Am 18.11.2021 wurden im Bundestag Änderungen im Infektionsschutzgesetz beschlossen, welchen am 19.11.2021 vom Bundesrat zugestimmt wurden. Eine wesentliche Neuerung ist die 3-G-Regel am Arbeitsplatz. Für Unternehmen mit dem Sitz in Bayern ist dies nicht mehr wirklich neu, da hier bereits am 15.11.2021 entsprechende Regelungen in die 14. Bayerische Infektionsschutzmaßnahmenverordnung aufgenommen wurden. Diese Maßnahme soll zunächst bis zum Ablauf des 19.03.2022 möglich sein. Die nächste Evaluierung des Maßnahmenkatalogs findet bereits im Dezember 2021 statt.

Auf welcher Rechtsgrundlage darf der Arbeitgeber die Daten verarbeiten?

Der Arbeitgeber ist im Rahmen der 3-G-Regel am Arbeitsplatz verpflichtet, von seinen Mitarbeitern einen Nachweis über die Impfung, Genesung oder eines max. 24 Stunden alten negativen (Antigen-Schnell-) Tests zu verlangen, wenn diese in Ausübung ihrer Tätigkeit mit anderen Menschen in Berührung kommen.

Die Verarbeitung dieser besonderen Kategorie personenbezogener Daten ist daher auf Grund von Art. 9 Abs. 2 lit. b) DSGVO gerechtfertigt, da der Arbeitgeber gesetzlich zur Kontrolle verpflichtet ist. Für viele Arbeitgeber stellt sich aber nun die Frage, was genau und wie sie diese Kontrollen durchführen und dokumentieren dürfen.

Wie darf der Arbeitgeber dokumentieren?

Aus datenschutzrechtlicher Sicht gilt natürlich immer der Grundsatz der Datenminimierung. So werden nur die Daten erhoben verarbeitet, die für die Erfüllung dieser Verpflichtung auch tatsächlich notwendig sind. Wenn man strikt diesen Grundsatz anwendet, käme man zu folgendem Ergebnis. Man müsste tagtäglich eine „Sichtkontrolle“ über den Nachweis der Impfung, Genesung oder aktuellen Testung vornehmen. Der enstprechende Nachweis kann über das Abhaken in einer Mitarbeiterliste erfolgen. Eine Differenzierung nach geimpft- getestet-genesen ist dabei nicht notwendig.

In der Praxis dürfte dies Arbeitgeber aber vor einige Herausforderungen stellen, wenn sie tagtäglich alle Mitarbeiter kontrollieren müssten.

Mit Einwilligung der Arbeitnehmer darf der Arbeitgeber aber bspw. dessen Impf- oder Genesenenstatus dokumentieren, so dass eine tagtägliche Kontrolle dieser Mitarbeiter nicht mehr notwendig wäre. Wichtig wäre in diesem Zusammenhang aber auch, den Zeitpunkt der Impfungen und der Genesung zu notieren, da derzeit zumindest die Genesung ein „Ablaufdatum“ hat.

Eine Kopie der entsprechenden Nachweise ist nicht erforderlich und darf daher nicht erfolgen bzw. wäre nur mit ausdrücklicher Einwilligung der Mitarbeiter möglich. Zu beachten ist in diesem Zusammenhang vor allem, dass es sich bei diesen Daten um Gesundheitsdaten nach Art. 9 DSGVO handelt, die besonders schützenswert sind. Der Arbeitgeber muss daher hohe Sicherheitsvorkehrungen im Umgang mit diesen Daten schaffen. Zudem sollten die wenigen Mitarbeiter, die mit der Abfrage der Daten betraut werden, besonders sensibilisiert und geschult werden. Im Berechtigungskonzept des Arbeitgebers ist die Rollenbeschreibung der 3-G-Kontrollverantwortlichen festzulegen, um auch organisatorisch zu vermeiden, dass Unbefugte Zugriff auf die 3-G-Listen haben.

Ausnahme: HomeOffice

Mitarbeiter, die im HomeOffice arbeiten, brauchen keinen 3-G-Nachweis erbringen. Können Mitarbeiter aber nicht im HomeOffice arbeiten und weigern sich zur Vorlage eines Nachweises im Sinne der 3-G-Regel am Arbeitsplatz, dann drohen diesen arbeitsrechtliche Konsequenzen, die von der unbezahlten Freistellung bis zur Kündigung reichen können.

Wie lange dürfen die Dokumentationen aufgehoben werden?

Eine wichtige Frage ist auch, wie lange diese Kontrolllisten überhaupt gespeichert werden dürfen. Nach unserer Auffassung dürfen diese Listen für einen Zeitraum von einem Monat gespeichert werden, damit der Arbeitgeber seinen Nachweispflichten im Fall eines Infektionsausbruchs nachkommen kann.

Wenn mittels Einwilligung der Impf- oder Genesenenstatus dokumentiert wird, so ist hier eine Aufbewahrung der Unterlagen für einen Zeitraum von max. 6 Monaten nach der letzten Schutzimpfung bzw. des Genesenzeitpunkts möglich. Der Verantwortliche sollte diese 3-G-Datenverarbeitung in sein Löschkonzept aufnehmen, um die Löschung zu planen und die Umsetzung kontrollieren zu können.

Sollte die 3-G-Regelung außer Kraft gesetzt werden, dann sind sämtliche Nachweisdokumentationen unverzüglich zu löschen.

Was muss der Arbeitgeber noch beachten?

Für den Arbeitgeber gelten auch bei der 3-G-Status-Erfassung seine Informationspflichten aus der DSGVO. Dies bedeutet, dass er seine Arbeitnehmer mittels einer Datenschutzbelehrung für Arbeitnehmer u.a. über den Zweck und die Rechtsgrundlage für diese Datenverarbeitung aufklären muss. Des Weiteren muss der Verantwortliche diese Datenverarbeitung in sein Verzeichnis der Verarbeitungstätigkeiten aufnehmen.

Wie steht der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit dazu?

Herr Prof. Ulrich Kelber vertritt den Standpunkt, dass zum einen keine längerfristige Speicherung der personenbezogenen 3-G-Daten bei Arbeitgebern erforderlich sei und zum anderen für die Zutrittskontrolle ein „Abhaken“ ausreiche. Für die regelmäßige Dokumentation genüge es, wenn die Arbeitgeber nachprüfbare Prozesse etabliert hätten, die darlegen, auf welche Weiße täglich der 3-G-Status der Arbeitnehmer geprüft wird. Die personengenaue Speicherung sensibler Gesundheitsdaten sei dafür nicht erforderlich.

Suchen Sie einen kompetenten Datenschutzbeauftragten? Schreiben Sie uns unter: info@sidit.de

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

3 Comments

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ihre personenbezogenen Daten werden für die Veröffentlichung Ihres Kommentars zum Blogbeitrages gem. unserer Datenschutzerklärung von uns verarbeitet.