BeschäftigtendatenschutzCroronaDatenschutzDSGVOGesundheitsdatenKommunalTipps & Tricks3G am Arbeitsplatz datenschutzkonform - was Arbeitgeber jetzt wissen müssen - dampf.consulting GmbH

22. November 2021von Thorsten Dampf

Thorsten Dampf

Geschäftsführer, Datenschutzbeauftragter (IHK)

3G Kontrolle am Arbeitsplatz – was Arbeitgeber jetzt wissen müssen

In der letzten Woche haben Bundestag und Bundesrat die sogenannte 3G-Regel am Arbeitsplatz beschlossen. Damit dürfen nur noch Beschäftige die Betriebsstätte betreten, die entweder gegen Corona geimpft sind, von einer Corona-Infektion genesen sind oder einen gültigen negativen Test vorweisen können.

Wir möchten Ihnen hier ein paar Hinweise geben, wie diese Vorgaben datenschutzkonform umgesetzt werden und was aus Sicht des Datenschutzes zu beachten ist.

Für wen gilt die Pflicht zur Umsetzung von 3G?

Nach der Neufassung des Infektionsschutzgesetzes vom 19.11.2021 betrifft das alle Arbeitgeber und Beschäftigte. Wörtlich heißt es im Gesetz:

Arbeitgeber und Beschäftigte dürfen Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können, nur […], wenn sie geimpfte Personen, genesene Personen oder getestete Personen […] sind und einen Impfnachweis, einen Genesenennachweis oder einen Testnachweis […] mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben.

https://dserver.bundestag.de/btd/20/000/2000078.pdf

Damit ergibt sich die Pflicht zur Kontrolle aus dem Infektionsschutzgesetz für alle Kommunen. Die datenschutzrechtliche Grundlage ist somit die „Erfüllung einer rechtlichen Verpflichtung“ nach Art. 6 Abs. 1 lit c. DSGVO.

Muss ich die Nachweise überhaupt dokumentieren oder reicht die Sichtkontrolle?

Die datenschutzfreundlichste Lösung wäre natürlich, wenn auf Arbeitgeberseite erst gar keine Daten erhoben würden, wenn wir also nur morgens bei Arbeitsbeginn eine Sichtkontrolle durchführen würden. So weit, so gut. Je nach Größe der Verwaltung dürfte das aber an der Umsetzung scheitern. Außerdem ergibt es wirklich wenig Sinn, von Geimpften oder Genesenen täglich die Nachweise zu kontrollieren.

Der geänderte §28b Abs. 3 des IfSG schreibt die Dokumentation außerdem explizit vor:

Alle Arbeitgeber […] sind verpflichtet, die Einhaltung der Verpflichtungen […] durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren.

Wir brauchen also einen Kontrollprozess, der die Datenschutzvorgaben der DSGVO, des BDSG und der Landesdatenschutzgesetze berücksichtigt.

Wie sieht die datenschutzkonforme Umsetzung aus?

Obwohl im Infektionsschutzgesetz steht

[…] oder bei dem Arbeitgeber hinterlegt haben.

raten wir von der Erstellung von Kopien der Impf- oder Genesenennachweise ab.

Denn es gelten weiterhin die Anforderungen der DSGVO nach „Datenminimierung“. Hier gilt die goldene Regel „Daten, die ich nicht habe, muss ich auch nicht schützen.“

Wir empfehlen daher folgendes Vorgehen für eine möglichst datenarme und datenschutzfreundliche Umsetzung Ihrer Kontrollpflicht:

  • Erstellen Sie eine Liste, in der Sie folgende Daten erfassen: Name der Beschäftigten, Datum der Kontrolle, Gültigkeitszeitraum des erbrachten Nachweises (Genesenennachweise sind nur 6 Monate gültig, digitale Impfzertifikate haben ein Ablaufdatum – i.d.R. 12 Monate nach Ausstellung, Tests müssen jeden Tag vorgelegt werden). Bei Namensgleichheit mehrerer Personen in Ihrer Verwaltung dürfen Sie zusätzlich das Geburtsdatum oder die Personalnummer erfassen, um Eindeutigkeit zu erreichen – aber nur bei diesen Personen!
  • Erfassen Sie nicht die Art des vorgelegten Nachweises (geimpft oder genesen), das ist nicht erforderlich, da Sie nur geimpft oder genesen oder getestet kontrollieren müssen (über das Ablaufdatum des Nachweises ergibt sich das indirekt, das lässt sich aber nicht vermeiden…)
  • Für Personen, die täglich einen Test vorlegen müssen, legen Sie eine separate Liste pro Person an, auf der Sie die täglichen Nachweise dokumentieren. Hier kann eine Unterscheidung zwischen Schnelltest oder PCR-Test sinnvoll sein, wenn die Tests eine unterschiedlich lange Gültigkeitsdauer haben (z.B. PCR für 48 Stunden gültig).
  • Wir empfehlen zusätzlich, für jede Woche eine neue Liste anzulegen
  • Versehen Sie die Liste direkt mit der Aufbewahrungsfrist, das macht die Sache einfacher.
  • Betrauen Sie möglichst immer dieselbe Person in Ihrer Behörde oder Ihrem Unternehmen mit der Prüfung, um den Kreis der Personen, die die Informationen der Beschäftigten kennen, möglichst klein zu halten.
  • Bewahren Sie die Listen zur Dokumentation an einem sicheren Ort auf.
  • Die Informationen über den 3G Status dürfen nicht in die Personalakte der Beschäftigten aufgenommen werden.
  • Achten Sie bei der Prüfung der Impfzertifikate darauf, dass Sie diese auch auf Gültigkeit prüfen. Dazu nutzen Sie die CovPassCheckApp: https://digitaler-impfnachweis-app.de/covpasscheck-app. Eine reine Sichtprüfung genügt nicht. Zusätzlich muss für eine korrekt durchgeführte Prüfung auch der Personalausweis der betreffenden Person kontrolliert werden – was bei Beschäftigten, die Persönlich bekannt sind, natürlich entfallen kann (achten Sie doch mal darauf, wenn Sie das nächste Mal in Ihrer Freizeit kontrolliert werden, wer wirklich eine korrekte Kontrolle Ihres Impfzertifikates durchführt 😉)
  • Beachten Sie auch die Beschäftigten, die vom HomeOffice direkt zu Kunden fahren o.ä. Hier müssen Sie die Prüfung ebenfalls dokumentieren. Eine Prüfung des Impfzertifikates ist z.B. per Webcam möglich – selbst getestet, die CovPassCheck App erkennt auch am Bildschirm die QR-Codes zuverlässig. Fordern Sie Ihre Beschäftigten nicht dazu auf, Nachweise per Mail, WhatsApp oder ähnliche Wege zu verschicken – auch wenn es so schön einfach ist.

Achtung: Das Infektionsschutzgesetz die regelmäßige Dokumentation vor. Da die Prüfdokumentation spätestens nach 6 Monaten gelöscht werden muss (siehe weiter unten), empfehlen wir, dass Sie auch die Nachweise, die noch gültig sind, jeden Monat zu Monatsbeginn erneut zu kontrollieren, um eine lückenlose Dokumentation über alle Beschäftigten zu haben.

Muster für eine Prüfliste

Wir haben Ihnen eine Mustervorlage erstellt, wie eine Prüfliste für einen Dokumentation aussehen kann. Sie können Sie kostenfrei herunterladen und nutzen:

 

Informationen von Mitarbeiterinnen und Mitarbeitern – Informationspflichten nach Art. 13 DSGVO

Für eine datenschutzkonforme Umsetzung der 3G-Kontrollen müssen Ihre Beschäftigten ausreichend über die Verarbeitung ihrer Daten und ihre Rechte informiert werden (Artikel 13 DS-GVO). Dies kann in Form von Datenschutzhinwiesen erfolgen, die Sie entweder per Aushang im Eingangsbereich gut sichtbar anbringen oder als Informationsblatt einzeln aushändigen oder im Intranet bei Ihrer übrigen Datenschutzdokumentation bereit stellen. Ein Muster für die Datenschutzhinweise erhalten Sie zusammen mit dem o.g. Download der Muster-Prüfliste.

Wie lange dürfen die Nachweise zum 3G-Status aufbewahrt werden?

Grundsätzlich gilt, im Sinne der DSGVO, dass Daten gelöscht werden müssen, wenn es keine Rechtsgrundlage für die Speicherung mehr gibt, die Daten also nicht mehr erforderlich sind. Das Infektionsschutzgesetz macht hier im §28b Abs. 3 eine eindeutige Vorgabe:

Die […] erhobenen Daten sind spätestens am Ende des 6. Monats zu löschen.

Sorgen Sie für einen sichere und datenschutzkonforme Löschung der Daten. Nutzen Sie dazu unbedingt einen Aktenvernichter, der den aktuellen Anforderungen genügt. Was bei Einsatz von Papier-Schreddern zu beachten ist, haben wir Ihnen hier zusammengestellt

Weiterführende Infos

Was es sonst noch aus Arbeitgebersicht zu beachten gibt, stellt das Bundesministerium für Arbeit und Soziales auf seiner Internetseite in den 3G-FAQ bereit.

 

Stellungnahmen der Datenschutzaufsichtsbehörden

Baden-Württemberg: Orientierungshilfe des Landebeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg

Bayern: Das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) stellt eine FAQ-Sammlung zu 3G im Beschäftigungsverhältnis bereit.

Berlin: Hinweise zur Anwesenheitsdokumentation der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Hamburg: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit der Freien und Hansestadt Hamburg hat eine umfangreiche Corona-FAQ erstellt.

Hessen: Empfehlungen zur datenschutzkonformen Umsetzung der 3-G-Regel am Arbeitsplatz des Hessischen Beauftragten für Datenschutz und Informationsfreiheit

Rheinland-Pfalz: Hinweise zu 3G am Arbeitsplatz des Landesbeauftragten für den Datenschutz und die Informationsfreiheit

Schleswig-Holstein: Hinweise zur Verarbeitung des Impf-, Sero- und Teststatus von Beschäftigten in Bezug auf COVID-19 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

Thorsten Dampf

Notice: Trying to access array offset on value of type bool in /homepages/32/d841123359/htdocs/clickandbuilds/DatenschutzundITSicherheitinderKommune/wp-content/themes/applauz/views/prev_next.php on line 10
previous
Adressauskunft an Energieversorger - darf die Kommune die Daten heraus geben?

Haben Sie noch Fragen?

Gerne sind wir für Sie da!
dampf.consulting GmbH
Am Lermetsrain 9, 35327 Ulrichstein
Thorsten Dampf