Icon Compliance
Compliance

Änderung des Impfschutzgesetzes – COVID-19-Impfstatuserfragung

Levin Rühmann
Verfasst von: Levin Rühmann
Berater für IT-Sicherheit und Datenschutz

Lange Zeit herrschte Unsicherheit über die Hintergründe und Möglichkeiten der COVID-19-Impfstatuserfragung bei den Arbeitnehmenden. Die unsichere Rechtslage führte seit Beginn der Pandemie zu verschiedensten Lösungsansätzen, die nicht immer datenschutzkonform waren. Damit ist nun Schluss – eine Neuerung im Impfschutzgesetz schafft nun Klarheit und eröffnet Arbeitgebenden in gewissen Berufsfeldern ein Fragerecht hinsichtlich des COVID-19-Impfstatus.

Die gesetzliche Neuerung

Nach dem Bundestag hat am 10.09.2021 auch der Bundesrat einer Änderung des Infektionsschutzgesetzes (IfSG) zugestimmt, die es Arbeitgebenden erlaubt, Angestellte in gewissen Berufsgruppen nach ihrem Impfstatus zu fragen (siehe § 36 Abs. 3 IfSG). Auch die Frage zu einer möglichen in der Vergangenheit liegenden COVID-19-Erkrankung ist erlaubt, um Gewissheit über den Status als "genesen" zu erhalten.

Zu dem betroffenen Personenkreis gehören neben Beschäftigten in medizinischen Einrichtungen (bereits in § 23a IfSG festgelegt) nun zum Beispiel auch Beschäftigte in Kitas, Schulen sowie Einrichtungen zur Betreuung und Unterbringung älterer, behinderter oder pflegebedürftiger Menschen (vgl. § 36 Abs. 1 bis 3 IfSG). Im Mittelpunkt steht also das Kriterium eines engen Kontaktes zu besonders schutzwürdigen Menschen. Ein Fragerecht für weitere Berufsgruppen ist rechtlich nicht vorgesehen.

Das Fragerecht gilt, solange der Bundestag eine "epidemische Lage von nationaler Tragweite" festgestellt hat. Grundsätzlich dauert die Feststellung einer solchen Lage nur drei Monate an – sobald diese beendet ist, erlischt das Fragerecht. Zuletzt hat der Bundestag die epidemische Lage am 25. August um drei Monate verlängert.

Was es zu beachten gilt

Für die Unternehmen gilt es bei der Anwendung des Fragerechts und der Verarbeitung der generierten Daten klare Rahmenbedingungen zu schaffen, um die rechtlichen Vorgaben angemessen umzusetzen und Compliance-Anforderungen zu erfüllen. Insbesondere sollten folgende Punkte beachtet werden:

  • klare Differenzierung zwischen einzelnen Berufsgruppen innerhalb der Institution
  • transparente Information und Aufklärung der Beschäftigten, um die Akzeptanz für die Maßnahme zu fördern sowie Unsicherheiten und Missverständnisse vorzubeugen
  • Beachtung der datenschutzrechtlichen Vorgaben sowie internen Richtlinien hinsichtlich der Verarbeitung derart sensibler Beschäftigtendaten (Zugriffsrechte, Löschkonzept usw.)

Für den Arbeitgebenden muss allerdings klar sein, dass das Fragerecht nicht mit einer Impflicht gleichzusetzen ist. Diese besteht weiterhin nicht – Arbeitnehmer können frei über die Inanspruchnahme einer COVID-19-Schutzimpfung entscheiden.

Ein Fallbeispiel

Im vorliegenden Beispiel handelt es sich um einen Komplexträger mit mehreren stationären und ambulanten Einrichtungen in Deutschland. Verwaltungsaufgaben – wie Personal und Abrechnung – werden zentralisiert von einem Standort gesteuert; eine räumliche und fachliche Trennung ist somit gewährleistet. In diesem konkreten Fall wäre lediglich die Erfassung der Daten der Beschäftigten in den verschiedenen Pflegeeinrichtungen gesetzlich legitimiert, da diese in Ihrem täglichen Arbeitsleben mit besonders schutzwürdigen Personen in Kontakt treten. Für Verwaltungskräfte in der Zentrale gilt dies grundsätzlich nicht, sodass hier eine Impfstatusabfrage nicht erforderlich ist.

Fazit

Zur Bestimmung der verschiedenen Variablen und Kriterien im Zuge der Impfstatuserhebung sollten letztlich alle relevanten Parteien, insbesondere auch der Datenschutz- und IT-Sicherheitsbeauftrage, im Voraus miteinbezogen werden, um die internen und externen Datenschutz- und Compliance-Anforderungen zu erfüllen.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.