Auch ein Jahr nach Beginn der Corona-Pandemie stellt die Einhaltung der Hygieneschutzvorschriften Arbeitgeber im Betriebsalltag sowie in der Mitarbeiterorganisation immer wieder vor Herausforderungen. Nun kommen mit Fortschritten und Änderungen in Bezug auf die Durchführung von Corona-Impfungen und Schnell-/Selbsttest neue Anforderungen hinzu – auch aus Sicht des Datenschutzes.

Mit Inkrafttreten der zweiten Verordnung zur Änderung der SARS-CoV-2-Arbeitsschutzverordnung sind Arbeitgeber seit Mitte April 2021 dazu verpflichtet, ihren Mitarbeitern, die nicht im Homeoffice arbeiten, mindestens einmal pro Woche einen Corona-Test anzubieten. Nach der dritten Verordnung zur Änderung der SARS-CoV-2-Arbeitsschutzverordnung wurde die Zahl der anzubietenden Tests Ende April auf zwei Stück pro Woche erhöht. Die Teilnahme an den Tests ist für Arbeitnehmer dabei in den meisten Bundesländern freiwillig, wenn nach dem Landesrecht keine Testpflicht besteht. Zudem hat die Bundesregierung Anfang Mai die Corona-Regeln für vollständig geimpfte und genesene Personen gelockert. Viele Arbeitgeber müssen sich jetzt die Frage stellen, welche Daten sie von ihren Arbeitnehmern erfragen und speichern dürfen. Dieser Artikel liefert einen Überblick über die wichtigsten Datenschutzvorgaben zum Thema Corona-Tests und Impfungen. Grundsätzlich gilt: Genaue Vorgaben auf Länderebene prüfen, Grundsatz der Datenminimierung beachten, Dokumentations- und Informationspflichten erfüllen.

Pflicht zur Bereitstellung von Corona-Tests für Arbeitgeber

Nach § 5 Abs. 1 der SARS-CoV-2-Arbeitsschutzverordnung sind nach aktueller Fassung Arbeitgeber dazu verpflichtet, allen Arbeitnehmern, die nicht im Homeoffice arbeiten, zweimal wöchentlich einen Corona-Test anzubieten. Dies gilt unabhängig davon, ob für die Mitarbeiter beispielsweise aufgrund der Tätigkeit in körpernahen Dienstleistungen ein besonders hohes Infektionsrisiko besteht oder nicht. Genaue Vorgaben zur Art der Tests (PCR-Test, Antigen-Schnelltest oder Selbsttest) oder zur konkreten Durchführung (z. B. durch medizinisches Fachpersonal) gibt es auf Bundesebene nicht. Arbeitgeber müssen gem. § 5 Abs. 2 der SARS-CoV-2-Arbeitsschutzverordnung lediglich die Beschaffung der Tests bzw. Vereinbarungen mit Dienstleistern über die Durchführung der Tests dokumentieren und diese Nachweise für vier Wochen aufbewahren. Diese Dokumentationen sind aufgrund eines fehlenden Personenbezugs nicht datenschutzrelevant, das heißt, hier müssen keine besonderen Vorgaben der DS-GVO beachtet werden.

Hinweis: Einige Verordnungen auf Länderebene geben vor, dass den Arbeitnehmern ein Point-of-Care (PoC)-Antigen-Tests zur Verfügung gestellt werden muss (z. B. in Berlin und Hamburg). Diese Antigen-Schnelltests können vor Ort erfolgen und liefern innerhalb von 15-30 Minuten ein Ergebnis, sind aber nicht für den Gebrauch durch Laien geeignet. Sie müssen von fachkundigem Personal (z.B. mit abgeschlossener Ausbildung im medizinischen Bereich) durchgeführt oder zumindest beaufsichtigt werden. Insoweit eine Länderverordnung PoC-Antigen-Tests vorschreibt, ist die Bereitstellung von Selbsttests zur Eigenanwendung entsprechend nicht ausreichend.

Dokumentationspflichten bei der Testung der Mitarbeiter

Aus Sicht des Datenschutzes relevant ist allerdings die Dokumentation der Durchführung von Tests und deren Ergebnisse, insbesondere da hier Gesundheitsdaten betroffen sind, die unter Art. 9 Abs. 1 DS-GVO fallen und besonders sensibel sind. Die SARS-CoV-2-Arbeitsschutzverordnung selbst gibt eine solche Dokumentationspflicht der Arbeitgeber in Bezug auf die Durchführung der Tests sowie die Testergebnisse der Personen aber nicht vor. Ebenso wenig wie eine Informationspflicht gegenüber dem Gesundheitsamt, wenn Personen positiv getestet wurden. Allerdings wurden auf Länderebene in einzelnen Bundesländern Verordnungen erlassen, die eine solche Dokumentationspflicht vorschreiben. Dies ist beispielsweise in Hamburg der Fall, wo Arbeitgeber teilweise ein „Testlogbuch“ führen und sowohl durchgeführte Tests als auch deren Ergebnisse dokumentieren müssen. Das Testlogbuch muss der zuständigen Gesundheitsbehörde auf Verlangen auch herausgegeben werden.

Ob Arbeitgeber ihren Beschäftigten eine Bescheinigung über das Testergebnis ausstellen können oder sogar müssen, ist ebenfalls von den Regelungen der einzelnen Bundesländer abhängig, die SARS-CoV-2-Arbeitsschutzverordnung sieht keine Bescheinigungspflicht vor. Verpflichtend ist eine Bescheinigung über das Corona-Test-Ergebnis für Arbeitgeber in Berlin. In anderen Bundesländern wie Nordrhein-Westfalen oder Sachsen können Arbeitgeber eine solche Bescheinigung ausstellen, wobei teilweise bestimmt Voraussetzungen gegeben sein müssen, damit sie eine Testbescheinigung ausstellen dürfen. In Hamburg muss der Arbeitgeber beispielsweise unter die Bestellpflicht eines Sicherheitsbeauftragten i. S. v. § 22 SGB VII fallen, um auch Bescheinigungen ausstellen zu dürfen. Ob hier Aufbewahrungspflichten bestehen, ist in den Länderverordnungen unterschiedlich geregelt.

Nur teilweise Testpflicht für Arbeitnehmer

Die Teilnahme an den Corona-Tests ist für Beschäftigte nach der SARS-CoV-2-Arbeitsschutzverordnung grundsätzlich freiwillig. Auch beim Vorliegen konkreter Symptome, die Anzeichen für eine Corona-Infektion sein können, dürfen Arbeitgeber ihre Mitarbeiter nicht zu einem Test verpflichten. Eine Testpflicht besteht nur dann, wenn die Verordnungen auf Länderebene eine solche explizit vorsehen. Dies ist beispielsweise für Beschäftigte im Gesundheitswesen in Bayern, Berlin, Hamburg und Nordrhein-Westfalen sowie für Arbeitnehmer mit direktem Kundenkontakt in Sachsen und Berlin der Fall.

Außerhalb der gesetzlichen Testpflicht können Arbeitgeber keine allgemeinen, anlasslosen Corona-Tests anordnen. Denkbar wäre es zwar grundsätzlich, die Anordnung auf das allgemeine Weisungsrecht bzw. die Schutz- und Fürsorgepflicht gegenüber allen Beschäftigten zu stützen. Da es sich bei dem Testergebnis allerdings um ein Gesundheitsdatum handelt, sind aus Datenschutzsicht die strengen Vorgaben des § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO zu beachten. In der Regel werden die Schutzinteressen des Arbeitnehmers (körperliche Integrität und das allgemeine Persönlichkeitsrecht) überwiegen, weshalb Arbeitgeber, wenn überhaupt nur in speziellen Einzelfällen Mitarbeiter zu einem Test verpflichten können. Die Abwägung muss für jeden Einzelfall individuell durchgeführt und dokumentiert werden. In den meisten Fällen wird allerdings eine Einwilligung des Arbeitnehmers erforderlich sein, wenn die Verordnungen der Länder keine Testpflicht vorsehen.

Datenschutzpflichten bei Corona-Tests

Unabhängig davon, wie die Infektionsschutzverordnungen in den einzelnen Bundesländern ausgestaltet sind, müssen bei der Verarbeitung personenbezogener Daten im Rahmen der Corona-Test die allgemeinen Datenschutzregeln beachtet werden. Hierzu zählen insbesondere folgende Pflichten:

Wie bei jeder Verarbeitung persönlicher Informationen ist für die Zulässigkeit eine Rechtsgrundlage nach Art. 6 DS-GVO erforderlich, wobei für Gesundheitsdaten zusätzlich Art. 9 DS-GVO zu beachten ist. Bei Verarbeitungen im Rahmen eines Beschäftigungsverhältnisses greift zudem § 26 BDSG. Die Rechtmäßigkeit der Verarbeitung muss für jeden Verarbeitungsschritt individuell geprüft werden, das heißt sowohl für die Durchführung der Tests als auch für die Dokumentation des Testergebnisses und ggf. die Meldung an das Gesundheitsamt.

Besteht nach den Verordnungen der Länder oder des Bundes eine Pflicht für Arbeitgeber, Testbescheinigungen auszustellen, Testergebnisse zu dokumentieren oder (positive) Testergebnisse an das Gesundheitsamt zu melden, kann die Verarbeitung auf § 26 Abs. 3 BDSG bzw. Art. 9 Abs. 2 lit. b) DSGVO i. V. m. der entsprechend geltenden Verordnung gestützt werden. Ist dies nicht der Fall, ist regelmäßig die Einwilligung des betroffenen Arbeitnehmers erforderlich.

Hinweis: Bei Antigen-Schnelltests besteht für positive Ergebnisse nach dem Infektionsschutzgesetz eine Meldepflicht gegenüber dem Gesundheitsamt. Bei Selbsttests zur Eigenanwendung besteht dagegen keine Meldepflicht.

In jedem Fall müssen Arbeitgeber darauf achten, möglichst wenige Daten zu erheben und zu speichern. Es dürfen nur Daten verarbeitet werden, die zwingend zur Erreichung des verfolgen Ziels erforderlich sind („so wenig wie möglich, so viel wie nötig“). Bei der Meldung von positiven Testergebnissen an das Gesundheitsamt sind einige Pflichtangaben vorgeschrieben, unter anderem Name, Geschlecht, Geburtsdatum und Anschrift. Diese Daten liegen in der Regel bereits in der Personalakte vor und sollten deshalb nicht noch einmal abgefragt werden.

Zudem dürfen personenbezogene Daten nicht dauerhaft gespeichert werden, sondern müssen gelöscht werden, sobald sie nicht mehr benötigt werden. Die Verordnungen der Länder sehen für die Dokumentation der Testergebnisse regelmäßig eine Aufbewahrungsfrist von vier Wochen vor, anschließend sollten die Daten gelöscht werden.

Wie jede andere Verarbeitungstätigkeit muss auch die Datenverarbeitung bei der Durchführung von Corona-Test dokumentiert und in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden. Das Verzeichnis ist regelmäßig zu aktualisieren, da die Verordnungen sowohl auf Bundes- als auch auf Länderebene immer wieder geändert werden. Da Gesundheitsdaten verarbeitet werden, ist zudem zu prüfen, ob eine Datenschutzfolgenabschätzung nach Art. 35 DS-GVO durchgeführt werden muss. Diese ist ebenfalls zu dokumentieren.

Die Verarbeitung ihrer personenbezogenen Daten muss für Arbeitnehmer transparent gestaltet und die Informationspflicht nach Art. 13 DS-GVO erfüllt werden. Arbeitgeber müssen ihre Beschäftigten unter anderem darüber informieren, welche Daten betroffen sind, wer Zugriff auf diese Daten hat und wann sie gelöscht werden. Der Datenschutzhinweis muss den betroffenen Personen gem. Art. 13 Abs. 1 DS-GVO unverzüglich bei der Erhebung der Daten zur Verfügung gestellt werden.

Datenverarbeitende Stellen sind gem. Art. 24 Abs. 1, 32 DS-GVO dazu verpflichtet, durch technische und organisatorische Maßnahmen ein ausreichendes Schutzniveau für personenbezogene Daten sicherzustellen. Da hier mit Gesundheitsdaten besonders sensible Informationen von der Verarbeitung betroffen sind, besteht ein besonderer Schutzbedarf. Insbesondere sollten Zugriffsrechte auf die Testergebnisse nur sehr restriktiv vergeben werden – sowohl bei digitalen als auch bei einer Dokumentation in Papierform. Es muss sichergestellt werden, dass keine unberechtigten Personen Zugang zu den Testergebnissen haben. Dies muss auch bei der Organisation der Tests im Unternehmen beachtet werden. Beispielsweise sollten gleichzeitige Selbsttest mehrerer Personen in einem Raum vermieden werden, da für die anderen Personen häufig die Möglichkeit besteht, das Ergebnis einzusehen.

Neben den Anforderungen aus der DS-GVO muss bei der Einführung von Corona-Tests unter Umständen auch der Betriebsrat oder sonstige Mitarbeitervertretungen mit einbezogen werden. Dies gilt insbesondere dann, wenn der Prozess Teil des Hygienekonzepts werden soll.

Dokumentation geimpfter Personen im Unternehmen

Eine weitere datenschutzrechtliche Herausforderung für Arbeitgeber könnte die Dokumentation vollständig geimpfter und genesener Arbeitnehmer werden. Grundsätzlich dürfen Arbeitgeber bei Beschäftigten nicht erfragen, ob diese (vollständig) geimpft worden sind oder nicht. Wie auch bei den Corona-Test-Ergebnissen handelt es sich bei der Frage, ob eine Person geimpft ist, um ein Gesundheitsdatum, das gem. Art. 9 DS-GVO nur unter engen Voraussetzungen verarbeitet werden darf. Eine Einwilligung des betroffenen Arbeitnehmers kommt wohl nicht in Betracht, da aufgrund des Abhängigkeitsverhältnisses zum Arbeitgeber die Freiwilligkeit der Zustimmung fraglich ist.

Daran hat sich auch durch die Anfang Mai beschlossenen Lockerungen der Infektionsschutzmaßnahmen für vollständig Geimpfte und Genesene durch die COVID-19-Schutzmaßnahmen-Ausnahmenverordnung nichts geändert. Diese betreffen überwiegend das Privatleben, beispielsweise einen negativen Test als Zugangsvoraussetzung bei Friseuren u. Ä. sowie die nächtliche Ausgangssperre und die Beschränkung der Personenzahl für private Treffen. Die Abstandsregeln im öffentlichen Raum sowie die Vorgaben in Hygiene- und Schutzkonzepten gelten auch für geimpfte und genesene Personen weiterhin. Wie die Lockerungen konkret umgesetzt werden, ist noch unklar. Zudem können die Bundesländer auch hier eigene Verordnungen erlassen. Je nach Gestaltung und Inhalt ist es durchaus möglich, dass Arbeitgeber zumindest die Information über das Greifen der Ausnahmeregelung – das heißt Impfschutz oder Genesung – erheben dürfen. Hier bleibt allerdings abzuwarten, wie die Vorschriften konkret umgesetzt werden und ob gegebenenfalls weitere Lockerungen hinzukommen.

Fazit

Die Maßnahmen zur Eindämmung der Pandemie müssen bei der konkreten Umsetzung von Unternehmen mit den europäischen Vorgaben zum Schutz (besonders sensibler) personenbezogener Daten in Einklang gebracht werden. Ihrer datenschutzrechtlichen Verantwortung können Unternehmen mangels einheitlicher gesetzlicher Rahmenbedingungen zur Orientierung derzeit nur gerecht werden, wenn sie die gesetzlichen Bestimmungen im Auge behalten und bei ihren Umsetzungen die Leitlinien aus Art. 5 DS-GO entsprechend hinterfragen und berücksichtigen. Bei Unsicherheiten bezüglich des „Ob“ und des „Wie“ kann der Datenschutzbeauftragte oder ein externer Datenschutzexperte für mehr Klarheit sorgen.