3G am Arbeitsplatz – Vorgaben der Datenschutzaufsichtsbehörden

Fachbeitrag

Das Infektionsschutzgesetz wurde aktualisiert und bringt neue Regelungen mit sich – unter anderem zur Erfassung des 3G-Status von Beschäftigten. In kürzester Zeit mussten Konzepte für Betriebe geschaffen werden, um diese Regelungen umzusetzen. Datenschutzrechtlich gab es dabei einiges zu bedenken. Nun gibt es auch erste Handreichungen der Datenschutzaufsichtsbehörden, anhand derer das eigene Konzept optimiert werden kann.

Corona und der Datenschutz

Corona und der Datenschutz führen seit nunmehr 1,5 Jahren eine innige Beziehung. Kein Wunder! Ständig sind Gesundheitsdaten, an deren Verarbeitung nach Art. 9 DSGVO besondere Maßstäbe zu knüpfen sind, im Spiel. Nicht zuletzt wurde heiß diskutiert, ob die Corona-Warn-App jetzt Fluch oder Segen ist oder wann, ob und wie Gästelisten in der Gastronomie zu führen sind. Die Digitalisierung von Unternehmen erhielt einen Schub und Videokonferenzen sind mittlerweile für die meisten von uns eine Selbstverständlichkeit. Mit den aktuellen Änderungen des Infektionsschutzgesetzes werden Arbeitgeber verpflichtet zu überprüfen, ob ihre Beschäftigten geimpft, genesen oder negativ getestet sind (3G-Status).

IfSG: Was wurde geregelt?

Der neue § 28b IfSG ist am 24.11.2021 in Kraft getreten. Damit geht auch die Regelung einher, dass Arbeitnehmerinnen und Arbeitnehmer die Arbeitsstätte nur noch betreten dürfen, soweit sie

  • einen Covid-19-Impfnachweis,
  • Genesenennachweis
  • oder einen negativen Testnachweis

bei sich führen und diesen zur Kontrolle verfügbar halten oder beim Arbeitgeber hinterlegen.

Sämtliche Arbeitgeber sind verpflichtet, Nachweiskontrollen durchzuführen, diese täglich zu überwachen und zu dokumentieren. Dabei wird es regelmäßig dazu kommen, dass sensible Gesundheitsdaten verarbeitet werden. Entsprechend gibt es aus datenschutzrechtlicher Sicht einiges zu beachten. Die Aufsichtsbehörden aus Bayern (BayLfD), Baden-Württemberg, Hamburg, Schleswig-Holstein, Berlin, Hessen, Rheinland-Pfalz und Thüringen (Update: 09.12) haben hierzu mittlerweile hilfreiche Stellungnahmen herausgegeben.

3G-Kontrollen bei Besuchern

Für Besucher gelten diese Reglungen grundsätzlich nicht. Es gibt keine Pflicht, den Besuch und den „3G-Status“ zu protokollieren. Unberührt davon bleibt das Hausrecht. Möchte ein Unternehmen ausschließlich Personen Zugang zu den Räumlichkeiten gewähren, die geimpft, getestet oder genesen sind, so steht dies dem Unternehmen offen. Wichtig ist dabei nur, dass keine Speicherung des Nachweises und auch keine Protokollierung der Prüfung erfolgt.

Spezielle Regelungen gelten jedoch für bestimmte Einrichtungen und Unternehmen der Pflege bzw. für Bereiche, in denen besonders vulnerable Personen untergebracht sind. Hier müssen neben Arbeitgeber und Beschäftigten auch Besucher einen negativen Testnachweis, einen Impfnachweis oder einen Genesenennachweis bei sich führen. Darüber hinaus bestehen nach § 28b Abs 3 S. 6 IfSG bestimmte statistische Berichtspflichten.

Darf der Arbeitgeber den Impfpass oder Genesennachweis kopieren?

Bei der Frage, ob es erlaubt ist, eine Kopie des Impfausweises anzufertigen, liefert der Grundsatz der Datensparsamkeit gem. Art. 5 Abs. 1 lit. c DSGVO die Antwort. Es sollte nur verarbeitet werden, was auch wirklich benötigt wird. Um der Nachweispflicht des § 28b IfSG nachkommen zu können, reicht es z.B. dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) zufolge aus, eine Liste mit den Namen der Beschäftigten zu führen, damit für den jeweils vorgelegten 3G-Nachweis Haken hinter den Namen gesetzt werden können. Dabei ist nicht zu unterscheiden, um welche Art des 3G-Nachweises es sich handelt.

Als datensparsamere Variante führt der Landesbeauftragte für Datenschutz und Informationsfreiheit Rheinland-Pfalz an, dass es ausreichend sei, zur Überprüfung die kostenlose „CovPassCheck-App“ zu verwenden. Diese Methode sei gegenüber dem Anlegen umfangreicher Namenslisten mit Informationen zum Genesenenstatus oder zu zurückliegenden Impfterminen vorzugswürdig.

Dieses Vorgehen dürfte jedoch nur für solche Fälle in Betracht kommen, in denen die Unternehmen standardisierte Einlasskontrollen durchführen können, mit denen sichergestellt werden kann, dass sämtliche Beschäftigte ihren Nachweis erbringen.

Anfertigen einer Kopie des Genesenen- oder Impfnachweises nur mit Einwilligung

Soweit aus verschiedensten Gründen tägliche Kontrollen der Beschäftigten nicht möglich sind, so können Daten über den jeweiligen Nachweis gespeichert werden. Das Bayerische Landesamt für Datenschutz (BayLDA) führt in seinem FAQ zur 3G-Regelung aus:

„Eine Erforderlichkeit zur Speicherung der „3G-Daten“ kann begründbar sein, wenn der betriebliche Umsetzungsaufwand außer Verhältnis zu einer täglichen Überprüfung stehen würde. Dies kann beispielsweise dann zutreffen, wenn der Zugang der Beschäftigten regelmäßig automatisiert überprüft wird, eine größere Anzahl an Zugängen vorhanden sind oder eine tägliche Kontrolle durch den gleichzeitigen Zugang vieler Beschäftigter Verzögerungen im Betriebsablauf bedeuten würden.

Soweit die Erforderlichkeit für eine Verarbeitung des Status im Rahmen der 3G-Regelung begründet werden kann, genügt es vor dem Grundsatz der Datenminimierung (Art.5 Abs. 1 Buchst. c der Datenschutz-Grundverordnung (DS-GVO)), wenn das Vorhandensein eines gültigen Nachweises („ob“) mitsamt der Art des Nachweises („welches“) und der Gültigkeitsdauer dokumentiert werden. Eine tägliche Kontrolle ist dann für die Beschäftigten, deren Status gespeichert wurde, grundsätzlich nicht mehr erforderlich.“

Das BayLDA führt weiter aus, dass der Nachweis selbst, also eine Kopie des Impf- oder Genesenennachweises, ausschließlich auf Grundlage einer freiwilligen Einwilligung nach § 26 Abs. 2, 3 BDSG i.V.m. Art. 9 Abs. 1 DSGVO erfolgen darf. Eine andere Rechtsgrundlage kommt hier nicht in Betracht.

Datenschutzrechtliche Pflichten neben der 3G-Prüfung durch Arbeitgeber

Neben der eigentlichen 3G-Prüfpflicht sind weitere Aufgaben zu erfüllen. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat hierfür die relevanten Aufgaben einmal zusammengefasst:

  • Der Verantwortliche habe den Beschäftigten die Pflichtinformationen nach Art. 13 Abs. 1 und 2 DSGVO zu erteilen. Dabei sei ein Informationsblatt oder ein Link zu einem digital bereit gehaltenen Dokument ausreichend. (Ein kostenloses Muster für diese Datenschutzhinweise finden Sie z.B. beim Kollegen Stephan Hansen-Oest)
  • Die Vorgaben der Datensicherheit nach Art. 32 DSGVO seien einzuhalten. Nicht zulässig sei es beispielsweise, wenn der Verantwortliche gegenüber den Beschäftigten verlangen würde, eingescannte Unterlagen über Nachweise über eine ungesicherte Verbindung zu übersenden.
  • Das Verfahren der Verarbeitung des Impf-, Sero- und Teststatus sei in einem Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) zu dokumentieren.
  • Es sei zu verhindern, dass unbefugte Zugriff auf die Gesundheitsdaten der Beschäftigten erhalten. Befugt seien nur die mit der Verarbeitung betrauten Personen.
  • Es gelte der Grundsatz der Zweckbindung. Eine Verarbeitung zu anderen Zwecken ist nicht zulässig. Nach Ablauf der Speicherdauer (spätestens 6 Monate) seien die Daten zu löschen.

Was besonders wichtig ist:

Mit ihren FAQs und Stellungnahmen bieten die Behörden einen guten Überblick was zu tun ist und welche Maßnahmen zu ergreifen bzw. nicht zu ergreifen sind. Dennoch wird deutlich, dass immer auch die individuelle Beurteilung der jeweiligen Situation zu treffen ist. Grundsätzlich sollte stets versucht werden, so datensparsam wie möglich vorzugehen. Kann auf Namenslisten verzichtet werden, sollte man dies auch tun. Kann darauf verzichtet werden, den Impf- und Genesenenstatus zu speichern, sollte auch hierauf verzichtet werden. Erst, wenn der betriebliche Umsetzungsaufwand für tägliche Kontrollen unverhältnismäßig oder praktisch nicht umsetzbar ist, kann die Speicherung der „3G-Daten“ begründbar werden.

Wichtig ist neben den ganzen Pflichten nicht außer Acht zu lassen, dass Arbeitgeber und Beschäftigte den Kontroll- und Nachweispflichten nachkommen müssen. Der Bußgeldrahmen ist mit bis zu 25.000 EUR nicht zu vernachlässigen. Eine sehr hilfreiche Quelle zur Umsetzung bietet auch das Bundesministerium für Arbeit und Soziales mit seiner Stellungnahme zu den häufigsten Fragen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

12 Kommentare zu diesem Beitrag

  1. Danke für viele sehr hilfreiche Beiträge!!!
    Beim aktuellen Thema werden Unsicherheiten durch wenig hilfreiche Zitate leider nicht besser! Die CovPassCheck-App prüft ausschließlich, ob ein digitales Zertifikat gültig ist bzw. auf wen dieses Zertifikat ausgestellt wurde! Eine Pflicht für ein digitales Zertifikat gibt es nicht und wie eine Kontrolle dadurch dokumentiert werden soll, ist nicht nachvollziehbar.

    • Vielen Dank für Ihren Kommentar!

      Bei diesem Hinweis handelt es sich um einen Vorschlag einer datensparsameren Alternative des LfDI Rheinland-Pfalz. Die Anwendbarkeit wird im nächsten Satz konkretisiert. Es genügt, wenn eine tägliche Überprüfung des Impf-/Genesenenstatus durch Überprüfung der Gültigkeit des jeweiligen Zertifikats durchgeführt wird. So kann vermieden werden, dass z.B. der letzte Impftermin offengelegt werden muss. Eine Pflicht dieses digitale Zertifikat bei sich zu führen gibt es nicht. Ebenso kann der Impfausweis selbst vorgezeigt werden. Darüber hinaus muss natürlich weiterhin dokumentiert werden, dass eine Überprüfung stattgefunden.

  2. ePerso kann man sich sparen. Das digitale Impfzertifikat wird der neue Personalausweis und Eintrittskarte für alles – schöne neue Welt!!! Auf Amazon Prime gibt es eine Serie „Continuum“, kommt mir seltsam bekannt vor.

    • Um einen Bogen von der datensparsamen Abfrage des Statutes des Impfzertifikats, des Namens und des Geburtsdatums zu den Vorgängen in einer dystopischen Korporatokratie und einem Polizeistaat zu spannen, muss die Fantasie mit einem schon ziemlich durchgebrannt sein.

  3. Danke für die ausführlichen Infos. Mein Arbeitgeber (Verleihfirma) wollte unbedingt meinen Impfpass fotografiert und über MS-Forms hochgeladen haben, obwohl ich schon beim Kunden kontrolliert worden bin und den Beleg darüber geschickt habe. Keine Ahnung wo das Foto dann landet. Jetzt kann ich begründen, dass das nicht OK ist.

  4. Sehr schöner Beitrag. Danke. Eine kleine redaktionelle Anmerkung: Es ist das Bayerische Landesamt. Nicht das Bayrische.

    Aus meiner Sicht ist der Bußgeld 25.000,- € plus X. Denn der Bußgeldrahmen der DSGVO ist weiterhin gültig. Es werden ja unweigerlich Folge-Datenschutzverstöße auftreten…

    • Wie im Artikel beschrieben, ist dies grundsätzlich zur Dokumentation nicht notwendig. Ein Kopie der Dokumente kann ausschließlich in Einzelfällen erforderlich sein, wenn eine Überprüfung nur derart möglich ist. Dies ist jedoch nicht der Regelfall. Grundsätzlich besteht lediglich die Pflicht des Vorzeigens der Dokumente. Je nach betrieblicher Organisation kann der Arbeitgeber das Bestehen des Geimpften- oder Genesenenstatus sowie den möglichen Ablauf der Gültigkeit dokumentieren. Die Herausgabe von Kopien sollte grundsätzlich auf freiwilliger Basis erfolgen.

  5. Ich hoffe die Aufsichtsbehörden haben andere Probleme als die Verarbeitungsverzeichnisse zu kontrollieren. In komplexen Gesundheitsversorgern ändern sich die verschiedensten Verfahren zum testen und impfen und für Terminvergaben je nach Setting im Wochentakt, sowohl was die Tools angeht, als auch was die Inhalte angeht. Hier kann man nur noch mit Pragmatismus vorgehen, akademische juristische Debatten und durchdeklinierte VV´s hinken der Realität hoffnungslos hinterher. Die Ratschläge einer Aufsichtsbehörde fehlen mir zu meinem DSB-Glück in der Situation noch.

  6. Vielen Dank für die gute Zusammenfassung zu den Regelungen und Auslegungen der Landesbehörden. Ihre Ausführungen zum Thema Besucherkontrolle und Hausrecht teile ich jedoch nicht. Die Verarbeitung besonderer Kategorien personenbezogener Daten lässt sich aus meiner Sicht nur auf Art. 9 Abs. 2 DSGVO stützen. In den Buchstaben a – j kann ich keinen Erlaubnistatbestand erkennen, der den Rückgriff auf das Hausrecht zuließe. Lösbar scheint es mit lediglich, wie Sie vorgeschlagen haben, eine reine Sichtkontrolle des 3 G Nachweises vorzunehmen, ohne aber dieses zu vermerken, denn die DSK selbst sieht eine diesbezügliche Sichtkontrolle ohne Dokumentation (Vermerk) noch nicht als Verarbeitung an (auch wenn ich hier Zweifel habe, ob sich das mit der Definition aus Art. 4 Nr. 2 DSGVO deckt).

    • Vielen Dank für Ihren konstruktiven Kommentar! Der Abschnitt zur Besucherkontrolle bezieht sich genau auf das von Ihnen geschilderte Problem. Anders als bei Beschäftigten und Arbeitgebern gibt es hier gerade keine Pflicht den 3G-Status zu kontrollieren. Dennoch besteht, wie von Ihnen beschrieben, die Möglichkeit einer Sichtkontrolle ohne den 3G-Status zu vermerken.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.