3G Kontrolle am Arbeitsplatz – was Arbeitgeber jetzt wissen müssen

In der letzten Woche haben Bundestag und Bundesrat die sogenannte 3G-Regel am Arbeitsplatz beschlossen. Damit dürfen nur noch Beschäftige die Betriebsstätte betreten, die entweder gegen Corona geimpft sind, von einer Corona-Infektion genesen sind oder einen gültigen negativen Test vorweisen können.

Wir möchten Ihnen hier ein paar Hinweise geben, wie diese Vorgaben datenschutzkonform umgesetzt werden und was aus Sicht des Datenschutzes zu beachten ist.

Für wen gilt die Pflicht zur Umsetzung von 3G?

Nach der Neufassung des Infektionsschutzgesetzes vom 19.11.2021 betrifft das alle Arbeitgeber und Beschäftigte. Wörtlich heißt es im Gesetz:

Arbeitgeber und Beschäftigte dürfen Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können, nur […], wenn sie geimpfte Personen, genesene Personen oder getestete Personen […] sind und einen Impfnachweis, einen Genesenennachweis oder einen Testnachweis […] mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben.

https://dserver.bundestag.de/btd/20/000/2000078.pdf

Damit ergibt sich die Pflicht zur Kontrolle aus dem Infektionsschutzgesetz für alle Kommunen. Die datenschutzrechtliche Grundlage ist somit die „Erfüllung einer rechtlichen Verpflichtung“ nach Art. 6 Abs. 1 lit c. DSGVO.

Muss ich die Nachweise überhaupt dokumentieren oder reicht die Sichtkontrolle?

Die datenschutzfreundlichste Lösung wäre natürlich, wenn auf Arbeitgeberseite erst gar keine Daten erhoben würden, wenn wir also nur morgens bei Arbeitsbeginn eine Sichtkontrolle durchführen würden. So weit, so gut. Je nach Größe der Verwaltung dürfte das aber an der Umsetzung scheitern. Außerdem ergibt es wirklich wenig Sinn, von Geimpften oder Genesenen täglich die Nachweise zu kontrollieren.

Der geänderte §28b Abs. 3 des IfSG schreibt die Dokumentation außerdem explizit vor:

Alle Arbeitgeber […] sind verpflichtet, die Einhaltung der Verpflichtungen […] durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren.

Wir brauchen also einen Kontrollprozess, der die Datenschutzvorgaben der DSGVO, des BDSG und der Landesdatenschutzgesetze berücksichtigt.

Wie sieht die datenschutzkonforme Umsetzung aus?

Obwohl im Infektionsschutzgesetz steht

[…] oder bei dem Arbeitgeber hinterlegt haben.

raten wir von der Erstellung von Kopien der Impf- oder Genesenennachweise ab.

Denn es gelten weiterhin die Anforderungen der DSGVO nach „Datenminimierung“. Hier gilt die goldene Regel „Daten, die ich nicht habe, muss ich auch nicht schützen.“

Wir empfehlen daher folgendes Vorgehen für eine möglichst datenarme und datenschutzfreundliche Umsetzung Ihrer Kontrollpflicht:

• Erstellen Sie eine Liste, in der Sie folgende Daten erfassen: Name der Beschäftigten, Datum der Kontrolle, Gültigkeitszeitraum des erbrachten Nachweises (Genesenennachweise sind nur 6 Monate gültig, digitale Impfzertifikate haben ein Ablaufdatum – i.d.R. 12 Monate nach Ausstellung, Tests müssen jeden Tag vorgelegt werden). Bei Namensgleichheit mehrerer Personen in Ihrer Verwaltung dürfen Sie zusätzlich das Geburtsdatum oder die Personalnummer erfassen, um Eindeutigkeit zu erreichen – aber nur bei diesen Personen!
• Erfassen Sie nicht die Art des vorgelegten Nachweises (geimpft oder genesen), das ist nicht erforderlich, da Sie nur geimpft oder genesen oder getestet kontrollieren müssen (über das Ablaufdatum des Nachweises ergibt sich das indirekt, das lässt sich aber nicht vermeiden…)
• Für Personen, die täglich einen Test vorlegen müssen, legen Sie eine separate Liste pro Person an, auf der Sie die täglichen Nachweise dokumentieren. Hier kann eine Unterscheidung zwischen Schnelltest oder PCR-Test sinnvoll sein, wenn die Tests eine unterschiedlich lange Gültigkeitsdauer haben (z.B. PCR für 48 Stunden gültig).
• Wir empfehlen zusätzlich, für jede Woche eine neue Liste anzulegen
• Versehen Sie die Liste direkt mit der Aufbewahrungsfrist, das macht die Sache einfacher.
• Betrauen Sie möglichst immer dieselbe Person in Ihrer Behörde oder Ihrem Unternehmen mit der Prüfung, um den Kreis der Personen, die die Informationen der Beschäftigten kennen, möglichst klein zu halten.
• Bewahren Sie die Listen zur Dokumentation an einem sicheren Ort auf.
• Die Informationen über den 3G Status dürfen nicht in die Personalakte der Beschäftigten aufgenommen werden.
• Achten Sie bei der Prüfung der Impfzertifikate darauf, dass Sie diese auch auf Gültigkeit prüfen. Dazu nutzen Sie die CovPassCheckApp: https://digitaler-impfnachweis-app.de/covpasscheck-app. Eine reine Sichtprüfung genügt nicht. Zusätzlich muss für eine korrekt durchgeführte Prüfung auch der Personalausweis der betreffenden Person kontrolliert werden – was bei Beschäftigten, die persönlich bekannt sind, natürlich entfallen kann (achten Sie doch mal darauf, wenn Sie das nächste Mal in Ihrer Freizeit kontrolliert werden, wer wirklich eine korrekte Kontrolle Ihres Impfzertifikates durchführt 😉)
• Beachten Sie auch die Beschäftigten, die vom HomeOffice direkt zu Kunden fahren o.ä. Hier müssen Sie die Prüfung ebenfalls dokumentieren. Eine Prüfung des Impfzertifikates ist z.B. per Webcam möglich – selbst getestet, die CovPassCheck App erkennt auch am Bildschirm die QR-Codes zuverlässig. Fordern Sie Ihre Beschäftigten nicht dazu auf, Nachweise per Mail, WhatsApp oder ähnliche Wege zu verschicken – auch wenn es so schön einfach ist.

Achtung: Das Infektionsschutzgesetz die regelmäßige Dokumentation vor. Da die Prüfdokumentation spätestens nach 6 Monaten gelöscht werden muss (siehe weiter unten), empfehlen wir, dass Sie auch die Nachweise, die noch gültig sind, jeden Monat zu Monatsbeginn erneut zu kontrollieren, um eine lückenlose Dokumentation über alle Beschäftigten zu haben.

Muster für eine Prüfliste

Wir haben Ihnen eine Mustervorlage erstellt, wie eine Prüfliste für einen Dokumentation aussehen kann. Sie können Sie kostenfrei herunterladen und nutzen:

 

Informationen von Mitarbeiterinnen und Mitarbeitern – Informationspflichten nach Art. 13 DSGVO

Für eine datenschutzkonforme Umsetzung der 3G-Kontrollen müssen Ihre Beschäftigten ausreichend über die Verarbeitung ihrer Daten und ihre Rechte informiert werden (Artikel 13 DS-GVO). Dies kann in Form von Datenschutzhinwiesen erfolgen, die Sie entweder per Aushang im Eingangsbereich gut sichtbar anbringen oder als Informationsblatt einzeln aushändigen oder im Intranet bei Ihrer übrigen Datenschutzdokumentation bereit stellen. Ein Muster für die Datenschutzhinweise erhalten Sie zusammen mit dem o.g. Download der Muster-Prüfliste.

Wie lange dürfen die Nachweise zum 3G-Status aufbewahrt werden?

Grundsätzlich gilt, im Sinne der DSGVO, dass Daten gelöscht werden müssen, wenn es keine Rechtsgrundlage für die Speicherung mehr gibt, die Daten also nicht mehr erforderlich sind. Das Infektionsschutzgesetz macht hier im §28b Abs. 3 eine eindeutige Vorgabe:

Die […] erhobenen Daten sind spätestens am Ende des 6. Monats zu löschen.

Sorgen Sie für einen sichere und datenschutzkonforme Löschung der Daten. Nutzen Sie dazu unbedingt einen Aktenvernichter, der den aktuellen Anforderungen genügt. Was bei Einsatz von Papier-Schreddern zu beachten ist, haben wir Ihnen hier zusammengestellt

Weiterführende Infos

Was es sonst noch aus Arbeitgebersicht zu beachten gibt, stellt das Bundesministerium für Arbeit und Soziales auf seiner Internetseite in den 3G-FAQ bereit.

Stellungnahmen der Datenschutzaufsichtsbehörden

Baden-Württemberg: Orientierungshilfe des Landebeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg

Bayern: Das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) stellt eine FAQ-Sammlung zu 3G im Beschäftigungsverhältnis bereit.

Berlin: Hinweise zur Anwesenheitsdokumentation der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Hamburg: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit der Freien und Hansestadt Hamburg hat eine umfangreiche Corona-FAQ erstellt.

Hessen: Empfehlungen zur datenschutzkonformen Umsetzung der 3-G-Regel am Arbeitsplatz des Hessischen Beauftragten für Datenschutz und Informationsfreiheit

Rheinland-Pfalz: Hinweise zu 3G am Arbeitsplatz des Landesbeauftragten für den Datenschutz und die Informationsfreiheit

Schleswig-Holstein: Hinweise zur Verarbeitung des Impf-, Sero- und Teststatus von Beschäftigten in Bezug auf COVID-19 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

 

Update vom 08.02.2022

Am 15.01.2022 trat die Änderung der COVID-19-Schutzmaßnahmen-Ausnahmenverordnung (SchAusnahmV) in Kraft. Damit kann das Paul-Ehrlich-Institut (PEI) die Kriterien für den Impfstatus von Personen ändern und anpassen. Eine Übersicht gibt es auf der Internetseite https://www.pei.de/impfstoffe/covid-19
Dort finden sich Tabellen, wieviel Impfungen in welcher Impfstoffkombination für einen vollständigen Impfschutz erforderlich sind.

Was bedeutet das nun für die Kontrolle des 3G-Status?

Man könnte nun auf die Idee kommen, auch die Daten der ersten Impfung zu erheben und Aufzeichnungen über den verwendeten Impfstoff zu machen. Für die Dokumentation der 3G-Kontrolle ist das allerdings nicht erforderlich.

Natürlich kann man anführen, dass der Gesetzgeber im Januar die Anzahl der erforderlichen Impfungen beim Johnson & Johnson Impfstoff von 1 auf 2 erhöht hat. Weiterhin gibt es derzeit Diskussionen über Auffrischungsimpfungen. Daten auf Vorrat zu speichern, weil sich möglicherweise in Zukunft etwas ändert, ist nach Datenschutzrecht allerdings nicht zulässig. Nach den heute gültigen gesetzlichen Regelungen ist eine JA/NEIN-Prüfung völlig ausreichend.

Es bleibt also dabei, dass unsere oben angeführte Musterliste das optimale datensparsame Werkzeug ist. Da wir ohnehin dazu raten, die Listen der 3G-Dokumentation nur für maximal 4 Wochen aufzubewahren, findet eine regelmäßige Kontrolle der Nachweise statt, bei der dann auf eventuell geänderte Voraussetzungen reagiert wird.