Arzt mit Spritze

Impfpflicht: Gesetz vs. Datenschutz?

Impfen – ja oder nein? Zumindest bei Masern ist das Thema geklärt, denn hier gibt es mittlerweile eine Impfpflicht. Wie sieht es hingegen beim Thema Impfpflicht & Impfnachweis mit dem Datenschutz aus? Und wie mischt Corona hier mit?

2021-05-26

Logo

Impfgegner:innen und Impfbefürworter:innen stehen sich oftmals sehr unversöhnlich gegenüber. Öl in dieses Diskussions-Feuer gießt das Anstreben nach einer flächendeckenden Corona-Impfung, die allerdings freiwillig sein soll. Bei einer anderen Krankheit sieht das Gesetz jedoch eine Impfpflicht vor, die in Unternehmen mit einem Impfnachweis belegt werden muss. Doch der Datenschutz lässt die Erhebung von Gesundheitsdaten bei Beschäftigten eigentlich nicht zu – doch es gibt Ausnahmen.
 

Erstes Impfpflicht-Gesetz seit dem 19. Jahrhundert

Im sog. „Masernschutzgesetz“, das zum 1. März 2020 in Deutschland offiziell in Kraft trat, wird geregelt, dass eine Masernimpfung Pflicht wird. Mit diesem Gesetz wird das Deutsche Infektionsschutzgesetz erweitert. Von dem neuen Masernschutzgesetz sind u.a. folgende Personen betroffen:

  • Kindergarten- und Schulkinder

  • Erzieher:innen, die nach 1970 geboren sind

  • Lehrer:innen, die nach 1970 geboren sind

  • Medizinisches Personal, das nach 1970 geboren ist

  • Flüchtlinge und Asylbewerber:innen in Gemeinschaftsunterkünften.

Damit Kinder in die Schule oder den Kindergarten dürfen und Arbeitnehmer:innen aus den erwähnten Bereichen (weiter) arbeiten dürfen, brauchen sie einen Nachweis (ein ärztliches Zeugnis) über eine bereits überstandene Masernkrankheit oder eine Bestätigung für die Masernimpfung – einen sogenannten Impfnachweis.
 

Impfnachweis & Datenschutz

Arbeitgeber:innen dürfen prinzipiell nur solche Daten von ihren Arbeitnehmer:innen erheben, die für das Beschäftigungsverhältnis, genauer gesagt für den Beginn, die Durchführung und ggf. die Beendigung dessen, erforderlich sind (Datensparsamkeit und Zweckbindung nach Art. 5  Abs. 1 c) DSGVO i.V.m. § 26 Abs. 1 BDSG). Gleiches gilt übrigens auch für Bewerber:innen (§ 26 Abs. 8 S. 2 BDSG, wonach Bewerber:innen als Beschäftigte im Sinne dieses Gesetzes gelten).

Eine Ausnahme bilden hier Gesundheitsdaten, die eine besonders sensible Kategorie personenbezogener Daten darstellen. Solche dürfen für ein Beschäftigungsverhältnis nicht erhoben werden. Eine weitere Ausnahme bildet hier Art. 9 Abs. 2 lit. i DSGVO: Einzelne Gesundheitsdaten dürfen unter strengen Auflagen verarbeitet werden, wenn es z.B. um „schwerwiegende grenzüberschreitende Gesundheitsgefahren“ geht – darunter fallen die Masern. Grund: Der Schutz vor Gesundheitsgefahren aufgrund von ansteckenden Infektionskrankheiten wie z.B. Masern oder COVID-19 stellt ein legitimes öffentliches Interesse dar, weil es die öffentliche Gesundheit betrifft. Hier liegt das Problem: Einerseits dürfen Gesundheitsdaten grundsätzlich aufgrund des Datenschutzes im Beschäftigtenverhältnis nicht erhoben werden, andererseits aber braucht es für viele Beschäftigtenverhältnisse einen Nachweis über Impfungen wie die Masernimpfung.

Art. 26 Abs. 3 BDSG normiert deswegen die ausnahmsweise Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten abweichend von Art. 9 Abs. 1 DSGVO, falls dies zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Aber wie ist die Impfpflicht nun mit dem Datenschutz zu vereinbaren? Und wann darf die Vorlage des Impfausweises verlangt werden?  
 

Rechtsgrundlage für die Impfnachweis-Abfrage durch Arbeitgeber:innen

Trotz Art. 9 Abs. 2 lit. i DSGVO, die hier als Öffnungsklausel für nationales Gesetz gilt, darf nicht einfach das Impfheft von Arbeitnehmer:innen oder Bewerber:innen kopiert werden, denn es enthält zu viele weitere vertrauliche medizinische Informationen (dies ist nicht möglich aufgrund Art. 5 Abs. 1 lit c) DSGVO (Grundsatz der Datenminimierung)). Da beispielsweise für die Einstellung als Erzieher:in oder Lehrer:in allerdings ein Nachweis über eine Masernimpfung erbracht werden muss, müssen Arbeitgeber:innen hier kreativ werden: Denkbar ist, dass ein solcher Nachweis erbracht werden kann, indem der / die (potentiell) Beschäftigte den entsprechenden Eintrag im Impfheft offenlegt, und zwei Personaler:innen im vier-Augen-Prinzip die Bestätigung mit einem Vermerk in der Personalakte quittieren.
 

Corona-Impfung & Datenschutz: Ausweitung des Impfpflicht-Gesetzes?

Beim Thema Impfung durch den Arbeitgeber / die Arbeitgeberin gibt es viel Unsicherheit. Eine Impfpflicht gegen Corona wird es, soweit Gesundheitsminister Spahn aktuell beim Wort zu nehmen ist, nicht geben. Es soll zwar flächendeckende Impfungen gegen Corona geben – sofern genügend Impfstoff vorhanden ist – diese jedoch auf freiwilliger Basis. Nach aktuellem Plan der Regierung sollen dabei aber eben solche Arbeitnehmer:innen, die auch gegen die Masern geimpft sein müssen, bevorzugt gegen das Coronavirus geimpft werden. Viele Arbeitnehmer:innen fürchten jedoch, dass durch Corona der Datenschutz in Unternehmen vernachlässigt oder aufgeweicht wird und sie einen Corona-Impfnachweis erbringen müssen. Und in der Tat wird gerade über einen EU-Impfpass nachgedacht, der Geimpfte mehr Privilegien einräumen könnte. Manche nennen das eine Impfpflicht durch die Hintertür, andere folgerichtig, da Geimpfte sowohl weniger ansteckend für andere sind als auch nur noch einer sehr geringen Gefahr ausgesetzt sind, sich selbst anzusstecken.

Doch eine Corona-Impfung als Muss für Mitarbeiter:innen können und dürfen Arbeitgeber:innen nach aktueller Gesetzlage nicht einführen. So darf auch kein Impfnachweis in Unternehmen über eine Corona-Impfung verlangt werden. Einen solchen gibt es nach wie vor nur bei Einrichtungen, die unter das Masernschutzgesetz fallen. Ob Arbeitgeber:innen allerdings bei einer neuen Corona-Welle zum vorsorglichen Schutz nur Arbeitnehmer:innen mit gültiger Corona-Impfung im Büro arbeiten lassen und die restliche, un-geimpfte Belegschaft ins Home-Office schicken, ist nach aktueller Gesetzeslage offen. Dazu bedürfte es einer Änderung der aktuellen Gesetzeslage.
 

Corona Impfung & Corona Tests: Das müssen Unternehmen beachten

Bis sich das aktuelle Chaos um Impfungen und deren Umsetzung gelegt hat, sind Unternehmen verpflichtet, Arbeitnehmer:innen kostenlose Corona-Tests anzubieten. Hier sollte im Sinne des Datenschutzes folgendes beachtet werden:

  • Pro Woche und Arbeitnehmer:in sind Unternehmen dazu verpflichtet, einen gratis Corona-Test bereitzustellen. Die Schnelltests müssen zum Nachweis aufbewahrt werden – allerdings so, dass keine unbefugte Person diese einsehen kann. Dies kann beispielsweise in verschlossenen Umschlägen mit einem entsprechendem Namenskürzel geschehen, die im abschließbaren Aktenschrank aufbewahrt werden.

  • Nur der Betriebsarzt oder ausgewählte Mitarbeiter:innen, die mit der Aufbewahrung der Nachweise beauftragt wurden – hier gilt das “Need-to-know-Prinzip“ – sollten auch Zugriff bekommen. Dabei ist es wichtig sicherzustellen, dass eine Vertraulichkeitsverpflichtung vorliegt.

  • Da der Nachweis eines Schnelltest-Ergebnisses nur für einen bestimmten Zeitraum (z.B. einen Tag, eine Woche etc.) seinen Zweck erfüllt, sollte auch eine zeitnahe Vernichtung der Nachweise erfolgen. Unternehmen sollten daher genau festlegen, nach welchem Zeitraum nach dem Erhalt die Ergebnisse vernichtet werden. Dabei muss besonders auf eine sorgfältige und ordnungsgemäße Vernichtung geachtet werden. 

  • Wenn ein Test positiv ausfällt, dann muss dies im Unternehmen kommuniziert werden – allerdings anonym. Mehr zum Thema interne Kommunikation & Datenschutz in der Corona-Krise erfahren Sie hier.


Impfausweis und Datenschutz

Impfpass & Corona – zwei heiße Themen. Seit die Corona Schutzimpfungen in Deutschland flächendeckend angelaufen sind, sucht Deutschland den Impfpass. Nicht so wie in der Werbekampagne vor etlichen Jahren, sondern ganz real: Plötzlich wird das kleine gelbe Heft der Ausweis zur Freiheit. Mit zwei Stichen die Bürgerrechte zurückbekommen; bei überstandener Corona Infektion braucht es sogar nur einen Stich. Aber beim Thema Impfausweis und Datenschutz scheiden sich die Geister: Wie fälschungssicher ist er? Und soll nun ein digitaler Impfnachweis bzw. Impfausweis kommen? Sogar der Bundesbeauftragte für den Datenschutz, Ulrich Kelber, hat sich jüngst zu diesem Thema geäußert: „Fest steht: Datenschutz am Anfang zu berücksichtigen ist billiger und geht schneller, als am Ende darauf zu stoßen, dass bei der Entwicklung an einer Stelle falsch abgebogen wurde.“ Aber wie ist die Lage beim Thema Impfausweis und Datenschutz? Hier ein paar Facts zum Thema:

  • Impfpass und Social-Media: Posten Sie auf keinen Fall Bilder Ihres Impfausweises in sozialen Netzwerken! Das hat zwei Hintergründe: Zum einen geben Sie so hoch sensible Gesundheitsinformationen an die Sozialen Netzwerke weiter, die diese für Werbezwecke weiterverwenden oder -verkaufen. Zum anderen ist auch die Fälscher-Industrie bereits darauf aufmerksam geworden und kopiert die Chargen-Nummer der Corona-Impfstoff-Aufkleber aus den Bildern der Impfausweise.

  • Impfausweis nicht aus der Hand geben: Im Impfausweis, den Sie bestenfalls seit der Geburt haben, kann man schon mit wenig geschultem Blick eine ganze Biografie herauslesen. Wann wurde Sie wo gegen was geimpft? Haben Sie Impfungen für den Urlaub? Waren Sie also schon mal in einem tropischen Gebiet? Haben Sie eine Zeckenimpfung verpasst? Brauchten Sie ganz dringend eine Tetanus-Auffrischung, weil Sie sich verletzt hatten? Gesundheitsdaten fallen nicht umsonst unter die besonders sensiblen personenbezogenen Daten, die die DSGVO für sehr schützenswert hält. Es ist also okay, den Impfausweis auf der entsprechenden Seite mit der COVID-Impfung vorzuzeigen, wenn man muss, aus der Hand geben sollten Sie ihn aber nicht.

  • EU-Impfpass bzw. elektronischer Impfpass: Der Online-Impfpass, der auch EU-Impfausweis genannt wird, soll bald flächendeckend eingeführt werden. Ausgestattet werden soll der digitale Impfausweis mit einem QR-Code, der die freiheitsversprechenden Gesundheitsdaten nur dann lesbar macht, wenn man das passende Lesegerät hat. In das digitale Dokument sollen die Daten aus dem gelben Impfausweis übertragen werden. Allerdings hapert es hier beim Thema Datenschutz: Laut Recherchen ist der europäische Corona-Impfnachweis nicht fälschungssicher, ganz im Gegenteil. Schon die für den digitalen Impfausweis benötigten Materialien könnten, so Recherchen des Chaos Computer Club (CCC), problemlos von jedem / jeder online bestellt werden. Das Bundesgesundheitsministerium (BMG) räumte die Vorwürfe ein, hält wohl aber dennoch an dem digitalen Dokument fest. Da für den digitalen Impfpass zudem das Infektionsschutzgesetz geändert werden muss, wird darauf mit Spannung gewartet. Bis spätestens Ende Juni soll der digitale Impfpass eingeführt werden. Bis dahin halten Sie besser vorerst Ihren gelben Impfpass bereit – mit den oben genannten Tipps ist er (noch) weniger fälschungsanfällig.


Autorin: Kathrin Strauß
Artikel veröffentlich am: 23.11.2020, geupdated am 21.04.2021 und am 26.05.2021

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

Check: Datensensibilität bei Mitarbeitern

Die DSGVO kann in einem Unternehmen nur umgesetzt werden, wenn die Mitarbeiter umfassend in diesem Bereich geschult sind.

Mitarbeiter, die mit der automatisierten Verarbeitung von personenbezogenen Daten zu tun haben, müssen für den richtigen Umgang mit diesen Daten sensibilisiert werden. Nur so können sie Datenschutzpannen vorgebeugt werden. Sind Ihre Mitarbeiter fit im Datenschutz?

Zum Check

Geöffneter Laptop, auf welchem derCheck zur Datensensibilität der Mitarbeiter geöffnet ist

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr