Per Gesetz ja – aber nur mit klaren Grenzen

Aktuell scheint der Gesetzgeber angesichts deutlich steigender Infektionszahlen entschlossen, Arbeitgeber_innen die allgemeine Befugnis einzuräumen, Gesundheitsdaten von Beschäftigten (Immunisierungsstatus Geimpft/Genesen/Getestet) erheben und nutzen zu dürfen. Damit würde der Gesetzgeber wegen der Pandemie mit der bisher geachteten Tradition brechen, dass Beschäftigte höchstpersönliche, sensible und für die Fortsetzung des Arbeitsverhältnisses entscheidende Informationen nicht im Arbeitsverhältnis offenbaren müssen.

Entscheidet sich der Gesetzgeber jetzt zu diesem gravierenden Schritt, so hat er bei der Ausgestaltung der Regelungen jedoch klare Grenzen nach europäischem Datenschutzrecht (Datenschutz-Grundverordnung DS-GVO) und nationalem Verfassungsrecht (Grundrecht auf informationelle Selbstbestimmung aus Art. 1 und 2 GG) zu achten, an die hier erinnert sei:

Soweit Arbeitgeber_innen die Erhebung von Gesundheitsdaten ihrer Beschäftigten erlaubt werden soll, muss dies in einem Parlamentsgesetz zur Erreichung eines festgelegten Zwecks geeignet, erforderlich und angemessen sein (Grundsatz der Verhältnismäßigkeit und der Datenminimierung, Artikel 5 Absatz 1 Buchstabe c DS-GVO). Daraus folgt:

  1. Für das Erreichen des Gesetzeszwecks muss es gerade auf das Wissen der Arbeitgeberseite um den Immunisierungsstatus der jeweiligen Beschäftigten ankommen. Soweit dasselbe Schutzniveau auch durch zumutbare, nicht das informationelle Selbstbestimmungsrecht betreffende Alternativmaßnahmen wie das Tragen von Schutzmasken oder die Einhaltung von Abständen oder weitere Hygienemaßnahmen erreicht werden kann, sind diese Maßnahmen rechtlich vorrangig.Danach ist es vorzugswürdig, dass sich die Beschäftigten regelmäßig selbst, durch vom Arbeitgeber beziehungsweise der Arbeitgeberin unabhängige Anbieter oder durch die gegenüber dem Arbeitgeber beziehungsweise der Arbeitgeberin zur Verschwiegenheit verpflichtete Betriebsmedizin auf Covid-19 testen. Wenn dann der konkrete Immunisierungsstatus überhaupt keine relevante Rolle mehr spielt, darf er auch nicht erfragt werden.
  2. Nach dem Grundsatz der Datenminimierung genügt es abzufragen, ob bei der betroffenen beschäftigten Person zum Abfragezeitpunkt eine Immunisierung gegen das Coronavirus vorliegt. Nicht erforderlich ist demgegenüber die Frage, ob die Immunisierung auf einer Impfung oder einer Genesung beruht.Andernfalls entstünde die konkrete Gefahr einer (späteren) Benachteiligung Genesener gegenüber Geimpften, etwa bei der Entscheidung über die Eingehung oder Verlängerung eines Arbeitsverhältnisses, weil die Arbeitgeberseite möglicherweise langfristige Folgen einer Erkrankung an Covid-19 („Long Covid“) befürchtet oder andere Vorbehalte gegenüber Genesenen hat.
  3. Besonders kritisch wäre zu beurteilen, wenn die Arbeitgeberseite nicht nur den Immunisierungsstatus erheben, sondern bei nicht Immunisierten auch noch Gründe der fehlenden Immunisierung (etwa: das Bestehen einer medizinischen Kontraindikation) erfragen und später nutzen dürfte.
  4. Verhältnismäßig ist eine Rechtsgrundlage zudem nur dann, wenn sie die Verarbeitungsbefugnis von Gesundheitsdaten durch Arbeitgeber_innen eng befristet.
  5. Der Gesetzgeber muss zudem prüfen und klar entscheiden, ob die Arbeitgeberseite die Gesundheitsdaten lediglich erheben, oder auch speichern darf: Er muss normenklar festlegen, ob und wie lange eine Speicherung erfolgen darf.
    Auch hierbei ist der Grundsatz der Datenminimierung zu beachten. Soweit beispielsweise der Zugang zu gewissen Räumlichkeiten von einer nachgewiesenen Immunisierung abhängig gemacht wird, erscheint eine Speicherung dieser Angaben keineswegs zwingend erforderlich; vielmehr genügt in der Regel eine bloße tagesaktuelle Zutrittskontrolle in Form einer Sichtkontrolle.
    Dabei ist auch die Möglichkeit in Betracht zu ziehen, dass immunisierte Beschäftigte – ohne Vornahme einer Speicherung seitens des Arbeitgebers oder der Arbeitgeberin – einen Immunisierungsausweis erhalten, mit dem sie – soweit erforderlich – ihre Immunisierung jeweils nachweisen können.
  6. Außerdem hat der Gesetzgeber dafür Sorge zu tragen, dass auch eine etwaige weitere Verarbeitung durch die Arbeitgeberseite nur zu den gesetzlich festgelegten Zwecken erfolgt, Zweckänderungen durch Arbeitgeber_innen also ausgeschlossen.

  7. Der Gesetzgeber muss dem Arbeitgeber beziehungsweise der Arbeitgeberin auferlegen, die für den Schutz von Gesundheitsdaten erforderlichen technischen und organisatorischen Schutzmaßnahmen zu ergreifen. Auch innerhalb des Unternehmens darf der Immunisierungsstatus nur denjenigen Personen bekannt gegeben werden, deren Kenntnis absolut erforderlich ist. Diese Personen sind vom Arbeitgeber oder der Arbeitgeberin mit Blick auf die Gesundheitsdaten zuvor festzulegen und zur Verschwiegenheit zu verpflichten.

Der LfDI appelliert dringend an den Gesetzgeber, dass die dargelegten Ausprägungen des Verhältnismäßigkeitsprinzips im Gesetztext ausdrücklich ihren Niederschlag finden. Alleine Verweise auf die DS-GVO oder das Grundgesetz reichen nicht aus, weil sie der staatlichen Schutzpflicht gegenüber Beschäftigten – Geimpften wie Ungeimpften – nicht genügen würden.

Der Landesbeauftragte Dr. Stefan Brink: „Leider haben es die Gesetzgebungsorgane bislang versäumt, die Beratung durch staatliche Datenschutzbeauftragte zu nutzen. Dies mag der großen Eile des Verfahrens geschuldet sein, sollte aber nicht dazu führen, dass der jetzt offenbar angestrebte Zugang von Arbeitgeber_innen zu Gesundheitsdaten von Beschäftigten weniger zielgerichtet und behutsam ausfällt als möglich.“

 

 

Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.