Aktuell diskutieren viele Medien über den Umgang mit Covid-19 am Arbeitsplatz. Teilweise wird eine mit Italien oder Österreich vergleichbare 3G-Regelung am Arbeitsplatz gefordert. Auch gibt es Meldungen über eigene Kantinenbereiche für Mitarbeiter mit 2G. Alle diese diskutierten Ideen setzen voraus, dass Arbeitgeber Gesundheitsdaten ihrer Beschäftigten verarbeiten. Die Datenschutzkonferenz (das gemeinsame Organ der deutschen Datenschutzaufsichtsbehörden) hat das Thema Ende Oktober 2021 in einem Beschluss zur Verarbeitung des Impfstatus durch Arbeitgeber ebenfalls aufgegriffen. Vor diesem Hintergrund geben wir Ihnen einen Überblick über die rechtlichen Voraussetzungen der Verarbeitung von Covid-19-Daten durch Arbeitgeber in Deutschland.

Gesundheitsdaten

Der Impfstatus, die Information über eine überstandene Covid-Infektion sowie die Information über einen negativen Covid-19-Test sind jeweils Gesundheitsdaten im Sinne des Art. 9 Abs. 1 der EU Datenschutz-Grundverordnung (DSGVO). Somit benötigen Arbeitgeber für die Verarbeitung dieser Daten eine Erlaubnis gemäß Art. 9 Abs. 2 DSGVO. Nach Ansicht der Datenschutzkonferenz ist eine Verarbeitung von Impfdaten nur in den folgenden Fällen möglich:

• Vorliegen einer gesetzlichen Erlaubnis zur Verarbeitung des Impfstatus aus den §§ 23a und 23 Infektionsschutzgesetz (IfSG), beispielsweise für Krankenhäuser und Arztpraxen.
• Vorliegen einer gesetzlichen Erlaubnis zur Verarbeitung des Covid-Impfstatus aus § 36 Abs. 3 IfSG, beispielsweise für Träger von Kindertageseinrichtungen oder Pflegedienste.
• Wenn Beschäftigte einen Anspruch auf Geldentschädigung nach § 56 Abs. 1 IfSG (Lohnfortzahlung wegen Quarantäne) erheben, da eine der Anspruchsvoraussetzungen die fehlende Möglichkeit einer öffentlich empfohlenen Schutzimpfung ist.
• Vorliegen einer gesetzlichen Erlaubnis oder Notwendigkeit aus Rechtsverordnungen der Länder, beispielsweise wenn die lokal geltende Coronaschutzverordnung einen 2G- oder 3G-Status auch für Beschäftigte in Restaurants oder an anderen Veranstaltungsorten vorsehen.

Einwilligung der Beschäftigten

Daneben können Unternehmen Gesundheitsdaten auch auf Grundlage einer Einwilligung der Beschäftigten verarbeiten, Art. 9 Abs. 2 lit. a) DSGVO. Die Datenschutzkonferenz äußert jedoch Zweifel an der Freiwilligkeit solcher Einwilligungen angesichts der bestehenden Machtverhältnisse im Beschäftigungsverhältnis. Nach unserer Einschätzung können Einwilligungen die Erhebung und Verarbeitung von Impfdaten jedoch rechtfertigen, wenn sie korrekt gestaltet sind.

Gemäß § 26 Abs. 2 S. 2 BDSG kann eine Einwilligung im Arbeitsverhältnis insbesondere dann freiwillig erfolgen, wenn für die beschäftigte Person ein wirtschaftlicher oder rechtlicher Vorteil erreicht wird oder Arbeitgeber und Beschäftigte gleiche Interessen verfolgen. Die Möglichkeit zu geringeren Hygienemaßnahmen bringt den Beschäftigten Vorteile und liegt auch im Interesse beider Seiten. Dies gilt jedenfalls dann, wenn Beschäftigte keine Nachteile erhalten, wenn sie ihre Daten nicht angeben wollen. Dass dadurch unter Umständen der 2G- oder 3G-Status einzelner Beschäftigter für andere sichtbar wird, ist kein Gegenargument. Das Recht zur freien Impfwahl beinhaltet nicht das Recht, die eigene Entscheidung zu verheimlichen; insbesondere dann nicht, wenn dadurch Dritte gegebenenfalls Nachteile erleiden würden.

Betriebsvereinbarungen

Neben den genannten Rechtfertigungsgründen haben Unternehmen zudem die Möglichkeit, gemäß Art. 88 Abs. 1 DSGVO, § 26 Abs. 4 BDSG durch eine Betriebsvereinbarung eine Rechtsgrundlage für die Verarbeitung von Covid-19-Daten zu schaffen. Angesichts der unterschiedlichen Regelungen in den einzelnen Bundesländern und der Rechtsunsicherheit durch kritische Veröffentlichungen der Aufsichtsbehörden könnte diese Möglichkeit gerade für größere Unternehmen vorteilhaft sein.

Rechtliche Anforderungen an die Verarbeitung

Unabhängig von der Rechtsgrundlage der Verarbeitung müssen Unternehmen bei der Verarbeitung von Gesundheitsdaten die sonstigen Anforderungen der DSGVO einhalten. In Bezug auf den Impfstatus heißt das unter anderem, dass gemäß dem Prinzip der Datenminimierung nur solche Daten erhoben und verarbeitet werden dürfen, welche für die angegebenen Zwecke benötigt werden. So ist beispielsweise für die Einrichtung und Kontrolle von 2G-Bereichen durch den Arbeitgeber regelmäßig nicht notwendig, dass er ein Impfzertifikat (inklusive Impfdatum und ggf. verwendeten Impfstoff) dauerhaft speichert.

Fazit und Ausblick

Die aktuelle Rechtslage zur Verarbeitung von 2G- und 3G-Informationen durch Arbeitgeber sorgt für viele Unsicherheiten bei Unternehmen. Einerseits wollen und sollen sie ihre Beschäftigten durch Hygienekonzepte schützen und nicht unnötig belasten, andererseits ist ihnen eine Erhebung und Verarbeitung der hierfür nötigen Informationen weitgehend untersagt oder zumindest erschwert. Dazu kommen die teilweise deutlich abweichenden Regelungen der einzelnen Coronaschutzverordnungen der Bundesländer, die in unterschiedlichen Standorten eines Unternehmens zu abweichenden Regelungen führen können.

Um diesen Missstand zu beheben, ist eine bundesweit einheitliche Regelung nötig, welche Unternehmen (und Aufsichtsbehörden) klare Vorgaben zur Verarbeitung von Covid-Gesundheitsdaten an die Hand gibt. Bis dahin sollten Unternehmen prüfen, inwiefern Betriebsvereinbarungen oder eine korrekt gestaltete Einwilligungslösung für sie in Frage kommen. Soweit Sie hierzu Fragen haben, wenden Sie sich gerne an unsere Experten im Arbeits-, Informationstechnologie- und Datenschutzrecht.