Corona-Datenschutz II: Erhebung Impfstatus mit Einwilligung absichern
Die deutschen Datenschutzaufsichtsbehörden halten die Verarbeitung des Impfstatus eines Mitarbeiters mit dessen Einwilligung im Zweifel für rechtswidrig. Das stellt der Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz DSK) vom 19.10.2021 “Verarbeitungen des Datums „Impfstatus“ von Beschäftigten durch die Arbeitgeberin oder den Arbeitgeber” fest (www.siehe.eu/k4016).
1. Impfstatus Gesundheitsdatum
Es wird zunächst bestätigt, dass die Verarbeitung des Impfstatus eines Mitarbeiters die Verarbeitung personenbezogener Gesundheitsdaten ist (Art. 9 Abs. 1 DSGVO, § 26 Abs. 3 BDSG).
2. Es braucht eine gesetzliche Erlaubnis oder eine “freiwillige” Einwilligung
Für das Abfragen des Impfstatus bei Mitarbeitern braucht man eine gesetzliche Erlaubnis. Sie kann sich insbesondere aus dem Infektionsschutzgesetz ergeben, das Befugnisse gegenüber Mitarbeitern im medizinischen Bereich und bei der sozialen Betreuung vorsieht (§§ 23, 23a, 56 IfSG). Auch muss für Erstattungen nach Infektionsschutzgesetz der Impfstatus erhoben werden (siehe https://update.hdgev.de/blog/corona-datenschutz-erhebung-impfstatus-muss-geregelt-sein/).
Die Erlaubnis kann sich schließlich aus einer Einwilligung ergeben. Will der Arbeitgeber als Grundlage eine Einwilligung des betroffenen Mitarbeiters heranziehen, muss er beachten, dass nur freiwillige Einwilligungen als Erlaubnis gelten. Wenn die Einwilligung durch sozialen Druck erlangt worden ist, kann die Einwilligung als bloß formal angesehen werden und schafft dann keine Rechtmäßigkeit der Verarbeitung des Impfstatus.
Der Beschluss lässt offen, wann die Einwilligung des Mitarbeiters in die Verarbeitung seines Impfstatus freiwillig ist. Das Problem liegt in Folgendem: Ob der Mitarbeiter freiwillig oder unfreiwillig in die Preisgabe des Impfstatus einwilligt hat, ist eine innere Tatsache, die sich in den Gedanken des Mitarbeiters verbirgt und nicht zuverlässig abgefragt werden kann. Letztlich wird es auf Indizien ankommen. Wenn sich beispielsweise bei 100%iger Einwilligungsquote für die Abfrage des Impfstatus im Nachhinein ein Mitarbeiter bei der Aufsichtsbehörde beschweren würde, wäre klar, dass jedenfalls ein Mitarbeiter unfreiwillig eingewilligt hätte. Dann wäre die Erhebung des Impfstatus des betroffenen Mitarbeiters rechtswidrig.
3. Weitere Datenschutzpflichten bei Impfstatus-Erhebung
Bei der Umsetzung der Impfstatuserhebung muss berücksichtigt werden:
- dass das Verarbeitungsverzeichnis ergänzt wird,
- keine Kopien von Impfausweisen oder vergleichbaren Bescheinigungen zur Personalakte genommen werden (bloßer Vermerk genügt),
- eine Löschfrist vorgesehen wird und
- bei einem Einwilligungssystem die Freiwilligkeit, u.a. durch den entsprechenden Text der Einwilligung, dokumentiert wird.