1. Home
  2. News
  3. Abfragen des Impfstatus
  • Infobrief 06/2022

Abfragen des Impfstatus

Bund und Länder haben sich am 23. August 2021 für die Einführung der 3G-Regel (geimpft, genesen, getestet) entschieden. Viele Arbeitgeber gehen daher fälschlicherweise davon aus, dass sie deshalb auch dazu berechtigt sind den Impfstatus Ihrer Beschäftigten abzufragen. Nach der derzeitigen Rechtslage ist das aber nicht ohne weiteres möglich. Die 3G Regel gilt zunächst nur für öffentlich zugänglichen Innenräume, wie die Innengastronomie und Beherbergungen, Krankenhäuser- und Pflegeheime, Kinos, Fitnessstudios, Schwimmbäder, körpernahe Dienstleistungen wie Frisöre und bei Veranstaltungen in Innenräumen und auch hier nur für die Besucher. Möchte der Arbeitgeber dennoch den Impfnachweis seiner Beschäftigten erheben, muss er derzeit nach rechtlichen Alternativen suchen.

Rechtliche Einordnung

Der Impfstatus ist ein Gesundheitsdatum im Sinne des Art. 9 Absatz 1 DSGVO und deshalb besonders schützenswert. Gesundheitsdaten dürfen in der Regel nur mit einer Einwilligung verarbeitet werden oder wenn eine Ausnahmevorschrift vorliegt. Die Ausnahmetatbestände sind jedoch nur eingeschränkt anwendbar, da Verarbeitungen von personenbezogenen Daten nach Art. 9 Absatz 1 nach dem Willen des Gesetzgebers grundsätzlich nicht erwünscht sind.

Einwilligung

Möchte man nun als Arbeitgeber wissen, ob die Beschäftigten geimpft sind, so kann man eine Einwilligung einholen. Problematisch ist dabei jedoch, dass eine datenschutzrechtliche Einwilligung immer nur dann wirksam ist, wenn sie auch freiwillig erteilt wurde. Man kann die Beschäftigten also nicht dazu zwingen eine Einwilligungserklärung zu unterschreiben, eine unterlassene Unterschrift darf auch nicht zu anderen Nachteilen führen (z.B. den Zutritt zum Betrieb verweigern).
Bei der Einwilligung muss auch das sogenannte Kopplungsverbot nach Art. 7 Absatz 4 DSGVO berücksichtigt werden. Das wird dann relevant, wenn die Beschäftigen durch eine Prämie dazu motiviert werden sollen, einen Impfnachweis vorzulegen. Ein Verstoß gegen das Kopplungsverbot liegt vor, wenn die betroffene Person eine Leistung nur unter der Bedingung angeboten wird, dass in die Datenverarbeitung eingewilligt wird. Dabei schließt nicht jede Unannehmlichkeit die Freiwilligkeit aus. Daher sind kleine Prämien (z.B. Kinogutscheine) zulässig. Beförderungen oder Gehaltserhöhungen als Prämien sind dagegen ein Verstoß gegen das Kopplungsverbot.
Neben der Freiwilligkeit sind unbedingt auch die weiteren datenschutzrechtlichen Voraussetzungen zu beachten (Datenschutz-Information, insbesondere ein Hinweis auf das Widerrufsrecht, Nachweisbarkeit der Einwilligung).
Auch bei einer wirksam erteilten Einwilligung ist der Grundsatz der Datenminimierung zu beachten, der besagt, dass so wenig personenbezogene Daten wie möglich zu verarbeiten sind. Das hat zur Folge, dass die Einwilligung keine Kopie oder Scan des Impfnachweises rechtfertigt. Die Dokumentation der Kontrolle kann durch die Anfertigung einer internen Aktennotiz über Vorlage und Sichtung des Impfausweises erfolgen. Durch die Hinzuziehung einer zweiten beschäftigten Person kann außerdem in datenschutzkonformer Weise Missbrauch verhindert und der Beweiswert der Aktennotiz gestärkt werden (Vier-Augen-Prinzip).

Ausnahmevorschriften

Für Arbeitgeber wird es schwierig sein, ein Hygienekonzept zu entwickeln, das auf einer Datenlage aufbauen soll, die auf Einwilligungen beruht, da man damit rechnen muss, dass einige Beschäftigte diese verweigern werden. Daher liebäugeln viele Unternehmen damit, die Abfrage des Impfstatus auf eine andere rechtliche Grundlage zu stützen.
Einer dieser Rechtsgrundlagen ist der Artikel 9 Absatz 2 b DSGVO iVm § 26 Absatz 3 BDSG. Danach können Gesundheitsdaten erhoben und verarbeitet werden, wenn dies erforderlich ist, damit der Arbeitgeber seine Rechte bzw. Pflichten aus dem Arbeitsrecht ausüben kann. So ergibt sich für den Arbeitgeber gegenüber seinen Beschäftigten eine Fürsorgepflicht hinsichtlich deren Gesundheit.
Der Knackpunkt der Regelung ist hierbei der Begriff der Erforderlichkeit. Die Verarbeitung ist nach der Ausnahmeregelung erforderlich, wenn sie unabdingbar ist für die Erfüllung der rechtlichen Pflichten aus dem Arbeitsverhältnis.
Die Datenschutzbehörde in NRW stellt auf Ihrer Website klar, dass eine Abfrage des Impfstatus nach der aktuellen Lage nicht als erforderlich angesehen werden kann. Als Argumente führt sie u.a. an, dass die Abfrage des Impfstatus einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellt. Grundrechtseingriffe dürfen jedoch nur durch Gesetze gerechtfertigt werden. Aktuell sieht der Gesetzgeber keine generelle Reglung zur Abfrage des Impfstatus vor.
Daher empfehlen die Behörden das Hygienekonzept auf die bisher bekannten Maßnahmen zu stützen (Abstand, Hygiene, Maske, Lüften).
Eine weitere Ausnahmevorschrift ist § 23a Infektionsschutzgesetz (IfSG). Danach darf der Impfstatus der Beschäftigten unter bestimmten Voraussetzungen verarbeitet werden. Jedoch handelt es sich dabei nur um die folgenden Einrichtungen:

  1. Krankenhäuser
  2. Einrichtungen für ambulantes Operieren
  3. Vorsorge- oder Rehabilitationseinrichtungen, in denen eine den Krankenhäusern vergleichbare medizinische Versorgung erfolgt,
  4. Dialyseeinrichtungen,
  5. Tageskliniken,
  6. Entbindungseinrichtungen,
  7. Behandlungs- oder Versorgungseinrichtungen, die mit einer der in den Nummern 1 bis 6 genannten Einrichtungen vergleichbar sind,
  8. Arztpraxen, Zahnarztpraxen,
  9. Praxen sonstiger humanmedizinischer Heilberufe,
  10. Einrichtungen des öffentlichen Gesundheitsdienstes, in denen medizinische Untersuchungen, Präventionsmaßnahmen oder ambulante Behandlungen durchgeführt werden,
  11. ambulante Pflegedienste, die ambulante Intensivpflege in Einrichtungen, Wohngruppen oder sonstigen gemeinschaftlichen Wohnformen erbringen, und
  12. Rettungsdienste

Zudem hat die die Bundesregierung beschlossen, dass der Arbeitgeber zukünftig den Impfstatus von Beschäftigten in Pflegeheimen, Kitas, Schulen und Massenunterkünften abfragen darf

Rechtsfolgen

Verarbeitet der Arbeitgeber den Impfstatus, obwohl keine Einwilligung oder gesetzliche Erlaubnis vorliegt, riskiert er damit ein Bußgeld oder setzt sich Schadensersatzansprüchen aus.
Verweigert der Arbeitgeber ohne rechtliche Grundlage einem Beschäftigten den Zutritt zum Betrieb, so behält der Beschäftigte seinen Entgeltanspruch (§§ 615, 612a BGB).

Fazit

Da bis auf die oben genannten Ausnahmen der Gesetzgeber keine rechtliche Grundlage geschaffen hat, die es gestattet den Impfstatus zu verarbeiten, wird die Verarbeitung ohne Einwilligung durch die meisten Unternehmen rechtswidrig sein.
Bis zur Schaffung einer neuen Rechtsgrundlage besteht die Herausforderung darin, neben der Erfüllung der rechtlichen Verpflichtungen zur Bekämpfung der Pandemie auch den Datenschutz im Auge zu behalten, um einer Haftung zu entgehen. Bei dieser Herausforderung stehen Ihnen unsere Experten der GINDAT zur Seite.

Max Macht
Volljurist

About Cookies

This website uses cookies. Those have two functions: On the one hand they are providing basic functionality for this website. On the other hand they allow us to improve our content for you by saving and analyzing anonymized user data. You can redraw your consent to to using these cookies at any time. Find more information regarding cookies on our Data Protection Declaration and regarding us on the Imprint.
Mandatory

These cookies are needed for a smooth operation of our website.

Name Purpose Lifetime Type Provider
CookieConsent Saves your consent to using cookies. 1 year HTML Website
fe_typo_user Assigns your browser to a session on the server. session HTTP Website
PHPSESSID Temporary cookies which is required by PHP to temporarily store data. session HTTP Website
__cfduid missing translation: trackingobject.__cfduid.desc 30 missing translation: duration.days-session HTTP Cloudflare/ report-uri.com
Statistics

With the help of these statistics cookies we check how visitors interact with our website. The information is collected anonymously.

Name Purpose Lifetime Type Provider
_pk_id Used to store a few details about the user such as the unique visitor ID. 13 months HTML Matomo
_pk_ref Used to store the attribution information, the referrer initially used to visit the website. 6 months HTML Matomo
_pk_ses Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
_pk_cvar Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
MATOMO_SESSID Temporary cookies which is set when the Matomo Out-out is used. session HTTP Matomo
_pk_testcookie missing translation: trackingobject._pk_testcookie.desc session HTML Matomo