Datenschutz und Impfungen

Gerade in der Debatte um die Corona-Impfungen gewinnt der Impfpass immer mehr an Bedeutung und viele bekommen das Gefühl, dass er ein „Schein in die Freiheit“ wird. Es wird darauf gesetzt, dass der Impfpass den Zugang zu öffentlichen Veranstaltungen, Sommerurlauben und auch den Weg raus aus dem Home-Office ermöglicht.

Doch wie ist das Vorzeigen des Impfpasses aus datenschutzrechtlicher Sicht zu beurteilen?

Impfnachweis gegenüber dem Arbeitgeber

Darf der Arbeitgeber Einsicht in den Impfpass oder den Nachweis einer bestimmten Impfung fordern?

Der Impfpass enthält viele personenbezogene Daten und vor allem auch Gesundheitsdaten, die unter Art. 9 DSGVO fallen und damit besonders zu schützen sind.

Der Arbeitgeber darf grundsätzlich nur solche Daten verarbeiten, die für das Beschäftigungsverhältnis erforderlich sind. Tatsächlich besteht in einigen Berufen seit Einführung des Masernschutzgesetzes (dies stützt sich auf Art. 9 II lit. i DSGVO) eine Pflicht zum Nachweis einer Impfung gegen Masern. Aber das heißt nicht, dass der Arbeitgeber den ganzen Impfpass einsehen oder die entsprechende Seite kopieren darf. Hier sollte zur Wahrung der Datensparsamkeit und Zweckbindung auf andere Lösungen (wie eine Einsichtnahme und schriftliche Bestätigung zweier Personaler) zurückgegriffen werden.

In jedem Fall befindet sich der Arbeitgeber in einer Zwickmühle zwischen der Nachweispflicht und dem Datenschutz und sollte einzelfallabhängig den jeweiligen Datenschutzbeauftragten zu Rate ziehen.

Kann der Arbeitgeber andere Impfungen verlangen?

Andere Impfungen als die gegen Masern sind bis jetzt nicht verpflichtend in Deutschland. Dementsprechend darf der Arbeitgeber diese auch nicht als Nachweis einfordern.

Selbst um zum Beispiel gegen Covid-19 geimpften Arbeitnehmern das Arbeiten im Büro vor Ort statt im Home-Office zu ermöglichen, bräuchte es nach aktueller Lage einer Gesetzesänderung.

Umgang mit Corona-Tests

Auch bei Corona-Tests/Schnelltests und deren Ergebnisse gilt der besondere Schutz des Art. 9 DSGVO. Zu beachten ist deshalb, dass die Ergebnisse sicher verwahrt und möglichst schnell vernichtet werden, sowie dass nur die Personen Zugriff erhalten, die dies unbedingt müssen (zum Beispiel die mit der Verwahrung beauftragten Mitarbeiter oder der Betriebsarzt) ganz nach dem „need-to-know-Prinzip“.

Ist ein Test positiv, darf dies auch nur anonym kommuniziert werden.

Gerade im Thema Corona und Datenschutz ist noch vieles in Bewegung und es ist unbedingt erforderlich, regelmäßig Rücksprache mit dem Datenschutzbeauftragten zu halten. Mit Impfausweisen und -daten ist in jedem Fall sehr sorgsam umzugehen.