Die Datenschutzkonferenz der Datenschutzaufsichtsbehörden („DSK“) hat in einem Beschluss zur Verarbeitung des Impfstatus von Beschäftigten Stellung bezogen. Dieser Beschluss bietet zumindest im Bereich der Gesundheitsvorsorge und Betreuungseinrichtungen eine erste Übersicht zur Zulässigkeit der Verarbeitung des Impfstatus.

1. Impfstatus = Gesundheitsdatum?

Nach der nicht näher begründeten Ansicht der DSK soll es sich beim Impfstatus um ein Gesundheitsdatum gemäß Art. 4 Nr. 15 DSGVO handeln, die als besondere Kategorien personenbezogener Daten dem Schutz des Art. 9 Abs. 1 DSGVO unterfallen.

Ob diese Schlussfolgerung angemessen und für alle Bereiche folgerichtig ist, kann bezweifelt werden. Insbesondere vor dem Hintergrund von Kontrollen von Impfausweisen erscheint die Angemessenheit höchst fraglich, wenn jedem, der einen Impfstatus kontrolliert (z.B. im Restaurant oder im Hotel), die besonderen Anforderungen an den Schutz besonderer Kategorien personenbezogener Daten auferlegt würden. Solche überhöhten Anforderungen wären wohl weder angemessen, noch praktisch umsetzbar.

2. Verarbeitung bei Vorliegen spezialgesetzlicher Regelung

Eine Verarbeitung der (nach Ansicht der DSK) besonderen Kategorien personenbezogener Daten ist nur zulässig, wenn eine Verarbeitung auf Grundlage (spezial-)gesetzlicher Regelungen zugelassen wird.

a. Gesundheitsvorsorge

Eine solche spezialgesetzliche Regelung besteht gem. § 23a, § 23 Abs. 3 Infektionsschutzgesetz (IfSG) beispielsweise im Bereich der Gesundheitsvorsorge.  In solchen Einrichtungen ist die Verarbeitung aber darauf beschränkt, dass nur bei den Arbeitnehmerinnen und Arbeitnehmern der Impfstatus verarbeitet werden darf, bei denen dies zur Erfüllung der Aufgaben erforderlich ist. In der Praxis führt dies insbesondere in den Bereichen der Verwaltung und Organisation zu Graubereichen, die im Einzelfall beurteilt werden müssen.

Unter Berücksichtigung dieser Einschränkung kommt eine Verarbeitung des Impfstatus daher in folgenden Einrichtungen in Betracht:

• Krankenhäuser,
• Einrichtungen für ambulantes Operieren,
• Vorsorge- oder Rehabilitationseinrichtungen, in denen eine den Krankenhäusern vergleichbare medizinische Versorgung erfolgt,
• Dialyseeinrichtungen,
• Tageskliniken,
• Entbindungseinrichtungen,
• vergleichbare Behandlungs- oder Versorgungseinrichtungen,
• Arztpraxen, Zahnarztpraxen,
• Praxen sonstiger humanmedizinischer Heilberufe,
• Einrichtungen des öffentlichen Gesundheitsdienstes, in denen medizinische Untersuchungen, Präventionsmaßnahmen oder ambulante Behandlungen durchgeführt werden,
• ambulante Pflegedienste, die ambulante Intensivpflege in Einrichtungen, Wohngruppen oder sonstigen gemeinschaftlichen Wohnformen erbringen, und
• Rettungsdienste.

b. Kindertageseinrichtungen, Schulen, ambulante Pflegedienste usw.

Gleiches gilt für Einrichtungen, in denen besonders schutzbedürftige Personen (dauerhaft oder vorübergehend) betreut werden. Bei diesen Einrichtungen setzt die Verarbeitung des Impfstatus aber voraus, dass die vom Bundestag festzustellende epidemische Lage von nationaler Tragweite vorliegt und erlaubt eine Abfrage nur insoweit als dies zur Verhinderung der Verbreitung des Corona-Virus erforderlich ist. Da die Aufhebung dieser epidemischen Lage derzeit politisch diskutiert wird, müssen die entsprechenden Arbeitgeber die weitere Entwicklung aufmerksam verfolgen.

Unter dieser Voraussetzung kommt die Verarbeitung in folgenden Einrichtungen in Betracht:

• Kindertageseinrichtungen und Kinderhorte,
• Schulen und sonstige Ausbildungseinrichtungen,
• Heime,
• Ferienlager,
• voll- oder teilstationäre Einrichtungen zur Betreuung und Unterbringung älterer, behinderter oder pflegebedürftiger Menschen oder vergleichbare Einrichtungen,
• Obdachlosenunterkünfte,
• Einrichtungen zur gemeinschaftlichen Unterbringung von Asylbewerbern,
• Justizvollzugsanstalten,
• sonstige ambulante Pflegedienste.

c. Verarbeitung bei Anspruch auf Geldentschädigung (Lohnersatz)

Eine Verarbeitung des Impfstatus soll darüber hinaus (unabhängig von dem Bereich des Arbeitgebers) zulässig sein, wenn ein Beschäftigter einen Anspruch auf Geldentschädigung (Lohnersatz) nach § 56 Abs. 1 IfSG geltend macht. Da solche Geldentschädigungsansprüche davon abhängen können, ob eine Schutzimpfung in Anspruch genommen wurde, dürften hieran keine höheren Anforderungen zu stellen sein.

d. Verarbeitung auf Grundlage von Einwilligungen oder Rechtsverordnungen

Darüber hinaus kommt eine Verarbeitung des Impfstatus von Beschäftigten neben einer Einwilligung auch auf Grundlage von Rechtsverordnungen in Betracht, die zur Pandemiebekämpfung auf Basis des IfSG erlassen werden.

3. Anwendungshinweise

Wenn nach den vorstehenden Grundsätzen eine Verarbeitung des Impfstatus in Betracht kommt, sind nach den Hinweisen der DSK aber insbesondere folgende Grundprinzipien umzusetzen:

• Grundsatz der „Datenminimierung“ (Art. 5 Abs. 1 lit. c) DSGVO) Es soll geprüft werden, ob es ausreicht, wenn der Impfstatus nur abgefragt wird, ohne gespeichert zu werden.
• Grundsatz der „Speicherbegrenzung“ (Art. 5 Abs. 1 lit. e) DSGVO) Wenn die Daten gespeichert werden, müssen die Daten gelöscht werden, sobald der Zweck für die Speicherung des Impfstatus entfallen ist. Es stellt sich hierbei bspw. die Frage, ob dies auch greift, wenn die epidemische Lage von nationaler Tragweite aufgehoben würde.
• Grundsatz der „Rechenschaftspflicht“ (Art. 5 Abs. 2 DSGVO) Wenn der Impfstatus auf Grundlage einer Einwilligung erfolgt, muss der Arbeitgeber nachweisen können, dass die Einwilligung freiwillig abgegeben wurde, Art. 7 Abs. 1 DSGVO. Diese ist aber infolge der Abhängigkeiten im Beschäftigungsverhältnis u.U. nicht gegeben.

Aus rechtlicher Sicht kann die Einschätzung der DSK schon aufgrund der fehlenden tiefergehender Begründung nur ein erster Anhaltspunkt sein, um die Zulässigkeit der Verarbeitung des Impfstatus zu beurteilen. Die Arbeitgeber müssen daher auch in Zukunft eine Betrachtung des Einzelfalls unter Berücksichtigung der Erforderlichkeit und damit auch der Abwägung alternativer Maßnahmen durchführen. Dabei sollten die Unternehmen entsprechende Sorgfalt walten lassen, da das Bayerische Landesamt für Datenschutzaufsicht seinerseits bereits darauf hinweist, dass die unbefugte Verarbeitung des Impfstatus mit Geldbuße bis zu 20 Mio. EUR bzw. 4% des weltweiten Unternehmensumsatzes geahndet werden kann.