Die 3G-Pflicht am Arbeitsplatz kommt! – Datenschutzrechtliche ToDos

Heute am Mittwoch, den 24. November 2021, ist es soweit: Die 3G-Regel (geimpft, genesen, getestet), die uns seit Monaten im täglichen Leben begleitet, gilt auch am Arbeitsplatz. Die Umsetzung der neuen Regeln werfen selbstverständlich auch einige datenschutzrechtliche Fragen auf. Anhand der FAQs zum betrieblichen Infektionsschutz des Bundesministeriums für Arbeit und Soziales (BMAS) haben wir den folgenden Beitrag zum neuen Infektionsschutzgesetz (IfSG) und die daraus resultierende 3G-Nachweispflicht am Arbeitsplatz für Sie zusammengefasst.

 

Für wen gilt die 3G-Regel am Arbeitsplatz?

Der Anwendungsbereich der Neuregelung umfasst alle „Beschäftigten“. Wer darunter fällt, wird in § 2 Abs. 2 Arbeitsschutzgesetz (ArbSchG) geregelt. Demnach gelten als „Beschäftigte“ Arbeitnehmer, Auszubildende, arbeitnehmerähnliche Personen im Sinne des § 5 Abs. 1 des Arbeitsgerichtsgesetzes (ausgenommen die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten), Beamte, Richter, Soldaten, sowie die in Werkstätten für Behinderte Beschäftigten. Konkret bedeutet dies, dass alle o. g. Beschäftigte nachzuweisen haben, dass sie geimpft, genesen oder frisch getestet sind. Beschäftigte, die sich aus medizinischen Gründen nicht impfen lassen können, werden von der neuen 3G-Regelung nicht ausgenommen. D. h. auch für diese Beschäftigte ist die tägliche Überprüfung ihres negativen Teststatus oder ggf. ihres Genesenennachweises Voraussetzung für den Zugang zur Arbeitsstätte.

 

Welche Arbeitsstätten sind davon betroffen?

Die 3G-Regel ist Pflicht in allen Arbeitsstätten, also allen Betrieben. Umfasst ist gemäß § 28b IfSG nicht nur etwa das Büro, sondern auch Orte im Freien auf dem Betriebsgelände. Baustellen sind ebenfalls als Arbeitsstätte anzusehen, ebenso wie Lagerräume, Kantinen oder Unterkünfte. Eine Legaldefinition des Begriffs der „Arbeitsstätte“ findet man in § 2 Abs. 1 und 2 der Arbeitsstättenverordnung. In diesem Zusammenhang gilt das Homeoffice nicht als Arbeitsstätte.

 

Wer ist zuständig für die Einhaltung der 3G-Regel?

Die Sicherstellung einer möglichst flächendeckenden und lückenlosen Umsetzung der 3G-Regel am Arbeitsplatz setzt effiziente Kontrollmechanismen seitens des Arbeitgebers voraus. Gemäß § 28b Abs. 1 IfSG müssen die Impf-, Genesenennachweise oder der Schnelltest vom Arbeitgeber, vor dem Betreten der Arbeitsstätten geprüft und dokumentiert werden. Der Arbeitgeber kann jedoch die Überprüfung der Nachweise auch an geeignete Beschäftigte oder Dritte delegieren. Im Rahmen der Kontrollen liegt ein besonderes Augenmerk auf der Gültigkeit der Testnachweise. Voraussetzung für den Zugang zur Arbeitsstätte ist für nicht Geimpfte bzw. nicht Genesene die tägliche Überprüfung ihres negativen Teststatus. Selbsttests sind allerdings nicht mehr ausreichend. Erforderlich ist ein maximal 24 Stunden alter Schnelltest, der in einem öffentlichen Testzentrum oder in einer Arztpraxis durchgeführt worden ist. Zulässig sind ebenfalls Tests im Betrieb unter Arbeitgeberaufsicht oder durch ausgebildetes Personal. Der Arbeitgeber hat hierfür die Kosten zu tragen.

 

Welche Daten dürfen verarbeitet und durch den Arbeitgeber gespeichert werden?

Wie bereits oben erwähnt, müssen Arbeitgeber entweder Impf-, Genesenenstatus oder das Testergebnis ihrer Beschäftigten prüfen. Im Rahmen der Kontrolle ist der Arbeitgeber gemäß § 28b IfSG verpflichtet, personenbezogene Daten seiner Beschäftigten wie den Namen und das Vorliegen eines gültigen 3G-Nachweises inkl. der Gültigkeitsdauer bzw. des Ablaufdatums abzufragen und zu dokumentieren. Nach Auffassung des BMAS haben Arbeitgeber im Rahmen solcher Kontrolle den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO zu beachten und dürfen somit am jeweiligen Kontrolltag lediglich den Vor- und Nachnamen auf einer entsprechenden Liste „abhaken“ sowie einen Vermerk darüber erstellen, wenn der jeweilige 3G-Nachweis durch den Arbeitnehmer erbracht worden ist. Es scheint derzeit noch fraglich, welche datenschutzrechtliche Rechtsgrundlage für die 3G-Nachweispflicht einschlägig sein könnte. Die Datenschutzkonferenz, also das Gremium aller deutschen Datenschutzbehörden, vertritt derzeit die Ansicht, dass die Verarbeitung des Impfstatus von Beschäftigten auf eine spezifische gesetzliche Grundlage gestützt werden muss. § 26 Abs. 3 S. 1 BDSG allein reiche insofern nicht aus. Nach der Norm ist die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Allerdings war die DSK schon vor dem Inkrafttreten der Neuregelung des § 28b IfSG der Ansicht, dass u. a. gemäß § 56 IfSG eine Verarbeitung des Impfstatus im Rahmen von Entschädigungszahlungen zulässig ist. Es scheint insofern naheliegend, dass die DSK die nunmehr neu geregelten § 28b IfSG ebenfalls als Rechtsgrundlage anerkennen könnte. Das BMAS ist jedenfalls dieser Auffassung.

Die Nachweise können zudem in deutscher, englischer, französischer, italienischer oder spanischer Sprache sowie in schriftlicher oder digitaler Form vorliegen. Beschäftigte mit gültigem Impf- oder Genesenennachweis werden anschließend vor dem Betreten der Arbeitsstätten nicht mehr kontrolliert, wenn die Kontrolle einmal vorher erfolgte. Er sollte den Nachweis aber dennoch auch in der Arbeitsstätte für Kontrollen der zuständigen Behörde bereithalten.

Lediglich Beschäftigte, die weder geimpft noch genesen sind, müssen täglich getestet werden. Eine Anfertigung von Kopien von Impf- und/oder Genesenennachweisen ist nicht vorgeschrieben, jedoch freiwillig auf Grundlage einer Einwilligung nach § 26 Abs. 3 S. 2 BDSG denkbar.

 

Wie lange dürfen die Daten gespeichert werden?

Mit Inkrafttreten der Neuregelungen des IfSG darf der Arbeitgeber die personenbezogenen Daten zum G-Status seiner Beschäftigten speichern und verarbeiten. Die erhobenen Daten müssen jedoch spätestens nach sechs Monaten gelöscht werden. Jedoch dürfen nur solche Daten gespeichert und aufbewahrt werden, die entweder für die bestehenden Einlass- und Nachweiskontrollen oder das Hygienekonzept im Betrieb notwendig sind, hierbei ist insbesondere der Grundsatz der Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO zu beachten. Eine Datenverarbeitung zu weiteren Zwecken ist untersagt.

Die Impf-, Genesenen- und Testnachweise sind auf Anfrage der zuständigen Behörde vorzulegen. Auch zum Zwecke der behördlichen Kontrolle dürfen die personenbezogenen Daten der Beschäftigten bis zu sechs Monate gespeichert werden.

 

Datenschutzrechtliche Anforderungen

Mit Blick auf die Einführung der 3G-Regel am Arbeitsplatz sollten Unternehmen unter datenschutzrechtlichen Gesichtspunkten auf Folgendes achten:

 

  • Erstellung oder ggf. Anpassung der für Mitarbeiter und Dritte erforderlichen Datenschutzinformation.

 

  • Implementierung angemessener und spezifischer Datensicherheitsmaßnahmen hinsichtlich des verarbeiteten Impfstatus zur Wahrung der Interessen der betroffenen Beschäftigten und Dritten nach § 22 Absatz 2 BDSG (z. B. durch ein Berechtigungskonzept oder eine Pseudonymisierung der Daten).

 

  • Festlegung von Speicherfristen; die personenbezogenen Daten sind spätestens sechs Monate nach ihrer Erhebung zu löschen.

 

  • Ergänzung eines oder Anpassung eines bestehenden Eintrags im Verarbeitungsverzeichnis.
Wirtschaftsjuristin, Associate
Paola Giacone, LL.M.
Wirtschaftsjuristin, Associate
Paola Giacone, LL.M.

Zurück

News

Zusätzliche Schutzmaßnahmen für EU-Standardvertragsklauseln in der Praxis - Österreichische Datenschutzbehörde gibt eine erste Orientierung

Der Einsatz von Google Analytics steht nicht im Einklang mit der DSGVO. Zu diesem Schluss kam die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die der Datenschutzverein "Noyb" (none of your business bzw. Europäisches Zentrum für digitale Rechte) eingereicht hatte. In ihrem Bescheid setzt sich die DSB (leider nicht vertieft) mit den zusätzlichen Schutzmaßnahmen von Google auseinander, die das Unternehmen für Datentransfers in die USA vorsieht. In diesem Beitrag finden Sie eine kurze Übersicht der technischen und organisatorischen Maßnahmen, die die österreichische DSB in ihrem Teilbescheid berücksichtigt, jedoch als ungenügend eingestuft hat.

Rechtswidrige Datenübermittlung zwischen EU und USA und weitere Verstöße: Der EDSB erlässt Unterlassungsanordnung gegen das Europäische Parlament

Anfang Januar veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung, nachdem die Vereinigung noyb (none of your business bzw. European Centre for Digital Rights) bereits vor einem Jahr im Namen von sechs Mitgliedern des Europäischen Parlaments eine Beschwerde bzgl. einer Webseite des Europäischen Parlaments eingereicht hatte. In seiner Entscheidung geht der EDSB davon aus, dass die COVID-Testseite des Europäischen Parlaments gegen mehrere Datenschutzvorschriften verstößt. Kritisiert wurden in der Beschwerde von noyb insbesondere irreführende Cookie-Banner, vage und unklare Datenschutzinformationen und die illegale Übermittlung von personenbezogenen Daten in die USA. Der EDSB überprüfte den Fall und stellte einen Verstoß gegen die Verordnung (EU) 2018/1725 (nachfolgend „Verordnung)“, die zwar nur für EU-Institutionen gilt, der DSGVO jedoch sehr ähnelt, fest. Eine detaillierte Auflistung der einzelnen Verstöße sowie ihrer korrespondierenden Vorschriften in der Verordnung (EU) 2016/679 „EU-DSGVO“ finden Sie unter Nummer 4.

Musterverträge für internationale Geschäfte

Bei dem Münchner Verlag C.H.Beck ist die erste, von unserem Partner Prof. Dr. Burghard Piltz herausgegebene Edition zu Musterverträgen für das internationale Handels- und Vertriebsrecht erschienen.