Infektionsschutzgesetz kommt nur dann in Betracht, wenn es sich bei dem Arbeitgeber um eine Einrichtung nach § 23 Abs. 3 IfSG handelt, also z.B. Krankenhäuser oder Pflegeeinrichtungen.

Ist nun die Abfrage der Impfstatus von Mitarbeitern durch das Unternehmen gerechtfertigt?

Wie bereits erwähnt können Gesundheitsdaten verarbeitet werden, soweit dies erforderlich ist, damit das Unternehmen als Verantwortlicher bzw. die betroffene Person arbeits- und sozialrechtlichen Pflichten nachkommen und dementsprechende Rechte ausüben kann. Hierunter fällt auch das Fürsorgerecht des Arbeitgebers, aufgrund dessen er bestimmte personenbezogene Daten verarbeiten darf, um Schäden von seinen Mitarbeitern fernzuhalten.

Logische Konsequenz wäre daher, dass ein Unternehmen aufgrund seiner Fürsorgepflicht gegenüber seinen Mitarbeitern bei diesen abfragen kann, ob diese gegen das Corona-Virus geimpft sind. Sollte sich hierdurch ergeben, dass ein Großteil oder sogar seine ganze Belegschaft geimpft sind, könnten einige Beschränkung im Arbeitsalltag (Maskenpflicht am Arbeitsplatz, Home-Office-Regelungen, etc.) angepasst werden und somit zu einem normaleren Arbeitsalltag zurückgekehrt werden.

Allerdings ist bislang noch nicht abschließend geklärt, ob eine erfolgte Zweifach-Impfung wirksam gegen eine Ansteckung schützt bzw. ob hiermit eine Übertragung des Virus sicher ausgeschlossen ist.

Aus diesem Grund ist die Verarbeitung des Impfstatus der Mitarbeiter durch das Unternehmen nicht zwingend erforderlich, um der arbeitgeberrechtlichen Fürsorgepflicht nachzukommen. Denn trotz einer guten Impfquote kann aus den o.g. Gründen nicht ohne Weiteres zu einem normalen Arbeitsalltag zurückgekehrt werden.

Ausnahme: Gesundheitswesen!

Etwas anderes gilt aber für Beschäftigte in Krankenhäusern, Pflegeeinrichtungen, Arztpraxen usw., also im Gesundheitswesen. Das Infektionsschutzgesetz hat für diese Bereiche geregelt, dass eine Frage nach dem Impfstatus zulässig ist, wen sie zur Infektionsverhütung erforderlich ist, § 23 a IfSchG iVm § 23 Abs. 3 IfSchG. In diesen Fällen müssen Beschäftigte die Frage nach einer Impfung wahrheitsgemäß beantworten.

Einwilligung als Rechtsgrundlage

In den übrigen Fällen bleibt derzeit nur die Einholung einer Einwilligung der Arbeitnehmer. Mit Hilfe einer solchen Einwilligung könnte ein Unternehmen den Impfstatus seiner Mitarbeiter zu vorab klar definierten Zwecken verarbeiten. Wichtig ist, dass eine solche Einwilligung stets ausdrücklich und freiwillig erfolgt. Allerdings ist eine Einwilligung im Beschäftigtenbereich im Hinblick auf die Freiwilligkeit stets problematisch. Denn ein Arbeitnehmer könnte eine Einwilligung aus Angst vor arbeitsrechtlichen Konsequenzen vorschnell unterschreiben.

Nichtsdestotrotz ist eine Einwilligung im Beschäftigtenbereich generell möglich. Im Rahmen dieser Einwilligung sollten die betroffenen Mitarbeiter über die Zwecke der Verarbeitung und über ihre Betroffenenrechte informiert werden.

Daneben wäre es denkbar, dass das Unternehmen eine anonyme freiwillige Umfrage unter seinen Mitarbeitern über deren Impfstatus durchführt. Wichtig wäre hierbei, dass die Mitarbeiter nur anonym Angaben zu Ihrem Impfstatus machen. In diesem Fall wäre es für den Arbeitgeber nicht nachvollziehbar, wer von seinen Mitarbeitern bereits geimpft ist. Damit wäre der jeweilige Impfstatus nicht mehr personenbezogen und damit die DSGVO nicht anwendbar. Diese anonymen Daten könnten dann auch nach außen an andere Mitarbeiter, Kunden und andere Personen kommuniziert werden.

Die Aufsichtsbehörden nehmen Stellung

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) äußert sich insoweit, dass die Verarbeitung von Gesundheitsdaten durch Arbeitgeber DSGVO-konform erfolgen muss. Daher dürfen Informationen über den Impfstatus, als Gesundheitsdaten, insbesondere nur dann durch ein Unternehmen verarbeitet werden, wenn eine gesetzliche Grundlage hierfür vorliegt. Sofern keine andere Rechtsgrundlage gegeben ist, muss das Unternehmen die Einwilligung seiner Mitarbeiter einholen, um den Impfstatus von diesen zu verarbeiten. Die DSK vertritt daher die Ansicht, dass daher stets im Einzelfall geprüft werden muss, ob die Verarbeitung der Gesundheitsdaten von Arbeitnehmern gerechtfertigt ist und ob insbesondere eine wirksame Einwilligung unter dem Aspekt der Freiwilligkeit gegeben ist.

Der Landesbeauftragte für Datenschutz und Informationssicherheit Nordrhein-Westfalen wird schon konkreter:

Nach seiner Ansicht richtet sich die Erforderlichkeit der Abfrage des Corona-Impfstatus durch den Arbeitgeber im Regelfall nach Art. 9 Abs. 2 lit. b) DSGVO i.V.m. § 26 Abs. 3 BDSG, soweit keine Spezialnorm greift. Auch er ist der Auffassung, dass eine solche Verarbeitung nicht erforderlich ist, um der Fürsorgepflicht gegenüber Arbeitnehmern nachzukommen. Die Erforderlichkeit richte sich dabei immer nach den Zwecken, die der Arbeitgeber hiermit verfolgt. Die Fürsorgepflicht gegenüber den Arbeitnehmern und anderen betroffenen Personen kann jedoch mit Hilfe der Kenntnis von Impfstatus oder Impfquoten nicht besser erfüllt werden, da eine Impfung nicht 100 % vor Ansteckung und Übertragung des Virus schützt.

Aus diesem Grund hält er die Verarbeitung der Informationen über den Impfstatus durch Arbeitgeber aufgrund dieser Rechtsgrundlage generell für unzulässig, da nicht erforderlich. Dazu könnte die Abfrage von Impfstatus einen unzulässigen „Impfdruck“ bzw. „Impfzwang“ unter Mitarbeitern erzeugen.

Es bleibt abzuwarten, wie sich die weiteren Aufsichtsbehörden zu diesem Thema äußern. Nach dem derzeitigen Stand ist aber eine Verarbeitung der Informationen über den Impfstatus nur bei der Einwilligung der betroffenen Mitarbeiter möglich oder wenn eine Abfrage anonym erfolgt.

Wir beraten unsere Kunden im Rahmen der Bearbeitung des „SiDIT-Fahrplans“ umfassend rund um das Arbeitnehmerdatenschutz. Sollten Sie noch Fragen in diesem Bereich haben, sprechen Sie uns gerne an. Wir sind bundesweit tätig und unterstützen Sie gerne: 0931-780 877-0 oder info@sidit.de

Zum Aktivieren der eingebetteten Karte bitte auf den Link klicken. Durch das Aktivieren werden Daten an den jeweiligen Anbieter übermittelt. Weitere Informationen können unserer Datenschutzerklärung entnommen werden

Inhalt anzeigen

Ihr direkter Kontakt zu uns

SiDIT GmbH
Langgasse 20
97261 Güntersleben

Bürozeiten:
Montag bis Freitag von 8-16 Uhr.