Datenschutz bei 3G am Arbeitsplatz

Die Einführung der 3G-Regel am Arbeitsplatz hat Ende November für zahlreiche Arbeitgeber einen hohen Administrations- und Dokumentationsaufwand hervorgerufen. Denn noch immer sind nicht alle Mitarbeiter geimpft und die täglichen Testnachweise müssen nicht nur kontrolliert, sondern auch protokolliert werden. Hier gilt es, den Schutz der personenbezogenen Daten zu beachten.

Da es sich bei Gesundheitsdaten um die besonders schützenswerten personenbezogenen Daten handelt, gilt dem neuen Infektionsschutzgesetz zufolge der Grundsatz der Datenminimierung.

Impfnachweis

3G bedeutet, dass seit dem 24. November auch die Impfnachweise der Beschäftigten erfasst werden müssen. Dies widerspricht auf den ersten Blick der untersagten Impfstatus-Abfrage, die weiterhin gilt. Es ist nur die Abfrage eines 3G-Nachweises gestattet. Mitarbeiter sind jedoch nach wie vor nicht verpflichtet, dem Arbeitgeber Auskunft hinsichtlich ihres Impfstatus zu erteilen, doch hat eine Aussageverweigerung ab sofort Konsequenzen. Wer die Nachfrage verweigert, gilt automatisch als zu testende Person und darf den Arbeitsplatz, bzw. die Arbeitsstätte nur mit einem entsprechenden negativen Testergebnis betreten.

Es ist davon auszugehen, dass die Mehrheit der Beschäftigten dem Arbeitgeber freiwillig Auskunft über ihren Impfstatus erteilen wird. Dieser wird inklusive der Daten der Erst- und Zweit- sowie ggf. der Booster-Impfung in einer Nachweiskontroll-Dokumentation schriftlich oder elektronisch hinterlegt. Durch die Erfassung ist eine tägliche Kontrolle nicht mehr nötig.

Ungeimpfte Beschäftigte unterliegen der täglichen Testpflicht

Wer das kostenlose Impfangebot bislang nicht wahrgenommen hat, unterliegt seit dem 24. November einer Testpflicht und ist somit aufgefordert, dem Arbeitgeber oder der hinzugezogenen Kontrollinstanz spätestens alle 24 Stunden einen aktuellen Nachweis über ein negatives Testergebnis zu liefern. Zu Hause durchgeführte Schnelltests können nicht anerkannt werden. Anerkannt sind Testnachweise aus offiziellen Teststellen (die auch im eigenen Unternehmen angesiedelt sein können) oder aus einer Arztpraxis, Selbsttests können im Betrieb unter Aufsicht durchgeführt werden.

Dokumentation der Testnachweise ungeimpfter Beschäftigter

Nach der Anfertigung einer Aufstellung der nicht geimpften oder genesenen Beschäftigten genügt es an den Folgetagen, in einer Liste mit Vor- und Nachnamen einen Haken zu setzen, der die Erbringung des täglichen Nachweises bestätigt. Somit soll dem Grundsatz der Datenminimierung gefolgt werden. Es ist unbedingt darauf zu achten, dass die Liste vor dem Zugriff Dritter geschützt ist.

Achtung: Es dürfen aus datenschutzrechtlichen Gründen keine Testnachweise über E-Mail erbracht werden, eine Sichtkontrolle über Teams oder Skype wiederum ist problemlos möglich.

Genesenen-Status

Von COVID-19 genesene Beschäftigte haben einen Nachweis darüber zu erbringen, dass die Corona-Infektion (positives PCR-Test-Ergebnis) mindestens 28 Tage und nicht mehr als sechs Monate zurückliegt. Wie beim Geimpft-Status genügt auch hier eine einmalige Erfassung.

Dauer der Aufbewahrung und Zugriff von Dritten

Die hinsichtlich der 3G-Regelung im Zusammenhang mit COVID-19 erhobenen Daten unterliegen einer sechsmonatigen Aufbewahrungspflicht und werden nach Ablauf gelöscht. Die Nachweise über Impfung, Testergebnisse oder Genesenen-Status dürfen nur zum Zweck der Nachweiskontrolle verarbeitet werden, hier greift Art. 5 Abs. 1 Buchstabe b der DSGVO. Der Zugriff durch Dritte muß unterbunden werden und ist nur gestattet, sofern dies dem Zweck der Zutrittskontrolle nach § 28b Infektionsschutz-Gesetz dienlich ist oder der Erstellung und Pflege eines Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß den §§ 5 und 6 des Arbeitsschutzgesetzes dient. Die nach § 22 Abs. 2 BDSG erforderlichen technischen und organisatorischen Maßnahmen müssen getroffen und eingehalten werden.

Rechte der Beschäftigten

Die Beschäftigten haben das Recht auf Auskunft über die vom Arbeitgeber zu ihrer Person verarbeiteten personenbezogenen Daten. Ferner haben sie ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit dies gesetzlich vereinbar ist. Neben dem Auskunftsrecht besteht auch hier ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Gleiches gilt für das Recht auf Datenübertragbarkeit.

Bei Verstößen oder Nichteinhalten der Kontrollen drohen  Bußgelder

Ein Verstoß gegen die 3G-Regel am Arbeitsplatz kann teuer werden: Wer Kontroll- und Mitführungspflichten nicht nachkommt, muss mit einem Bußgeld von bis zu 25.000 Euro rechnen.

Stay in the loop

Verpasse keine Einladung zu Events und weiteren Aktivitäten in der Community.