“Hier­zu hat der BfDI Prof. Dr. Ulrich Kel­ber in sei­ner PM vom Frei­tag­nach­mit­tag bereits erklärt, dass die Vor­ar­bei­ten der Bun­des­re­gie­rung für den Deut­schen Bun­des­tag an eini­gen Stel­len feh­ler­haft sei­en und auf daten­schutz­freund­li­che Rege­lun­gen ver­zich­te­ten. Er erklärt wei­ter, die Fol­ge sei „ein unnö­ti­ges Risi­ko daten­schutz­recht­li­cher Feh­ler” – Mat­thi­as Herkert

Gleich vor­weg – wir bewe­gen uns in einem daten­schutz­recht­lich unsi­che­ren Feld. Die Daten­schutz­auf­sicht des Bun­des noch die Auf­sichts­be­hör­den der Län­der haben bis­lang noch kei­ne ein­heit­li­che und umfas­sen­de Stel­lung­nah­me ver­öf­fent­licht und auch die neu­en Rege­lun­gen im Infek­ti­ons­schutz­ge­setz regeln kei­ne kon­kre­ten Maß­nah­men­um­set­zun­gen. Die­se Ein­schät­zung beruht daher auf den bis­he­ri­gen Ver­öf­fent­li­chun­gen und Pres­se­mit­tei­lun­gen, auf der Aus­le­gung frü­he­rer Stel­lung­nah­men und Hand­rei­chun­gen diver­ser Lan­des­da­ten­schutz­be­auf­trag­ten und der DSK und wer­den sicher­lich noch­mals einem „Update“ unter­zo­gen werden.

Nach aktu­el­lem Stand haben sowohl der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) Prof. Dr. Ulrich Kel­ber als auch der Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit (LfDI BW) Dr. Ste­fan Brink noch am Frei­tag eine ers­te Pres­se­mit­tei­lung (PM) her­aus­ge­ge­ben (Hier geht’s zur PM des BfDI, hier geht’s zur PM des LfDI BW). Die fol­gen­de Zusam­men­fas­sung des Sach­stands spie­gelt die­se Infor­ma­tio­nen wider, stellt jedoch kei­ne abschlie­ßen­de Emp­feh­lung dar.

Der Immu­ni­sie­rungs­sta­tus ist ein Gesundheitsdatum

Da Beschäf­tig­te höchst­per­sön­li­che Gesund­heits­da­ten im Arbeits­ver­hält­nis auch dann regel­mä­ßig nicht offen­ba­ren müs­sen, wenn die­se für die Fort­set­zung des Arbeits­ver­hält­nis­ses ent­schei­dend sind, wür­de der Gesetz­ge­ber mit den geplan­ten Rege­lun­gen zur Ein­däm­mung der stei­gen­den Infek­ti­ons­zah­len einen gro­ßen Schritt gehen. Hier­bei sind indes immer auch die Gren­zen des gel­ten­den Daten­schutz­rech­tes, ins­be­son­de­re der DSGVO, des BDSG und des LDSG als auch im kirch­li­chen Bereich des KDG, der KDG-DVO und des DSG-EKD, genau­so wie das Grund­recht auf infor­ma­tio­nel­le Selbst­be­stim­mung aus Art. 1 und 2 GG des natio­na­len Ver­fas­sungs­rechts zu beachten.

Hier­zu hat der BfDI Prof. Dr. Ulrich Kel­ber in sei­ner Pres­se­mit­tei­lung vom Frei­tag­nach­mit­tag bereits erklärt, dass die Vor­ar­bei­ten der Bun­des­re­gie­rung für den Deut­schen Bun­des­tag an eini­gen Stel­len feh­ler­haft sei­en und auf daten­schutz­freund­li­che Rege­lun­gen ver­zich­ten wür­den. Er erklärt wei­ter, die Fol­ge sei „ein unnö­ti­ges Risi­ko daten­schutz­recht­li­cher Fehler“.

Die Grund­sät­ze des Daten­schutz­rech­tes bil­den die Leit­plan­ken bei der Ver­ar­bei­tung des Immu­ni­sie­rungs­sta­tus der Beschäftigten

Grund­sätz­lich ist auch im Kon­text der Pan­de­mie eine Ver­ar­bei­tung der Gesund­heits­da­ten von Beschäf­tig­ten nur soweit zuläs­sig, als die­se zur Errei­chung eines in einem Par­la­ments­ge­setz fest­ge­leg­ten Zwecks geeig­net, erfor­der­lich und ange­mes­sen ist. Auch in die­sem Fall sind die daten­schutz­recht­li­chen Grund­sät­ze der Ver­hält­nis­mä­ßig­keit und der Daten­mi­ni­mie­rung zu wahren.

Für das Errei­chen des Geset­zes­zwecks muss es daher gera­de auf das Wis­sen der Arbeit­ge­ber­sei­te um den Immu­ni­sie­rungs­sta­tus der jewei­li­gen Beschäf­tig­ten ankom­men. Die­se, u.a. vom LfDI Dr. Ste­fan Brink in sei­ner Pres­se­mit­tei­lung gefor­der­te Bin­dung an den Zweck kann vor­lie­gend als gege­ben betrach­tet wer­den, da eine 3G-Pflicht am Arbeits­platz ganz kon­kret nach dem Vor­lie­gen eines „G“ (geimpft, gene­sen, getes­tet) fragt und den Zutritt zum Arbeits­platz von des­sen Nach­weis abhän­gig machen würde.

Ver­ar­bei­tung der kon­kre­ten Art der Immu­ni­sie­rung oder nur des Vor­lie­gens einer Immunisierung?

Wäh­rend der LfDI BW mit Bezug auf den Grund­satz der Daten­mi­ni­mie­rung davon aus­geht, dass es genü­ge abzu­fra­gen, „ob“ bei den Beschäf­tig­ten­z­um Abfra­ge­zeit­punkt eine Immu­ni­sie­rung gegen das Coro­na­vi­rus vor­lie­ge, es jedoch nicht erfor­der­lich sei zu wis­sen, ob die­se Immu­ni­sie­rung auf einer Imp­fung oder einer Gene­sung beru­he, geht das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht im Kon­text davon aus, dass bei der gefor­der­ten Über­prü­fung des „G‑Status“ gespei­chert wer­den dür­fe, „wenn der betrieb­li­che Umset­zungs­auf­wand außer Ver­hält­nis zu einer täg­li­chen Über­prü­fung“ ste­he, und neben dem „ob“ des Vorl­ei­gens des Test- oder Serosta­tus auch ver­ar­bei­tet wer­den kön­nen wel­ches „G“ erfüllt wur­de (hier geht’s zur FAQ-Sammlung des BayL­DA).

Hier wies die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (DSK) bereits in ihrem Beschluss vom 19.10.2021 dar­auf hin, dass Arbeit­ge­be­rin­nen und Arbeit­ge­ber den Immu­ni­sie­rungs­sta­tus ihrer Beschäf­tig­ten nur soweit ver­ar­bei­ten dür­fen, wie dies durch Rechts­ver­ord­nun­gen zur Pan­de­mie­be­kämp­fung auf Basis des IfSG vor­ge­ge­ben ist (hier geht’s zum Beschluss der DSK).

In sei­ner Pres­se­mit­tei­lung vom Frei­tag hat der BfDI nun aus­ge­führt, dass es in den meis­ten Fäl­len aus­rei­che „den Arbeit­ge­be­rin­nen und Arbeit­ge­bern über­haupt eine Kon­trol­le zu ermöglichen“.

RECHTSSICHERE LÖSUNG

Für eine rechts­si­che­re Lösung kann auf eine Erfas­sung, wel­che Immu­ni­sie­rung vor­liegt, ver­zich­tet wer­den und statt­des­sen nur durch ein ‚Abha­ken‘ hin­ter dem Namen der Beschäf­tig­ten die Kon­trol­le des Impf‑, Sero- oder Test­sta­tus erfasst werden.

ALTERNATIVE LÖSUNG

Ent­lang der Auf­fas­sung des BayL­DA kann ver­tre­ten wer­den, dass es für Impf- und Genesenen-Nachweise genü­gen wird, die­se ein­ma­lig zu kon­trol­liert und das die­se Kon­trol­le soweit auch doku­men­tiert wer­den dür­fe. Auch die Ver­ar­bei­tung der Dau­er der Gül­tig­keit des Gene­se­nen­nach­wei­ses erscheint über die­se Argu­men­ta­ti­on schlüs­sig, da bei gege­be­ner zeit­li­cher Begren­zung der Gül­tig­keit eine im wört­li­chen Sin­ne „ein­ma­li­ge“ Kon­trol­le der Zwecker­rei­chung der zu erwar­ten­den Rege­lung im Wege ste­hen würde.

Wie ist der Nach­weis der 3G-Kontrolle zu speichern?

Wenn und soweit eine Spei­che­rung des Immu­ni­sie­rungs­sta­tus erfolgt, gehen die Daten­schutz­auf­sichts­be­hör­den völ­lig über­ein­stim­mend davon aus, dass eine Spei­che­rung des Kon­troll­ergeb­nis­ses in der Per­so­nal­ak­te der Beschäf­tig­ten wegen der eigen­stän­di­gen und vor­über­ge­hen­den infek­ti­ons­schutz­recht­li­chen Zweck­be­stim­mung nicht erfor­der­lich und damit nicht zuläs­sig sei und geson­dert erfol­gen müs­se. Hin­ter­grund ist hier unter ande­rem, dass ande­ren­falls die kon­kre­te Gefahr einer spä­te­ren Benach­tei­li­gung Gene­se­ner gegen­über Geimpf­ten, etwa bei der Ent­schei­dung über die Ein­ge­hung oder Ver­län­ge­rung eines Arbeits­ver­hält­nis­ses, ent­ste­hen könn­te, weil die Arbeit­ge­ber­sei­te mög­li­cher­wei­se lang­fris­ti­ge Fol­gen einer Erkran­kung an Covid-19 („Long Covid“) befürch­tet oder ande­re Vor­be­hal­te gegen­über Gene­se­nen haben könnte.

Auch dür­fe ledig­lich der kon­kret nach­ge­wie­se­ne Sta­tus gespei­chert, jedoch nicht das Nach­weis­do­ku­ment ein­ge­scannt oder kopiert werden.

Wie lan­ge dür­fen die Infor­ma­tio­nen über eine Immu­ni­sie­rung gespei­chert werden?

Im Sin­ne der Spei­cher­be­gren­zung und des Erfor­der­lich­keits­grund­sat­zes ist die Infor­ma­ti­on über eine Immu­ni­sie­rung zu löschen, wenn sie für die Errei­chung des zuläs­si­gen Zwecks nicht mehr zwin­gend benö­tigt wird. So weist der LfDI BW dar­auf hin, dass eine Spei­che­rung die­ser Anga­ben kei­nes­wegs zwin­gend erfor­der­lich sei, „soweit bei­spiels­wei­se der Zugang zu gewis­sen Räum­lich­kei­ten von einer nach­ge­wie­se­nen Immu­ni­sie­rung abhän­gig gemacht wird“.

In die­sem Sin­ne hat auch der BfDI in sei­ner Pres­se­mit­tei­lung vom Frei­tag argu­men­tiert, dass es aus­rei­che, „3G-Daten der Beschäf­tig­ten für eine Zutritts­kon­trol­le zu prü­fen und die­se dann nach Zutritt oder am Ende des jewei­li­gen Tages zu löschen“. Für die regel­mä­ßi­ge Doku­men­ta­ti­on, ob die Zutritts­vor­aus­set­zun­gen ein­ge­hal­ten wer­den, rei­che es aus, wenn Arbeit­ge­be­rin­nen und Arbeit­ge­ber nach­prüf­ba­re Pro­zes­se eta­bliert hät­ten, auf wel­che Wei­se täg­lich der 3G-Status der Beschäf­tig­ten geprüft wer­de. Aus­drück­lich betont er, dass die per­so­nen­ge­naue Spei­che­rung sen­si­bler Gesund­heits­da­ten dafür nicht erfor­der­lich sei.

Hier­zu ver­tritt auch der BayL­DA die Ansicht, dass per­so­nen­be­zo­ge­ne Daten aus den erfor­der­li­chen Kon­trol­len zu löschen oder zu ver­nich­ten sei­en, sobald die­se nicht mehr zur Über­prü­fung der Zugangs­vor­aus­set­zun­gen und zur Erfül­lung vge­setz­li­cher Doku­men­ta­ti­ons­pflich­ten nach § 28b IfSG erfor­der­lich seien.

RECHTSSICHE LÖSUNG

Nach Auf­fas­sung des BfDI Prof. Dr. Ulrich Kel­ber genü­ge für die Zutritts­kon­trol­le ein ‚Abha­ken‘, eine Spei­che­rung wei­ter­rei­chen­der beson­de­rer Kate­go­rien per­so­nen­be­zo­ge­ner Daten wäre damit nicht erfor­der­lich und in der Fol­ge auch nicht zulässig.

ALTERNATIVE LÖSUNG

Wenn und soweit Impf- und Gene­se­nen­sta­tus sowie des­sen Gül­tig­keits­dau­ern gespei­chert wer­den, sind die­se zu löschen, sobald eine Über­prü­fung durch den Arbeit­ge­ber nicht mehr gefor­dert ist. Kon­kret sind die per­so­nen­be­zo­ge­nen Daten zum „3G-Status“ gem. § 28b Abs. 3 S. 8 IfSG spä­tes­tens am Ende des sechs­ten Monats nach ihrer Erhe­bung bezie­hungs­wei­se zum Zeit­punkt des Weg­falls der zu Grun­de lie­gen­den Rechts­grund­la­ge am 19.03.2022 zu löschen. Aus­drück­lich weist das BayL­DA auch dar­auf hin, dass die jewei­li­ge Gül­tig­keits­dau­er bei mehr­ma­li­ger Erhe­bung stets zu über­schrei­ben sei und nicht fort­lau­fend im Sin­ne einer His­to­rie gespei­chert wer­den dürfe.

Soweit ande­re Rechts­grund­la­gen für eine Spei­che­rung und Ver­wen­dung zu ande­ren Zwe­cken bestehen, stützt sich die jewei­li­ge Spei­cher­be­fug­nis und Spei­cher­dau­er jeweils hierauf.

Wer darf die Immu­ni­sie­rungs­in­for­ma­tio­nen erhe­ben und wer darf auf die­se zugreifen? 

Auch hier ist der stren­ge Erfor­der­lich­keits­grund­satz des Daten­schut­zes (need-to-know-Prinzip) zu beach­ten. Nur wer die Infor­ma­ti­on über den Immu­ni­sie­rungs­sta­tus eines Beschäf­tig­ten nach­weis­lich zwin­gend benö­tigt, darf auch auf die­sen zugrei­fen. Das BayL­DA führt hier­zu aus­drück­lich aus, dass sol­che Zugrif­fe stets nur im Rah­men eines Berech­ti­gungs­kon­zep­tes statt­fin­den dür­fen. Die­ses Berech­ti­gungs­kon­zept sol­le im Sin­ne der Nach­weis­an­for­de­run­gen aus­for­mu­liert vorliegen.

In jedem Fall erscheint es sinn­voll und erfor­der­lich, die mit der Kon­trol­le beauf­tra­gen Per­so­nen erneut auf die Ver­pflich­tung zur Ver­schwie­gen­heit und ihre frü­he­re Ver­pflich­tung zu des­sen Ein­hal­tung hin­zu­wei­sen und die­se ggf. zu erneuern.

Wei­ter lässt sich aus der Pres­se­met­tei­lung des BfDI lesen, dass die­ser eine Schwei­ge­pflicht der kon­trol­lie­ren­den Per­so­nen gegen­über dem Arbeit­ge­ber sieht, um zu ver­hin­dern, dass die Erkennt­nis­se zweck­wid­rig genutzt wer­den könnten.

Aus­drück­lich dür­fen die erfor­der­li­chen und soweit recht­mä­ßig bekannt­ge­wor­de­nen Daten gemäß § 28b Abs. 3 S.4 IfSG auch zur Anpas­sung des betrieb­li­chen Hygie­ne­kon­zepts auf Grund­la­ge der Gefähr­dungs­be­ur­tei­lung gemäß den §§ 5 und 6 des Arbeits­schutz­ge­set­zes ver­wen­det wer­den, soweit dies erfor­der­lich ist.

Fazit

Die Rege­lung zur Nach­weis­pflicht für Arbeit­ge­be­rin­nen und Arbeit­ge­ber über den Immu­ni­sie­rungs­staus der Beschäf­tig­ten ist sei­tens der Regie­rung offen for­mu­liert wor­den. Wie und wann die Nach­weis­pflicht erfüllt ist, lässt sich der Neu­fas­sung des Impf­schutz­ge­set­zes nicht ohne wei­te­res ent­neh­men. Basie­rend auf Stel­lung­nah­men, Hand­rei­chun­gen und Beschlüs­sen diver­ser Auf­sichts­be­hör­den sowie zwei aktu­el­len Pres­se­mit­tei­lun­gen, jeweils vom Bun­des­be­auf­trag­ten für Daten­schutz sowie vom Lan­des­be­auf­trag­ten für Daten­schutz BW, las­sen sich nun meh­re­re mög­li­che Lösungs­we­ge zeich­nen. Wel­che davon als rechts­si­cher ein­zu­ord­nen ist und ob dies unter den gege­be­nen Umstän­den und hin­sicht­lich der sen­si­blen Gesund­heits­da­ten über­haupt mög­lich ist, ist aktu­ell noch unge­klärt. Wir wer­den die Ent­wick­lung auf der Sei­te der Auf­sichts­be­hör­den in der kom­men­den Woche eng ver­fol­gen und aktua­li­sie­ren die­se Bei­trag, sobald sich neue oder von die­ser ers­ten Ein­schät­zung abwei­chen­de Ten­den­zen oder Fest­set­zun­gen ergeben.