Derzeit überschlagen sich die Covid-Maßnahmen, die Arbeitgeber treffen müssen, um den Mitarbeitenden die Möglichkeit zu geben, wieder verstärkt in den Büroräumlichkeiten zu arbeiten.
Impfstatus und Impfangebot
Zunächst stellt sich die Frage, ob die Tatsache, ob und wann bzw. gegen was eine Person geimpft ist, ein Gesundheitsdatum im Sinne von Art. 9 Abs. 1 Datenschutz-Grundverordnung (DSGVO) ist. Ein Blick in die Verordnung hilft.
Art. 4 Nr. 15 DSGVO besagt: Gesundheitsdaten sind „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“
Erwägungsgrund 35 zur DSGVO macht deutlich, dass der Begriff der Gesundheitsdaten alle Tatsachen umfasst, die in irgendeiner Art und Weise einen Rückschluss auf den Gesundheitszustand des Betroffenen ermöglichen – die DSGVO legt den Gesundheitsbegriff also weit aus.
Abfragen des Impfstatus
Zwar lässt sich allein aus der Tatsache, dass jemand geimpft ist oder nicht, noch nicht die Schlussfolgerung ziehen, dass die betroffene Person nicht an COVID-19 erkrankt war bzw. ist – doch gehen Sie aufgrund der Eingriffsintensität, die eine Impfung darstellt, von der Verarbeitung eines Gesundheitsdatums aus, wenn ein Arbeitgeber den Impfstatus seiner Beschäftigten verarbeiten möchte.
Raten Sie dem Verantwortlichen daher, sämtliche Verpflichtungen, die mit der Verarbeitung besonderer Kategorien personenbezogener Daten in Zusammenhang stehen, zu erfüllen.
Erforderlich?
Doch wie sieht es mit der Rechtsgrundlage aus, wenn ein Arbeitgeber von seinen Beschäftigten verlangt, bei Zutritt zu den Büroräumlichkeiten nachzuweisen, dass sie gegen COVID-19 geimpft sind? Das wäre nur zulässig, wenn der Impfstatus erforderlich wäre, damit der Arbeitgeber seinen arbeits- oder sozialrechtlichen Verpflichtungen nachkommen kann und kein schutzwürdiges Interesse des Arbeitnehmers bzw. der Arbeitnehmerin am Ausschluss der Verarbeitung überwiegt.
Nicht zuletzt treffen nämlich den Arbeitgeber Fürsorgepflichten gegenüber seinen Arbeitnehmern – u.a. trifft ihn die Pflicht, vermeidbare Schäden abzuwenden.
Eine rechtliche Grundlage dafür, dass Arbeitgeber den Impfstatus ihrer Beschäftigten abfragen, gibt es (derzeit) nicht. Weder die SARS-CoV-2-Arbeitsschutzverordnung (Corona-ArbSchV) noch das Infektionsschutzgesetz (IfSG) sehen solche Verpflichtungen für den Arbeitgeber vor. Fraglich ist daher, ob es erforderlich ist, den Impfstatus abzufragen, um das Beschäftigungsverhältnis durchzuführen.
Weisen Sie den Verantwortlichen darauf hin, dass er zunächst mildere Mittel in Betracht ziehen muss, um Ansteckungen zu verhindern. Hier dürften insbesondere Corona-Tests (zur möglichen Verpflichtung siehe unten) im Vordergrund stehen.
Einwilligung?
Selbstverständlich könnte der Impfstatus eine Angabe sein, die die Beschäftigten freiwillig machen. Dann müssen allerdings sämtliche Voraussetzungen einer Einwilligung zur Verarbeitung dieser Daten vorliegen. Prüfen Sie in diesem Fall unbedingt die folgenden Punkte:
- Erfolgt die Einwilligung durch eine eindeutig bestätigende Handlung?
- Erteilen die Beschäftigten die Einwilligung freiwillig? Hierbei ist zu berücksichtigen, dass die Freiwilligkeit im Arbeitsverhältnis insbesondere dann vorliegen kann, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird.
- Erteilen die Beschäftigten die Einwilligung in informierter Weise?
- Ist die Einwilligung unmissverständlich?
- Weist die Einwilligung auf alle Verarbeitungszwecke eindeutig hin?
- Dokumentiert der Verantwortliche die Einwilligung und hält sie zu Nachweiszwecken nach?
- Weist die Einwilligung die Arbeitnehmer auf ihr Widerrufsrecht hin?
- Bezieht sich die Einwilligung bei der Verarbeitung sensibler Daten ausdrücklich auch auf diese Daten?
An dieser Stelle sei darauf hingewiesen, dass der Verantwortliche für entsprechende technische und organisatorische Maßnahmen für eine etwaige Abfrage sorgen muss. Klären Sie daher:
- Wie werden die Daten erhoben? Mittels ausliegender Liste, elektronisch? Wer hat Zugriff auf die Abfragedaten?
- Wie lange werden diese Daten aufbewahrt?
Außerdem ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO nötig. Achten Sie daher darauf, dass der Verantwortliche Sie von Beginn an in den Prozess einbindet, um bei der Umsetzung von technischen und organisatorischen Maßnahmen zu beraten und alle Informationen, die für eine Datenschutz-Folgenabschätzung erforderlich sind, abzufragen.
Anbieten von Impfungen
Ähnlich verhält es sich, wenn der Arbeitgeber seinen Arbeitnehmern Corona-Impfungen anbieten möchte. Eine Impfpflicht besteht in Deutschland nicht. Daher ist es in einem Unternehmen nur auf freiwilliger Basis möglich, eine solche Impfung durchzuführen. Für die Einwilligung müssen die oben genannten Voraussetzungen zur Freiwilligkeit vorliegen.
Die Coronavirus-Impfverordnung (CoronaImpfV) vom 31.03.2021 sieht vor, dass neben Impfzentren und Arztpraxen auch Betriebsärzte eine Corona-Impfung durchführen können. Inwieweit hierbei allerdings arbeitsrechtliche Verpflichtungen für den Arbeitgeber entstehen (z.B. haftungsrechtliche Fragen für den Arbeitgeber, Arbeitsunfähigkeit von Arbeitnehmern aufgrund einer durch den Betriebsarzt durchgeführten Impfung etc.), bleibt ausdrücklich außen vor.