Im Zusammenhang mit Covid-19 stellte sich oft die Frage, ob Arbeitgeber ein Recht darauf haben, den Impfstatuts der Arbeitnehmenden zu erfragen bzw. diesen in Erfahrung zu bringen. Ein allgemeines Fragerecht des Arbeitgebers betreffend gibt es nicht. Erlaubt ist die Frage daher nur, wo der Schutz Dritter nur mit der Impfung sichergestellt werden kann, etwa bei Pflegepersonal. In den vorgenannten Fällen dürfte das Verlangen eines Impfnachweises zulässig sein und die Firmen dürfen den Impfstatus auch in den Personalakten vermerken. Zum Teil wird auch argumentiert, die Frage der Impfung sei etwa zulässig, wenn die Impfung Auswirkungen auf das Arbeitsverhältnis haben kann, wie etwa bei Piloten und anderen international tätigen Berufsleuten. Wo im Einzelfall die Grenze zwischen Zulässigkeit und Unzulässigkeit verläuft, ist noch nicht restlos geklärt.
Grund für die Einschränkungen ist der Datenschutz: Gemäss Art. 328b OR darf der Arbeitgeber Daten über den Arbeitnehmer nur bearbeiten, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Datenbearbeitungen im Arbeitsverhältnis sind grundsätzlich unzulässig, es sei denn, sie seien durch den Bezug zur Eignung des Arbeitnehmers oder zur Durchführung des Arbeitsvertrages gerechtfertigt.
Entscheid der Rekurskommission der Zürcher Hochschulen
Die Rekurskommission der Zürcher Hochschulen hatte sich nun mit der Frage zu befassen, ob es zulässig ist, dass ein Arbeitgeber den Impfstatutes der Arbeitnehmenden erfährt.
Dem Fall lag der Folgende Sachverhalt zugrunde (gekürzt):
Mit Beschluss vom 10. September wurde durch die Hochschulleitung der Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) festgehalten, dass alle Personen, die Zugang zur Hochschule wollten, benötigten ein gültiges Covid-Zertifikat müssten. Für Mitarbeitende, die kein gültiges Covid-Zertifikat besassen, aber aus betrieblichen Gründen in einem Gebäude mit Studierenden und/oder Weiterbildungsteilnehmenden tätig waren, übernahm die ZHAW ab dem 1. Oktober 2021 die Testkosten.
Einige Professoren waren hiermit nicht einverstanden und bemängelten, dass die Hochschule so den Immunitätsstatus der Betroffenen durch die Zertifikatspflicht uneingeschränkt in Erfahrung bringe. Denn nur die Ungeimpften müssten sich testen lassen, um ein Zertifikat zu erhalten und da der Arbeitgeber die Kosten der Tests bezahle, wisse er konsequenterweise stets darüber Bescheid, ob der einzelne Arbeitnehmer nun geimpft sei oder nicht. Da eine formell-gesetzliche Grundlage für das Bearbeiten der Information über den Immunitätsstatus fehle, sei die Covid-Zertifikatspflicht in der vorliegenden Konstellation in datenschutzrechtlicher Hinsicht gegenüber den Mitarbeitenden gesetzes-widrig. Zudem liege ein ungerechtfertigter Eingriff in den Schutzbereich von Art. 13 BV vor, welcher einen umfassenden Schutz des Umgangs mit personenbezogenen Daten gewährleiste. Demnach entscheide jeder selbst über die Offenlegung seiner persönlichen Lebenssachverhalte, könne Einsicht in die ihn betreffenden persönlichen Daten verlangen und habe Anspruch auf Schutz solcher Daten. Somit müssten die Rekurrenten zumindest mit ihrem Eventualbegehren — Aufhebung des Beschlusses gegenüber Mitarbeitenden — durchdringen.
Die Hochschule merkte an, dass es den Mitarbeitenden freistehe, auf eine Rückforderung der Testkosten zu verzichten. Würden diese die Testkosten als Spesen zurückfordern, so stelle dies eine Einwilligung zur Bearbeitung ihrer Personendaten dar. Die Rekurrenten äussern sich dahingehend, dass eine Einwilligung in die Datenbearbeitung nur dann gültig sei, wenn sie freiwillig erfolge. Aus dem Nicht-Verzicht auf einen relativ zwingenden Anspruch des Arbeitnehmers auf dessen Einwilligung in eine Datenbearbeitung zu schliessen, sei rechtswidrig. Denn zwingende Ansprüche bestünden, damit sie auch ohne aufwändige Parteidisposition geltend gemacht werden könnten.
Entscheid der Rekurskommission (Geschäfts-Nr. 131/21) vom 19. Mai 2021
Gemäss Rekurskommission war das Vorgehen der Hochschule widerrechtlich, da hier verlangt wurde, dass die Testkosten via Spesenabrechnung geltend gemacht werden mussten. Somit wurde bekannt, wer Geimpft war oder nicht:
6ca. Die mit der Rückforderung via Spesenabrechnung einhergehende Verpflichtung zur Bekanntgabe des Impfstatus an die ZHAW stellt einen Eingriff in den Datenschutz und das informelle Selbstbestimmungsrecht im Sinne von Art. 13 Abs. 2 BV dar. Es fragt sich deshalb, ob nicht eine zweck- und verhältnismässigere Alternative zur Verfügung stehen würde, um den Rekurrenten die notwendigen Tests kostenlos anbieten zu können, ohne dass dazu besonders schützenswerte Personendaten von der Arbeitgeberin bearbeitet werden müssten (BGE 125 II 29. E. 3daa). Der Grundsatz der Verhältnismässigkeit erfordert nämlich, dass sowohl der Zweck, der mit der Datenbearbeitung verfolgt wird, als auch die Art und Weise der Bearbeitung verhältnismässig ist. Personendaten dürfen daher nur soweit bearbeitet werden, als dies für einen bestimmten Zweck objektiv geeignet und tatsächlich erforderlich ist (BVGr, 4. August 2009, A-3908/2008, E. 3.1).
Die Bekanntgabe von besonders schützenswerten Gesundheitsdaten — wie der Impfstatus einer Person (E. 6ba) — an den Arbeitgeber ist gemäss Rechtsprechung zudem mit grosser Zurückhaltung zu handhaben. So darf bspw. auch ein vom Arbeitgeber eingesetzter Vertrauensarzt gesundheitsrelevante Informationen nicht ohne Weiteres an den Auftraggeber weitergeben. Ob und in welchem Umfang der Arzt dem Arbeitgeber berichten darf, hängt davon ab, ob er seitens des Arbeitnehmers vom Geheimnis entbunden worden ist (BGE 143 IV 209 E. 1.2). Ohne besondere Einwilligung des Arbeitnehmers darf der Vertrauensarzt den Arbeitgeber jedoch nicht über die Befunde und die Diagnose informieren (BVGr, 24. August 2016, A-5326/2015, E. 4.2.1).
6cb. Es muss deshalb hinterfragt werden, ob es tatsächlich erforderlich war, die Testkosten via Spesenabrechnung zurückzufordern. In Betracht fällt insbesondere das folgende alternative Vorgehen:
Das Testcenter stellt die Kosten für die Tests der Dozierenden direkt bei der Rekursgegnerin in Rechnung. Die Rekursgegnerin müsste den Mitarbeitenden des Testcenters lediglich eine Liste der Dozierenden aushändigen, was insofern unbedenklich sein dürfte, als dass die Dozierenden der Rekursgegnerin auf der Website bekannt gegeben werden und deren Identität demzufolge nicht anonym oder im Sinne des Datenschutzes schützenswert ist. Eine Identifikation der Mitarbeitenden im Testcenter ist sowieso notwendig, weil das Testergebnis einem personalisierten Zertifikat zugeordnet werden muss. Das Testcenter würde der Rekursgegnerin sodann die Anzahl der getesteten Dozierenden mitteilen und den ihr zustehenden Betrag einfordern, ohne die Namen der Dozierenden anzugeben. Auf diese Weise käme es zu keinem personalrechtlichen Berührungspunkt zwischen den Rekurrenten und der Arbeitgeberin, welcher betreffend besonders schützenswerter Gesundheitsdaten heikel wäre (E. 6ca).
Es ergibt sich also, dass es durchaus eine zweck- und verhältnismässige Möglichkeit gäbe, um die Dozierenden kostenlos zu testen und keine besonders schützenswerten Personendaten an die Arbeitgeberin zu übermitteln. Das Zertifikat light, auf welches das Testresultat hochgeladen wird, beinhaltet keine Gesundheitsdaten und es können grundsätzlich keine Rückschlüsse auf den Impfstatus gezogen werden (E. 5bb). Somit wäre bei einer Verrechnung der Kosten direkt zwischen Testcenter und der ZHAW keine formell-gesetzliche Grundlage im Sinne von Art. 8. Abs. 2 IDG nötig, da der Arbeitgeberin keine besonders schützenswerten Personendaten mitgeteilt würden. Auch der Schutzbereich von Art. 13 Abs. 2 BV wäre demzufolge nicht tangiert.
Zusammenfassend kann festgehalten werden, dass die Rekursgegnerin bei der konkreten Umsetzung der Kostenlosigkeit im Sinne von Ziff. VI des Beschlusses der Hochschulleitung vom 10. September 2021 datenschutzrechtliche Vorgaben verletzt hat, indem besonders schützenswerte Daten bearbeitet wurden, obwohl dies nicht nötig gewesen wäre.
Im vorliegenden Zusammenhang, insbesondere dem Datenschutz, sind auch die nachfolgenden Beiträge relevant:
- Illegal beschaffte Screenshots
- Datenlieferung in die USA als Persönlichkeitsverletzung?
- Lieferung von Mitarbeiterdaten in die USA
- Videoüberwachungen am Arbeitsplatz
- Sicherheitsüberprüfungen
- Fragen und Antworten im Bewerbungsverfahren
- Personaldossier – was steht da drinn?
- Arbeitnehmerrechte bei internen Untersuchungen
- Das Recht auf die Personalakte
- Coronavirus: Messung der Körpertemperatur durch den Arbeitgeber
- Die Überwachung von Geschäftsfahrzeugen mit GPS-Geräten
- Absichtliche Täuschung im Bewerbungsverfahren
- Täuschung im Bewerbungsverfahren durch Skilehrerin
- Offenbarungs- und Auskunftspflicht bei der Bewerbung
Autor: Nicolas Facincani