Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat ihren Beschluss zur Verarbeitung des Impfstatus von Beschäftigten durch Arbeitgeberinnen und Arbeitgeber veröffentlicht.
Für eine grundsätzliche Abfrage des Impfstatus sehen die Datenschutzaufsichtsbehörden keine gesetzliche Grundlage.
Beim Impfstatus handelt es sich um ein besonders sensibles Gesundheitsdatum, dessen Verarbeitung als Datum besonderer Kategorie gem. Art. 9 Abs. 1 DSGVO grundsätzlich untersagt ist. Über Art. 9 Abs. 2 lit. j) DSGVO können sich jedoch Ausnahmen aus mitgliedstaatlichen Gesetzen ergeben, wovon das deutsche Infektionsschutzgesetz (IfSG) einige vorsieht, so unter anderem für Krankenhäuser und Arztpraxen (§§ 23a, 23 Abs. 3 IfSG), Kindertagesstätten und vergleichbare Einrichtungen (§ 36 Abs. 3 IfSG) sowie, wenn ein Arbeitnehmer Ansprüche auf Lohnersatz gem. § 56 Abs. 1 IfSG geltend macht.
Die Verarbeitung des Impfstatus auf Basis einer wirksamen Einwilligung des Arbeitnehmers ist aufgrund des Abhängigkeitsverhältnisses des Arbeitnehmers zum Arbeitgeber nach Ansicht der DSK nicht möglich.
[via: Pressemitteilung des BfDI vom 26.20.2021]