Eine zunehmend drängende Frage für Arbeitgeber ist, ob sie Arbeitnehmer fragen können, ob sie geimpft sind, ob sie nur geimpfte Arbeitnehmer wieder ins Büro lassen dürfen oder ob sie Personen mit einem Impfzertifikat zusätzliche bezahlte Tage gewähren können. Obwohl die Datenschutzbehörde dazu Leitlinien erlassen hat, bleiben die meisten Fragen trotzdem ungeklärt.

Laut datenschutzbehördliche Regelung können die verschiedenen Dienstleister, die nur Besitzer eines Impfzertifikats offen stehen – wie Restaurants, Hotels, Fitnessstudios, Kinos – von Gästen nur die Vorlage der Karte (bzw. der mobilen Anwendung) verlangen, sind aber ausdrücklich jede weitere Verarbeitung - also das Aufzeichnen oder Anfertigen einer Kopie der Ausweisdaten - untersagt.

Inhaber eines Impfzertifikats können somit eindeutig bestimmte Vorteile genießen, Dienstanbieter sind jedoch nicht berechtigt, sicherheitsrelevante Daten zu verarbeiten. Es stellt sich dann die Frage, ob dies auch für Arbeitgeber gilt.

Die Nationale Behörde für Datenschutz und Informationsfreiheit (NAIH) hat dieses Thema in einer höchst umstrittenen, eher zweideutigen Richtlinie aufgegriffen. Die Datenschutzbehörde kam zu dem Schluss, dass Arbeitgeber ihre Arbeitnehmer fragen können, ob sie vor COVID-19 geschützt sind, jedoch nur unter sehr eingeschränkten Umständen und nur, wenn bestimmte Bedingungen erfüllt sind. Obwohl die Leitlinien in einigen Punkten die nötige Klarheit schaffen, bleibt vieles zu klären und die Leitlinien selbst betonen, dass sie für andere Rechtsverhältnisse (z.B. für Vertragsbedienstete) als für Arbeitnehmer nicht gelten. Er weist auch auf die Notwendigkeit eines einheitlichen, gesetzlichen Ansatzes für das Problem hin.

Die NAIH hat klargestellt, dass die Verarbeitung dieser Art von Gesundheitsdaten von Arbeitnehmern notwendig und verhältnismäßig sein muss und auf einer vorherigen, gut dokumentierten und objektiven Risikobewertung beruhen muss. Das Vorliegen eines Bedarfs ist im Einzelfall zu prüfen und gilt laut NAIH nur für bestimmte Risikoberufe oder Arbeitnehmergruppen, wie Krankenhauspfleger, Sozialarbeiter oder Mitarbeiter, die viele Kunden treffen.

In diesen Fällen kann die Kenntnis des Schutzstatus von Arbeitnehmern entscheidend sein, um eine Ansteckung von Arbeitnehmern, Patienten und Kunden zu vermeiden. Im Gegensatz dazu legt der Wortlaut der Leitlinie nahe, dass einfache Bürotätigkeiten in den meisten Fällen als risikoarme Tätigkeiten gelten, bei denen der Bedarf kaum zu erkennen ist.

Nach den Grundsätzen der Verhältnismäßigkeit und Datensparsamkeit der DSGVO dürfen Arbeitgeber von Arbeitnehmern nur die Vorlage eines Impfzertifikats oder einer mobilen Anwendung verlangen und nur den Umstand des Schutzes gegen COVID-19 (und ggf Ablauf des Schutzes). Es darf keine Vervielfältigung vorgenommen werden und es ist keine weitere Datenverarbeitung erlaubt.

Die NAIH betonte auch, dass die Verarbeitung von Schutzdaten nur zum Zweck der Erfüllung der einschlägigen arbeitsrechtlichen Pflichten, dh zur Gewährleistung des Arbeitsschutzes und der Arbeitsorganisation, sowie zur Einleitung konkreter Maßnahmen erfolgen darf. Eine solche Maßnahme könnte beispielsweise darin bestehen, den Arbeitsplatz des geschützten Arbeitnehmers neben den Arbeitsplatz des ungeschützten Arbeitnehmers zu platzieren oder ungeschützten Arbeitnehmern eine dauerhafte Heimarbeit zu ermöglichen.

Der letztgenannte Vorschlag ist ziemlich seltsam, da die Verwaltung des Schutzstatus von COVID-19 für Büroangestellte, die die einzigen sind, die vernünftigerweise von zu Hause aus arbeiten können, nach den NAIH-Richtlinien in den meisten Fällen nicht zulässig erscheint. Dies stellt in Frage, ob Büroangestellte per Definition eine risikoarme Gruppe sind oder ob eine objektive Gefährdungsbeurteilung denkbar ist, die den Umgang des Arbeitgebers mit Sicherheitsdaten auch in ihrem Fall unterstützen könnte.

Die Anleitung der Datenschutzbehörde wurde von vielen begrüßt, da sie einige sehr zweideutige Fragen zu den Optionen der Arbeitgeber beantwortet, die Arbeitgeber jedoch leider immer noch raten lässt. Ob Arbeitgeber den COVID-19-Schutzstatus von Büroangestellten verwalten können oder ob das Anbieten von Leistungen an geimpfte Arbeitnehmer (z. B. bezahlter Sonderurlaub) legal ist, ist noch nicht geklärt.

Brauchen Sie einen Datenschutzexperten in Ungarn für Ihre Firma? Kontaktieren Sie unsere Kanzlei!

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.