Vor wenigen Tagen sorgte ein Aushang im Pausenraum eines Thüringer Unternehmens für Aufsehen: Ein Plakat zeigte Fotos und Namen jener Mitarbeiter, die bis dato noch keinen vollständigen Impfschutz erhalten hatten. Verantwortlich dafür war der CEO des Unternehmens, der jedoch beteuerte, das Vorgehen habe im Einverständnis der ungeimpften Mitarbeiter stattgefunden, um die bereits Geimpften von einer Maskenpflicht bei Aufenthalt im Pausenraum befreien zu können.
Sorgte die Aktion im Unternehmen selbst scheinbar für weniger Aufruhr, war die Reaktion auf Social Media jedoch umso größer: Eine enorme Hasswelle schlug dem CEO entgegen, inklusive Morddrohungen und der Kritik einer Zwei-Klassen-Gesellschaft am Arbeitsplatz. Doch handelte der Chef – mit der Zustimmung der Ungeimpften – rechtswidrig, unterliegt der Impfstatus dem Datenschutz? Oder dürfen Arbeitgeber ihre Mitarbeiter nach ihrem Impfstatus fragen?
Infos zum Impfstatus sind personenbezogene Daten
Fest steht, dass Informationen über den Impfstatus eines Arbeitnehmers als personenbezogene Daten gelten und somit unter den Schutzbereich der sogenannten informationellen Selbstbestimmung fallen. Diese ist gemäß Art. 2 I, Art. 1 I GG im Grundgesetz verankert. Der Schutz dieser informationellen Selbstbestimmung wird durch Gesetze wie das Bundesdatenschutzgesetz (BDSG) und die Datenschutz-Grundverordnung (DSGVO) konkretisiert. Eine Erhebung oder Verarbeitung dieser Daten, und damit auch die Übermittlung und Verbreitung, ist somit nur unter strengen gesetzlichen Voraussetzungen möglich.
Laut der Datenschutz-Grundverordnung (Art. 6 I 1 lit. a) DSGVO) ist eine Verarbeitung von personenbezogenen Daten dann zulässig, wenn die Betroffenen ihre Einwilligung erteilt haben. Das war beim kürzlich bekannt gewordenen Fall des Thüringer Unternehmens laut Angaben des CEOs der Fall, die Mitarbeiter wurden scheinbar im Vorfeld um ihre Zustimmung gebeten. Von dieser Einwilligung der Arbeitnehmer nicht umfasst war jedoch die Veröffentlichung des Plakates im Internet. Vorliegend haben wir die besondere Konstellation, dass die Verbreitung des Plakates im Internet offenbar durch einen Arbeitnehmer des Unternehmens erfolgte. Diese Veröffentlichung ist demnach nicht dem Arbeitgeber anzulasten.
Was wäre ohne Einwilligung passiert?
Fraglich bleibt, wie die Situation zu beurteilen wäre, würde dem Arbeitgeber keine Einwilligung der Mitarbeiter vorliegen. Auch hierfür sieht die Datenschutz-Grundverordnung (Art. 6 I 1 DSGVO) verschiedene Möglichkeiten vor. Denkbar ist hier beispielweise eine Ausnahme nach Art. 6 I 1 lit. c) DSGVO. Demnach wäre eine Verarbeitung der personenbezogenen Daten – wozu eben auch der Impfstatus zählt – dann zulässig, wenn diese zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
Konkret könnte man sich hier auf die vom Arbeitgeber zu erfüllende Pflicht der Arbeitssicherheit beziehen, zu der unter anderem auch der Schutz der Gesundheit der Arbeitnehmer zählt. Dabei ist jedoch ein Handeln nur dann erforderlich, wenn kein milderes Mittel zur Erreichung des Zwecks zur Verfügung steht. Unter Berücksichtigung dieses Aspektes würde man wohl eher zum Schluss kommen, dass die Verarbeitung sowie Veröffentlichung von Impfdaten der Arbeitnehmer ohne deren Einwilligung nicht zulässig sei.
Beibehaltung der Maskenpflicht als Alternative
Denn wie auch der CEO des Unternehmens anführte, war der Zweck der Veröffentlichung der Impfdaten eine Erleichterung der sonst im Pausenraum geltenden Maskenpflicht. Jedoch steht lediglich das Aufheben der Maskenpflicht im besagten Raum nicht im Verhältnis des Schutzes der informationellen Selbstbestimmung. Ein milderes und auch eher zu wählendes Mittel wäre in solch einem Fall die Beibehaltung der Maskenpflicht – unabhängig vom Impfstatus der Mitarbeiter.
Wenn der Arbeitgeber jedoch dennoch die Impfdaten ohne Einwilligung der Arbeitnehmer veröffentlicht, so stünden diesen ein zivilrechtlicher Unterlassungsanspruch zu. Dieser könnte notfalls auch im Wege einer einstweiligen Verfügung geltend gemacht werden – insbesondere dann, wenn eine Dringlichkeit vorherrscht.
Abfragen von Impfdaten kann zulässig sein
Dem CEO des Thüringer Unternehmens ist wohl zugute zu halten, dass dieser sich die Einwilligung seiner Mitarbeiter einholte und sein Handeln somit laut Datenschutz-Grundverordnung zulässig war. Da diese Zustimmung jedoch nicht für das Veröffentlichen des Plakates im Internet galt, erschließt sich nun ein weiteres Problem.
Grundsätzlich lässt sich jedoch festhalten, dass unter gewissen Umständen das Abfragen der Impfdaten der Mitarbeiter zulässig ist. Hier muss jedoch stetig abgewogen werden, da der Schutz der personenbezogenen Daten gewährt sein sollte.
Mathias Bradler ist als Rechtsanwalt und Strafverteidiger bundesweit für seine Mandanten tätig. Seit August 2021 ist er Sozius in der Kanzlei Tholen, Bradler & Kollegen, die gegenwärtig Büros in Heinsberg und Mönchengladbach unterhält.
