Bedauerlicherweise hat uns die Corona-Virus-Pandemie noch weiterhin im Griff. Aufgrund der dramatischen Entwicklung der Fallzahlen, ist nun am 24.11.2021 ein neues Infektionsschutzgesetz (IfSG) in Kraft getreten. Mit § 28b des IfSG gilt nun die sogenannte „3G“-Regelung auch am Arbeitsplatz. Was das für Sie als Arbeitgeber aus datenschutzrechtlicher Sicht bedeutet, haben wir nachfolgend mit entsprechenden Handlungsempfehlungen für Sie zusammengefasst.

 

Kurzgefasst:

Die „3G“-Regelung fordert, dass Arbeitgeber/innen und Beschäftigte die Arbeitsstätte nur noch betreten, wenn sie entweder geimpft, genesen oder negativ getestet sind. Um dieses Betretungsverbot durchzusetzen, müssen Arbeitgeber/innen geeignete Zutrittskontrollmaßnahmen einsetzen. Wer Zutrittskontrollmaßnahmen nicht einhält oder als Beschäftigter ohne einen 3G-Status die Arbeitsstätte betritt, kann sich nach § 73 IfSG bußgeldpflichtig machen. Das Bußgeld kann bis zu 25.000,00 € betragen. Ferner sind die Mitarbeiter mit entsprechenden Datenschutzhinweisen über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Bei der Verarbeitung der sensiblen Gesundheitsdaten sind angemessene Technische und Organisatorische Maßnahmen zu implementieren.

 

Überblick:

  1. Was dürfen oder müssen Sie als Arbeitgeber abfragen?
  2. Was ist die rechtliche Grundlage?
  3. Wann und in welcher Art und Weise dürfen sie die Daten abfragen?
  4. Wie sind die Daten datenschutzkonform zu verarbeiten und zu dokumentieren?
  5. Was dürfen oder müssen Sie als Arbeitgeber abfragen?

Sie müssen den Geimpft-, Genesenen- oder aktuell negativ auf die Coronavirus-Krankheit-2019 (COVID-19)-Status abfragen. Bei Geimpft oder Genesenen ist eine tägliche Kontrolle nicht erforderlich, sofern mit freiwilliger Zustimmung der Beschäftigten der Nachweis dauerhaft schriftlich oder elektronisch dokumentiert wird. Letzteres sollten Sie im Sinne der Datenminimierung nach Art. 5 Abs. 1 c) der Datenschutzgrundverordnung (DSGVO) Ihren Beschäftigten anbieten.

Diese „3G“-Regelungen gelten auch für Beschäftigte, die sich aus medizinischen Gründen nicht impfen lassen können. Für Beschäftigte, die sich ausschließlich im Homeoffice befinden, ist die „3G“-Regelung nicht anwendbar.

Fragen, die über diese Information hausgehen, wie beispielsweise zu Bewegründen für oder gegen eine Impfung oder zu anderen Gesundheitsdaten, sind nicht zulässig.

  1. Was ist die rechtliche Grundlage?

Bei den Informationen zum Impf-, Genesenen- oder auch Teststatus handelt es sich um Gesundheitsdaten. Diese sind aufgrund von Art. 9 der DSGVO besonders schützenswert. § 28b IfSG enthält zwar nun eine „Erlaubnis“ zur Verarbeitung von Daten, die im Zusammenhang mit den Zutrittskontrollen anfallen, rechtlich ist diese „Erlaubnis“ aber durch die DSGVO begleitend zu untermauern. Die Rechtsgrundlage für die Erhebung der Daten ist daher nicht allein § 28b IfSG, sondern § 28b IfSG in Verbindung mit Art. 9 Abs. 2 lit. i) DSGVO (Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit).

 

Zur Testung gilt Folgendes: Diese darf maximal 24 Stunden zurückliegen. Sie muss entweder

  • in Form von Selbsttests vor Ort unter Aufsicht des Arbeitgebers oder einer von ihm beauftragten Person erfolgen und dokumentiert werden
  • oder durch den Arbeitgeber oder von ihm beauftragte Personen, die die dafür erforderliche Ausbildung oder Kenntnis und Erfahrung besitzen, erfolgen und dokumentiert werden,
  • oder von einem Leistungserbringer nach § 6 Absatz 1 der Coronavirus-Testverordnung vorgenommen oder überwacht worden sein.

Im Falle des Einsatzes von PCR-Tests oder vergleichbaren Verfahren, darf die zugrundeliegende Testung abweichend maximal 48 Stunden zurückliegen.

Für weitergehende Informationen zur Umsetzung der Infektionsschutzrechtlichen Anforderungen verweisen wir auf die Hinweise des Bundesministeriums für Arbeit und Soziales: https://www.bmas.de/SharedDocs/Downloads/DE/Arbeitsschutz/corona-faqs-betrieblicher-infektionsschutz.pdf?__blob=publicationFile&v=2.

 

  1. Wann und in welcher Art und Weise dürfen sie die Daten abfragen?

Die gesetzliche Regelung des §28b IfSG zielt auf den Zeitpunkt der Zutrittskontrolle ab. Wir empfehlen Ihnen daher die Daten nicht schon bereits im Vorfeld abzufragen, also nicht bevor einer der Beschäftigten die Arbeitsstätte tatsächlich physisch betritt. Dies könnte sich sonst im Streitfall nachteilig für Sie auswirken.

 

Sodann dürfen Sie die Daten im Wesentlichen nur für die Erstellung und Pflege Ihres Hygienekonzepts und damit einhergehenden Fragen des Arbeitsschutzes (Beurteilung der Arbeitsbedingungen und Dokumentation) verwenden.

 

Des Weiteren müssen Sie ihre Mitarbeiter über die Verwendung ihrer Daten informieren. Dazu empfehlen wir Ihnen, das sich im Anhang befindende Muster für Datenschutzhinweise auszufüllen und ihren Beschäftigten umgehend, bestenfalls ab Erhebung der Daten, zukommen zu lassen.

 

  1. Wie sind die Daten datenschutzkonform zu verarbeiten und zu dokumentieren?

Generell müssen Sie sich als Arbeitgeber/innen für die Verarbeitung von Gesundheitsdaten an die technischen und organisatorischen Maßnahmen (TOM) im Sinne des § 22 Abs. 2 Bundesdatenschutzgesetz (BDSG) halten. Es handelt sich um sehr sensible Daten. Sie haben daher höchste Sorge dafür zu tragen, dass kein Unberechtigter Zugriff auf die Daten erhält. Als Arbeitgeber dürfen Sie den Impf-, Genesenen- und Testnachweis nur verarbeiten, soweit dies zum Zwecke der Nachweiskontrolle erforderlich ist. Darüber hinaus wird Ihnen gestattet, die Daten bei der Anpassung des betrieblichen Hygienekonzepts zu verwenden. Es gilt der

Grundsatz der Zweckbindung (Art. 5 Absatz 1 Buchstabe b DSGVO). Zugriff auf die Daten dürfen also auch nur die Personen erhalten, die im Zusammenhang mit der Durchführung der Zutrittskontrollen nach § 28b IfSG sowie mit der Erstellung und Pflege eines Hygienekonzepts beauftragt sind. Die Daten sollten verschlüsselt und mit angemessen hohen technischen Sicherungsstandards gesichert werden.

Um dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 c) DSGVO zu
genügen, reicht es aus, am jeweiligen Kontrolltag den Vor- und Zunamen der Beschäftigten auf einer Liste „abzuhaken“, wenn der jeweilige Nachweis durch den Beschäftigten erbracht worden ist. Eine Löschung der Daten hat spätestens sechs Monate nach ihrer Erhebung zu erfolgen.

 

Um ihren Dokumentationspflichten nach der DSGVO nachzukommen, müssen Sie außerdem ihr Verzeichnis von Verarbeitungstätigkeiten mit der entsprechenden Verarbeitung ergänzen.

 

Sehen Sie es als Chance den aktuellen Stand ihres Verzeichnisses zu überprüfen und gegebenenfalls nun zu vervollständigen. Gerne unterstützen wir Sie bei einer individuellen Umsetzung.