Liebe Abonnentinnen und Abonnenten,

Aktuelle Beiträge im Blog

Aktuelle Nachrichten

Praxisthemen

Corona-Impfungen im Arbeitsverhältnis – Darf man Bewerber nach dem Status fragen?

Dieses Jahr sollen Impfungen gegen das Corona-Virus in großem Umfang stattfinden. Insbesondere in der Anfangszeit wird für Arbeitgeber die Frage aufkommen, ob sie Bewerber fragen dürfen, ob diese gegen COVID19 geimpft sind. Vor allem im Gesundheitssektor (zB in Krankenhäusern oder Pflegeeinrichtungen) kann dies von besonderer Relevanz sein.

Bei der Frage nach und Verwendung von Daten zum Impfstatus, wird es sich grundsätzlich um Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DSGVO handeln. Ob für eine hiermit zusammenhängende Datenverarbeitung Art. 9 Abs. 2 lit. b DSGVO, § 26 Abs. 3 BDSG als Rechtsgrundlagen dienen können, dürfte aber wohl (zumindest derzeit) fraglich sein. Für die Zulässigkeit einer Frage ist grundsätzlich auf das berechtigte Auskunftsinteresse des Arbeitgebers abzustellen. Derzeit existieren keine Sonderrechte für Geimpfte und somit per se erst einmal keine Notwendigkeit zur Verarbeitung der Daten, um das Arbeitsverhältnis durchzuführen. Eine Notwendigkeit ließe sich eher bei einer gesetzlichen Impfpflicht (die derzeit nicht geplant ist) annehmen. Natürlich käme noch eine freiwillige Angabe im Rahmen einer Einwilligung in Betracht. Dann wird aber sicher das Thema aufkommen, ob diese Angabe wirklich „freiwillig“ erfolgt und Betroffenen keine Nachteile entstehen, wenn sie diese Information nicht erteilen.

Man könnte überlegen, auf die Fürsorgepflicht des Arbeitgebers für andere Mitarbeiter abzustellen. Hierbei muss wohl aber auch die Wirkung (bzw. die aktuell noch nicht final feststehende Wirkung) des Impfstoffes beachtet werden. Geimpfte Personen können sich wohl nicht mit Corona anstecken. Es ist derzeit aber unklar, ob sie eventuell noch andere Personen anstecken können. Insofern wäre durch eine Impfung nach aktuellem Kenntnisstand wohl nur die betroffene Person selbst geschützt. Ein allgemeiner Schutz der gesamten Belegschaft als Grund, würde hier also (derzeit) eventuell ausscheiden. Dies könnte sich aber in Zukunft ändern, wenn die Wirung des Impfstoffes klarer nachgewiesen ist.

Eine Besonderheit ist im Gesundheitssektor zu beachten. Nach § 23a IFSG darf der Arbeitgeber personenbezogene Daten eines Beschäftigten über dessen Impf- und Serostatus verarbeiten, soweit es zur Erfüllung von Verpflichtungen aus § 23 Abs. 3 IFSG in Bezug auf übertragbare Krankheiten erforderlich ist. Der Arbeitgeber darf hierauf basierend sogar eine Entscheidung über die Einstellung treffen. Man wird § 23a IFSG wohl als Spezialregelung zu § 26 Abs. 3 BDSG (bzw. vormals § 32 BDSG aF) verstehen können. Aus der Gesetzesbegründung: „Aufgrund der Regelung kann der Arbeitgeber die Begründung eines Beschäftigungsverhältnisses vom Bestehen des erforderlichen Impf- oder Immunschutzes abhängig machen“ (BT Drs. 18/5261, S. 63).

Nach § 23 Abs. 3 IFSG haben die Leiter bestimmter Einrichtungen sicherzustellen, dass die nach dem Stand der medizinischen Wissenschaft erforderlichen Maßnahmen getroffen werden, um nosokomiale Infektionen zu verhüten und die Weiterverbreitung von Krankheitserregern, insbesondere solcher mit Resistenzen, zu vermeiden. Unter diese Einrichtung fallen z.B. Vorsorge- oder Rehabilitationseinrichtungen, in denen eine den Krankenhäusern vergleichbare medizinische Versorgung erfolgt oder auch Einrichtungen des öffentlichen Gesundheitsdienstes, in denen medizinische Untersuchungen, Präventionsmaßnahmen oder ambulante Behandlungen durchgeführt werden.

Demnach besteht also ein Fragerecht und eine Befugnis zur Datenverarbeitung für Berufe dieses Bereiches, sofern die Verarbeitung der Daten für die Verhütung von Infektionen und die Verhütung der Weiterverbreitung des Virus erforderlich ist.

Aktuelle Rechtsprechung

EuGH-Verfahren: Punkte für Verkehrsverstöße als „Straftat“ im Sinne des Art. 10 DSGVO?

Art. 10 DSGVO (Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten) ist eine der wohl am wenigsten beachteten Vorschriften der DSGVO. Potentiell hat sie in der Praxis aber große Auswirkungen. Denn danach darf eine Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist. Man denke hier etwa an Informationen zu Vorstrafen von Mitarbeitern, Straftaten im Arbeitsverhältnis oder auch ein Bußgeld wegen zu schnellen Fahrens mit einem Geschäftswagen.

Der EuGH wird bald Gelegenheit haben, sich zu der Frage zu äußern, ob Daten zu Verkehrsordnungswidrigkeiten (insbesondere sog. „Punkte“, wie sie auch bei uns im Fahreignungsregister eingetragen werden) „Straftaten“ im Sinne des Art. 10 DSGVO darstellen. In dem Verfahren (Rs. C‑439/19) hat nun der Generalanwalt (GA) seine Schlussanträge vorgelegt.

In dem Verfahren aus Lettland wurden für den Kläger „Strafpunkte“ im nationalen Fahrzeugregister eingetragen. Zugriff auf diese Informationen haben auf Antrag auch Dritte. Der Kläger geht gegen die gesetzliche Grundlage hierzu vor.

Zunächst geht es in den Schlussanträgen um die Frage, ob die DSGVO nach Art. 2 DSGVO auf diese Daten überhaupt Anwendung findet. Fraglich war hier, ob nicht die Ausnahme nach Art. 2 Abs. 2 lit. a DSGVO eingreift (Tätigkeiten, die nicht in den Anwendungsbereich des Unionrechts fallen). Der GA sieht den hier relevanten Sachverhalt von der DSGVO erfasst. Er verweist dazu etwa auf den Umstand, dass es eine Regelung wie Art. 10 DSGVO gibt. Der Begriff „nationale Sicherheit“ ist nach Ansicht des GA eher im Sinne von „Sicherheit des Staates“ zu verstehen. Zudem sind die Ausnahmen nach Art. 2 Abs. 2 DSGVO nach Ansicht des GA eng auszulegen.

Danach geht der GA umfassend auf Art. 10 DSGVO ein. Dass es sich hier um personenbezogene Daten handelt, ist klar. Spannend ist die Frage, ob die Punkte im Fahrzeugregister als Daten zu „Straftaten“ anzusehen sind. Der GA verweist hierzu zunächst auf abweichende Aussagen der verschiedenen Sprachfassungen der DSGVO. Entscheidend ist, ob auch reine „verwaltungsrechtliche“ Strafen (bei uns also Ordnungswidrigkeiten) von der Norm umfasst sind. Der GA geht nachfolgend auf eine erforderliche europarechtsautonome Auslegung des Begriffs ein. Seiner Ansicht nach stellen die hier relevanten Punkte in einem Fahrzeugregister keine Daten über „Straftaten“ dar.

“Article 10 of the GDPR is to be interpreted as meaning that it does not cover situations of processing of information relating to penalty points recorded against drivers for motoring offences”.

Für die Praxis würde dies (sollte der EuGH dem folgen) wohl bedeuten, dass Informationen zu Verkehrsordnungswidrigkeiten, wenn diese durch Unternehmen verarbeitet werden (zB im Rahmen der Bereitstellung von Firmenwagen oder bei Testfahrten durch Autohersteller), nicht unter Art. 10 DSGVO fallen. 

Wann ist Art. 9 DSGVO anwendbar?

Die engen Ausnahmen für eine Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 2 DSGVO sind in der Praxis oft ein kniffliges Thema. Insbesondere, weil die Ausnahmetatbestände sehr eng gefasst sind und zB keine Möglichkeit der reinen Interessenabwägung wie in Art. 6 Abs. 1 lit. f DSGVO besteht.

Eine durchaus gangbare Herangehensweise in der Praxis ist daher, dass der Anwendungsbereich des Art. 9 DSGVO gar nicht als eröffnet angesehen wird. Dies wird u.a. davon abhängig gemacht, ob der Verantwortliche tatsächlich besondere Kategorien personenbezogener Daten verarbeiten will oder diese etwa nur ungewollt mit anfallen. Relevant ist nach einer solchen Ansicht also der Zweck und der Verarbeitungskontext. Beispiel: Videoüberwachung in Einkaufsmärkten. Sobald ein Rollstuhlfahrer aufgenommen wird, könnte man vertreten, dass Gesundheitsdaten verarbeitet werden und dies nur zulässig ist, wenn eine Ausnahme nach Art. 9 Abs. 2 DSGVO greift. Obwohl es dem Betreiber eigentlich gar nicht speziell um dieses Datum geht.

Eine strenge Ansicht vertritt etwa das VG Schwerin (Urt. v. 26.11.2020 – 1 A 1598/19 SN). In dem Verfahren ging es um ein Internetportal, auf dem der Landesverband der AfD dazu aufrief, ihm Verstöße gegen das an Schulen geltende Neutralitätsgebot zu melden. Hiergegen ging der Landesbeauftragte für Datenschutz in Mecklenburg-Vorpommern vor. Die Ansicht des Landesverbandes, dass der Schutzbereich des Art. 9 Abs. 1 DSGVO nicht eröffnet sei, wenn Lehrer öffentlicher Schulen gegen ihre Neutralitätsverpflichtung verstoßen, lehnt das VG ab.

„Die Einordnung als sensibles Datum i.S.v. Art. 9 Abs. 1 DS-GVO ist vielmehr unabhängig vom jeweiligen Verarbeitungskontext und den konkreten Umständen des Einzelfalles. Sie erfolgt allein aufgrund der Zugehörigkeit zu einer der besonderen Datenkategorien“. Und weiter: „Damit ist auch unerheblich, ob das Portal eine Diskriminierung von Lehrern bezweckt, was der Kläger vorliegend in Frage stellt“.

Anders sah dies etwa das VG Mainz (Urt. v. 24.09.2020 – 1 K 584/19.MZ) in einem Fall der Videoüberwachung. „Zwar ist es bei einer personengenauen Auflösung der Kameraaufnahmen grundsätzlich möglich, dass besondere Kategorien personenbezogener Daten erfasst werden“.

Jedoch geht das VG Mainz davon aus, dass es entscheidend auf den Zweck und die Auswertungsabsicht des Verantwortlichen ankommt: „Allerdings geht es dem Kläger nicht darum, genau diese personenbezogenen Daten besonderer Kategorien zu erfassen. Der Kläger beabsichtigt mit der Videoüberwachung Strafprävention und Strafverfolgung. Bei der Überwachung erhält er einen Mischdatensatz aus besonders sensiblen und nicht-sensiblen Daten, wobei er keine Auswertungsabsicht in Bezug auf die sensiblen Daten hat. Ohne das Vorliegen einer solchen Auswertungsabsicht bestehen für die betroffenen Personen keine besonderen Risiken, sodass der Anwendungsbereich des Art. 9 Abs. 1 DSGVO nicht eröffnet ist“.

Aktuell scheinen also nach der Rechtsprechung sowohl die strenge Ansicht, dass Art. 9 DSGVO anwendbar ist, wenn besondere Kategorien personenbezogener Daten vorliegen, als auch die relativierende Ansicht vertretbar, dass auf den Auswertungs- bzw. Verwendungszweck der Daten abzustellen ist.