Sicherlich diskutieren Sie in Ihrem Unternehmen auch die Implikationen, welche sich aus der SARS-CoV-2-Arbeitsschutzverordnung (in Kraft seit 10.09.2021) und der Corona-Schutzverordnung NRW (Fassung gültig ab 11.09.2021) für Sie ergeben. Eine Vielzahl der dort genannten Punkte haben datenschutzrechtliche Relevanz. Eine häufige Frage betrifft die Rechtmäßigkeit in Bezug auf Datenschutz zur Abfrage des 3G-Status Ihrer Belegschaft.
Achten Sie in diesem Zusammenhang weiterhin bitte darauf, dass Arbeitgeber kein generelles Frage-bzw. Auskunftsrecht hinsichtlich des Impf-oder Genesenenstatus der Beschäftigten haben. Derzeit fordert der (nordrhein-westfälische) Gesetzgeber beispielweise nur in Innenräumen mit Publikumsverkehr, bei der Teilnahme von Veranstaltungen in Innenräumen oder bei körpernahen Dienstleistungen die Einhaltung der 3G-Regeln für alle Personen. Spezifische Vorgaben für das Arbeitsverhältnis (in NRW: Ausserhalb dieser Orte!) wurden bisher nicht aufgestellt.
Dementsprechend kann der Arbeitgeber keine Information über den Impf-oder Genesenenstatus verlangen. Eine Ausnahme bildet hier nur (auf Bundesebene) § 23a Infektionsschutzgesetz (IfSG) in Verbindung mit § 23 Abs. 3 IfSG, wonach ein Arbeitgeber im medizinischen Bereich Ihre Beschäftigen nach Ihren Impf- und Antikörperstatus befragen darf und in Folge dessen auch über die Art und Weise einer Beschäftigung entscheiden kann beziehungsweise zur Sicherheit der gesundheitlichen Einrichtung auch muss.
Die Information über den 3G-Status einer Person stellt an sich ein Gesundheitsdatum dar und gehört zu einer besonderen Kategorie personenbezogener Daten. Aufgrund ihrer Sensibilität ist dieses Datum durch die DSGVO bzw. dem BDSG unter einem besonderen Schutz gestellt.
Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn es dafür eine Rechtsgrundlage aus Art. 9 Abs. 2 DSGVO gibt (Verbot mit Erlaubnisvorbehalt). Eine Einwilligung wäre dies regelmäßig nicht. Denn nach § 26 Abs. 2 BDSG kann die Einwilligung im Beschäftigungsverhältnis nur als Rechtsgrundlage dienen, sofern diese freiwillig erteilt wurde. Da in einem Beschäftigungsverhältnis in der Regel immanente Abhängigkeitsverhältnisse vorhanden sind, bestehen erhebliche Zweifel an einer freiwilligen Offenlegung der Beschäftigten über ihren 3G-Status.
Manche „Internet-Blogs“ schreiben übrigens dazu, dass der Arbeitgeber auf Basis eines „berechtigten Interesses“ die Daten erheben darf, falls eine positive Interessenabwägung erfolgt ist. Hier verkennen die Autoren jedoch, dass auf Basis eines berechtigten Interesses die Verarbeitung von Gesundheitsdaten nicht rechtskonform möglich ist.
Ich schlage Ihnen vor, eher mit Regeln (externer Verweis) anstatt mit Pflichten zu arbeiten. Beachten Sie bitte, dass Arbeitnehmer - falls Sie als Arbeitgeber den Zutritt zum Gebäude verweigern - gegen das Maßregelungsverbot verstoßen. Arbeitnehmer haben dann weiterhin Anspruch auf Annahmeverzugslohn und sie können ihren Anspruch auf Beschäftigung im Wege eines einstweiligen Rechtsschutzes durchsetzen. Weiterhin ist absehbar, dass sich Problemstellungen ergeben werden, wenn sich Geschäftspartner oder Kunden von Ihnen – unter Verweis auf Ihr Hausrecht – weigern, Ihren Arbeitnehmern Zugang zu dem Betrieb zu gewähren und sie somit an der Ausübung ihrer Arbeitsleistung hindern. In diesem Fall müssten Sie auf den Geschäftspartner/Kunden einwirken (und Sie haben eine Pflicht zur Lohnfortzahlung).
Treten Sie gerne mit mir in Kontakt, falls Sie Fragen zu Datenschutz und Informationssicherheit haben.
Viele Grüße aus Bad Aachen
Ingo Goblirsch
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Bad Aachen
P.S.: Zu jeder Regel gibt es natürlich auch Ausnahmen. In NRW müssen nach § 4 Abs. 7 CoronaSchVO nicht immunisierte Beschäftigte, die nach dem 1. Juli 2021 mindestens fünf Werktage hintereinander (...) nicht gearbeitet haben, am ersten Arbeitstag nach dieser Arbeitsunterbrechung dem Arbeitgeber einen Negativtestnachweis vorlegen oder vor oder bei Beginn der Arbeitsaufnahme am ersten Arbeitstag einen dokumentierten beaufsichtigten Test im Rahmen der Beschäftigtentestung nach durchführen. Da die Kontrolle der Testnachweise sichergestellt werden muss, muss auch im Nachgang nachvollziehbar sein, dass kontrolliert wurde und dass der Test tatsächlich negativ war. Insoweit lässt sich eine Datenverarbeitung nicht vermeiden.
P.P.S.: Nicht nur ich finde diese Regelungen nicht praxisnah – wenn man die Belegschaft schützen will. Deswegen fordert nicht zuletzt der Bundesdatenschutzbeauftragte die Möglichkeit, den Impf- und Genesenenstatus abzufragen. Ich informiere Sie, sobald dies möglich ist.
Photo by John Cameron on Unsplash. Thank you!