3G am Arbeitsplatz datenschutzkonform umsetzen

Der Bundesrat hat am 19.11.2021 der vom Bundestag am 18.11.2021 beschlossenen Änderung des Infektionsschutzgesetzes (IfSG) zugestimmt. Diese sieht verschiedene – teilweise neue und weitreichende – Maßnahmen zur Bekämpfung der Corona Pandemie vor.

3G am Arbeitsplatz

Der neu gefasste § 28 b IfSG sieht vor, dass Arbeitsstätten nur noch dann betreten werden dürfen, wenn Arbeitgeber und Beschäftigte geimpft, genesen oder getestet sind. Zudem müssen diese einen Impfnachweis, einen Genesenennachweis oder einen offiziellen Testnachweis gemäß COVID-19-Schutzmaßnahmen-Ausnahmenverordnung (Testzentrum, Test unter Aufsicht des Arbeitgebers oder durch entsprechend geschultes Personal) mit sich führen. Sofern ein PCR-Test vorgelegt wird, darf dieser maximal 48 Stunden alt sein. Ein Betreten der Arbeitsstätte ohne mitgeführten Nachweis ist nur noch ausnahmsweise für die folgenden Fälle erlaubt:

  • Ein Testangebot des Arbeitgebers wird unmittelbar vor der Arbeitsaufnahme wahrgenommen.
  • In der Betriebsstätte wird ein Impfangebot wahrgenommen.

Erstmals gilt damit die sogenannte „3G-Regelung“ am Arbeitsplatz. Die Regelung gilt ab dem 24.11.2021 und zwar unabhängig von der ausgeübten Tätigkeit für alle Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können. Unerheblich ist, ob Beschäftigte tatsächlich auf andere Personen treffen – die bloße Möglichkeit genügt.

Das Bundesministerium für Arbeit und Soziales (BMAS) führt hierzu aus: „Die Möglichkeit physischer Kontakte liegt vor, wenn in der Arbeitsstätte ein Zusammentreffen mit anderen Personen nicht ausgeschlossen werden kann, auch wenn es zu keinem direkten Körperkontakt kommt.“ Die Pflicht zu 3G am Arbeitsplatz ist daher die Regel. Arbeitsplätze im Homeoffice sind hingegen keine Arbeitsstätten im Sinne der Vorschrift, sodass die vorgenannten Regelungen hier nicht gelten.

3G: Kontroll- und Dokumentationspflicht für Arbeitgeber

Die Arbeitgeber sind gemäß § 28 b Abs. 3 IfSG verpflichtet, die 3G-Bestimmungen durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren; jeder Beschäftigte ist im Gegenzug verpflichtet, einen entsprechenden Nachweis auf Verlangen vorzulegen. Die Arbeitgeber dürfen im Rahmen ihrer Überwachungspflicht personenbezogene Daten einschließlich der Daten zum Impf-, Sero- und Teststatus verarbeiten.

Bei geimpften und genesenen Personen reicht es – auch unter Beachtung des Grundsatzes der Datenminimierung – das Vorhandensein eines gültigen Nachweises nur einmal durch Vorlage zu kontrollieren und dies dann in einer entsprechenden Liste zu dokumentieren. Bei Genesenen ist in diesem Fall zusätzlich das Enddatum des Genesenenstatus zu dokumentieren. Nach Ablauf sind dann neue Kontrollen durchzuführen.

Der Schwerpunkt der Kontrollen liegt in jedem Fall auf der Gültigkeit der Testnachweise. Um hier datensparsam zu agieren, sollte am jeweiligen Kontrolltag der Vor- und Zuname der Beschäftigten auf einer Liste abgehakt werden, sofern der jeweilige Nachweis durch den Beschäftigten erbracht worden ist.

Bei den Daten zum Impf-, Sero- und Teststatus handelt es sich um Gesundheitsdaten, also um besonders schützenswerte Daten. Der Arbeitgeber muss daher technische und organisatorische Maßnahmen zur Datensicherheit treffen. Dabei ist sicherzustellen, dass eine Kenntnisnahme der Daten durch Unbefugte (z. B. Dritte oder Kolleginnen und Kollegen) ausgeschlossen ist.

Die Daten dürfen ausschließlich für die Kontrolle der 3G-Bestimmungen verarbeitet werden, das schließt aber bspw. die Möglichkeit ein, besondere Zutrittskarten für Geimpfte und Genesene auszugeben oder spezielle Eingänge für diese Personengruppe vorzubehalten, um den Kontrollaufwand in Werken zu verringern. Die Dokumentation ist bei papiergebundener Dokumentation in einem verschlossenen Schrank bzw. anderweitig zugriffsgeschützt aufzubewahren.

Bei einer elektronischen Dokumentation sind die Dateien zu verschlüsseln. Die Zugriffsrechte sollten dokumentiert und restriktiv vergeben und Zugriffsberechtigte auf ihre besondere Verschwiegenheit hingewiesen werden.

Sämtliche Daten sind spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen.

3G: Informationspflichten gegenüber Beschäftigen

Gemäß § 28 b Abs. 1 Satz 4 IfSG hat der Arbeitgeber seine Beschäftigten bei Bedarf in barrierefrei zugänglicher Form über die betrieblichen Zugangsregelungen zu informieren. Darüber hinaus trifft den Arbeitgeber gem. Art. 13 DSGVO die datenschutzrechtliche Verpflichtung, seine Beschäftigten über die mit der Kontrolle der Impf-, Genesungs- und Testnachweise verbundene Datenverarbeitung zu informieren. Diese Information über die Art und Weise der Datenverarbeitung sollte allen Beschäftigten zugänglich gemacht werden, in jedem Fall zum Zeitpunkt der Kontrolle der entsprechenden Nachweise.

Bundesdatenschutzbeauftragter begrüßt Regelung, sieht allerdings Verbesserungsbedarf

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, begrüßt das grundsätzliche Vorliegen einer gesetzlichen Grundlage für die 3G-Regelung am Arbeitsplatz, sieht aber insbesondere im Hinblick auf die Vorgaben zur Dokumentation und Speicherung der Gesundheitsdaten noch Verbesserungsbedarf (mehr lesen Sie hier).