Beschäftigtendatenschutz und die Frage nach dem Impf- und Serostatus

Auch nach über anderthalb Jahren Covid-19-Pandemie ist das Thema der Verarbeitung von Gesundheitsdaten noch immer ein Thema, welches die Gemüter erhitzen kann. – Weiterführende Beiträge finden Sie unter „Corona und Gesundheitsdaten im Beschäftigungsverhältnis – Teil I“ und „Corona und Gesundheitsdaten im Beschäftigungsverhältnis – Teil II„. – Nun gab es auch erst kürzlich eine Änderung im Gesetz zur Verhütung und Bekämpfung von Infektionskrankheiten beim Menschen (auch: Infektionsschutzgesetz, kurz: IfSG), die den Beschäftigtendatenschutz und die Frage nach dem Impf- und Serostatus gesetzlich regelt (auch wenn dies vorher schon teilweise als zulässig angesehen wurde).

Die neueste Änderung des Infektionsschutzgesetzes

Das IfSG unterliegt insbesondere seit Beginn der Corona-Pandemie zahlreichen Änderungen. So bringt die aktuellste vom 10. September 2021 die Erlaubnis für bestimmte Arbeitgeber (§ 23 Abs. 2 IfSG), nach dem Impfstatus zu fragen (§ 23a IfSG). Dies war bisher aus datenschutzrechtlichen Gründen umstritten. Dabei ist allerdings zu beachten, dass nun nicht jeder Arbeitgeber dazu berechtigt ist, sich nach dem Impfstatus eines jeden Beschäftigten zu erkunden.

Gesundheitsdaten

Gehen wir also kurz einen kleinen Schritt zurück: Bei Informationen zum Impfstatus handelt es sich um ein Gesundheitsdatum. Art. 9 Abs. 2 DSGVO und § 22 Abs. 1 BDSG liefern genauere Informationen dazu, wann diese überhaupt verarbeitet werden dürfen.

Art. 9 Abs. 2 DSGVO

Demzufolge erlaubt Art. 9 Abs. 2 DSGVO die Verarbeitung personenbezogener Daten – mit Relevanz für das vorliegende Thema – insbesondere unter folgenden Voraussetzungen:

a) aufgrund einer ausdrücklichen Einwilligung,

b) zur erforderlichen Ausübung von Rechten oder zum Nachkommen von Pflichten aufgrund des Arbeitsrechtes oder dem Recht der sozialen Sicherheit oder des Sozialschutzes und soweit nach EU-, nationalem Recht oder einer Kollektivvereinbarung nach nationalem Recht zum Schutz der Grundrechte und Interessen Betroffener,

c) zum erforderlichen Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person, sofern die betroffene Person zur Erteilung einer Einwilligung außerstande ist,

g) erforderlich aufgrund eines erheblichen öffentlichen Interesses,

h) für erforderliche Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich,

i) aus erforderlichen Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten „[…] zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses […]“

§ 22 Abs. 1 BDSG

Auch § 22 Abs. 1 BDSG erklärt, wann u. a. Gesundheitsdaten verarbeitet werden dürfen. Hier wird zusätzlich zwischen öffentlichen und nicht-öffentlichen Einrichtungen unterschieden. Demnach dürfen beide Arten von Einrichtungen Gesundheitsdaten mithilfe folgender Rechtsgrundlagen verarbeiten:

a) um Rechten und Pflichten nach dem Recht der sozialen Sicherheit und des Sozialschutzes nachzukommen,

b) „[…] zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs […]“ und dabei „[…] von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden[…],

c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten […]“ oder

d) aufgrund eines erheblichen öffentlichen Interesses.

Öffentliche Stellen dürfen Gesundheitsdaten auch aufgrund folgender Rechtsgrundlage verarbeiten:

a) „[…] zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit […]“,

b) „[…] zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls […]“ oder

c) „[…] aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen […]“.

Die Bedeutung der IfSG-Änderung vom 10. September 2021 für Arbeitgeber

Die neue Regelung des § 23a IfSG besagt, dass „soweit es zur Erfüllung von Verpflichtungen aus § 23 Absatz 3 in Bezug auf übertragbare Krankheiten erforderlich ist, darf der Arbeitgeber personenbezogene Daten eines Beschäftigten über dessen Impf- und Serostatus verarbeiten, um über die Begründung eines Beschäftigungsverhältnisses oder über die Art und Weise einer Beschäftigung zu entscheiden. […]“. In § 23 Abs. 3 IfSG sind bestimmte Einrichtungen aufgeführt, die „[…] nach dem Stand der medizinischen Wissenschaft erforderliche [sic] Maßnahmen treffen müssen [sic], um nosokomiale Infektionen (Anm.: Infektionen, die im Zuge einer Behandlung in einem Krankenhaus oder einer Pflegeeinrichtung auftreten) zu verhüten und die Weiterverbreitung von Krankheitserregern, insbesondere solcher mit Resistenzen, zu vermeiden […]“. Bei besagten Einrichtungen handelt es sich um

1)  Krankenhäuser,

2)  Einrichtungen für ambulantes Operieren,

3)  Vorsorge- oder Rehabilitationseinrichtungen, die vergleichbare medizinische Versorgung anbieten,

4)  Dialyseeinrichtungen,

5)  Tageskliniken,

6)  Entbindungseinrichtungen,

7)  den vorausgenannten Einrichtungen ähnliche Behandlungs- und Versorgungseinrichtungen,

8)  (Zahn- und sonstige) Arztpraxen, sowohl

9)  Praxen sonstiger humanmedizinischer Heilberufe als auch

10) Einrichtungen des öffentlichen Gesundheitsdienstes, in denen medizinische Untersuchungen, Präventionsmaßnahmen oder ambulante Behandlungen durchgeführt werden, sowie

11) ambulante Pflegedienste, die ambulante Intensivpflege in Einrichtungen, Wohngruppen oder sonstigen gemeinschaftlichen Wohnformen erbringen, und

12) Rettungsdienste.

In § 36 Abs. 3 IfSG ist ein entsprechendes Frage- und Datenverarbeitungsrecht für weitere Arbeitgeber der in den Abs. 1 und 2 genannten Einrichtungen geregelt:

1)  Gemeinschaftseinrichtungen (Kindertagesstätten, Horte, Kindertagespflege, Schulen, Heime, Ferienlager),

2)  Pflegeeinrichtungen für ältere, behinderte oder sonst pflegebedürftige Personen,

3)  Obdachlosenunterkünfte,

4)  Unterkünfte für Asylbewerber, Flüchtlinge, Spätaussiedler, Ausreisepflichtige,

5)  sonstige Massenunterkünfte,

6)  Justizvollzugsanstalten (Gefängnisse) sowie

7)  diverse Pflegedienste und

8)  Einrichtungen, in denen man sich bei Tätigkeiten am Menschen durch Blut infizieren kann.

In § 28 Abs. 2a) IfSG wurde die Verpflichtung zur Vorlage eines Impf-, Genesenen- oder Testnachweises übrigens für die Dauer der vom Bundestag festgestellten pandemischen Lage als besondere Covid-19-Schutzmaßnahme geregelt.

Die Kurzfassung

Sofern eine betroffene Person in einer der oben genannten Einrichtungen tätig ist oder sofern sie in solch einer Einrichtung tätig werden möchte, muss sie vom Leiter der Einrichtung nach ihrem Impf- oder Serostatus (Als Serostatus bezeichnet man die An- oder Abwesenheit spezifischer Antikörper im Patientenserum. Diese kann durch serologische Untersuchungsmethoden festgestellt werden, beispielsweise die Antikörper gegen Covid-19 aufgrund einer durchgemachten Infektion.) gefragt werden. Weiterführende Regelungen, wie beispielsweise zur Dokumentation, zu Aufbewahrungsfristen oder sonstigen klärungsbedürftigen Fragen, lässt der Gesetzgeber allerdings offen. Dabei verweist er auf das allgemeine Datenschutzrecht (= DSGVO).

Datenschutz und die Frage nach dem Impfstatus

Wer eine Einrichtung betreibt und nach dem Impfstatus (zukünftiger) Beschäftigter fragt, muss folglich auch die Dokumentation zum Datenschutz entsprechend anpassen, sofern dies nicht schon umgesetzt worden ist. Dazu gehören Datenschutzhinweise, das Verzeichnis von Verarbeitungstätigkeiten, etwaige Richtlinien, ggf. das Lösch– und das Berechtigungskonzept etc. Zusätzlich empfehlen wir auch, ggf. die technischen und organisatorischen Maßnahmen entsprechend anzupassen.

Falls Sie Unterstützung dabei benötigen, helfen wir Ihnen gern. Kontaktieren Sie uns für ein unverbindliches Angebot.

________________________________________

Update

Aufgrund der geänderten Pandemielage empfehlen wir, die aktuellen Versionen der gültigen Verordnungen und Gesetze zu überprüfen. Dies insofern, dass diese für ehemals notwendige Abfrage dieser personenbezogenen Daten (eventuell auch bezogen auf bestimmte Branchen) keine Rechtsgrundlage mehr bieten.