Was ist nun für den Arbeitgeber hinsichtlich der Abfrage des Impfstatus seiner Angestellten erlaubt?

Mit dem Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 19. Oktober 2021 darf keine Verarbeitungen des Datums „Impfstatus“ von Beschäftigten durch den Arbeitgeber nicht statthaft.

Arbeitgeberinnen und Arbeitgeber dürfen das Datum zum „Impfstatus“ und der „Impfstatus“ selbst ihrer Beschäftigten ohne eine ausdrückliche gesetzliche Ermächtigung grundsätzlich nicht verarbeiten. Das gilt generell – so auch nicht im Rahmen und zu Zeiten der COVID-19-Pandemie. Hier entsteht ein relativ großer Handlungsbedarf, der nun angesichts der derzeitigen Entwicklungen der pandemischen Lage auch mit relativen Zeitdruck versehen ist!

Als Rechtsgrundlage kommt für die Verarbeitung des Datums „Impfstatus“ von Beschäftigten § 26 Absatz 3 Satz 1 des Bundesdatenschutzgesetzes (BDSG) nicht zum Tragen. Bei dem Datum zum „Impfstatus“ und beim „Impfstatus“ selbst, handelt es sich um ein Gesundheitsdatum gemäß Artikel 4 Nummer 15 Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DS-GVO) und damit um eine besondere Kategorie personenbezogener Daten, Artikel 9 Absatz 1 DS-GVO. Deren Verarbeitung ist grundsätzlich verboten und nur ausnahmsweise erlaubt. Eine Erlaubnis sollte hier nur eine gesetzliche Regelung darstellen, es sei denn, es liegen hier die folgenden Regelungen und Bestimmungen vor.

In Einzelfällen ist eine Verarbeitung des Datums „Impfstatus“ auf Grundlage gesetzlicher Regelungen möglich:

  1. Bestimmte – im Gesetz genannte– Arbeitgeberinnen und Arbeitgeber aus dem Gesundheitsbereich (Krankenhäuser, Arztpraxen usw.) dürfen unter den in §§ 23a, 23 Absatz 3 des Infektionsschutzgesetzes (IfSG) genannten gesetzlichen Voraussetzungen den Impfstatus ihrer Beschäftigten verarbeiten;

  2. Bestimmte – im Gesetz genannte – Arbeitgeberinnen und Arbeitgeber, zum Bei- spiel Trägerinnen und Träger von Kindertageseinrichtungen, ambulante Pflegedienste usw., dürfen unter den in § 36 Absatz 3 IfSG genannten Voraussetzungen den Impfstatus ihrer Beschäftigten im Zusammenhang mit COVID-19 verarbeiten;

  3. Arbeitgeberinnen und Arbeitgeber dürfen den Impfstatus derjenigen Beschäftigten verarbeiten, die ihnen gegenüber einen Anspruch auf Geldentschädigung (Lohnersatz) nach § 56 Absatz 1 IfSG geltend machen. Dessen Voraussetzungen können im Einzelfall auch im Fall einer möglichen Infektion mit CO- VID-19 sowie einer sich anschließenden Quarantäne vorliegen. Anspruchsvoraussetzung ist unter anderem, ob die Möglichkeit einer Schutzimpfung bestand.

  4. Arbeitgeberinnen und Arbeitgeber dürfen den Impfstatus von Beschäftigten auch verarbeiten, soweit dies durch Rechtsverordnungen zur Pandemiebekämpfung auf Basis des IfSG vorgegeben ist.

Die Verarbeitung des Datums zum „Impfstatus“ und der „Impfstatus“ selbst von Beschäftigten auf der Grundlage von Einwilligungen ist nur dann möglich, wenn die Einwilligung freiwillig und damit rechts-wirksam erteilt worden ist, § 26 Absatz 3 Satz 2 und Absatz 2 BDSG. Aufgrund des zwischen Arbeitgeberinnen und Arbeitgebern sowie ihren Beschäftigten bestehenden Über- und Unterordnungsverhältnisses bestehen regelmäßig Zweifel an der Freiwilligkeit und damit Rechtswirksamkeit der Einwilligung von Beschäftigten.


Im Zusammenhang mit der Abfrage des Datums zum „Impfstatus“ und der „Impfstatus“ selbst sind weiter zu beachten:

  1. Grundsatz der „Datenminimierung“, Artikel 5 Absatz 1 Buchstabe c DS-GVO: Zunächst muss geprüft werden, ob die reine Abfrage des Impfstatus zur Zweckerreichung bereits ausreichend ist. Dann ist keine Speicherung erforderlich. Soll der Impfstatus gespeichert werden, dürfen keine Kopien von Impfausweisen oder vergleichbaren Bescheinigungen (im Original oder als Kopie)in die Personalakte aufgenommen werden. Es ist ausreichend, wenn vermerkt wird, dass diese jeweils vorgelegt worden sind.

  2. Grundsatz der „Speicherbegrenzung“, Artikel 5 Absatz 1 Buchstabe e DS-GVO, Recht auf Löschung, Artikel 17 DS-GVO: Sobald der Zweck für die Speicherung des Impfstatus entfallen ist, muss dieses personenbezogene Datensatz gelöscht werden.

  3. Grundsatz der „Rechenschaftspflicht“, Artikel 5 Absatz 2 DS-GVO: Arbeitgeberinnen und Arbeitgeber müssen– sofern einschlägig – auch die Freiwilligkeit einer Einwilligung nachweisen können, Artikel 7 Absatz1 DS-GVO.