Können Arbeitgeber in Ungarn einen Besuch der COVID-19-Immunitätszertifikate beantragen?
Eine immer dringlichere Frage für Arbeitgeber in Ungarn ist derzeit, ob sie Arbeitnehmer fragen dürfen, ob sie geimpft sind Während einige Arbeitgeber erwägen, nur geimpfte Arbeitnehmer wieder im Büro zuzulassen, würden andere einen milderen Ansatz bevorzugen und denjenigen, die über ein Immunitätszertifikat verfügen, zusätzliche Tage bezahlten Urlaubs anbieten Die Datenschutzexperten von Taylor Wessing Ungarn Problem ausgearbeitet.
Das Immunitätszertifikat ist nur mit einem Ausweis oder einem Reisepass gültig, und Zertifikatsinhaber genießen derzeit als einzige bestimmte Privilegien: Sie können Restaurants, Hotels, Fitnessstudios, Kinos besuchen und diese Dienstleister dürfen ihre Kunden nur auffordern, ihr Zertifikat vorzuzeigen (oder die mobile Anwendung, die auch offiziell zum Nachweis der Immunität verwendet wird), ihnen wird aber ausdrücklich jede weitere Datenverarbeitung (also Aufzeichnung, Kopieren) verweigert.
Menschen mit Immunitätszertifikaten wird also eindeutig der Genuss bestimmter Leistungen gewährt, Dienstleister sind jedoch nicht berechtigt, diese Art von Daten zu verarbeiten. Es stellt sich daher die logische Frage: Gilt das Gleiche auch für Arbeitgeber?
Die ungarische Datenschutzbehörde ging dieses Problem in einer hart umkämpften, recht zweideutigen Leitlinie an.
Die Datenschutzbehörde kam zu dem Schluss, dass Arbeitgeber ihre Arbeitnehmer möglicherweise fragen dürfen, ob sie gegen COVID-19 geschützt sind, wenn auch nur unter sehr begrenzten Umständen und unter bestimmten Bedingungen (und natürlich unter einer gesonderten Datenschutzrichtlinie und den entsprechenden Rechtsgrundlagen, da es sich um eine besondere Kategorie personenbezogener Daten handelt).Obwohl die Leitlinien in bestimmten Fragen eine dringend benötigte Klarheit bieten, bleibt noch viel zu sehen, und die Richtlinie selbst betont, dass sie hauptsächlich für Arbeitsverhältnisse gilt, nicht jedoch für andere beschäftigungsähnliche Status (z. B. öffentlicher Sektor, Auftragnehmer usw.). Es weist auch auf die Notwendigkeit einer einheitlichen, gesetzlichen Lösung des Problems hin.
Die Datenschutzbehörde stellte klar, dass die Verarbeitung dieser Art von Gesundheitsdaten der Mitarbeiter notwendig und verhältnismäßig sein muss und auf einer vorherigen, gut dokumentierten und objektiven Risikobewertung basieren muss.
Die Notwendigkeit wird im Einzelfall beurteilt und gilt laut Datenschutzbehörde nur für bestimmte Hochrisikoberufe oder Arbeitnehmergruppen. Beispiele hierfür sind Wartungsarbeiter in Krankenhäusern, Sozialarbeiter und Mitarbeiter, die sich mit vielen Kunden treffen.
In diesen Fällen könnte die Kenntnis des Schutzstatus der Mitarbeiter von entscheidender Bedeutung sein, um eine Infektion von Mitarbeitern, Patienten und Klienten zu vermeiden. Im Gegensatz dazu legt der Wortlaut der Leitlinien nahe, dass einfache Büroarbeit in den meisten Fällen als risikoarmer Arbeitsplatz gilt, bei dem die Notwendigkeit kaum festgestellt werden kann.
„In Übereinstimmung mit den Grundsätzen der Verhältnismäßigkeit und Datenminimierung der DSGVO dürfen Arbeitgeber von Arbeitnehmern nur die Vorlage ihres Immunitätszertifikats oder der mobilen Anwendung verlangen und ihnen nur die Aufzeichnung der Tatsache des Schutzes vor COVID-19 (und deren Ablauf) gestatten.“Schutz, falls zutreffend), es darf jedoch keine Kopie angefertigt werden und eine spätere Datenverarbeitung ist nicht zulässig”, sagt Kinga Harza, Associate bei Taylor Wessing.
Die Datenschutzbehörde betonte, dass diese Daten auch bei Einhaltung aller oben genannten Punkte nur zur Einhaltung einschlägiger arbeitsrechtlicher Verpflichtungen, also zur Gewährleistung des Arbeitsschutzes und zur Arbeitsorganisation, verarbeitet werden dürfen. Da der Zweck real und vom Arbeitgeber überprüfbar sein muss, muss der Arbeitgeber im Besitz der Immunitätsdaten tatsächlich angemessene Maßnahmen ergreifen. Zu diesen Maßnahmen gehört nach Angaben der Datenschutzbehörde, den Arbeitsplatz eines geschützten Arbeitnehmers neben den Arbeitsplatz eines ungeschützten Arbeitnehmers zu stellen oder ungeschützten Arbeitnehmern eine dauerhafte Heimarbeit anzubieten.
Der letztgenannte Vorschlag ist ziemlich merkwürdig, da die Verarbeitung des COVID-19-Schutzstatus von Büroangestellten – die einzigen sind, die vernünftigerweise von zu Hause aus arbeiten könnten, unter den meisten Umständen nicht zulässig zu sein scheint.
Dies macht es fraglich, ob Büroangestellte per Definition eine Gruppe mit geringem Risiko sind (wie es scheinbar von der Datenschutzbehörde vorgeschlagen wird) oder ob eine objektive Risikobewertung in bestimmten Fällen den Schluss stützen kann, dass Arbeitgeber ihre Immunitätsdaten rechtmäßig verarbeiten.
“Die Anleitung der DPA wurde von vielen begrüßt, da sie einige höchst zweideutige Fragen zu den Möglichkeiten der Arbeitgeber beantwortet, aber leider immer noch die Arbeitgeber rätseln lässt Ob Arbeitgeber den COVID-19-Schutzstatus von Büroangestellten verarbeiten dürfen, oder ob das Anbieten von Leistungen (z.B. zusätzlich bezahlter Urlaub) an geimpfte Arbeitnehmer aus datenschutzrechtlicher Sicht als rechtmäßig angesehen würde, bleibt abzuwarten”, schließt Dániel Ódor, Leiter der Datenschutzpraxis von Taylor Wessing in Budapest.