News

Abfrage des Impfstatus von Arbeitnehmern – Neue Vorgaben und Pflichten für Arbeitgeber durch Corona-Landesverordnungen

Schon in ihrer Entschließung vom 29.03.2021 wiesen die deutschen Datenschutzbehörden (versammelt in der Datenschutzkonferenz (DSK)) darauf hin, dass ihrer Ansicht nach regelmäßig eine gesetzliche Regelung u. a. für die Nachweispflicht eines negativen Corona-Tests durch den Arbeitgeber für den Zugang zu privatwirtschaftlichen Einrichtungen fehle. Daraus folgt nach Ansicht der DSK, dass u. a. Arbeitnehmer ihre Einwilligung für die Abfrage eines Nachweises erteilen müssten, sofern nicht ausnahmsweise eine gesetzliche Regelung eine Nachweispflicht festschreibt (siehe z. B. § 20 IfSG).

Umso bemerkenswerter sind die jüngsten Änderungen verschiedener Bundesländer in ihren jeweiligen Corona-Schutzverordnungen. So führten sowohl NRW (§ 7 Abs. 3 Corona-Schutzverordnung NRW) als auch Sachsen (§ 9 Abs. 1a SächsCoronaSchVO) eine Regelung ein, nach der Arbeitnehmer, die fünf Werktage hintereinander im Urlaub waren oder aufgrund von vergleichbaren Dienst- oder Arbeitsbefreiungen nicht gearbeitet haben, dem Arbeitgeber einen Corona-Negativtest vorlegen oder vor Wiederaufnahme der Arbeit einen dokumentierten, vom Arbeitgeber beaufsichtigten Corona-Test durchführen müssen. Alternativ kann auch der Nachweis eines vollständigen Impfschutzes vorgelegt werden. Auch das Bundesland Berlin sieht zumindest für Arbeitnehmer, die während ihrer Beschäftigung körpernahen Kontakt zu Kunden haben, eine Selbsttestung nur unter Aufsicht des Arbeitgebers vor (Was sind meine Pflichten als Arbeitgeber:in, 3).

Dies bedeutet, dass Arbeitgeber nach verschiedenen Landesverordnungen nun verpflichtet und damit auch berechtigt sind, sich Testnachweise oder auch den Nachweis einer vollständigen Impfung vorlegen zu lassen.

Es stellt sich insofern die Frage, ob Arbeitgeber mit Blick auf die Einschätzung der DSK für eine Verwendung bzw. die Abfrage von Arbeitnehmerdaten zu Corona-Tests oder Impfnachweisen tatsächlich eine datenschutzrechtliche Einwilligung des Arbeitnehmers einholen müssen. Die Frage ist umso bedeutender, da es sich bei den Test- & Impfnachweisdaten um Gesundheitsdaten i. S. v. Art. 4 Nr. 15; 9 Abs. 1 DSGVO handelt. Als Alternative zur Einwilligung käme (insbesondere mit Blick auf die neuen Vorgaben in den jeweiligen Corona-Schutzverordnungen) die gesetzliche Grundlage nach § 26 Abs. 3 S. 1 BDSG in Betracht. Nach der Norm kann der Verantwortliche für Zwecke des Beschäftigungsverhältnisses besondere Kategorien personenbezogener Daten verarbeiten, wenn dies zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit oder des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Für die Anwendung dieser Norm spricht zunächst, dass sie nicht von einer gesetzlichen Verpflichtung, sondern lediglich von einer rechtlichen Verpflichtung spricht, worum es sich dem Wortlaut der fraglichen Corona-Schutzverordnung nach unzweifelhaft handelt. Außerdem spricht für die Anwendung von § 26 Abs. 3 S. 1 BDSG, dass dieser ohnehin eine Interessenabwägung fordert, wodurch die Rechte und Freiheiten der betroffenen Beschäftigten zusätzlich gewahrt werden. Ginge man hingegen davon aus, dass die betreffenden Corona-Schutzverordnungen keine ausreichende rechtliche Verpflichtung i. S. v. § 26 Abs. 3 S. 1 BDSG darstellten, käme als Alternative wohl nur die Einwilligung der betroffenen Beschäftigten gemäß § 26 Abs. 3 S. 2 BDSG in Betracht. Dieses Ergebnis ist problematisch, da sich hier auf der einen Seite die rechtliche Verpflichtung des Arbeitgebers und auf der anderen Seite eine geforderte freiwillige Einwilligung des betroffenen Beschäftigten gegenüberstehen würden. Selbst wenn man im Einzelfall die ordnungsgemäße Einwilligung des betroffenen Beschäftigten unterstellen würde, stellte sich die Frage, was passierte, wenn dieser die Einwilligung anschließend aber noch vor Vorlage eines Testergebnisses oder des Impfnachweises oder Durchführung der Testung widerruft. Nach allen untersuchten Corona-Schutzverordnungen sind Verstöße gegen die Testpflicht bußgeldbewährt. Der Arbeitgeber würde sich also im Fall einer Missachtung der Verpflichtung nach den einschlägigen Corona-Schutzverordnungen einem Bußgeldrisiko aussetzen. Dies spricht dafür, dass der Nachweis der Testung bzw. Nachweis der Impfung nach den Corona-Schutzverordnungen auch ohne Einwilligung vom Betroffenen möglich sein muss. Es sprechen daher gute Argumente dafür, dass § 26 Abs. 3 S. 1 BDSG in Bezug auf die besonderen Kategorien personenbezogener Daten im Rahmen der betreffenden Corona-Schutzverordnungen die taugliche datenschutzrechtliche Rechtsgrundlage darstellt.

Bemerkenswert ist i. Ü., dass die Beauftragte für Datenschutz und Informationsfreiheit (LDI) NRW unter Berufung auf einen Anwendungshinweis des Gesundheitsministeriums NRW der Ansicht ist, dass es für die Durchführung der Testpflicht überhaupt keiner Verarbeitung personenbezogener Daten bedürfe (FAQs, Ziff. 9). Denn es müsse kein Negativtest dokumentiert werden, sondern vielmehr nur, dass ein solches Kontrollsystem bestehe. Datenschutzrechtlich ist dies wohl die allersicherste Methode. Inwiefern damit die Kontrolle eines jeden Mitarbeiters, der zur Arbeitsstätte zurückkehrt, hinsichtlich einer Corona-Infektion sichergestellt und nachvollziehbar ist, bleibt auch mit Blick auf die Fürsorgepflicht des Arbeitgebers offen. Die Sächsische Aufsichtsbehörde hat sich soweit ersichtlich bisher nicht zu der Frage geäußert.

Generell sollten folgende Punkte aus Arbeitgebersicht Beachtung finden, wenn die neuen Vorgaben umgesetzt werden:

  • Aktualisierung der Mitarbeiterdatenschutzinformation;
  • Anpassung der TOMs (hierbei kann man sich an den Vorgaben von § 22 Abs. 2 BDSG orientieren);
  • Sensibilisierung der für die Aufsicht der Corona-Testungen eingesetzten Mitarbeiter;
  • Festlegen von Aufbewahrungs- und Löschfristen für die Dokumentation des Nachweises des Tests oder der Impfung.

Update vom 28.7.2021:

Auch die Sächsische Aufsichtsbehörde ist der Ansicht, dass die Tests oder Kontrollen ohne Personenbezug dokumentiert werden sollen (Testpflicht für „Urlaubsrückkehrer“). Trotz der Forderung der Behörde, Kontrollen ohne eine Verarbeitung mit Personenbezug durchzuführen, solle der Arbeitgeber außerdem gemäß Art. 5 Abs. 1 lit. c), 25 DSGVO organisatorisch separierte Stellen schaffen, die die Gesundheitsdaten entgegennehmen.

Rechtsanwalt, Partner
Dr. Carlo Piltz
Rechtsanwalt, Partner
Dr. Carlo Piltz

Zurück

News

5. Auflage des Plath-Kommentars zu DSGVO, BDSG und TDDDG erschienen

Die 5. Auflage des Plath-Kommentars ist erschienen. Der Kommentar erläutert DSGVO, BDSG und TDDDG in einem Band und zeigt auch das Zusammenspiel der Regelungen dort auf, wo die DSGVO Öffnungsklauseln für den nationalen Gesetzgeber vorsieht. Die Schwerpunktsetzung ist bewusst unternehmensbezogen: Die Autoren ordnen aktuelle Rechtsprechung, Stellungnahmen der Aufsichtsbehörden, Leitlinien des EDSA, die Umsetzung im europäischen Ausland sowie Auslegungsfragen und Literaturstimmen für die Praxis ein. Neu aufgenommen wurden unter anderem das Verhältnis von DSGVO und KI-VO, die DSGVO-Verfahrensverordnung und das Data Privacy Framework.

Datenschutzrechtliche Aspekte der Betriebsratswahl

Die Vorbereitung der Betriebsratswahl ist datenschutzrechtlich anspruchsvoll. Für Arbeitgeber stellt sich vor allem die Frage, wer datenschutzrechtlich verantwortlich ist und wer welche Aufgaben übernimmt. Hinzu kommt, dass Wahlvorstände häufig eine eigene IT-Infrastruktur verlangen: getrennte Laufwerke, selbst kontrollierte Verschlüsselung, den Ausschluss administrativer Zugriffe durch die Unternehmens-IT. Weder die  DSGVO noch das BetrVG setzen jedoch eine vollständig isolierte IT-Welt voraus, sondern ein angemessenes und dokumentiertes Schutzniveau.

Entwurf der Leitlinien der Europäischen Kommission zu Hochrisiko-KI-Systemen

Die Europäische Kommission hat einen Entwurf für ihre Leitlinien zu Hochrisiko-KI-Systemen (HRKIS) i.S.v. Art. 6 KI-Verordnung (KI-VO) veröffentlicht.

Nach Art. 6 Abs. 5 KI-VO ist die Europäische Kommission zur Veröffentlichung von Leitlinien zu HRKIS verpflichtet. Das Ziel ist, dass Anbieter und Betreiber von KI-Systemen durch die Leitlinien Unterstützung bei der Auslegung der relevanten Vorschriften erhalten sollen, um leichter bestimmen zu können, ob ihre KI-Systeme als HRKIS gemäß Art. 6 KI-VO gelten und welche Art von HRKIS vorliegt – ein System nach Anhang I oder nach Anhang III KI-VO. In diesem Beitrag möchten wir Ihnen einen Überblick über den Inhalt der Leitlinien geben.

Wieder ausgezeichnet!

Wir freuen uns sehr, dass Prof. Dr. Burghard Piltz, Dr. Carlo Piltz und Alexander Weiss weitere Auszeichnungen durch das Handelsblatt erhalten haben und in der 18. Edition der The Best Lawyers in Germany™ inkludiert wurden.

Transkription von Videokonferenzen: Was ist zu beachten?

KI-gestützte Transkriptionstools werfen in der Praxis eine Reihe datenschutzrechtlicher Fragen auf, von der Rechtsgrundlage bis zum Umgang mit besonderen Datenkategorien. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) hat am 10. Juni 2026 einen neuen Leitfaden zur KI-basierten Transkription von Gemeinderatssitzungen veröffentlicht. Die Hinweise richten sich zwar an öffentliche Stellen in Baden-Württemberg, lassen sich aber weitgehend auf den nichtöffentlichen Bereich übertragen.

Werbung mit „DSGVO-konform“: Wo liegen die Grenzen des Zulässigen?

Zahlreiche Anbieter von Software und Cloud-Diensten werben mit dem Versprechen, ihre Lösung erfülle die Anforderungen der DSGVO. Auch im KI-Bereich bezeichnen insbesondere kleinere Anbieter ihre Produkte in Werbematerialien nicht selten als „100 % DSGVO-konform". Was hinter solchen Aussagen steht, lässt sich oft nur schwer nachvollziehen. Das Zertifizierungsregime der DSGVO ist bis heute kaum praxistauglich und der Markt behilft sich mit freien Siegeln und eigenen Prüfstandards. Wer als Anbieter mit Datenschutz-Compliance wirbt, muss daher nicht nur die Grenzen der jeweiligen Zertifizierungen kennen, sondern auch die wettbewerbsrechtlichen Folgen pauschaler oder inhaltlich nicht gedeckter Aussagen im Blick behalten.