Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Ratgeber
25. Juni 2021

Impfstatus, Impfungen, Tests, Büro-Organisation – das ist zulässig

DP+
Tests sind nur ein Baustein von vielen, um eine Rückkehr an den Arbeitsplatz vor Ort zu ermöglichen. Und die Testp icht wird wohl bestehen bleiben.
Bild: iStock.com / beeldlab
4,80 (5)
Rückkehr an den Arbeitsplatz
Unter welchen Bedingungen können beschäftigte Personen in einen einigermaßen normalen Büroalltag zurückkehren? Was müssen Arbeitgeber und Arbeitnehmer dazu aus Datenschutzsicht wissen? Und wie können Datenschutzbeauftragte dabei beratend unterstützen?

Derzeit überschlagen sich die Covid-Maßnahmen, die Arbeitgeber treffen müssen, um den Mitarbeitenden die Möglichkeit zu geben, wieder verstärkt in den Büroräumlichkeiten zu arbeiten.

Impfstatus und Impfangebot

Zunächst stellt sich die Frage, ob die Tatsache, ob und wann bzw. gegen was eine Person geimpft ist, ein Gesundheitsdatum im Sinne von Art. 9 Abs. 1 Datenschutz-Grundverordnung (DSGVO) ist. Ein Blick in die Verordnung hilft.

Art. 4 Nr. 15 DSGVO besagt: Gesundheitsdaten sind „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“

Erwägungsgrund 35 zur DSGVO macht deutlich, dass der Begriff der Gesundheitsdaten alle Tatsachen umfasst, die in irgendeiner Art und Weise einen Rückschluss auf den Gesundheitszustand des Betroffenen ermöglichen – die DSGVO legt den Gesundheitsbegriff also weit aus.

Abfragen des Impfstatus

Zwar lässt sich allein aus der Tatsache, dass jemand geimpft ist oder nicht, noch nicht die Schlussfolgerung ziehen, dass die betroffene Person nicht an COVID-19 erkrankt war bzw. ist – doch gehen Sie aufgrund der Eingriffsintensität, die eine Impfung darstellt, von der Verarbeitung eines Gesundheitsdatums aus, wenn ein Arbeitgeber den Impfstatus seiner Beschäftigten verarbeiten möchte.

Raten Sie dem Verantwortlichen daher, sämtliche Verpflichtungen, die mit der Verarbeitung besonderer Kategorien personenbezogener Daten in Zusammenhang stehen, zu erfüllen.

Erforderlich?

Doch wie sieht es mit der Rechtsgrundlage aus, wenn ein Arbeitgeber von seinen Beschäftigten verlangt, bei Zutritt zu den Büroräumlichkeiten nachzuweisen, dass sie gegen COVID-19 geimpft sind? Das wäre nur zulässig, wenn der Impfstatus erforderlich wäre, damit der Arbeitgeber seinen arbeits- oder sozialrechtlichen Verpflichtungen nachkommen kann und kein schutzwürdiges Interesse des Arbeitnehmers bzw. der Arbeitnehmerin am Ausschluss der Verarbeitung überwiegt.

Nicht zuletzt treffen nämlich den Arbeitgeber Fürsorgepflichten gegenüber seinen Arbeitnehmern – u.a. trifft ihn die Pflicht, vermeidbare Schäden abzuwenden.

Eine rechtliche Grundlage dafür, dass Arbeitgeber den Impfstatus ihrer Beschäftigten abfragen, gibt es (derzeit) nicht. Weder die SARS-CoV-2-Arbeitsschutzverordnung (Corona-ArbSchV) noch das Infektionsschutzgesetz (IfSG) sehen solche Verpflichtungen für den Arbeitgeber vor. Fraglich ist daher, ob es erforderlich ist, den Impfstatus abzufragen, um das Beschäftigungsverhältnis durchzuführen.

Weisen Sie den Verantwortlichen darauf hin, dass er zunächst mildere Mittel in Betracht ziehen muss, um Ansteckungen zu verhindern. Hier dürften insbesondere Corona-Tests (zur möglichen Verpflichtung siehe unten) im Vordergrund stehen.

Einwilligung?

Selbstverständlich könnte der Impfstatus eine Angabe sein, die die Beschäftigten freiwillig machen. Dann müssen allerdings sämtliche Voraussetzungen einer Einwilligung zur Verarbeitung dieser Daten vorliegen. Prüfen Sie in diesem Fall unbedingt die folgenden Punkte:

  • Erfolgt die Einwilligung durch eine eindeutig bestätigende Handlung?
  • Erteilen die Beschäftigten die Einwilligung freiwillig? Hierbei ist zu berücksichtigen, dass die Freiwilligkeit im Arbeitsverhältnis insbesondere dann vorliegen kann, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird.
  • Erteilen die Beschäftigten die Einwilligung in informierter Weise?
  • Ist die Einwilligung unmissverständlich?
  • Weist die Einwilligung auf alle Verarbeitungszwecke eindeutig hin?
  • Dokumentiert der Verantwortliche die Einwilligung und hält sie zu Nachweiszwecken nach?
  • Weist die Einwilligung die Arbeitnehmer auf ihr Widerrufsrecht hin?
  • Bezieht sich die Einwilligung bei der Verarbeitung sensibler Daten ausdrücklich auch auf diese Daten?

An dieser Stelle sei darauf hingewiesen, dass der Verantwortliche für entsprechende technische und organisatorische Maßnahmen für eine etwaige Abfrage sorgen muss. Klären Sie daher:

  • Wie werden die Daten erhoben? Mittels ausliegender Liste, elektronisch? Wer hat Zugriff auf die Abfragedaten?
  • Wie lange werden diese Daten aufbewahrt?

Außerdem ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO nötig. Achten Sie daher darauf, dass der Verantwortliche Sie von Beginn an in den Prozess einbindet, um bei der Umsetzung von technischen und organisatorischen Maßnahmen zu beraten und alle Informationen, die für eine Datenschutz-Folgenabschätzung erforderlich sind, abzufragen.

Anbieten von Impfungen

Ähnlich verhält es sich, wenn der Arbeitgeber seinen Arbeitnehmern Corona-Impfungen anbieten möchte. Eine Impfpflicht besteht in Deutschland nicht. Daher ist es in einem Unternehmen nur auf freiwilliger Basis möglich, eine solche Impfung durchzuführen. Für die Einwilligung müssen die oben genannten Voraussetzungen zur Freiwilligkeit vorliegen.

Die Coronavirus-Impfverordnung (CoronaImpfV) vom 31.03.2021 sieht vor, dass neben Impfzentren und Arztpraxen auch Betriebsärzte eine Corona-Impfung durchführen können. Inwieweit hierbei allerdings arbeitsrechtliche Verpflichtungen für den Arbeitgeber entstehen (z.B. haftungsrechtliche Fragen für den Arbeitgeber, Arbeitsunfähigkeit von Arbeitnehmern aufgrund einer durch den Betriebsarzt durchgeführten Impfung etc.), bleibt ausdrücklich außen vor.

Wichtig
Auf den Punkt gebracht: Der Arbeitgeber kann – zumindest nach derzeitigem Stand – den Impfstatus beim Betreten der Büroräumlichkeiten nur mit ausdrücklicher Einwilligung abfragen.

Anbieten und Durchführen von Corona-Tests

Regelmäßige Tests durchzuführen, ist ein wichtiger Bestandteil der Pandemiebekämpfung. Denn die Zahl und Verteilung von infizierten Personen zu erfassen, bildet die Grundlage, um Infektionsketten zu unterbrechen. Im Gegensatz zu einer Impfung stellt ein Corona-Test einen geringeren Eingriff für die Betroffenen dar.

Für die datenschutzrechtliche Beurteilung müssen Sie in einem ersten Schritt danach unterscheiden, welche Pflicht den Arbeitgeber in Bezug auf Corona-Tests überhaupt trifft: das reine „Anbieten“ oder auch das „Durchführen“.

Was sagt die Corona-ArbSchV?

Die SARS-CoV-2-Arbeitsschutzverordnung (Corona-ArbSchV) dient dazu, das Risiko einer Infektion mit dem Coronavirus am Arbeitsplatz zu minimieren sowie die Sicherheit und Gesundheit der Beschäftigten zu schützen. Zum Zeitpunkt der Erstellung dieses Beitrags wurde die Corona-ArbSchV mit Wirkung zum 23.04.2021 zum dritten Mal geändert. Seit dem 23.06.2021 gibt es einen neuen Referentenentwurf. Den aktuellsten Stand finden Sie jeweils unter BMAS – SARS-CoV-2-Arbeitsschutzverordnung.

Bezüglich des Themas „Corona-Test“ müssen Arbeitgeber § 5 der Corona-ArbSchV beachten. Danach sind sie verpflichtet, mindestens zweimal pro Kalenderwoche einen Test in Bezug auf einen direkten Erregernachweis des Coronavirus SARS-CoV-2 anzubieten, um das betriebliche Infektionsrisiko zu minimieren.

Das gilt, sofern die Beschäftigten nicht ausschließlich in ihrer Wohnung arbeiten, und ist nicht auf bestimmte Berufsgruppen beschränkt. Die Verordnung spricht ausdrücklich von „Anbieten“, nicht von „Durchführen“.

Arbeitgeber sind darüber hinaus verpflichtet, Nachweise bereitzuhalten, dass sie solche Tests beschafft haben. Sollten Arbeitgeber Dritte mit der Durchführung der Testungen beauftragen, so sind diese Vereinbarungen als Nachweis aufzubewahren. Die Aufbewahrungsfrist gilt für beide Fälle bis zum 30. Juni 2021.

Wichtig an dieser Stelle ist: Die Nachweispflicht bezieht sich nicht auf die tatsächliche Durchführung von Testungen, sondern auf das Beschaffen und damit verbundene „Anbieten“ von Testungen.

Tests durch Dritte

Sind Dritte damit beauftragt, Tests durchzuführen, prüfen Sie,

  • inwieweit sie personenbezogene Daten der Beschäftigten verarbeiten,
  • auf welcher Rechtsgrundlage dies beruht und
  • ob bzw. wie sie die Daten dem Arbeitgeber mitteilen.
Wichtig
Das Ergebnis eines Tests mit Namen eines Beschäftigten ist nicht zu übermitteln! Das ändert sich auch nicht dadurch, dass den Arbeitnehmer selbstverständlich die Pflicht trifft, sich nach einem positiven Test umgehend aus den Räumlichkeiten des Arbeitgebers zu entfernen und die weiteren Schritte wie Meldung beim Gesundheitsamt mit entsprechender Kontaktdatenverfolgung einzuleiten.

Testangebot dokumentieren

Streng genommen müssten Arbeitgeber nicht einmal dokumentieren, welchen Arbeitnehmern sie zu welchem Zeitpunkt einen Test ausgehändigt haben. Denn der Nachweis bezieht sich lediglich auf die „Beschaffung“ der Tests. Wie kann dann aber der Arbeitgeber sicherstellen, dass er Arbeitnehmern zwei Tests pro Woche angeboten bzw. ausgehändigt hat?

Um einen Nachweis zu erbringen, sollte dokumentiert sein, an welche Mitarbeitenden welche Anzahl von Tests ausgehändigt worden sind – selbstverständlich mit Zugriffsbeschränkungen auf die Dokumentation. Einsicht sollten nur Personen aus dem Office Management, die die Dokumentation vornehmen, und die Geschäftsleitung haben.

So weit zumindest die Vorschriften auf Bundesebene. Die Länder haben z.T. Regelungen, die sich davon unterscheiden.

Die Länder haben teilweise sehr unterschiedliche Regelungen in Bezug auf das Anbieten oder gar auf die Verpflichtung, Testungen durchzuführen. Die abweichenden Regelungen betreffen z.B. bestimmte Einrichtungen wie Pflegedienste. Datenschutzbeauftragte sollten daher die Regelungen, die im jeweiligen Bundesland einschlägig sein, beobachten und den Verantwortlichen dementsprechend beraten.

Herausfordernd wird es, wenn mehrere Gesellschaften in unterschiedlichen Bundesländern tätig und daher unterschiedliche Regelungen zu beachten sind. Eine enge Abstimmung dahingehend mit der Personalabteilung bzw. dem Office Management ist dann unumgänglich.

Denken Sie an dieser Stelle insbesondere daran, das Verzeichnis von Verarbeitungstätigkeiten zu aktualisieren und die entsprechenden Rechtsgrundlagen zu dokumentieren – je nachdem kann dies die jeweilige Länderregelung oder aber § 5 Corona-ArbSchV in Verbindung mit Art. 6 Abs. 1 Buchst. c DSGVO sein.

Prozesse definieren

Definieren Sie die Prozesse, wie die Aushändigung und ggf. Durchführung der Testungen im Detail vonstattengehen mit sämtlichen technischen und organisatorischen Maßnahmen. Das heißt insbesondere:

  • Empfehlen Sie, den Personenkreis so klein wie möglich zu halten, der auf die Aushändigung und ggf. Durchführung der Mitarbeiter-Testungen Zugriff hat – z.B. das Office Management oder die Personalabteilung.
  • Raten Sie davon ab, Listen auszulegen, in die sich die Mitarbeiter selbst eintragen. Denn so können die Kolleginnen und Kollegen Daten anderer Mitarbeitender einsehen.

Datenschutz-Folgenabschätzung

Sofern auch Ihr Bundesland Testungen vorschreibt, denken Sie daran, dass der Verantwortliche bei der Verarbeitung von Gesundheitsdaten eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 3 Buchst. b DSGVO durchführen muss.

Behalten Sie dabei die aktuellen Änderungen im Auge. Kurz vor Abgabe dieses Artikels hat beispielsweise der Freistaat Bayern ab dem 06.05.2021 – und damit früher als der Bund – vollständig Geimpfte und Genesene in vollem Umfang negativ getesteten Personen gleichgestellt. Sollten andere Bundesländer ähnliche Regelungen treffen, sind Testungen hoffentlich bald überflüssig.

Büro-Organisation

Die Corona-ArbSchV sieht eine Vielzahl von Bestimmungen vor, um für die Mitarbeiter das Risiko einer Corona-Infektion bei der Arbeit zu minimieren. Die wichtigsten Eckpfeiler dabei sind:

  • Mindestabstand von 1,5 m
  • Tragen medizinischer Gesichtsmasken
  • Hygienekonzept
  • regelmäßiges Lüften
  • wenn möglich: Einteilen von festen Arbeitsgruppen
  • Pro Person müssen 10 m2 zur Verfügung stehen, wenn sich Kollegen die Räumlichkeiten teilen.

Gerade der letzte Punkt ist in den meisten Unternehmen an der Tagesordnung. Denn es dürfte selten der Fall sein, dass der Arbeitgeber allen Mitarbeitenden ein Einzelbüro anbieten kann. Auch Großraumbüros oder „Share-a-desk“-Konzepte sind nichts Neues mehr.

„Book a desk“

Einige Unternehmen bieten mittlerweile sogenannte „Book-a-desk“-Services an. Dabei können Mitarbeiter ihren Schreibtisch im Vorfeld buchen und bestimmen, welchen Platz mit welcher technischen Ausrüstung sie für welche Dauer benötigen.

Damit hat der Arbeitgeber einen Überblick, wie viele Mitarbeitende anwesend sind, kann Schreibtische „sperren“, um den Mindestabstand zu wahren, und kann „Desinfizierungspausen“ einbauen, sodass nach erfolgter Benutzung der Tisch erst wieder nach einer bestimmten Zeit an den Nächsten vergeben wird. So kann er den Hygienevorschriften nachweislich nachkommen.

Mit QR-Code einchecken

Dieser Service ist oft mit einer App-Nutzung verbunden: Beschäftigte müssen bei Arbeitsantritt einen QR-Code scannen, der sich auf dem gebuchten Schreibtisch befindet, und somit „einchecken“. Stellen Sie als DSB dem Arbeitgeber dabei – wie auch bei anderen Apps – insbesondere die folgenden Fragen:

  • Ist die geplante Lösung eine SaaS- oder On-Premises-Lösung? Sprich: Kaufen wir die Nutzung in der Cloud ein oder hosten wir sie selbst?
  • Wo werden die Daten gespeichert? In der EU/im EWR oder in Drittstaaten?
  • Wie ist ein ggf. stattfindender Datentransfer in Drittstaaten aus Datenschutzsicht abgesichert (Standardvertragsklauseln, zusätzliche Maßnahmen)?
  • Wie sind die Zugriffsberechtigungen geregelt?
  • Sieht man Daten der Kollegen? Wenn ja: Welche? Gibt es eine Erforderlichkeit hierfür?
  • Welche Schlussfolgerungen zieht der Arbeitgeber, wenn ein Mitarbeiter trotz Buchung nicht erscheint? Binden Sie hierbei unbedingt die Rechtsabteilung ein und – falls vorhanden – den Betriebsrat.
  • Werden sensible Daten verarbeitet, z.B. weil der Verantwortliche behindertengerechte Plätze anbietet? Das hätte zur Folge, dass er für die Verarbeitung dieser Daten Art. 9 DSGVO beachten muss.

Auch hier gilt: Aktualisieren Sie beim Einsatz solcher Tools das Verzeichnis von Verarbeitungstätigkeiten bzw. weisen Sie den Verantwortlichen auf die Notwendigkeit hin, das Verzeichnis anzupassen!

Doris Kiefer

Doris Kiefer
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Doris Kiefer
Doris Kiefer
Doris Kiefer ist Rechtsanwältin, zertifizierte Datenschutzbeauftragte (IHK) und Data Protection Risk Manager (FOM) in München.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.