13 K 3809/21

Soweit die Beteiligten den Rechtsstreit übereinstimmend in der Hauptsache für erledigt erklärt haben, wird das Verfahren eingestellt. Im Übrigen wird die Klage abgewiesen. Die Klägerin trägt die Kosten des Verfahrens. Das Urteil ist wegen der Kosten vorläufig vollstreckbar. Die Klägerin darf die Vollstreckung durch Sicherheitsleistung in Höhe von 110% des aufgrund des Urteils vollstreckbaren Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110% des jeweils zu vollstreckenden Betrages leistet. Tatbestand Die N. (B.) wies die bei ihr hauptamtlich Beschäftigten unter dem 19. April 2021 an, nach erfolgter Impfung gegen SARS-Cov-2 dem Dienstherrn eine Impfbestätigung vorzulegen. Diese solle im elektronischen Personalverwaltungssystem des B. „EPOS“ hinterlegt werden. Zudem solle eine halbjährliche Prüfung eines weiterhin bestehenden Bedarfs für die Speicherung des Impfstatus erfolgen. Dies wurde der Beklagten unter dem 10. Mai 2021 mitgeteilt. Ein Schriftstück des B. vom 11. Mai 2021 enthält die Angabe, entsprechende Einträge seien auch für ehrenamtlich Beschäftigte im System D. vorgesehen. Mit Schreiben vom 11. Mai 2021 forderte die Beklagte das B. zur Stellungnahme auf und erhob Bedenken hinsichtlich einer generellen Verarbeitung des Impfstatus. Bei Gesundheitsdaten handele es sich um eine besonders schutzwürdige Datenkategorie. Unter dem 11. Juni 2021 nahm das B. dahingehend Stellung, dass die Anweisung vom 19. April 2021 datenschutzkonform sei. Die Information über den Impfstatus sei nicht von Art. 9 der Datenschutz-Grundverordnung (DSGVO) erfasst. § 26 Abs. 3 des Bundesdatenschutzgesetzes (BDSG) erlaube die Verarbeitung. Die nach § 28b Abs. 7 Infektionsschutzgesetz (IfSG) vorgesehene Homeoffice-Regelung sei anders nur begrenzt umsetzbar. Nach dem gesetzlichen Auftrag des B. sei es erforderlich, unter den haupt- und ehrenamtlich Beschäftigten Einsatzpersonal auszuwählen. Auch Schutzmaßnahmen hingen von dem Wissen über den Impfstatus ab. Es sei kein Interesse der Betroffenen ersichtlich, dass ein Unterbleiben der Verarbeitung rechtfertige. Die Anweisung vom 19. April 2021 solle aber dahingehend überarbeitet werden, dass nach Verarbeitung die Impfbescheinigung gelöscht werde. Auch die Verhältnismäßigkeit der Dauer der Speicherung werde erneut geprüft. Mit Bescheid vom 28. Juni 2021 untersagte die Beklagte dem B. die Erhebung des Impfstatus in Bezug auf eine Corona-Impfung von haupt- und ehrenamtlich Beschäftigten (Ziff. 1). Sie ordnete die sofortige Löschung der bisher erhobenen personenbezogenen Daten in Form des Impfstatus in Bezug auf eine Corona-Impfung an (Ziff. 2). Zudem stellte sie fest, dass die Datenverarbeitung in Form der Speicherung besonderer Kategorien personenbezogener Daten gegen Art. 5 Abs. 1 lit. a) DSGVO verstoße (Ziff. 3) und sprach in Bezug auf diesen Verstoß eine förmliche Verwarnung aus (Ziff. 4). Zu diesen Maßnahmen sei sie nach Art. 58 Abs. 2 lit. b), f), g) DSGVO befugt. Die erfolgte Datenspeicherung sei nicht erforderlich im Sinne des Art. 88 DSGVO i.V.m. § 26 Abs. 1 Satz 1 BDSG und unzulässig im Sinne des Art. 9 DSGVO i.V.m. § 26 Abs. 3 BDSG. Es seien Gesundheitsdaten betroffen. Eine Einwilligung oder sonstige Rechtfertigung der Verarbeitung liege nicht vor. Es gebe keine Rechtsgrundlage für die Speicherung. Auch die Einsatzsituation des B. rechtfertige diese nicht. Die Zulässigkeit der Erhebung müsse im Einzelfall dargelegt werden. Die getroffenen Anordnungen seien vor diesem Hintergrund verhältnismäßig. Es sei Druck auf Beschäftigte ausgeübt und eine mangelnde Sensibilität für die Belange des Beschäftigtendatenschutzes offenbart worden. Auf eine Anhörung gem. § 28 Abs. 2 Nr. 1 des Verwaltungsverfahrensgesetzes (VwVfG) ebenso wie auf die Gelegenheit zur Stellungnahme für die Aufsichtsbehörde gem. § 16 Abs. 1 Satz 3 BDSG werde verzichtet. Am 19. Juli 2021 hat die Klägerin Klage erhoben. Die Beteiligten haben den Rechtsstreit in der Hauptsache übereinstimmend für erledigt erklärt, soweit dieser sich auf die Regelung zu Ziff. 2 des Bescheids vom 28. Juni 2021 bezog. Die Klägerin macht geltend, der Bescheid der Beklagten sei bereits formell rechtswidrig, da sie nicht angehört und die Aufsichtsbehörde nicht beteiligt worden sei. Gefahr im Verzug habe nicht vorgelegen. Ziff. 3 des Bescheids sei mangels Ermächtigungsgrundlage rechtswidrig. Die Erhebung und Verarbeitung des Impfstatus sei nach Art. 5 Abs. 1 lit. a), Art. 6 Abs. 1 DSGVO rechtmäßig. Rechtsgrundlage hierfür sei § 23a Satz 1 IfSG i.V.m. § 23 Abs. 3 IfSG in analoger Anwendung. Es gehe um die Entscheidung über Art und Weise einer Beschäftigung. Die Datenerhebung sei insoweit verhältnismäßig. Das B. sei eine national wie international tätige Einsatzorganisation, die ihren gesetzlichen Aufgaben entsprechend auf Anforderung unterschiedlicher Stellen verschiedensten Einsatzlagen gerecht werden müsse. Ihre Einsatztätigkeit sei von Eilbedarfen geprägt, sodass eine Erhebung im Einzelfall untunlich sei. Hygienemaßnahmen schieden als mildere Mittel aus. Dies ergebe sich auch aus der Gesetzesbegründung. Die Erhebung könne auch auf Art. 9 Abs. 2 lit. b), g), Art. 88 DSGVO sowie auf § 22 Abs. 1 Nr. 2 lit. b), § 26 Abs. 3 BDSG, § 28b Abs. 3 Satz 3 und § 36 Abs. 3 IfSG gestützt werden. Sie diene der Erfüllung arbeitsrechtlicher Pflichten aus § 241 Abs. 2, 618 Abs. 1 des Bürgerlichen Gesetzbuches (BGB). Schutzwürdige überwiegende Interessen der Beschäftigten bestünden selbst bei unterstellter Anwendbarkeit von § 9 DSGVO nicht. Eine unrechtmäßige Datenverarbeitung liege nicht vor. Der Bescheid überschreite die gesetzlichen Grenzen des Ermessens des Beklagten. Eine Erhebung und Speicherung des Impfstatus erfolge nicht mehr; die entsprechende Verfügung sei zum 19. Mai 2022 aufgehoben worden. Der Begriff der Rettungsdienste in § 23 Abs. 3 IfSG spreche für eine Analogie zugunsten des B.. Auch setze § 22 Abs. 1 Nr. 2 lit. a) BDSG keine konkrete Gefahr voraus. Das B. sei im Bereich des Katastrophenschutzes nicht zu ersetzen, daher bedeutete eine Einschränkung seiner Einsatzfähigkeit eine erhebliche Gefahr. Die Erhebung des Impfstatus sei erforderlich zur Abwehr derselben. Soweit auf die derzeitige Rechtslage abzustellen sei, seien analog auch die Regelung des § 20a IfSG sowie die Regelungen der § 23a Satz 1, § 23 Abs. 3 Nr. 11 IfSG anwendbar. Die Klägerin beantragt zuletzt, den Bescheid der Beklagten vom 28. Juni 2021 in Ziffer 1 sowie 3 und 4 aufzuheben. Die Beklagte beantragt, die Klage abzuweisen. Sie macht unter Wiederholung und Vertiefung ihres Vorbringens aus dem Verwaltungsverfahren geltend, selbst bei Gewährung kurzfristiger Anhörungsfristen seien in einer Vielzahl von Fällen unzulässige Verarbeitungen sensibler Daten zu befürchten gewesen. Das B. habe zudem bereits mit Schreiben vom 11. Juni 2021 Stellung genommen. Zudem seien die in der Klagebegründung vorgebrachten Argumente von ihr erneut gewürdigt worden mit dem Ergebnis, dass am Bescheid festgehalten werde. Die nachträgliche Einbindung der Aufsichtsbehörde sei nicht zu beanstanden. Ein etwaiger Verfahrensfehler sei jedenfalls geheilt worden. Die von der Klägerin herangezogenen Rechtsgrundlagen rechtfertigten die Erhebung und Speicherung des Impfstatus nicht. Eine Analogie zu § 23 Abs. 3 IfSG komme nicht in Betracht, insbesondere führe das B. keine qualifizierten Krankentransporte wie die Rettungsdienste durch. Eine erhebliche Gefahr für die öffentliche Sicherheit bestehe selbst bei Annahme einer eingeschränkten Einsatzfähigkeit des B. ohne die beabsichtigten Datenverarbeitungen nicht. Die Verarbeitung des Impfstatus aller Beschäftigten sei weder geeignet noch erforderlich zur Vermeidung einer solchen Gefahr. § 28b Abs. 3 Satz 3 IfSG sei bei Bescheiderlass nicht in Kraft gewesen und nunmehr entfallen. Auch § 36 Abs. 3 IfSG sei nicht anwendbar. Maßgeblich für die rechtliche Beurteilung sei der Zeitpunkt des Bescheiderlasses. Es gehe um die Überprüfung einer Ermessensentscheidung. Auch liege kein Dauerverwaltungsakt vor. Abstrakte Ausnahmesituationen seien nicht geeignet, pauschale Verfügungen an alle Beschäftigten der Klägerin zu rechtfertigen. Es handele sich um eine unzulässige Vorratsdatenspeicherung. Wegen der weiteren Einzelheiten des Sach- und Streitstands werden der Inhalt der Gerichtsakte sowie der beigezogene Verwaltungsvorgang in Bezug genommen. Entscheidungsgründe Soweit die Beteiligten den Rechtsstreit übereinstimmend für in der Hauptsache erledigt erklärt haben, war das Verfahren entsprechend § 92 Abs. 3 der Verwaltungsgerichtsordnung (VwGO) einzustellen. Die Klage ist im Übrigen zulässig, aber in der Sache nicht begründet. Sie ist als Anfechtungsklage zulässig. Eine solche ist auch hinsichtlich der Entscheidung zu Ziff. 3. und 4. des Bescheids der Beklagten vom 28. Juni 2021 statthaft. Das Gericht versteht diese Ziffern des Bescheids als einheitliche Regelung i.S.d. § 35 Satz 1 VwVfG, soweit mit der Verwarnung nach Art. 58 Abs. 3 lit. b) DSGVO stets die Feststellung eines Verstoßes gegen das Datenschutzrecht einhergeht. Ein solches Verständnis entspricht auch der Gestaltung des Bescheids, der in Ziff. 4 auf die in Ziff. 3 formulierte Feststellung ausdrücklich rekurriert. Insoweit liegt in der aufsichtsbehördlichen Verwarnung nach Ziff. 3 und 4 des Bescheids ein feststellender Verwaltungsakt mit entsprechender Regelungswirkung, der rechtlich belastende Wirkung für den Adressaten hinsichtlich etwaiger zukünftiger Maßnahmen entfaltet. Insoweit ist die Klägerin nach Art. 78 Abs. 1 DSGVO auch berechtigt, dagegen vorzugehen. Vgl. hierzu: Bundesverwaltungsgericht (BVerwG), Urteil vom 20. März 2024 – 6 C 8.22 -, juris Rn. 13 und 14. Die Klage ist indes unbegründet. Der Bescheid der BfDI vom 28. Juni 2021 ist in Ziff. 1, 3 und 4 rechtmäßig und verletzt die Klägerin nicht in ihren Rechten (vgl. § 113 Abs. 1 Satz 1 VwGO). Rechtsgrundlage für das durch Ziff. 1 des Bescheids vom 28. Juni 2021 verhängte Verbot ist Art. 58 Abs. 2 lit. f) DSGVO. Danach hat die Aufsichtsbehörde die Befugnis, eine vorübergehende oder endgültige Beschränkung der Datenverarbeitung, einschließlich eines Verbots, zu verhängen. Ein solches Verbot setzt voraus, dass der Verantwortliche durch Datenverarbeitungsvorgänge gegen die DSGVO verstößt. Das Verbot erging formell rechtmäßig. Im Schreiben der Beklagten vom 11. Mai 2021 kann keine Anhörung entsprechend § 28 Abs. 1 des Verwaltungsverfahrensgesetzes (VwVfG) gesehen werden. Eine Anhörung setzt voraus, dass die konkret beabsichtigten Maßnahmen benannt und begründet werden, woran es fehlt. Jedoch ist die Anhörung jedenfalls gem. § 45 Abs. 2 VwVfG im gerichtlichen Verfahren nachgeholt worden. Die Beklagte hat die von der Klägerin geltend gemachten Einwände gegen den streitgegenständlichen Bescheid gewürdigt und entschieden, an den Regelungen im Bescheid vom 28. Juni 2021 festzuhalten (Bl. 102 d.A.). Ob von der Einräumung einer Stellungnahmefrist für die Rechts- und Fachaufsichtsbehörde gem. § 16 Abs. 1 Satz 3 DSGVO hier abgesehen werden konnte, kann dahinstehen. Das zuständige Bundesministerium des Innern, für Bau und Heimat wurde durch die Beklagte mit Schreiben vom 5. Juli 2021 über die getroffenen Maßnahmen informiert und dessen mangelnde Beteiligung damit gem. § 45 Abs. 1 Nr. 5 VwVfG geheilt, sodass offen bleiben kann, ob sich die Klägerin auf die Verletzung dieser Verfahrensvorschrift überhaupt berufen kann. Das Verbot erging auch in materieller Hinsicht rechtmäßig. Es liegt ein Verstoß gegen Regelungen der DSGVO vor. Denn die Verarbeitung des Impfstatus in dem vom B. veranlassten Umfang verstößt gegen Art. 9 Abs. 1 DSGVO. Danach ist unter anderem die Verarbeitung von Gesundheitsdaten einer natürlichen Person untersagt. Eine Rechtsgrundlage zur Verarbeitung des Impfstatus in der vom B. durchgeführten Form liegt hier nicht vor, sodass die Verarbeitung verordnungswidrig erfolgte. Maßgeblicher Zeitpunkt der rechtlichen Beurteilung ist der Zeitpunkt des Bescheiderlasses, da Art. 58 Abs. 2 lit. f) DSGVO der Aufsichtsbehörde ein Ermessen einräumt und ihr ein Rechtswidrigkeitsvorwurf danach nur gemacht werden kann, wenn im Zeitpunkt der aufsichtsbehördlichen Maßnahme Umstände bestehen, die deren Rechtswidrigkeit bedingen. BVerwG, Urteile vom 27. März 2019 – 6 C 2.18 –, juris Rn. 10, sowie vom 9. Juli 2019 – 6 B 2.18 –, juris Rn. 11, vom 11. September 2019 – 6 C 15.18 –, juris Rn. 16 f. Der in Art. 2 DSGVO umschriebene sachliche Anwendungsbereich der Datenschutz-Grundverordnung ist eröffnet. Nach Art. 2 Abs. 1 DSGVO gilt die Datenschutz-Grundverordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung solcher Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Keine Anwendung findet die Verordnung, wenn einer der in Art. 2 Abs. 2 DSGVO aufgeführten Ausnahmetatbestände erfüllt ist. Im vorliegenden Fall greift die Grundregel des Art. 2 Abs. 1 DSGVO in Gestalt der zweiten Alternative des ersten Teilsatzes ein. Es ist kein Ausnahmetatbestand nach Art. 2 Abs. 2 DSGVO erfüllt. Insbesondere scheidet eine Anwendung der Datenschutz-Grundverordnung auf die Tätigkeit des B. nicht deshalb aus, weil diese Tätigkeit im Sinne von Art. 2 Abs. 2 lit. a) DSGVO nicht in den Anwendungsbereich des Unionsrechts fiele. Vgl. BVerwG, Urteil vom 30. November 2022 – 6 C 10.21 –, juris Rn. 16 f. Bei dem Impfstatus einer Person handelt es sich um personenbezogene Gesundheitsdaten nach Art. 4 Nr. 1, Nr. 15, Art. 9 Abs. 1 DSGVO. Nach der in Art. 4 Nr. 1 DSGVO enthaltenen Legaldefinition sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person - die betroffene Person - beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Vgl. BVerwG, Urteil vom 30. November 2022 – 6 C 10.21 –, juris Rn. 16 f. „Gesundheitsdaten“ sind gem. Art. 4 Nr. 15 DSGVO personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Solche Daten sind hier betroffen. Das B. wies seine hauptamtlich Beschäftigten unter dem 19. April 2021 zur Vorlage einer Impfbestätigung mit Bezug zu Schutzimpfungen gegen das Covid-19-Virus an den Dienstherrn zur Speicherung im elektronischen Personalverwaltungssystem an und visierte ein solches Vorgehen auch in Bezug auf die ehrenamtlich Beschäftigten an. Die Impfbestätigung gibt Auskunft über eine erfolgte Impfung und damit über einen gesundheitsbezogenen Sachverhalt, der einer identifizierten natürlichen Person zurechenbar ist. Bei einer Impfung handelt es sich überdies um die Erbringung einer Gesundheitsdienstleistung im verordnungsrechtlichen Sinne. Eine gesetzliche Regelung, welche die Speicherung des Impfstatus trägt, liegt nicht vor. Art. 9 Abs. 2 lit. i) DSGVO ist nicht einschlägig. Dies setzte voraus, dass die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich wäre. Zwar liegt mit § 23a Satz 1 IfSG eine Vorschrift i.S.d. Art. 9 Abs. 2 lit. i) DSGVO vor. Oberverwaltungsgericht für das Land Nordrhein-Westfalen (OVG NRW), Beschluss vom 22. April 2021 – 13 B 559/21.NE –, juris Rn. 59; Sangs, in: ders./Eibenstein, Infektionsschutzgesetz, 1. Aufl. 2022, § 23a Rn. 10. § 23a Satz 1 IfSG rechtfertigt jedoch die hier relevante Datenverarbeitung nicht. Nach dieser Norm darf der Arbeitgeber personenbezogene Daten über den Impfstatus nur verarbeiten, soweit es zur Erfüllung von Verpflichtungen aus § 23 Abs. 3 IfSG in Bezug auf übertragbare Krankheiten erforderlich ist, um über die Begründung eines Beschäftigungsverhältnisses oder über die Art. und Weise einer Beschäftigung zu entscheiden. Dabei gelten gem. § 23a Satz 3 IfSG die allgemeinen datenschutzrechtlichen Bestimmungen. Diese Voraussetzungen liegen hier nicht vor. Denn das B. ist bereits keine nach § 23 Abs. 3 Satz 1 IfSG verpflichtete Stelle. Es ist kein Rettungsdienst i.S.V. § 23 Abs. 3 Satz 1 Nr. 12 IfSG a.F. Soweit die Klägerin geltend macht, dass das B. auch Kranken- bzw. Rettungstransporte je nach Einsatzlage durchführe, reicht dies für eine Einstufung als Rettungsdienst im Sinne der Norm nicht hin. Dies ergibt sich bereits unter Berücksichtigung der Entstehungsgeschichte des § 23Abs. 3 Satz 1 Nr. 12 IfSG a.F. Denn die Verpflichtung der Rettungsdienste erfolgte durch eine Änderung des § 23 IfSG, die eine Empfehlung der Kommission für Krankenhaushygiene und Infektionsprävention berücksichtigte, welche qualifizierte Krankentransporte von mit MRSA besiedelten Personen in den Blick nahm. Vgl. Piecha, in: Sangs/Eibenstein, a.a.O., § 23 Rn. 25. Dies macht ein enges Begriffsverständnis erforderlich, das nicht auch solche Einrichtungen umfasst, die – wie das B. – gelegentlich Kranken- bzw. Rettungstransporte vornehmen, denen hauptsächlich aber andere Tätigkeiten zugewiesen sind. Dass das B. qualifizierte Krankentransporte im genannten Sinn in relevantem Umfang durchführte, ist nicht ersichtlich. Es kommt auch keine Analogie zu § 23a Satz 1 i.V.m. § 23 Abs. 3 Satz 1 a.F. IfSG in Betracht. Insoweit liegt bereits keine planwidrige Regelungslücke vor. Der Gesetzgeber hat in § 23 Abs. 3 Satz 1 IfSG a.F. eine abschließende Aufzählung betroffener Einrichtungen vorgenommen, die aufgrund bestehender Risiken für nosokomiale Infektionen bestmögliche Präventionsmaßnahmen ergreifen sollen. Aufgrund der in diesem Kontext bestehenden gesundheitlichen Risiken und der infrastrukturellen Kosten, die durch entsprechende Maßnahmen ausgelöst werden, kann nicht angenommen werden, dass diese abschließende Auflistung im Analogiewege auszuweiten ist. Es handelt sich um eine spezifisch in ihrem Sachbereich umgrenzte Sonderregelung. Vgl. Sangs, a.a.O., § 23a Rn. 39 ff. Dass der Gesetzgeber, hätte er die vom B. geleistete Amtshilfe für die in§ 23 Abs. 3 Satz 1 IfSG a.F. genannten Institutionen vor Augen gehabt, auch diese in § 23 Abs. 3 Satz 1 IfSG a.F. aufgenommen hätte, ist nicht ersichtlich. Es bestehen keine objektiven Anhaltspunkte für ein derartiges Redaktionsversehen. Vielmehr führte eine derartige funktionale Interpretation zu einer weitgehenden Ausdehnung des eng umrissenen Anwendungsbereiches der Norm. Soweit die Klägerin sich darauf beruft, in einem Änderungsentwurf des Bundesministeriums für Gesundheit werde davon ausgegangen, Einrichtungen des Zivil- und Katastrophenschutzes seien unmittelbar von § 23 Abs. 3 IfSG a.F. erfasst und könnten zur Klarstellung auch ausdrücklich aufgenommen werden, erlaubt dies keine Rückschlüsse auf den gesetzgeberischen Willen in Bezug auf § 23 Abs. 3 IfSG a.F. zugunsten der Rechtsauffassung der Klägerin. Die Datenverarbeitung ist auch auf der Grundlage des § 26 Abs. 3 Satz 1 BDSG i.V.m. Art. 9 Abs. 2 lit. b) DSGVO nicht zulässig. Danach ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Absatz 1 DSGVO für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Die Zulässigkeit der Verarbeitung steht wie bei Abs. 1 unter dem Vorbehalt der Erforderlichkeit und setzt eine Verhältnismäßigkeitsprüfung sowie das Nichtbestehen überwiegender schutzwürdiger Interessen der Beschäftigten an einem Ausschluss der Verarbeitung voraus. Der Begriff der Erforderlichkeit verweist auf die strikte Geltung des Grundsatzes der Verhältnismäßigkeit. Danach muss die vom Arbeitgeber gewählte Art. und Weise einer Datenverarbeitung für die Verwirklichung der (zulässigerweise) verfolgten Zwecke überhaupt geeignet sein. Sie muss zudem das mildeste aller gleich effektiven zur Verfügung stehenden Mittel darstellen und sich auf das absolut Notwendige beschränken. BT-Drs. 18/11325, S. 97; vgl. Gräber/Nolden, in: Paal/Pauly, DSGVO BDSG, 3. Aufl. 2021, § 26 BDSG Rn. 40; Maschmann, in: Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024, § 36 BDSG Rn. 19 (zu § 26 Abs. 1 BDSG). § 26 Abs. 3 BDSG ist hier zwar anwendbar. Anderes ergibt sich nicht aus der Rechtsprechung des Europäischen Gerichtshofes, soweit dieser zufolge § 26 Abs. 1 Satz 1 BDSG als Vorschrift i.S.d. Art. 88 Abs. 1, 2 DSGVO unanwendbar ist, da diese Norm nicht über einen Regelungsgehalt verfügt, der über die Voraussetzungen in Art. 6 Abs. 1 DSGVO hinausgeht. Europäischer Gerichtshof (EuGH), Urteil vom 30. März 2023 – C-34/21–, juris Rn. 59 ff., 70 ff.; vgl. dazu Meinecke, in: Neue Zeitschrift für Arbeitsrecht 2023, S. 487, 492 f. Die Bestimmung des § 26 Abs. 3 Satz 1 BDSG entfaltet insoweit deklaratorische Wirkung, als sie ebenfalls keine spezifischere Vorschrift i.S.v. Art. 88 Abs. 1 DSGVO darstellt. Gleichwohl ist die Anwendung der Vorschrift unionsrechtlich zulässig, da sie sich auf die für die Verarbeitung von genetischen und Gesundheitsdaten geltende Ermächtigungsvorschrift des Art. 9 Abs. 3 i.V.m. Abs. 2 lit. b DSGVO stützen lässt. Von einer solchen deklaratorischen Geltung des § 26 Abs. 3 Satz 1 BDSG auch nach dem Urteil des Europäischen Gerichtshofes vom 30. März 2023 in der Rs. Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium geht auch das Bundesarbeitsgericht in seiner neuesten Rechtsprechung aus. Seifert, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl. 2025, § 26 BDSG Rn. 32, 84 m.w.N. Die Voraussetzungen des § 26 Abs. 3 Satz 1 BDSG i.V.m. Art. 9 Abs. 2 lit. b) DSGVO liegen indes hier nicht vor. Die Erhebung des Impfstatus der Beschäftigen des B. ist nicht zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich. Zwar konnten landesgesetzliche Vorschriften, welche eine „3-G-Regel“ oder „2-G-Regel“ anordneten, über § 618 BGB für Arbeitgeber rechtliche Pflichten aus dem Arbeitsrecht begründen, diese sensiblen Daten ihrer Beschäftigten zu erheben. Auch ist denkbar, dass eine Verarbeitung von Beschäftigtendaten auf der Grundlage der Rechtsnormen eines Tarifvertrages oder von Regelungen einer Betriebsvereinbarung in den Grenzen des Art. 88 Abs. 2 DSGVO erfolgt. Hingegen reicht der Rückgriff auf allgemeine Schutzpflichten des Arbeitgebers aus § 618 BGB für sich genommen nicht aus, die Erhebung des Impf- oder Serostatus von Beschäftigten zu rechtfertigen. Vgl. Seifert, a.a.O., § 26 BDSG Rn. 86. Allein diese kann das B. hier für die Erhebung des Impfstatus seiner Beschäftigten ins Feld führen. Denn durch die bundesweite Organisation des B. kommen landesgesetzliche 2G- bzw. 3G-Regelungen als rechtlicher Anknüpfungspunkt nicht in Betracht. Auch eine entsprechende Regelung in einem Tarifvertrag oder einer Betriebsvereinbarung ist nicht ersichtlich. Die Klägerin macht danach geltend, die Verarbeitung des Impfstatus erfolge zu Zwecken des betrieblichen Infektionsschutzes und damit zum Schutz der B.-Beschäftigten sowie seiner Helferinnen und Helfer vor einer einsatzbedingt gesteigerten Infektionsgefahr. Für letztere folgten Fürsorge- und Schutzpflichten aus dem Dienstverhältnis i.S.d. § 2 Abs. 2 der Verordnung über die Mitwirkung der Helfer und Helferinnen im B. (THWMitwV, Bl. 79 d.A.). Mit dem Einsatz seien zahlreiche unvermeidbare (unmittelbare) Sozialkontakte verbunden. Auch die Unterbringung, die typischerweise in Hotels und Jugendherbergen erfolge, sei ohne Auskunft über den Impfstatus zeitweise nicht zu gewährleisten gewesen. Mit diesem Vorbringen dringt die Klägerin im Ergebnis nicht durch. Denn in Bezug auf die datenschutzrechtliche Verweisung des § 26 Abs. 3 Satz 1 BDSG auf arbeitsrechtliche Rechte und Pflichten bedarf es unter Berücksichtigung des Normzwecks sowie der datenschutzrechtlichen Systematik jeweils einer exakt gefassten rechtlichen Grundlage, die spezifische datenschutzrechtliche Garantien enthalten muss. Mit diesen Anforderungen an die Rechtsgrundlage stellt die Regelung ein Einfallstor für eine Inzidentprüfung der jeweils betroffenen Rechtsgrundlage am Maßstab der DSGVO dar. Zu den tauglichen Rechtsgrundlagen gehören danach Gesetze, Verordnungen, aber auch Tarifverträge und Betriebsvereinbarungen, jedoch nicht der Einzelarbeitsvertrag als solcher. Ihm fehlt einerseits eine hinreichende normative Qualität, andererseits ist er ungeeignet, in der Situation des potentiellen und tatsächlichen Ungleichgewichts zwischen Arbeitgeber und Arbeitnehmer die Wirkung einer wirksamen Einwilligung zu entfalten. Frenzel, in: Paal/Pauly, a.a.O., Art. 9 Rn. 27; Gola/Pötters, in: Gola/Heckmann, DSGVO BDSG, 3. Auflage 2022, § 26 Rb. 76. Auch die Regelungen der § 241 Abs. 2, § 618 BGB, die an allgemeine arbeitsvertragliche Rücksichtnahmepflichten anknüpfen, sind trotz ihrer normativen Qualität danach nicht geeignet, um die Erlaubnisnorm des § 26 Abs. 3 Satz 1 BDSG auszufüllen. Denn sie sind für sich betrachtet bereits zu wenig spezifisch, um dem Grundsatz der spezifischen Zweckbindung nach Art. 5 Abs. 1 lit. b) DSGVO zu genügen. In der Folge enthalten sie für sich betrachtet auch keine spezifischen datenschutzrechtlichen Garantien. Sie sind nicht geeignet, in vergleichbarer Form wie spezifische arbeitsrechtliche Regelungen mit datenschutzrechtlichen Garantien das Recht der Beschäftigten auf informationelle Selbstbestimmung im Wege des Grundrechtsschutzes durch Verfahren zu gewährleisten. Vielmehr drohte eine unionsrechtswidrige Relativierung des Beschäftigtendatenschutzes, soweit unter Rekurs auf eine jeweils kontext- und einzelfallabhängige privatrechtliche Schutzpflichtendogmatik die Verarbeitung auch sensibler Gesundheitsdaten zulässig würde. Gerade einer solchen beugt § 26 Abs. 3 Satz 1 BDSG mit dem Verweis auf konkrete arbeitsrechtliche Rechte und Pflichten vor. Auch Art. 9 Abs. 2 lit. g) DSGVO i.V.m. § 22 Abs. 1 Nr. 2 lit. b) BDSG rechtfertigt die Erhebung des Impfstatus durch das B. nicht. Hiernach dürfen öffentliche Stellen besondere Kategorien personenbezogener Daten verarbeiten, wenn die Verarbeitung zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit erforderlich ist. Die Gefahrenschwelle wird insoweit in einem polizeirechtlichen Sinne verstanden. Danach muss ein Lebenssachverhalt vorliegen, der bei ungehindertem Ablauf zu einem Schaden an polizeilichen Schutzgütern führen wird. Überdies muss ein qualifiziertes Rechtsgut bedroht sein, also etwa der Bestand des Staates, Leben, Gesundheit oder Freiheit. Eine drohende Beeinträchtigung der öffentlichen Ordnung ist nicht hinreichend. Erforderlich ist danach eine konkrete erhebliche Gefahr. Vgl. Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, a.a.O., § 22 BDSG Rn. 39. Dies folgt auch aus der Systematik des § 22 Abs. 2 BDSG, der in Buchstaben b („Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls“) und Buchstaben c („aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich“) auf konkrete Schutzgüter und nicht abstrakte Gefahren abhebt. Diese Voraussetzungen sind hier nicht erfüllt. Es mangelt jedenfalls an der Erforderlichkeit der pauschalen Erhebung des Impfstatus. Für eine bestimmte Anzahl an alltäglichen Aufgaben des B. im Innen- und Außendienst ist bereits kein gesteigertes (Infektions-)Risiko gegenüber anderen Bereichen der öffentlichen Verwaltung anzunehmen. Insoweit wäre etwa in Betracht gekommen, auf Basis einer kurzfristigen freiwilligen Abfrage des Impfstatus das Bestehen einer potentiellen Gefährdung der Funktionsfähigkeit des B. zunächst faktisch aufzuklären. Die von der Klägerin vorgebrachten Umstände belegen allenfalls eine abstrakte Gefahr in Bezug auf die Funktionsfähigkeit des B. als Gesamtorganisation. Insoweit ist nicht ersichtlich, dass die generelle Erhebung des Impfstatus für alle Beschäftigten des B. zur Aufrechterhaltung seiner Funktionsfähigkeit im Rechtssinne erforderlich war. Die Entscheidung der Beklagten erging letztlich ermessensfehlerfrei (vgl. § 114 Satz 1 VwGO). Im Rahmen der Ausübung pflichtgemäßen Ermessens bei Rückgriff auf die Befugnisse nach Art. 58 f. DSGVO (vgl. Erwägungsgrund 129 zur DSGVO) ist die Erforderlichkeit und Angemessenheit der Maßnahme zu prüfen. Die Schwere des Verstoßes und die Beeinträchtigung der Rechte der betroffenen Personen sind abzuwägen mit den Folgen, die dem Verantwortlichen oder Auftragsverarbeiter infolge des Verarbeitungsverbots voraussichtlich entstehen. Gleich geeignete mildere Mittel zur Erreichung des Ziels, wie der Hinweis nach Art. 58 Abs. 1 lit. d) DSGVO, die Anordnungen von Maßnahmen nach lit. e) oder eine zeitlich befristete Beschränkung („vorübergehend“), sind auszuschöpfen. Ein (partieller) Ermessensausfall liegt nicht darin, dass die Beklagte eine einheitliche Begründung in Bezug auf die den Entscheidungen nach Ziff. 1. und 2. des Bescheids zugrundeliegenden Ermessenserwägungen formuliert hat. Aus dem Wortlaut der Begründung („Maßnahmen“) geht noch hinreichend deutlich hervor, dass sich diese auch auf die Entscheidung zu Ziff. 1 des Bescheids bezieht. Der Bescheid enthält zumindest kursorische Ausführungen zur erfolgten Verhältnismäßigkeitsprüfung, die einen Einzelfallbezug nicht vollständig vermissen lassen. Dass auch im Hinblick auf Ziff. 1 eine Ermessensbetätigung vorliegt und kein Ermessensausfall, folgt aus der Auswahl des Mittels des Verbots der Verarbeitung gegenüber den nach Art. 58 Abs. 2 lit. f DSGVO ebenfalls möglichen Mitteln der vorübergehenden oder endgültigen Beschränkung der Verarbeitung. Auch trägt die vorliegende Begründung bezüglich der ermessensleitenden Erwägungen nicht die Annahme einer Ermessensunterschreitung. Denn eine ausdrückliche Verhältnismäßigkeitsprüfung wird nicht ausschließlich mit Bezug auf die in Ziff. 3 und 4 des Bescheids ausgesprochene Verwarnung formuliert. Auch die Verbotsverfügung zu Ziff. 1 des Bescheids wird am Grundsatz der Verhältnismäßigkeit gemessen. Ein Ermessensfehlgebrauch im Hinblick auf den Grundsatz der Verhältnismäßigkeit ist ebenfalls nicht aufgrund einer defizitären Erforderlichkeitsprüfung der Beklagten anzunehmen. Die Beklagte hält insoweit (noch) vertretbar fest, dass sich ein milderes Mittel nicht aufdränge. Auch bei strikter Erforderlichkeitsprüfung ist ein milderes, gleich effektives Mittel nicht ersichtlich. Ein Hinweis nach Art. 58 Abs. 1lit. d) wäre unter Berücksichtigung des Ablaufs des Verwaltungsverfahrens nicht gleich effektiv gewesen, da das B. seine Anweisung auch nach anderslautender Mitteilung der Beklagten für rechtmäßig hielt. Eine zeitliche Befristung des Verbots kam hier ebenfalls nicht in Betracht, da im maßgeblichen Zeitpunkt der behördlichen Entscheidung in Ermangelung einer Rechtfertigungsnorm für die beabsichtigte Datenverarbeitung diese auch nach Ablauf einer etwaigen Frist zu unterbinden gewesen wäre. Ein Ermessensfehler ergibt sich schließlich nicht, wie die Klägerin meint, aus einer mangelnden Anführung einer datenschutzrechtlich zulässigen Form der Erhebung des Impfstatus im Bescheid der Beklagten. Denn die zu begründende Entscheidung besteht hier allein im Verbot der vom B. vorgenommenen pauschalen Datenverarbeitung; im Zuge dieser Ermessensentscheidung war die Beklagte nicht gehalten, eine im Verantwortungs- und Zuständigkeitsbereich des B. liegende datenschutzrechtlich zulässige Form der Erhebung des Impfstatus im Einzelfall zu skizzieren. Die Beklagte hat auch den Belang einer Gefährdung der Einsatzfähigkeit des B. nicht ermessensfehlerhaft außer Betracht gelassen. Sie hat vielmehr in ihrem Bescheid ausdrücklich darauf abgestellt, dass vor allem die pauschale Erhebung des Impfstatus datenschutzrechtlich unzulässig sei, sodass bei Umsetzung eines datenschutzkonformen Erhebungskonzepts die Einsatzfähigkeit des B. nur in verhältnismäßigem Umfang beeinträchtigt würde. Die in Ziff. 3 und 4 des Bescheids vom 28. Juni 2021 enthaltene Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO ist rechtlich ebenfalls nicht zu beanstanden. Voraussetzung für die Erteilung einer Verwarnung nach dieser Vorschrift ist die Feststellung eines Verstoßes gegen die DSGVO. Dem Ausspruch einer Verwarnung ist die Feststellung eines Verstoßes notwendig vorgelagert, wobei die Feststellung für den Adressaten eine eigenständige belastende Wirkung entfalten kann, soweit sie etwa im Wiederholungsfall als Grundlage weiterer Maßnahmen heranzuziehen ist. So Körffer, in: Paal/Pauly, a.a.O., Art. 58 DSGVO Rn. 18. Die von der Beklagten in Ziff. 3 und 4 ihres Bescheids vom 28. Juni 2021 ausgesprochene Verwarnung gem. Art. 58 Abs. 2 lit. b) DSGVO setzt voraus, dass mit Verarbeitungsvorgängen gegen die DSGVO verstoßen wird. Dies ist hier der Fall, da die beabsichtigte pauschale Erhebung des Impfstatus gegen Art. 9 Abs. 1 DSGVO verstößt. Auch insoweit liegen Ermessensfehler nicht vor. Die Beklagte stützt ihre Verwarnung auf die durch Erwägungsgrund 148 zur DSGVO legitimierte Berücksichtigung auch von Sanktionsmaßnahmen bei der aufsichtsbehördlichen Reaktion auf Verordnungsverstöße. Die präventive Zielrichtung der Verwarnung dient einem legitimen Ziel i.S.d. Datenschutz-Grundverordnung. Auch im Übrigen liegt ein Verstoß gegen den unionsrechtlichen Grundsatz der Verhältnismäßigkeit nicht vor. Denn auch in Bezug auf die behördliche Verwarnung der Klägerin ist ein milderes, gleich effektives Mittel nicht ersichtlich, zumal die Klägerin im Verwaltungsverfahren an ihrer Rechtsansicht festgehalten hat, eine pauschale Erhebung des Impfstatus sei datenschutzrechtlich zulässig. Die Beklagte durfte in ihrer Verhältnismäßigkeitsprüfung schließlich auch die Vorwerfbarkeit der Maßnahme berücksichtigen. Die Kostenentscheidung folgt in Bezug auf den übereinstimmend für erledigt erklärten Teil des Verfahrens aus § 161 Abs. 2 Satz 1 VwGO sowie im Übrigen aus § 154 Abs. 1 VwGO. Auch hinsichtlich des erledigten Teils trägt nach billigem Ermessen die Klägerin die Kosten des Verfahrens, da die Löschungsanordnung in Ziff. 2 des Bescheids angesichts der datenschutzwidrigen Erhebung der betroffenen Gesundheitsdaten rechtmäßig ergangen ist. Sie konnte auf Art. 58 Abs. 2 lit. g) DSGVO i.V.m. Art. 17 Abs. 1 lit. d) DSGVO gestützt werden. Die Entscheidung zur vorläufigen Vollstreckbarkeit beruht auf § 167 Abs. 1 Satz 1, Abs. 2 VwGO i.V.m. § 708 Nr. 11, § 709 Satz 2, 711 der Zivilprozessordnung. Rechtsmittelbelehrung Innerhalb eines Monats nach Zustellung dieses Urteils kann bei dem Verwaltungsgericht Köln schriftlich beantragt werden, dass das Oberverwaltungsgericht für das Land Nordrhein-Westfalen in Münster die Berufung zulässt. Der Antrag muss das angefochtene Urteil bezeichnen. Innerhalb von zwei Monaten nach Zustellung des Urteils sind die Gründe darzulegen, aus denen die Berufung zuzulassen ist. Die Begründung ist, soweit sie nicht bereits mit dem Antrag vorgelegt worden ist, bei dem Oberverwaltungsgericht für das Land Nordrhein-Westfalen in Münster schriftlich einzureichen. Der Antrag ist zu stellen und zu begründen durch einen Rechtsanwalt oder einen Rechtslehrer an einer staatlichen oder staatlich anerkannten Hochschule eines Mitgliedstaates der Europäischen Union, eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum oder der Schweiz, der die Befähigung zum Richteramt besitzt, oder eine diesen gleichgestellte Person als Bevollmächtigten. Behörden und juristische Personen des öffentlichen Rechts einschließlich der von ihnen zur Erfüllung öffentlicher Aufgaben gebildeten Zusammenschlüsse können sich auch durch eigene Beschäftigte mit Befähigung zum Richteramt oder durch Beschäftigte mit Befähigung zum Richteramt anderer Behörden oder juristischer Personen des öffentlichen Rechts einschließlich der von ihnen zur Erfüllung ihrer öffentlichen Aufgaben gebildeten Zusammenschlüsse vertreten lassen. Auf die besonderen Regelungen in § 67 Abs. 4 Sätze 7 und 8 VwGO wird hingewiesen. Ferner ergeht ohne Mitwirkung der ehrenamtlichen Richterinnen der Beschluss Der Wert des Streitgegenstandes wird auf 15.000,- Euro festgesetzt. Gründe Die Festsetzung des Streitwerts beruht auf § 52 Abs. 2 GKG. Der festgesetzte Wert entspricht dem Auffangstreitwert, der für die Verfügungen zu Ziff. 1, 2 sowie 3 und 4 des angefochtenen Bescheids jeweils separat zu berücksichtigen war. Rechtsmittelbelehrung Gegen diesen Beschluss kann innerhalb von sechs Monaten, nachdem die Entscheidung in der Hauptsache Rechtskraft erlangt oder das Verfahren sich anderweitig erledigt hat, bei dem Verwaltungsgericht Köln schriftlich oder zur Niederschrift des Urkundsbeamten der Geschäftsstelle Beschwerde eingelegt werden, über die das Oberverwaltungsgericht für das Land Nordrhein-Westfalen in Münster entscheidet, falls das Verwaltungsgericht ihr nicht abhilft. Ist der Streitwert später als einen Monat vor Ablauf der genannten Frist festgesetzt worden, kann die Beschwerde innerhalb eines Monats nach Zustellung oder formloser Mitteilung des Festsetzungsbeschlusses eingelegt werden. Die Beschwerde ist nur zulässig, wenn der Wert des Beschwerdegegenstandes zweihundert Euro übersteigt. Die Beschwerde findet auch statt, wenn sie das Gericht, das die Entscheidung erlassen hat, wegen der grundsätzlichen Bedeutung der zur Entscheidung stehenden Frage zulässt.