3G am Arbeitsplatz! Aber bitte datenschutzfreundlich!
Am 19.11.2021 hat der Bundesrat den Änderungen am Infektionsschutzgesetz (IfSG) zugestimmt. Die Änderungen sind am 24.11.2021 in Kraft getreten und gelten bis zum 19.03.2022. In diesem Zeitraum wird lt. § 28b Abs. 1 bis 3 IfSG in Betrieben die 3G-Regelung gelten.
Aus datenschutzrechtlicher Sicht möchten wir Ihnen den Sachverhalt kurz zusammenfassen.
Was bedeutet das für Ihr Unternehmen?
Aufgrund des akuten Infektionsgeschehens mit dem Erreger SARS-CoV-2 in Deutschland sieht sich der Gesetzgeber veranlasst, weitere Maßnahmen zu ergreifen, um die Infektionen zu minimieren.
Somit dürfen Arbeitgeber und Beschäftigte ihre Arbeitsstätten, in denen physische Kontakte untereinander oder zu Dritten nicht ausgeschlossen werden können, nur betreten, wenn sie geimpfte, genesene oder getestete Personen sind. Ein entsprechender Nachweis hat jeder der Betroffenen mit sich zu führen und zur Kontrolle zur Verfügung zu halten.
Allerdings ist ein Betreten der Arbeitsstätte erlaubt, wenn unmittelbar vor Arbeitsaufnahme ein Testangebot oder ein Impfangebot des Arbeitgebers wahrgenommen wird (§ 28 b (1) IfSG (24.11.2021)).
Alle Arbeitgeber sind gesetzlich verpflichtet, die Nachweiskontrollen täglich zu überwachen und regelmäßig zu kontrollieren. Die Nachweise müssen auf Verlangen vorgelegt werden.
Soweit es zur Erfüllung der Pflichten erforderlich ist, darf der Arbeitgeber sowie die Leitung der Einrichtungen die personenbezogenen Daten zum Impf, Sero- und Teststatus verarbeiten. Die zuständige Behörde kann von jedem Arbeitgeber sowie von den Leitungen die erforderlichen Auskünfte verlangen, die zur Durchführung der Überwachungsaufgabe erforderlich sind.
Was zu tun ist…
Nach Auffassung des Bundesbeauftragten für Datenschutz ist es ausreichend, die 3G-Daten der Beschäftigten beim Zutritt zum Unternehmen zu prüfen und ausschließlich den Umstand zu dokumentieren, dass ein Nachweis erbracht wurde – es reicht somit ein „Abhaken“ ohne Erfassung der Angabe „geimpft“, „genesen“ oder „getestet“. Eine längerfristige Speicherung der Gesundheitsdaten (3G-Daten) ist für die Kontrolle nicht erforderlich.
Eine regelmäßige Dokumentation kann durch nachprüfbare einheitliche Prozesse, die die tägliche Zutrittskontrolle beschreiben, eingehalten werden. Die Speicherung von Gesundheitsdaten ist dafür nicht erforderlich und ist durch das Infektionsschutzgesetz nicht verpflichtend vorgesehen. Dadurch ist das längerfristige Speichern der Geimpft- und Genesenen-Angaben nur durch die Einwilligung der Betroffenen möglich. Eine solche Einwilligung muss aktiv, dokumentiert, freiwillig und widerrufbar erfolgen.
Aber was gilt in Einrichtungen des Gesundheitswesens?
Darüber hinaus ist in folgenden Unternehmen und Einrichtungen vom Arbeitgeber, Beschäftigten oder Besucher grundsätzlich immer ein Testnachweis mit sich zu führen unabhängig davon, ob die betroffenen Personen bereits geimpft oder genesen sind:
- Krankenhäuser,
- Einrichtungen für ambulantes Operieren,
- Vorsorge- oder Rehabilitationseinrichtungen,
- Dialyseeinrichtungen,
- Tageskliniken,
- Entbindungseinrichtungen,
- Behandlungs- oder Versorgungseinrichtungen, die mit einer der in den Nummern 1 bis 6 genannten Einrichtungen vergleichbar sind,
- ambulante Pflegedienste, die ambulante Intensivpflege in Einrichtungen, Wohngruppen oder sonstigen gemeinschaftlichen Wohnformen erbringen, und
- Rettungsdienste.
Sowie
- voll- und teilstationäre Einrichtungen zur Betreuung und Unterbringung älterer, behinderter oder pflegebedürftiger Menschen
- ambulante Pflegedienste und Unternehmen, die den Einrichtungen nach Nummer 1-10 vergleichbare Dienstleistungen anbieten
Sofern die betroffenen Personen geimpft oder genesen sind, kann dieser Test als Antigen-Test zur Eigenanwendung ohne Überwachung erfolgen und muss in diesen Fällen maximal 2 Mal pro Woche wiederholt werden.
Die benannten Einrichtungen (1-10) gilt zudem:
Sie sind verpflichtet, der zuständigen Behörde zweiwöchentlich anonymisiert folgende Daten zu übermitteln:
- Angaben zu durchgeführten Testungen der beschäftigten, behandelten, betreuten oder gepflegten Personen
- Angaben zum Anteil der Personen die geimpft sind, bezogen auf die Gesamtzahl der beschäftigten, behandelten, betreuten oder gepflegten Personen.
Bei der Kontrolle des 3G-Status von Beschäftigten handelt es sich um eine Verarbeitung sensibler personenbezogener Daten gem. Art. 9 (2) i DSGVO (Gesundheitsdaten) Ihrer Beschäftigten und Klienten. Die erhobenen Gesundheitsdaten sind spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen.
Die Datenschutzgrundverordnung verpflichtet Sie, Ihre Beschäftigten über die Datenverarbeitung zu informieren.
Über die genannten Regelungen hinaus sind Sie verpflichtet – soweit keine zwingenden betrieblichen Gründe dagegensprechen – Ihren Beschäftigten Homeoffice anzubieten. Entsprechende datenschutzrechtliche Informationen zum Homeoffice haben wir Ihnen bereits zur Verfügung gestellt. Gern stehen wir Ihnen auch hier beratend zur Seite.
Verstöße gegen die Regelungen im Infektionsschutzgesetz (IfSG) sowie auch gegen datenschutzrechtliche Regelungen (BDSG, DSGVO) können zu Bußgeldern führen.
Ergänzend zu den obigen Ausführungen und zur Beantwortung möglicher Fragen, die je nach Umsetzung in Ihrem Unternehmen auftreten können, lesen Sie gern nachfolgende weitere Informationen zur Handhabung der Änderungen am Infektionsschutzgesetz.
Aufbewahrungspflicht für Prüfnachweise
Nach der kürzlich veröffentlichten gesetzlichen Regelung sind die Arbeitgeber verpflichtet, tagesaktuell den 3-G-Status zu prüfen und „regelmäßig zu dokumentieren“. Weiter heißt es im Gesetz: „Soweit es zur Erfüllung der Pflichten …erforderlich ist, darf der Arbeitgeber … zu diesem Zweck personenbezogene Daten einschließlich Daten zum Impf-, Sero- und Teststatus …verarbeiten.“ Daraus kann man schlussfolgern, dass der Arbeitgeber den Nachweis für die Durchführung der Kontrollen durch Speicherung der Ergebnisse der Kontrollen erbringen darf und dies auch ggf. so nachweisen kann. Deshalb empfehlen wir eine Aufbewahrungsfrist für die Listen der kontrollierten Mitarbeiter, die entsprechende Nachweise erbracht haben, am Ende des Arbeitstages verschlossen mit dem Datum versehen für 4 Wochen aufzubewahren und anschließend zu vernichten, wenn diese Listen nicht vom Gesundheitsamt zur Kontrolle der Durchführung der Zutrittskontrollen angefordert werden.
Verpflichtung der prüfenden Mitarbeiter
Wenn der Arbeitgeber eigene oder Mitarbeiter von Dienstleistern mit der Prüfung der Zugangsvoraussetzungen beauftragt, erhalten diese Zugang zu Gesundheitsdaten, also besonders schützenswerten personenbezogenen Daten. Zugleich erfüllen die Mitarbeiter eine bußgeldbewährte Pflicht des Arbeitgebers. Deshalb empfehlen wir dringend eine schriftliche Verpflichtung der Mitarbeiter, die mit der Prüfung beauftragt sind, auf die Geheimhaltung zumindest dann, wenn nicht bereits eine gesetzliche Verschwiegenheitspflicht für Gesundheitsdaten besteht. In dieser Verpflichtung sollten die Anweisungen konkret beschrieben werden. Wir haben hierfür eine Vorlage vorbereitet, die allerdings an die konkreten Bedingungen angepasst werden sollte.
Aufbewahrungspflicht für Zertifikate
Nach der gesetzlichen Regelung sollen Beschäftigte ebenfalls das Unternehmen betreten dürfen, wenn sie die erforderlichen Nachweise „bei dem Arbeitgeber hinterlegt haben“. Voraussetzung wäre hier also ein Ausdruck der jeweiligen Zertifikate. Da diese Hinterlegung keine Pflicht, sondern freiwillig ist, braucht es hierfür dann keine gesonderte Einwilligung des Beschäftigten. Es ist allerdings streng darauf zu achten, dass diese Zertifikate vor dem unberechtigten Zugriff Dritter geschützt gelagert werden und nur im Fall einer behördlichen Kontrolle genutzt werden. Die Zertifikate sind dann 4 Wochen nach Ende der Gültigkeit – oder bei Wegfall der gesetzlichen Regelung – zu vernichten.
Prüfpflicht bei Dienstleistern
Wenn Mitarbeiter dienstlich in Büros oder Betriebsstätten von Kunden eingesetzt werden (Reinigung, Reparaturen, Wachdienst, IT-Support), müssen diese Mitarbeiter auch dort die erforderlichen Nachweise bei sich führen und dem dortigen Unternehmen vorzeigen. Der Dienstleister kann seinem Auftraggeber anbieten, die tagesaktuellen Kontrollpflichten zu gewährleisten. Da die gesetzliche Überprüfungspflicht allerdings den Auftraggeber trifft, muss dieser entscheiden, ob die Zusicherung seines Dienstleisters über eine tagesaktuelle Prüfung der eingesetzten Mitarbeiter ausreicht.
Wenn das Unternehmen im Rahmen seiner Zugangskontrolle auch Mitarbeiter von Dienstleistern auf den 3-G-Status prüft, ist die Bereitstellung von Datenschutzinformationen wie für die eigenen Beschäftigten erforderlich. Wir haben eine entsprechende Vorlage vorbereitet, die ggf. den konkreten Maßnahmen im Unternehmen angepasst werden muss.
Anlagen:
- Anhang 1: Informationspflichten, Vertraulichkeitsverpflichtung (Word)
- Anhang 2: Informationspflichten, Vertraulichkeitsverpflichtung (PDF)
- Anhang 3: Anleitung Corona WarnApp
- Anhang 4: Anleitung CovPass