Eine Ausnahme gilt für den Gesundheitsbereich, in dem der Gesetzgeber spezifische Regelungen getroffen hat, die eine Verarbeitung und Speicherung personenbezogener Daten von Beschäftigten weiterhin gestatten können.
6.2.1 Zulässigkeit
Für Mitarbeiter von bestimmten Einrichtungen und Unternehmen des Gesundheitssektors, z. B. Krankenhäuser, Arztpraxen, Alten- und Pflegeheime besteht nach § 20a IfSG eine einrichtungsbezogene Impfpflicht. Das bedeutet, dass diese Personen entweder genesen oder geimpft sein müssen, zumindest solange keine medizinische Kontraindikation hinsichtlich einer Impfung vorliegt. Die Beschäftigten haben einen entsprechenden Nachweis gegenüber dem Arbeitgeber zu erbringen. Die Verarbeitung dieser Daten ist auf Grundlage des Art. 9 Abs. 4 DSGVO i. V. m. § 20a Abs. 1 IfSG zulässig.
Eine Verarbeitung des Impfstatus von Beschäftigten könnte grundsätzlich auch auf § 23a IfSG fußen. Voraussetzung hierfür ist jedoch, dass es sich um keine impfpräventable Krankheit handelt. Also eine Krankheit, für die es noch keine Schutzimpfung gibt. Für Corona gibt es bereits zahlreiche Schutzimpfungen. Folglich kann § 23a IfSG bei der Verarbeitung des Impf- oder Sero-Status von Beschäftigten nicht als Rechtsgrundlage herangezogen werden. Die spezifischere Rechtsgrundlage des § 36 Abs. 3 IfSG kommt derzeit ebenfalls nicht in Betracht, da hierfür der deutsche Bundestag eine epidemische Lage von nationaler Tragweite entsprechend des § 5 Abs. 1 S. 1 IfSG feststellen müsste. Diese ist derzeit nicht ausgerufen.
6.2.2 Einschränkungen
Hinsichtlich einer Speicherung von auf Grundlage des § 20a IfSG erhobenen Gesundheitsdaten von Beschäftigten ist zu beachten, dass nicht der Impfnachweis selbst gespeichert werden darf, sondern lediglich die Information, dass ein gültiger Nachweis erbracht wurde und ggf. das Ablauf-/ Enddatum dieses Nachweises. Das Kopieren, Einscannen oder Aufbewahren des Nachweises ist unzulässig. Sofern der Nachweis von Personen erbracht wird, die keine unmittelbar Beschäftigten der entsprechenden Einrichtung sind, dürfen zudem auch der Vor- und Nachname sowie Kontaktdaten erhoben werden.
Es gilt zudem der Grundsatz der Zweckbindung. Eine Verarbeitung der Gesundheitsdaten zu einem anderen Zweck als zur Erfüllung der Kontrollpflicht durch den Arbeitgeber ist nicht zulässig.
Sofern durch die Abfrage des Impfstatus Beschäftigtendaten verarbeitet werden (was regelmäßig zu bejahen ist), sind die Mitarbeiter über die Verarbeitung durch Bereitstellung der Pflichtinformationen aus Art. 13 Abs. 1 und 2 DSGVO zu informieren. Dies kann z. B. über ein Informationsblatt oder einen Link zu einem digital hinterlegten Dokument erfolgen.
6.2.3 Speicherdauer
Der Arbeitgeber muss die erhobenen Daten nach Art. 17 Abs. 1 Buchst. a DSGVO grundsätzlich dann löschen, wenn der Zweck für die Verarbeitung entfallen ist. Ungeachtet eines etwaigen Zweckentfalls sind die Daten spätestens dann zu löschen, wenn die entsprechende Rechtsgrundlage entfällt. Arbeitgeber müssen die zur Erfüllung des § 20a IfSG erhobenen Gesundheitsdaten ihrer Beschäftigten spätestens mit Ablauf des 31.12.2022 löschen, da die Rechtsgrundlage mit Wirkung zum 1.1.2023 entfällt.