Zum Hauptinhalt springen

Achtung Datenschutz – So setzen Sie 3G am Arbeitsplatz DSGVO-konform um

von Katja Uhde – 15. Februar 2022

Die 3G-Regel am Arbeitsplatz verursacht viele datenschutzrechtliche Fragen und Bedenken. In diesem Artikel gehen wir auf die wichtigsten Fragen zum Datenschutz ein und geben Ihnen konkrete Handlungsempfehlungen.

Seit Inkrafttreten der 3G-Regel am Arbeitsplatz im November 2021 haben Sie als Arbeitgeber eine Kontroll- und Dokumentationspflicht. Nur wenn Ihre Mitarbeiter nachweisen können, eine der drei Voraussetzungen zu erfüllen – also geimpft sind, seit maximal drei Monaten genesen sind oder einen aktuellen Negativtest haben – darf ihnen der Zutritt zum Arbeitsplatz gewährt werden.

Doch wie lässt sich diese Pflicht im Einklang mit den geltenden Datenschutzbestimmungen umsetzen? Die folgenden Fragen und Antworten schaffen Klarheit!

Welche datenschutzrechtlichen Grundsätze gelten bei der 3G-Pflicht am Arbeitsplatz?

Mit der Einführung der 3G-Pflicht am Arbeitsplatz haben die datenschutzrechtlichen Grundsätze, die vor allem in der europäischen Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) geregelt sind, nicht an Bedeutung verloren.

Bei den im Rahmen der 3G-Pflicht zu verarbeitenden Daten handelt es sich nicht nur um personenbezogene Daten, sondern sogar um besonders sensible Gesundheitsdaten. Diese dürfen gem. Artikel 9 Abs. 1 DSGVO eigentlich nicht verarbeitet werden, es sei denn es liegt mindestens eine der in Abs. 2 genannten Ausnahmen vor. Das ist durch § 28b Infektionsschutzgesetz (IfSG), der die 3G-Pflicht gesetzlich regelt, gewährleistet. Ebenfalls zu beachten ist Artikel 6 DSGVO, der die Rechtmäßigkeit der Verarbeitung regelt.

Für die Praxis bedeutet dies, dass Sie die Grundsätze des Datenschutzes auch bei der 3G-Pflicht am Arbeitsplatz beachten müssen. Das sind insbesondere:

  • Datensparsamkeit/Datenminimierung: Es dürfen nur die Daten erfasst werden, die für die Kontrolle der 3G-Pflicht unverzichtbar sind. Die Verarbeitung weiterer Daten ist selbst dann nicht zulässig, wenn sie für die Durchführung der Kontroll- und Dokumentationspflicht hilfreich wären, weil sie den Prozess zum Beispiel beschleunigen oder vereinfachen würden.
  • Zweckbindung: Die Daten dürfen nur für den Zweck verarbeitet werden, um der Kontroll- und Dokumentationspflicht im Rahmen der 3G-Pflicht am Arbeitsplatz nachzukommen.
  • Richtigkeit: Die Daten müssen inhaltlich und sachlich richtig und aktuell gehalten werden – besonders wichtig, wenn Impf- oder Genesenenstatus ihre Gültigkeit verlieren.
  • Vertraulichkeit: Die Daten dürfen nur denen zugänglich sein, die diese zur Umsetzung der 3G-Pflicht unbedingt benötigen (einschließlich beauftragter Vertreter). Vor unbefugtem Zugriff sind die Daten mittels geeigneter Maßnahmen zu schützen.
  • Speicherbegrenzung: Die Daten dürfen nur so lange wie notwendig gespeichert werden – also maximal bis zum Auslaufen der 3G-Pflicht am Arbeitsplatz. Der Gesetzgeber reduziert die Speicherdauer in diesem Fall sogar auf maximal sechs Monate.
  • Transparenz: Der Mitarbeiter hat jederzeit das Recht, Auskunft darüber zu verlangen, welche Daten über ihn gespeichert sind.

Welche Daten sollten Sie von Ihren Mitarbeitern erheben?

Der Gesetzgeber macht dazu im Infektionsschutzgesetz keine konkreten Angaben. Normalerweise sind Gesundheitsdaten von Arbeitnehmern, zu denen auch der 3G-Status gehört, strengen Richtlinien unterworfen. Sie unterliegen der informationellen Selbstbestimmung, die durch das Grundgesetz geschützt ist.

Neben der täglichen Kontrollpflicht gilt für Arbeitgeber auch eine regelmäßige Dokumentationspflicht (§ 28b Abs. 3 Satz 1 IfSG). Um dieser – und somit seiner Fürsorgepflicht – nachkommen zu können, dürfen personenbezogene Daten über den Impf-, Genesenen- oder Teststatus der Beschäftigten in einem engen Rahmen, der den oben genannten Grundsätzen entspricht, verarbeitet werden. Voraussetzung ist stets, dass diese Daten zur Überwachung und Dokumentation der gesetzlichen Zutrittsbeschränkungen notwendig sind.

Dazu zählen folgende personenidentifizierenden Daten, die im Zweifel an das Gesundheitsamt übermittelt werden müssen, und der Personalabteilung in der Regel ohnehin vorliegen:

  • Vor- und Nachname
  • Geschlecht
  • Geburtsdatum
  • Anschrift der Hauptwohnung oder des gewöhnlichen Aufenthaltsortes
  • Telefonnummer und E-Mailadresse

Um nachweisen zu können, dass Sie Ihrer Kontrollpflicht nachgekommen sind und die jeweiligen Mitarbeiter an ihren Arbeitsplätzen arbeiten dürfen, sollten Sie zusätzlich folgende den 3G-Status betreffende Daten erfassen – sofern der Mitarbeiter der Verarbeitung zustimmt:

Bei vorliegendem Impfnachweis:

  • Tatsache, dass ein 3G-Nachweis in Form eines gültigen Impfzertifikates vorliegt
  • Gültigkeitsdauer des Zertifikates, sofern das Ablaufdatum vor dem 19. März 2022 liegt
  • Nicht erforderlich und daher laut gängiger Meinung der Landesbeauftragten für Datenschutz unzulässig sind: Datum der jeweiligen Impfungen, verabreichter Impfstoff
  • Die Deutsche Krankenhausgesellschaft empfiehlt im Rahmen der einrichtungsbezogenen Impfpflicht zusätzlich die Anzahl der Impfungen, die Daten der einzelnen Impfungen bzw. Auffrischimpfungen sowie den bzw. die verwendeten Impfstoffe zu dokumentieren. Das ist dahingehend schlüssig, da abhängig vom Impfstoff und seines Verabreichungszeitpunktes durchaus abweichende Stadien hinsichtlich des vollständigen Impfschutzes gelten können – auch in Zukunft.

Bei vorliegendem Genesenennachweis:

  • Art, Datum und Teststelle der Testung zum Nachweis der vorherigen Infektion

Bei vorliegendem Testergebnis:

  • Zeitpunkt des Tests
  • Ort des Tests
  • Art des Tests (z. B. Antigen-Schnell- oder PCR-Test)
  • Ergebnis des Tests
  • Bei Testung durch Arbeitgeber: Aufsichtsperson

Bekanntermaßen hat der Mitarbeiter ein Wahlrecht – auch dann, wenn er geimpft oder genesen ist. Er muss keine Auskunft zu seinem Impf- oder Genesenenstatus geben und kann stattdessen die Testung als Alternative wählen. Entsprechend haben Sie kein Fragerecht nach dem 3G-Status.

Es ist nicht vorgesehen und somit auch nicht erlaubt nach Kopien der Nachweise zu fragen. Mit der Einwilligung des Beschäftigten ist es freilich dennoch möglich einen Impf- oder Genesenennachweis so lange zu hinterlegen, wie er gültig ist bzw. längstens bis zur Aufhebung der 3G-Pflicht.

Achtung: Frage nach Impf- und Genesenenstatus nicht zulässig!

Sie dürfen von Ihren Beschäftigten keine gezielte Auskunft zum Impf- oder Genesenenstatus einholen. Die Frage danach, ob ein Arbeitnehmer geimpft ist oder ob er sich bereits mit dem Coronavirus infiziert hat, ist somit unzulässig. Sie dürfen lediglich fragen, wie ein Mitarbeiter die 3G-Regel erfüllt und dann die jeweiligen Daten aufnehmen. Der Mitarbeiter kann frei entscheiden, welchen Nachweis er erbringt. Auch geimpfte und genesene Mitarbeiter können täglich ein negatives Testergebnis erbringen und müssen somit keine Daten zur Impfung oder Genesung abgeben.

Wie müssen die Gesundheitsdaten gesichert werden?

Artikel 32 der DSGVO schreibt vor, dass Sie dem Risiko angemessene und spezifische Schutzmaßnahmen zur Sicherheit der Personen- und Gesundheitsdaten gewährleisten müssen. Eine Auswahl der Sicherheitsmaßnahmen, mit denen die Daten u. a. vor dem Zugriff Unbefugter geschützt werden sollen, können Sie dem Artikel entnehmen. Das Bundesministerium für Wirtschaft und Energie hat außerdem eine Corona-unabhängige Orientierungshilfe zum Gesundheitsdatenschutz herausgegeben.

Darf die Überprüfung der 3G-Regel an Mitarbeiter delegiert oder Dritte ausgelagert werden?

Ja, das ist erlaubt. Beauftragte aus dem Unternehmen sollten hinsichtlich der oben genannten Datengrundsätze geschult und gründlich über ihre Verschwiegenheitspflicht aufgeklärt werden. Lassen Sie sich eine entsprechende Verschwiegenheitserklärung unterzeichnen.

Beauftragen Sie Dritte mit der Kontrolle der 3G-Pflicht, dann ist in der Regel der Abschluss eines Auftragsverarbeitungsvertrages notwendig (Artikel 28 DSGVO).

Unabhängig davon, ob die Kontrollen von internen oder externen Kräften durchgeführt werden, sollte der Kreis der Befugten möglichst klein gehalten werden.

Muss oder darf der 3G-Nachweis mit dem Ausweis abgeglichen werden?

Das Infektionsschutzgesetz trifft hierzu keine klare Aussage. Wenn die Kontrolle jedoch von Personen durchgeführt wird, denen die Beschäftigten nicht allesamt persönlich bekannt sind, kann laut Empfehlung der Datenschutzkonferenz ein Sichtabgleich mit einem Ausweisdokument erfolgen. Sofern ein Werks- oder Mitarbeiterausweis existiert, ist dieser immer einem amtlichen Ausweisdokument wie einem Personalausweis oder Reisepass vorzuziehen. Daten des Ausweises dürfen im Rahmen der 3G-Pflicht nicht erfasst oder verarbeitet werden.

Können Mitarbeiter dazu aufgefordert werden, Nachweise vorab z. B. per E-Mail zu übermitteln?

Arbeitgeber können diese Option zur Vereinfachung und Beschleunigung der örtlichen Überprüfung als freiwillige Option anbieten. Für den Arbeitnehmer besteht jedoch keine Pflicht zur Vorabübermittlung des Nachweises. Ermöglichen Sie eine elektronische Einreichung, so müssen geeignete Maßnahmen ergriffen werden, um die Vertraulichkeit und Integrität der übertragenen Daten zu wahren (z. B. End-zu-End-Verschlüsselung).

Muss die 3G-Kontrolle als Verarbeitungstätigkeit im Sinne der DSGVO aufgenommen werden?

Ja, gem. Artikel 30 DSGVO müssen Sie die Kontrolle und Dokumentation der 3G-Pflicht in Ihr Verzeichnis von Verarbeitungstätigkeiten aufnehmen.

Darf ein positiv getesteter Mitarbeiter im Betrieb namentlich genannt werden, um beispielsweise seine Kontaktpersonen zu identifizieren?

Laut der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder ist dies grundsätzlich nicht erlaubt, da eine namentliche Nennung positiv getesteter Arbeitnehmern nicht zwingend notwendig ist, um deren Kontaktpersonen ausfindig zu machen. Stattdessen kann die positiv getestete Person nach ihren Kontaktpersonen der letzten Tage befragt werden. Der Arbeitgeber kann diese dann kontaktieren und auf den Kontakt mit einer infizierten Person hinweisen, ohne dass deren Name genannt wird. So werden die Persönlichkeitsrechte des infizierten Mitarbeiters gewahrt.

Müssen Mitarbeiter über die Art und den Umfang der Datenverarbeitung informiert werden?

Ja, gem. Artikel 13 DSGVO haben Sie eine Informationspflicht gegenüber Ihren Beschäftigten. Hier finden Sie ein Musterschreiben, das Sie Ihren Mitarbeitern zukommen lassen oder aushängen können.

Wann müssen personenbezogene Daten gelöscht werden?

Das Infektionsschutzgesetz sieht eine Löschung der Daten nach spätestens sechs Monaten vor (§ 28b Abs. 3 Satz 9 IfSG). Gleichzeitig gilt die Zweckbindung. Das heißt, dass Sie die Daten sofort dann löschen müssen, wenn der Zweck – die 3G-Pflicht – nicht mehr gegeben ist. Das kann vor Ende der 6-Monats-Frist sein – aktuell gilt der 19. März 2022 als Ende der Regelung und somit des Zwecks.

Keine Angst vor dem Datenschutz – DSGVO-konforme 3G-Status-Erfassung mit unserer Software

Die Saneware 3G-Status-Software ist nicht nur die einfachste, sondern auch eine 100%ig datenschutzkonforme Möglichkeit, Ihrer Kontroll- und Dokumentationspflicht im Rahmen der Corona-Pandemie nachzukommen. Alles, was Sie zur Software-Lösung wissen müssen, erfahren Sie hier.

Hinweis: Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung männlicher und weiblicher Sprachformen verzichtet. Sämtliche Personenbezeichnungen gelten gleichermaßen für sämtliche Geschlechter – auch die jenseits von männlich und weiblich.

Teilen

Beliebte Beiträge

Magazin – 25. August 2021

5 Tipps für ein erfolgreiches BEM-Gespräch

Magazin Neues – 14. Dezember 2021

Alles zur 3G-Pflicht am Arbeitsplatz – und wie Sie den Status Ihrer Mitarbeiter effizient kontrollieren und dokumentieren

Magazin – 1. März 2022

Kostenlose Vorlage: So muss die ärztliche Bescheinigung aussehen, wenn sich Mitarbeiter nicht impfen lassen können

Nach oben