Die Infektionszahlen steigen unweigerlich in die Höhe und nun ist sie da – die Regelung 3G am Arbeitsplatz. Damit steigt die Ungewissheit, wie die Regelungen gewissenhaft eingehalten werden können, ohne in Sachen Datenschutz übers Ziel hinauszuschießen. Wir haben uns die Anpassungen des Infektionsschutzgesetzes und die FAQ zum betrieblichen Infektionsschutz des Bundesministeriums für Arbeit und Soziales einmal angesehen und erläutern Ihnen in diesem Beitrag, was Sie unter den neuen Regelungen sowie zur Vermeidung datenschutzrechtlicher Fettnäpfchen beachten müssen.
Was bedeutet die 3G-Regelung für die Praxis?
Beschäftigte und im Übrigen auch die Arbeitgebende selbst dürfen die Arbeitsstätte nur betreten, wenn sie einen Nachweis mit sich führen, der den Status genesen, geimpft oder getestet (3G-Nachweis) belegt. Unter den Begriff der Arbeitsstätte fallen alle Arbeitsräume oder andere Orte in Gebäuden oder im Freien auf dem Gelände eines Betriebes. Arbeitgebende müssen kontrollieren, ob die Beschäftigten dieser Verpflichtung nachkommen und diese Kontrollen dokumentieren. Das Homeoffice gilt in diesem Zusammenhang im Übrigen nicht als Arbeitsstätte.
Wie müssen die Kontrollen durchgeführt werden?
Um die möglichst flächendeckende und lückenlose Umsetzung der 3G-Nachweispflicht in den Unternehmen sicherzustellen, sind effiziente Kontrollmechanismen unabdingbar und für Arbeitgebende sogar verpflichtend.
Gefordert wird eine Zutrittskontrolle beim Betreten der Arbeitsstätte. Um dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 Bucht. c DSGVO zu genügen, reicht es aus, am jeweiligen Kontrolltag den Vor- und Zunamen der Beschäftigten auf einer Liste „abzuhaken“, wenn der jeweilige Nachweis durch den Beschäftigten vorgezeigt worden ist.
Bei geimpften Personen muss das Vorhandensein eines gültigen Nachweises nur einmal erfasst und dokumentiert werden. Gleiches gilt grundsätzlich auch für genesene Personen. Hier ist jedoch zusätzlich darauf zu achten, dass bei Ablauf des Genesenenstatus von den jeweiligen Personen entweder einmalig ein Impfnachweis oder täglich ein Testnachweis vorzulegen ist. Daher ist es legitim, zusätzlich auch das Ablaufdatum von Genesenennachweisen zu dokumentieren.
Arbeitgebende dürfen diese Informationen nur verarbeiten, soweit dies zum Zwecke der Nachweiskontrolle erforderlich ist. Darüber ist es gesetzlich erlaubt, die Daten für das Anpassen des betrieblichen Hygienekonzepts zu verwenden. Eine Verarbeitung zu einem anderen Zweck ist jedoch nicht zulässig.
Wie oft müssen die Kontrollen durchgeführt werden?
Für nicht Geimpfte bzw. nicht Genesene ist eine tägliche Überprüfung ihres negativen Teststatus Voraussetzung für den Zugang zur Arbeitsstätte. Der Schwerpunkt der Kontrollen liegt auf der Gültigkeit der Testnachweise.
Wenn Arbeitgebende den Genesenennachweis oder den Impfnachweis einmal kontrolliert und diese Kontrolle dokumentiert haben, können Beschäftigte mit gültigem Impf- oder Genesenennachweis anschließend grundsätzlich von den täglichen Zugangskontrollen ausgenommen werden.
Aber Achtung: Beschäftigten und auch Arbeitgebende müssen selbst den Impf- /Genesenen-/Testnachweis für Kontrollen der zuständigen Behörde bereithalten.
Sollte / dürfen Arbeitgebende Kopien der Nachweise speichern?
Kopien von Impf- oder Genesenennachweisen sollten nicht angefertigt werden. Die damit einhergehende Speicherung der Gesundheitsdaten bedarf einer gesonderten Rechtsgrundlage, die das Infektionsschutzgesetz nicht hergibt. Denkbar ist hier allenfalls die freiwillige Einwilligung, die im Beschäftigtenkontext aufgrund des Ober- Unterverhältnisses an hohe Anforderungen geknüpft ist. Kopien von Testergebnisse sollten mangels Haltbarkeit ohnehin nicht gespeichert werden.
Wie lange müssen die Dokumentationen für die behördliche Kontrolle aufbewahrt werden?
Die Daten (also die jeweiligen Listen) sind spätestens sechs Monate nach Ihrer Erhebung zu löschen.
Wer darf die Kontrollen durchführen?
Arbeitgebende sind verantwortlich für die Überprüfung der 3G-Nachweise vor dem Betreten der Arbeitsstätten. Sie können die Kontrolle auch an geeignete Beschäftigte oder Dritte delegieren. Werden Dritte damit betraut, muss geprüft werden, ob es sich dabei um eine Auftragsverarbeitung handelt, für die ein AV-Vertrag geschlossen werden muss.
Ist damit die generelle Abfrage und Speicherung des Impfstatus erlaubt?
Nein – Die Kontrollpflichten der Arbeitgebenden und das Recht zur Verarbeitung der erhaltenen Gesundheitsdaten der Beschäftigten sind nicht mit einem umfänglichen Auskunftsrecht der Arbeitgebenden über den Impf- oder Genesungsstatus verbunden. Es ist genesenen oder geimpften Beschäftigten weiterhin freigestellt, auch aktuelle Testnachweise anstelle von Impf- oder Genesenennachweisen mitzuführen und bei Zugangskontrollen vorzulegen.
Zusammenfassung und Fazit
Arbeitgebende und Beschäftigte dürfen die Arbeitsstätte nur dann Betreten, wenn der 3G-Status nachgewiesen werden kann. Arbeitgebende sind zur Kontrolle verpflichtet und dürfen personenbezogene Daten wie den Namen und das Vorliegen eines gültigen 3G-Nachweises inkl. der Gültigkeitsdauer abfragen und dokumentieren. Weitere Gesundheitsdaten der Beschäftigten, wie etwa Kopien von Nachweisen dürfen nicht ohne weiteres erstellt und gespeichert werden.
Arbeitgebende sind darüber hinaus verpflichtet technische und organisatorische Maßnahmen zur Datensicherheit zu ergreifen. Sie müssen sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte (zum Beispiel Dritte oder Kolleginnen und Kollegen) ausgeschlossen ist.
Julia Ruhe ist Wirtschaftsjuristin, zertifizierte Datenschutzbeauftragte und Datenschutzauditorin. Sie berät als Managing Consultant die Mandanten der Datenschutzkanzlei bei der Einführung und Umsetzung wirksamer Datenschutz-Management-Prozesse.