Köln, 14.02.2022
I. Einrichtungsbezogene Impfpflicht
Mit dem neu eingeführten § 20a Infektionsschutzgesetz (IfSG) gilt ab dem 15. März 2022 in Gesundheitseinrichtungen und -unternehmen (z.B. Krankenhäuser, Reha-Einrichtungen, Arztpraxen, Rettungsdienste, Pflegeheime, Pflegedienste etc.) eine COVID-19-Impfpflicht. Ab diesem Datum dürfen in solchen Unternehmen und Einrichtungen nur noch Personen arbeiten, die entweder gegen COVID-19 geimpft sind, als genesen gelten oder aufgrund einer medizinischen Kontraindikation von der Impfpflicht befreit sind.
Die Mitarbeiter haben der Unternehmensleitung bis zum Ablauf des 15. März 2022 einen geeigneten Nachweis (Impf-Zertifikat, Genesenen-Zertifikat oder ärztliches Zeugnis über die Befreiung von der Impfpflicht) vorzulegen. Wenn ein solcher Nachweis nicht rechtzeitig vorgelegt wird oder die Unternehmensleitung Zweifel an der Echtheit oder inhaltlichen Richtigkeit des Nachweises hat, hat die Unternehmensleitung dies unverzüglich dem zuständigen Gesundheitsamt zu melden, und zwar unter namentlicher Nennung des Mitarbeiters.
Soweit ein vorgelegter Nachweis nach dem 16. März 2022 seine Gültigkeit auf Grund Zeitablaufs verliert (z.B. Genesenenstatus), hat der Mitarbeiter der Unternehmensleitung innerhalb eines Monats nach Ablauf der Gültigkeit des bisherigen Nachweises einen neuen Nachweis vorzulegen. Auch hier gilt eine Meldepflicht des Unternehmens an das Gesundheitsamt bei Nichtvorlage.
II. Rechtsgrundlagen der Datenverarbeitung
Der Arbeitgeber darf personenbezogene Daten des Mitarbeiters nur verarbeiten, wenn hierfür eine Rechtsgrundlage besteht. Da es sich bei den vorgenannten Nachweisen zudem um Daten mit Gesundheitsbezug handelt, sind die Vorgaben für die Verarbeitung solcher Daten noch strenger.
Als Rechtsgrundlage für die Abfrage der vorgenannten Nachweise ist § 20a IfSG in Verbindung mit Art. 9 Abs. 2 lit. b DSGVO, § 26 Abs. 3 S. 1 BDSG heranzuziehen. Die Pflicht, in den genannten Einrichtungen und Unternehmen nur nach Vorlage entsprechender Nachweise tätig zu sein, stellt eine gesetzliche Tätigkeitsvoraussetzung und damit eine rechtliche Pflicht aus dem Arbeitsrecht im Sinne des § 26 Abs. 3 S. 1 BDSG dar. Zudem dürften auch Art. 9 Abs. 2 lit. i DSGVO, § 22 Abs. 1 Nr. 1 lit. c BDSG einschlägig sein (vgl. die Gesetzesbegründung zu § 20a IfSG, BT Drs. 20/188, S. 40).
Für die Datenübermittlung an das Gesundheitsamt greifen dieselben Rechtsgrundlagen (während die Gesetzesbegründung hier nur Art. 9 Abs. 2 lit. i DSGVO, § 22 Abs. 1 Nr. 1 lit. c BDSG erwähnt).
II. Welche Daten darf der Arbeitgeber erheben und übermitteln?
Trotzdem stellt sich für den Arbeitgeber die Frage, welche Daten er vom Arbeitnehmer erheben und speichern darf und welche Daten er dem Gesundheitsamt übermitteln darf. Hierzu schweigt sich § 20a IfSG aus.
Unter Beachtung des im Datenschutzrecht geltenden Grundsatzes der Datenminimierung sind grundsätzlich nur solche Daten zu verarbeiten, die für die betreffenden Zwecke (hier Erfüllung der Pflichten aus § 20a IfSG) zwingend erforderlich sind. Danach dürfte es vorliegend ausreichen, wenn der Arbeitgeber zu jedem Mitarbeiter vermerkt, dass er einen Nachweis vorgelegt hat und wie lange dieser gültig ist bzw. dass ein Mitarbeiter keinen oder keinen gültigen Nachweis vorgelegt hat. Für die Speicherung weiterer Details zu Art und Inhalt des Nachweises oder gar einer Kopie des Nachweises besteht unseres Erachtens kein Raum.
Auch dem Gesundheitsamt sind lediglich Name und Kontaktdaten des betreffenden Mitarbeiters unter Hinweis auf das Fehlen eines gültigen Nachweises mitzuteilen. Selbst für den Fall, dass der Arbeitgeber an der Echtheit des vorgelegten Nachweises zweifelt, besteht unseres Erachtens kein Bedürfnis für die Übermittlung des Nachweises an das Gesundheitsamt. Auch in diesem Fall dürfte es genügen, dem Gesundheitsamt Namen und Kontaktdaten des Mitarbeiters unter Hinweis auf die Zweifel an der Echtheit des Nachweises zu übermitteln. Denn das Gesundheitsamt kann von Mitarbeitern in den betreffenden Einrichtungen und Unternehmen bei Bedarf selbst die Vorlage des Nachweises verlangen, vgl. § 20a Abs. 5 IfSG.
III. Welche weiteren datenschutzrechtlichen Pflichten ergeben sich für den Arbeitgeber?
Der Arbeitgeber hat den Arbeitnehmer vor Erhebung der Daten gemäß Art. 13 DSGVO über die Details der Datenverarbeitung, insbesondere über die Rechtsgrundlagen sowie die etwaig erforderliche Übermittlung von Daten an das Gesundheitsamt zu informieren. Weiter sollte die betreffende Datenverarbeitung als neuer Vorgang in das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO aufgenommen werden. Sollten Sie Unterstützung bei der datenschutzkonformen Umsetzung der Impfpflichtkontrolle benötigen, sprechen Sie uns gern an!
