Einleitung
Um Infektionen mit dem Coronavirus SARS-CoV-2 am Arbeitsplatz zu minimieren, fanden weitreichende Maßnahmen des betrieblichen Infektionsschutzes ihren Weg in umfangreiche Regularien. Seit Beginn der Schutzimpfungen gegen COVID-19 normierten die entsprechenden Rechtsvorschriften aus verfassungsrechtlichen Erwägungen heraus Erleichterungen für geimpfte Personen (vgl. z. B. die COVID-19-Schutzmaßnahmen-Ausnahmeverordnung – abgekürzt: SchAusnahmV).
In vielen Fällen leiten sich die coronaspezifischen Schutzmaßnahmen aus dem Landesrecht ab. Aufgrund der §§ 28 Abs. 1, 28a, 28c und 32 Infektionsschutzgesetz (IfSG) haben sämtliche Bundesländer entsprechende Infektionsschutzmaßnahmenverordnungen erlassen (z. B. in Bayern die 15. Bayerische Infektionsschutzmaßnahmenverordnung – BayMBl. 2021 Nr. 816).
Sofern die Maßnahmen des betrieblichen Infektionsschutzes auch an den Impf-, Genesenen- oder Teststatus von Beschäftigten anknüpfen, stellt sich zwangsläufig die Frage, welche diesbezüglichen personenbezogenen Daten der Arbeitgeber zum Zwecke der Einhaltung der Schutzmaßnahmen verarbeiten darf. Gleiches gilt für Schutzmaßnahmen, die aufgrund des Arbeitsschutzrechtes erlassen werden.
Problematik des Serostatus
In den nachfolgend benannten Rechtsvorschriften fällt auf, dass der Gesetzgeber hier teilweise in Bezug auf die zulässige Datenverarbeitung auch auf den „Serostatus“ verweist. Dies stellt sich allerdings in Bezug auf SARS-CoV-2 beziehungsweise COVID-19 als problematisch dar. Da unter „Serostatus“ allgemein die An- oder Abwesenheit von Antikörpern (als serologische Marker) verstanden wird, die sich regelhaft durch Blutuntersuchungen ermitteln lässt, stellt sich die Frage, welche Bedeutung dieser für den Arbeitgeber überhaupt aufweisen kann.
In Bezug auf das Coronavirus SARS-CoV-2 liegen derzeit keine validen Daten darüber vor, ab welchem Antikörperspiegel von einem ausreichenden Immunschutz ausgegangen werden kann. Nach derzeitigem Kenntnisstand lässt somit ein serologischer Nachweis SARS-CoV-2-spezifischer Antikörper keine eindeutige Aussage zur Infektiosität beziehungsweise zum Immunstatus zu. Weiterhin definiert sich auch der Genesenenstatus rein rechtlich (nicht medizinisch!) durch eine zugrunde liegende Testung mittels Methoden der Nukleinsäureamplifikation und nicht durch die Anwesenheit von Antikörpern (vgl. § 2 Nr. 5 SchAusnahmV).
Im Ergebnis ist somit der Serostatus in Bezug auf das Coronavirus SARS-CoV-2 beziehungsweise COVID-19 regelmäßig nicht brauchbar für die Zielrichtungen der Schutzvorschriften. Aus diesen Gründen wird es regelmäßig unrechtmäßig sein, diesen Status zu verarbeiten. Die Öffnungsklauseln des Art. 9 Abs. 2 der Datenschutz-Grundverordnung (DSGVO) können aus den benannten Gründen hier dann nicht greifen.
Impf-, Genesenen- und Teststatus als Gesundheitsdaten
Angaben über den Impfstatus, den Genesenstatus und den Teststatus stellen Gesundheitsdaten i. S. v. Art. 4 Nr. 15 DSGVO dar. Hierbei handelt es sich allgemein um personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
Derartige Daten unterliegen einem besonderen Schutz und dürfen weiterhin vom Grundsatz her auch von Arbeitgebern nicht verarbeitet werden (vgl. Art. 9 Abs. 1 DSGVO).
Eine Verarbeitung entsprechender Daten ist allerdings zulässig, sofern dies zum Zweck der Erfüllung von Verpflichtungen aus dem Arbeitsrecht (vgl. Art. 9 Abs. 2 b DSGVO) oder zum Zwecke des öffentlichen Interesses im Bereich der öffentlichen Gesundheit (vgl. Art. 9 Abs. 2 i DSGVO) erforderlich ist. Hierbei handelt es sich um datenschutzrechtliche Erlaubnistatbestände, die es zugleich den Mitgliedsstaaten erlauben, auf nationaler Ebene entsprechende datenschutzrechtliche Vorschriften zu normieren.
Insofern kann festgehalten werden, dass unter gewissen Voraussetzungen das Datenschutzrecht auch die arbeitgeberseitige Verarbeitung von Impf-, Sero- und Teststatusdaten der Beschäftigten regeln kann.
3G-Regelungen im Betrieb
Mit Wirkung zum 24.11.2021 wurde im Rahmen einer Neufassung des § 28b Infektionsschutzgesetz (IfSG) eine grundsätzliche 3G-Regelung für Betriebe bundesweit einheitlich festgelegt (Bundesgesetzblatt – BGBl. 2021 I, S. 4906). Nach dieser Regelung dürfen Arbeitgeber und Beschäftigte Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können, nur betreten, wenn sie geimpfte, genesene oder getestete Personen sind (§ 28b Abs. 1 S. 1 IfSG). Die Einhaltung dieser Verpflichtung muss ein Arbeitgeber täglich überwachen und regelmäßig dokumentieren (§ 28b Abs. 3 S. 1 IfSG).
Die Befugnis zur Verarbeitung der entsprechenden personenbezogenen Daten findet sich hierfür in § 28b Abs. 3 S. 3 IfSG. Soweit es zur Erfüllung der Überwachungs- und Dokumentationspflichten erforderlich ist, darf der Arbeitgeber zu diesem Zwecke personenbezogene Daten einschließlich Daten zum Impf-, Sero- und Teststatus in Bezug auf COVID-19 verarbeiten. Insoweit hat folglich der Gesetzgeber von der Öffnungsklausel in Art. 9 Abs. 2 i DSGVO Gebrauch gemacht. Dies ermöglicht Arbeitgebern, die Beschäftigten zum Beispiel danach zu fragen, ob eine der erforderlichen Statusangaben vorliegt und dies auch entsprechend zu dokumentieren (z.B. in entsprechenden Listen).
Weiterhin bleiben die Bestimmungen des allgemeinen Datenschutzrechts unberührt (§ 28b Abs. 3 S. 9 IfSG). Folglich ist auch das Ausmaß der Datenverarbeitung auf das notwendige Maß zu beschränken (Grundsatz der „Datenminimierung“ nach Art. 5 Abs. 1 c DSGVO). So ist es im Rahmen der Kontrollverpflichtungen ausreichend, am jeweiligen Kontrolltag den Vor- und Zunamen der Beschäftigten auf Listen „abzuhaken“, wenn der jeweilige Nachweis durch den Beschäftigten erbracht worden ist. Hierbei muss weiterhin auch nicht dokumentiert werden, in welcher Form der jeweilige Status (geimpft, genesen, getestet) nachgewiesen wurde, vielmehr ist es ausreichen, dass dokumentiert wird, „dass“ ein entsprechender Status nachgewiesen wurde.
Dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 c DSGVO entspricht es auch, dass bei geimpften Personen das Vorhandensein eines gültigen Nachweises nur einmal erfasst und dokumentiert werden muss. Dies begründet sich aus dem Umstand, dass sich dieser Status – sofern er den Voraussetzungen des §28b Abs. 1 S. 1 IfSG i. V. m. § 2 Nr. 3 SchAusnahmV1 entspricht – in rechtlicher (anders als in medizinischer) Hinsicht zumindest momentan nicht ändert.
Dieser Umstand ändert allerdings nichts daran, dass die von den 3G-Regelungen betroffenen Personen weiterhin ihre entsprechenden Nachweise mit sich führen, zur Kontrolle verfügbar halten oder (freiwillig) beim Arbeitgeber hinterlegen müssen (vgl. § 28b Abs. 1 S. 1 IfSG). Auch sind sie verpflichtet, die Nachweise den zuständigen Behörden auf Verlangen vorzulegen (§ 28b Abs. 3 S. 2 IfSG).
Gleiches muss auch bei Genesenen beachtet werden. Auch dieser Personenkreis behält seinen Status für eine längere Zeit (sechs Monate, gerechnet ab dem Zeitpunkt der Testung, vgl. § 2 Nr. 5 SchAusnahmV). Hier muss allerdings berücksichtigt werden, dass bei Ablauf des Genesenenstatus vor dem 19.03.2022 (so lange ist die 3G-Regelung nach § 28b Abs. 1 S. 1 IfSG momentan anwendbar; vgl. § 28b Abs. 7 S. 1 IfSG) zusätzlich auch das Ablaufdatum des Genesenennachweises dokumentiert werden muss.
Außerdem unterliegen die im Rahmen der Überwachungs- und Dokumentationspflichten nach § 28b Abs. 3 S. 1 IfSG verarbeiteten Daten vom Grundsatz her einer strengen Zweckbindung i. S. v. Art. 5 Abs. 1 b DSGVO) und dürfen folglich auch nur zu diesen Zwecken verarbeitet werden. Eine Ausnahme besteht lediglich für die Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß §§ 5, 6 ArbSchG. Hierbei dürfen ausnahmsweise die erhobenen personenbezogenen Daten weiterhin verarbeitet werden, soweit dies zu den benannten Zwecken auch erforderlich ist (§ 28b Abs. 3 S. 4 IfSG). Dies ist insofern für Arbeitgeber von Relevanz, als bei der Festlegung der Maßnahmen des betrieblichen Infektionsschutzes der Arbeitgeber einen ihm bekannten Impf- oder Genesenenstatus der Beschäftigten gemäß § 2 Abs. 1 S. 3 SARS-CoV-2-Arbeitsschutzverordnung (Corona ArbSchV) berücksichtigen kann.
Die personenbezogenen Daten in Bezug auf den Impf- und Teststatus müssen weiterhin gesondert gesichert werden (§ 28b Abs. 3 S. 5 IfSG i. V. m. § 22 Abs. 2 Bundesdatenschutzgesett – BDSG). Dies gilt insbesondere dann, wenn der Arbeitgeber die entsprechende Datenverarbeitung (z. B. die Kontrolle der Nachweise) an Dritte delegiert, was er regelmäßig auch machen wird. Betroffen sind hier insbesondere technische und organisatorische Maßnahmen, um die Kenntnisnahme dieser erfassten Daten durch Unbefugte (Kolleginnen/Kollegen oder externe Personen) auszuschließen.
Fraglich ist auch, wie lange die dokumentierten Daten (Erhebung des Impf-, Genesenen- oder Teststatus) überhaupt aufbewahrt werden dürfen. Hier ist zu berücksichtigen, dass diese Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen (vgl. Art. 5 Abs. 1 b DSGVO). Dies bedeutet aber auch, dass bei Wegfall dieser Zweckbindung die Daten nicht mehr verarbeitet werden dürfen, was wiederum eine Verpflichtung zur Löschung der entsprechenden personenbezogenen Daten beinhaltet. Sofern diese Daten folglich nicht mehr zu den erhobenen Zwecken (Kontroll- und Überwachungspflichten bzw. zur Anpassung des betrieblichen Hygienekonzepts) benötigt werden, sind sie zu löschen. Darüber hinaus ist festgelegt, dass personenbezogene Daten spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen sind (§ 28b Abs. 3 S. 9 IfSG).
Fragerecht in besonderen Einrichtungen
Ein weiteres Fragerecht hinsichtlich des Impf- und Serostatus findet sich in § 36 Abs. 3 IfSG. Diese Vorschrift wurde erst mit Wirkung zum 15.09.2021 durch Art. 12 Aufbauhilfegesetz 2021 in das IfSG eingefügt (BGBl. 2021 I, S. 4147). Im Rahmen von an das Impfgeschehen in Bezug auf COVID-19 angelehnten weiteren Öffnungsschritten der Infektionsschutzmaßnahmenverordnungen der Bundesländer und einer angepassten Corona-ArbSchV (vgl. Bundesanzeiger – Amtlicher Teil [BAnz AT] 09.09.2021 V1) zu dieser Zeit, bestand seitens der Arbeitgeber ein gesteigertes Interesse der Arbeitgeber zu wissen, welche ihrer Beschäftigten als geimpft bzw. genesen gelten.
In der Ursprungsfassung war die Anwendbarkeit dieser Vorschrift an das Bestehen einer epidemischen Lage von nationaler Tragweite i. S. v. § 5 Abs. 1 IfSG geknüpft. Diese ist aber (in Ermangelung einer weiteren Feststellung dieser Lage durch den Deutschen Bundestag) mit Ablauf des 24.11.2021 „ausgelaufen“. Hintergrund für das „Auslaufen“ der epidemischen Lage von nationaler Tragweite in rechtlicher Hinsicht war, dass diese lediglich jeweils für drei Monate einen Fortbestand hat und der Deutsche Bundestag diese dann wieder verlängern muss. Die epidemische Lage von nationaler Tragweite gilt von Rechts wegen dann als aufgehoben, sofern der Deutsche Bundestag nicht spätestens nach drei Monaten das Fortbestehen derselben feststellt (§ 5 Abs. 1 S. 3 IfSG). Da die letztmalige Feststellung des Fortbestehens seitens des Deutschen Bundestages zum 25.08.2021 erfolgte (BGBl. 2021 I, S. 4072) und daraufhin keine weiterer Fortbestehensbeschluss erfolgte, lief die Lage von Rechts wegen mit Ablauf des 24.11.2021 aus.
Mit Wirkung zum 24.11.2021 (BGBl. 2021 I, S. 4906) wurde allerdings § 36 Abs. 3 IfSG insofern angepasst, als auch unabhängig vom Bestehen einer epidemischen Lage von nationaler Tragweite die entsprechende Datenverarbeitung zulässig ist. Die Anwendbarkeit dieser Vorschrift ist allerdings begrenzt und mit Ablauf des 19.03.2022 nicht mehr gegeben.
Gemäß § 36 Abs. 3 IfSG ist der Arbeitgeber berechtigt, in bestimmten Einrichtungen und Unternehmen personenbezogene Daten der Beschäftigten über deren Impf- und Serostatus (zur Problematik des Serostatus siehe auch oben) in Bezug auf COVID-19 zu verarbeiten, um über die Begründung eines Beschäftigungsverhältnisses oder über die Art und Weise einer Beschäftigung zu entscheiden.
Im Ergebnis darf folglich der Arbeitgeber aktiv nach dem entsprechenden Impfstatus fragen und daraus auch Konsequenzen in Bezug auf die Entscheidung einer Einstellung beziehungsweise über die Art der Beschäftigung ziehen. Zweck der Datenverarbeitung darf hier allerdings nur die Verhinderung der Verbreitung von COVID-19 sein. Diese Daten dürfen auch weiterhin nur für diese Zwecke verwendet werden (Zweckbindungsgebot nach Art. 5 Abs. 1 b IfSG). Die Daten sind grundsätzlich direkt beim Beschäftigten zu erheben (Bundestagsdrucksache [BT-Drs.] 19/32275, S. 29).
Betroffen von diesem Fragerecht sind allerdings nur die in § 36 Abs. 1 und Abs. 2 IfSG benannten Einrichtungen (z. B. Kindertageseinrichtungen, Schulen, Heime, Ferienlager, Obdachlosenunterkünfte, Massenunterkünfte und Justizvollzugsanstalten). Medizinische Einrichtungen unterfallen grundsätzlich nicht diese Vorschrift. Diesbezüglich wäre § 23a IfSG zu prüfen.
Fragerecht in medizinischen Einrichtungen
Sofern in medizinischen Einrichtungen im Sinne von § 23 Abs. 3 S. 1 IfSG (z. B. Krankenhäuser oder Arztpraxen, wozu auch betriebsärztliche Dienste zählen) eine Verarbeitung von Gesundheitsdaten in Bezug auf den Impf- und Serostatus erfolgt, kann dies auf der Grundlage von § 23a IfSG erfolgen. Diese Vorschrift bezieht sich allerdings allgemein auf die Datenverarbeitung hinsichtlich einen Impf- und Serostatus und weist im Text (anders als die Vorschriften des § 28b IfSG oder § 36 Abs. 3 IfSG) keinen Bezug zum Coronavirus SARS-CoV-2 beziehungsweise COVID-19 auf.
Nach dieser Vorschrift dürfen Arbeitgeber personenbezogene Daten über den Impf- und Serostatus verarbeiten, um über die Begründung eines Beschäftigungsverhältnisses oder über die Art und Weise einer Beschäftigung zu entscheiden.
Zielrichtung dieser Vorschrift ist allerdings, nosokomiale Infektionen zu verhüten und die Weiterverbreitung von Krankheitserregern zu vermeiden (vgl. § 23 Abs. 3 IfSG, auf den § 23a IfSG verweist). Dies ist folglich die Zweckbindung dieser Vorschrift, setzt aber dann voraus, dass ein Impfstatus in Bezug auf COVID-19 verlässlich sicher vor einer Transmission schützt. Ist dies nicht gegeben, so kann der Zweck von § 23a IfSG nicht erreicht werden. Der bloße Umstand, dass das Personal nicht schwer erkrankt (bzw. gar nicht erkrankt) vermag eine Datenverarbeitung aufgrund von § 23a IfSG nicht zu rechtfertigen. Ebenso wenig der Aspekt der Entlastung des Gesundheitswesens.
Ärztliche Schweigepflicht
Sofern das IfSG die Verarbeitung von Gesundheitsdaten in Bezug auf SARS-CoV-2 beziehungsweise COVID-19 erlaubt, so bleibt festzustellen, dass dies regelmäßig nur eine an den Arbeitgeber gerichtete Befugnis darstellt, entsprechende Daten zu verarbeiten (z. B. durch Erhebung und Speicherung dieser Daten). Hierbei ist aber immer zu beachten, dass ärztlicherseits weiterhin uneingeschränkt die ärztliche Schweigepflicht gilt (§ 9 Musterberufsordnung – MBO, § 203 Strafgesetzbuch – StGB). Ärztlicherseits ist es hier die rechtlich beste Möglichkeit, eventuelle Bescheinigungen der betroffenen Person zur selbständigen Weitergabe an die zuständigen Stellen (z. B. Arbeitgeber) mitzugeben.
Sofern dennoch eine direkte Weiterleitung an den Arbeitgeber erfolgt, bedarf es hierzu einer Einwilligung i. S. v. Art. 4 Nr. 11 DSGVO. Dabei ist aber zu beachten, dass diese nur in „informierter Weise“ erfolgen kann und dies regelmäßig voraussetzt, dass Ärztinnen oder der Ärzte die betroffenen Personen entsprechend aufgeklärt haben. Sie sind auch nachweispflichtig in Bezug auf das Vorliegen einer ordnungsgemäßen Einwilligung (vgl. Art. 7 Abs. 1 DSGVO). Letztendlich muss ärztlicherseits bekannt sein, dass eine Einwilligung mit Wirkung für die Zukunft jederzeit widerrufen werden kann (vgl. Art. 7 Abs. 3 DSGVO).
Oftmals werden (vor allem) Arbeitsmedizinerinnen und -mediziner von Arbeitgebern darauf hingewiesen, dass die Datenerhebung auf einer Rechtsgrundlage beruhe und daher die Ärztinnen oder Ärzte die entsprechenden Angaben (fallbezogen Daten über den Impf- und Immunstatus) weitergeben dürfen. Hierdurch sollen sich Ärztinnen und Ärzte allerdings nicht verunsichern lassen. Die ärztliche Schweigepflicht und das Datenschutzrecht stehen rechtlich nebeneinander und lassen sich auch gegenseitig unberührt (vgl. hierzu §1 Abs. 2 BDSG). Sofern folglich keine explizite an die Ärztinnen oder Ärzte gerichtete Offenbarungsbefugnis (bzw. Offenbarungsverpflichtung) besteht, bleibt es beim Bestehen der ärztlichen Schweigepflicht.
Fazit
In einigen Rechtsvorschriften finden sich spezifische datenschutzrechtliche Vorschriften, um Daten in Bezug auf den Impf- und Teststaus bezüglich des Coronavirus SARS-CoV-2 beziehungsweise COVID-19 verarbeiten zu können. Teilweise sind diese Vorschriften allerdings in der Anwendbarkeit zeitlich begrenzt. Ob darüber hinaus auch die entsprechenden Daten aufgrund allgemeiner Rechtsgrundlagen verarbeitet werden dürfen, ist in der Rechtsliteratur teilweise umstritten. Hier bedarf es immer einer Würdigung des Einzelfalls.
Interessenkonflikt: Der Autor gibt an, dass kein Interessenkonflikt vorliegt.
doi:10.17147/asu-1-167089
Kernaussagen
Kontakt
Foto: privat
Das PDF dient ausschließlich dem persönlichen Gebrauch! - Weitergehende Rechte bitte anfragen unter: nutzungsrechte@asu-arbeitsmedizin.com.
