Menü
header-image

Rechtsgebiete/Coronavirus Covid-19/3G-Status am Arbeitsplatz

Der 3G-Status am Arbeitsplatz

Zum Umgang mit der Verarbeitung des 3G-, 2G-Status und anderer Gesundheitsdaten von Beschäftigten am Arbeitsplatz im nicht-öffentlichen Bereich im Zusammenhang mit Covid-19/Sars-Cov-2 unter Berücksichtigung datenschutzrechtlicher Bestimmungen.

Gesetzliche Ausgangslage

Die bisherigen grundlegenden Regelungen zum betrieblichen Infektionsschutz gelten zunächst bis einschließlich 19.03.2022 unverändert fort.

Bisherige Regelungen

Die bisherigen Regelungen beinhalten folgende Punkte:

  • Arbeitgeber sind weiterhin verpflichtet, in ihren Betrieben mindestens zweimal pro Woche für alle in Präsenz Arbeitenden Antigen-Schnell- oder Selbsttests anzubieten[1] (Testangebotspflicht, nicht Pflicht zur Durchführung von Tests).
  • Die Arbeitgeber müssen auf Basis einer Gefährdungsbeurteilung betriebliche Hygienekonzepte erstellen beziehungsweise vorhandene Konzepte anpassen und den Beschäftigten in geeigneter Weise zugänglich machen. Dazu wird zusätzlich auf die SARS-CoV-2-Arbeitsschutzregel und die branchenbezogenen Praxishilfen der Unfallversicherungsträger verwiesen.
  • Die Maskenpflicht bleibt überall dort bestehen, wo technische oder organisatorische Maßnahmen keinen ausreichenden Schutz bieten. Näheres ergibt sich aus dem betrieblichen Hygienekonzept.
  • Betriebsbedingte Personenkontakte sind nach wie vor einzuschränken.
  • Die gleichzeitige Nutzung von Räumen durch mehrere Personen ist auf das notwendige Minimum zu reduzieren.
  • Auch während der Pausenzeiten und in Pausenbereichen muss der Infektionsschutz gewährleistet bleiben.
  • Arbeitgeber müssen weiterhin Beiträge zur Erhöhung der Impfbereitschaft leisten, indem sie Beschäftigte über die Risiken einer COVID-19 Erkrankung und bestehende Möglichkeiten einer Impfung informieren, die Betriebsärzte bei betrieblichen Impfangeboten unterstützen sowie Beschäftigte zur Wahrnehmung außerbetrieblicher Impfangebote freistellen.

Neu hinzugekommene Regelungen

Neu hinzugekommen sind bundeseinheitliche Regelungen des betrieblichen Infektionsschutzes in §28b IfSG[2], die ebenfalls befristet bis einschließlich 19. März 2022 gelten. Diese umfassen:

  • betriebliche 3G-Regelungen: Arbeitgeber und Beschäftigte müssen unabhängig von der Beschäftigtenanzahl bei Betreten der Arbeitsstätte einen Impf- oder Genesenennachweis oder eine aktuelle Bescheinigung über einen negativen Coronatest mitführen, wenn ein physischer Kontakt mit anderen Personen nicht ausgeschlossen werden kann.
  • Arbeitgeber müssen täglich kontrollieren, ob die Beschäftigten dieser Verpflichtung nachkommen und diese Kontrollen dokumentieren.
  • Homeoffice-Pflicht: Der Arbeitgeber hat den Beschäftigten im Fall von Büroarbeit oder vergleichbaren Tätigkeiten anzubieten, diese Tätigkeiten in deren Wohnung auszuführen, wenn keine zwingenden betriebsbedingten Gründe entgegenstehen. Die Beschäftigten haben dieses Angebot anzunehmen, soweit ihrerseits keine Gründe entgegenstehen[3].
  • Die Regelung hängt nicht von irgendwelchen Kennzahlen ab (Inzidenzwert, Krankenhausbelegung o. ä.). Sie gilt automatisch, unabhängig von der Entwicklung des Infektionsgeschehens, bis zum 19. März 2022. ­
  • Die Nachweise sind an jedem Arbeitstag erforderlich. Personen ohne Impf- bzw. Genesenennachweis müssen also täglich einen Testnachweis vorlegen. ­Die Abstrichnahme darf dabei grundsätzlich nicht länger als 24 Stunden zurückliegen, außer bei PCR-Tests, diese sind nach Abstrichnahme für 48 Stunden gültig.
  • Die Vorgabe gilt in Arbeitsstätten, also auch im Außenbereich – ebenso beim vom Arbeitgeber organisierten Transport zur Arbeitsstätte ­
  • Die Regelung gilt für alle Betriebe, unabhängig von der Beschäftigtenzahl. ­
  • Die Regelung erfasst alle Beschäftigten, bei denen „physischer Kontakt“ zu anderen Personen nicht ausgeschlossen werden kann. ­
  • Die Kontrollen müssen grundsätzlich bereits vor bzw. bei Betreten der Arbeitsstätte oder des arbeitgeberseitigen Transports zur Arbeitsstätte erfolgen. Zur unmittelbaren Testung im Betrieb (oder auch für eine Impfung im Betrieb) ist ein Betreten jedoch auch ohne Nachweis zulässig.
  • Selbsttests vor Ort unter Aufsicht reichen als Nachweise für Personen ohne Impf- und Genesenennachweis aus.

Weitergehende Informationen

Das Bundesministerium für Arbeit und Soziales (BMAS) hat eine FAQ-Liste[4] zur bundesweiten 3G-Pflicht in allen Betrieben veröffentlicht.

Verarbeitung von Beschäftigtendaten

Grundsätzliche Überlegungen

Die DS-GVO[5] enthält selbst keine spezifischen Regelungen zur Verarbeitung von pbD im Beschäftigtenkontext (Beschäftigtendaten) im Pandemiefall. Stattdessen beinhalten Art. 6 Abs. 2 und Abs. 3 DS-GVO, Art. 9 Abs. 2 und Abs. 4 DS-GVO sowie Art. 88 Abs. 1 DS-GVO sogenannte Öffnungsklauseln. Sie ermöglichen den Mitgliedstaaten, spezifischere Vorschriften für die Verarbeitung von Beschäftigtendaten sowie für die Verarbeitung besonderer Kategorien von pbD im Sinne von Art. 9 Abs. 1 DS-GVO (Gesundheitsdaten) zu erlassen. Der Bundesgesetzgeber hat von dieser Befugnis mit Datenverarbeitungsregelungen im Infektionsschutzgesetz (IfSG) sowie der Landesgesetzgeber mit ergänzenden Verordnungen zur Corona-Pandemie Gebrauch gemacht.

Spezifische gesetzliche Grundlagen

Rechtsgrundlage der Verarbeitung

Die Berechtigung zur Verarbeitung von Beschäftigtendaten ergibt sich für Arbeitgeberinnen und Arbeitgeber aus dem nicht-öffentlichen Bereich[6] aus § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG)[7] beziehungsweise Art. 6 Abs. 1 S. 1 Bchst. f DS-GVO jeweils in Verbindung mit den tarif-, arbeits- und sozial-rechtlichen Regelungen des nationalen Rechts. Soweit Gesundheitsdaten verarbeitet werden, sind zudem spezialgesetzliche Bestimmungen, wie die des IfSG sowie § 26 Abs. 3 BDSG und Art. 9 Abs. 2 Bchst. b DS-GVO einschlägig.

Bei Maßnahmen gegenüber Dritten kann Art. 6 Abs. 1 Bchst. f DS-GVO als Rechtsgrundlage herangezogen werden. Soweit besonders sensible Daten – wie Gesundheitsdaten – betroffen sind, findet zudem Art. 9 Abs. 2 Bchst. i in Verbindung mit § 22 Abs. 1 Nr. 1 Bchst. c BDSG Anwendung.

Die Fürsorgepflicht der Arbeitgeberinnen und Arbeitgeber verpflichtet diese, den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Hierzu zählt nach Ansicht der unabhängigen Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die epidemische beziehungsweise pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und im Fall der Fälle der Nachverfolgbarkeit (also im Grunde nachgelagerte Vorsorge gegenüber den Kontaktpersonen) dient. Diese Maßnahmen müssen dabei auch verhältnismäßig sein. Die Daten sind vertraulich zu behandeln und dürfen ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks (regelmäßig also spätestens am Ende der Pandemie) müssen die erhobenen Daten unverzüglich gelöscht werden[8].

Einwilligungserklärungen

Eine Einwilligung der von den Maßnahmen Betroffenen allein sollte hingegen vorliegend nur als datenschutzrechtliche Verarbeitungsgrundlage in Betracht gezogen werden, wenn die Betroffenen über die Datenverarbeitung informiert sind, freiwillig in die Maßnahme einwilligen können und dabei den Anforderungen des § 26 Abs. 2 S. 2 BDSG Rechnung getragen wird.

Aufgrund des zwischen Arbeitgebern sowie ihren Beschäftigten bestehenden Über- und Unterordnungsverhältnisses bestehen regelmäßig Zweifel an der Freiwilligkeit und damit Rechtswirksamkeit der Einwilligung von Beschäftigten. Im Beschäftigtendatenschutz kann Freiwilligkeit insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen (§ 26 Abs. 2 S. 2 BDSG). Bei der Pandemiebekämpfung können insofern gleichgelagerte Interessen vorliegen.

Weitergehende Hinweise zu den einzelnen Voraussetzungen einer wirksamen Einwilligung enthalten die Leitlinien Nr. 05/2020 des Europäischen Datenschutzausschusses vom 4. Mai 2020[9] sowie das Kurzpapier Nr. 20 „Einwilligung nach der DS-GVO“ der DSK[10].

In diesem Zusammenhang ist bei Beschäftigten auch zu beachten, dass die Einwilligung zweckgebunden sowie grundsätzlich schriftlich oder elektronisch zu erfolgen hat, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist, § 26 Abs. 2 S. 3 BDSG.

Sicherheit der Verarbeitung

Für die Verarbeitung der 3G-Daten nach § 28b Abs. 3 IfSG gilt zudem § 22 Abs. 2 BDSG[11] entsprechend. § 22 Abs. 2 BDSG verpflichtet die Verantwortlichen – hier die Arbeitgeber – dazu, angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen vorzusehen. Zu diesen Maßnahmen kann zum Beispiel insbesondere die Verschlüsselung von digitalen Listen mit 3G-Daten gehören, § 22 Abs. 2 Nr. 7 BDSG. Wo immer möglich sollte eine anonymisierte und, wenn Anonymisierung nicht möglich ist, eine pseudonymisierte Verarbeitung erfolgen (§ 22 Abs. 2 Nr. 6 BDSG). Auch sollten die technischen und organisatorischen Maß-nahmen so gestaltet werden, dass angemessen berücksichtigt wird, dass es sich um eine besondere Kategorie personenbezogener Daten im Sinne des Art. 9 DSGVO handelt. Wegen der weiteren Einzelheiten wird auf § 22 Abs. 2 BDSG verwiesen.

Datenminimierung

Nach dem GrundS. der „Datenminimierung“, Art. 5 Abs. 1 Bchst. c DS-GVO muss zunächst geprüft werden, ob eine reine Abfrage der Gesundheitsdaten zur Zweckerreichung bereits ausreichend ist. Dann ist keine Speicherung erforderlich. Sollen die Gesundheitsdaten gespeichert werden, dürfen keine Nachweise (im Original oder in Kopie) in die Personalakte aufgenommen werden. Es ist ausreichend, wenn im Fall des § 28b IfSG auf Listen vermerkt wird, dass diese jeweils vorgelegt und geprüft worden sind.

Speicherdauer

Nach dem GrundS. der „Speicherbegrenzung“, Art. 5 Abs. 1 Bchst. e DS-GVO, und dem Recht auf Löschung, Art. 17 DS-GVO, müssen die personenbezogenen Daten gelöscht werden, sobald der Zweck für die Speicherung der Gesundheitsdaten entfallen ist. Das Gesetz sieht derzeit für 3G-Daten eine maximale Speicherdauer von sechs Monaten vor, § 28b Abs. 3 S. 9 IfSG. Eine Löschung kann indes auch früher erforderlich sein, wenn der jeweilige Zweck entfallen ist; zum Beispiel, wenn die Gültigkeitsdauer des jeweiligen Nachweises – so bei einem Antigen-Schnelltest nach 24 Stunden – abgelaufen ist, wird eine darüberhinausgehende Speicherung diesbezüglicher personenbezogener Daten zum Zwecke der Zutrittskontrolle regelmäßig nicht mehr erforderlich sein. Darüber hinaus ist die nach § 28b Abs. 7 IfSG begrenzte Geltungsdauer der gesetzlichen Rechtsgrundlagen zu berücksichtigen.

Zutrittskontrolle zur Arbeitsstätte

Arbeitgeber sind nach § 28b Abs. 3 S. 1 IfSG[12] verpflichtet zu prüfen, ob Beschäftigte, die ihre Arbeitsstätte betreten, geimpft, genesen oder aber getestet sind (Überprüfungspflicht).

Da es letztlich nur von Bedeutung ist, dass vor Betreten der Arbeitsstätte durch den jeweiligen Beschäftigten ein gültiger 3G-Nachweis vorgelegt wurde, wird der Überprüfungspflicht ausreichend entsprochen, wenn das vorgelegte Dokument durch den Arbeitgeber gesichtet beziehungsweise auf seine Gültigkeit hin überprüft wird (§ 2 Nr. 3, 5 und 7 SchAusnahmV[13]).

Arbeitgeber dürfen für die Erfüllung ihrer Überprüfungspflicht eigene Beschäftigte einsetzen oder Dritte beauftragten. Dabei ist zu beachten, dass – je nach Umfang der Datenverarbeitung durch die Dritten – Arbeitgeber möglicherweise mit diesen einen Auftragsverarbeitungsvertrag schließen müssen (Art. 28 DS-GVO). Dritte und Beschäftigte sollten zur Verschwiegenheit verpflichtet werden.

Kontrolle durch Pfortendienst

In Fällen, in denen die Kontrolle der Beschäftigten am Firmeneingang zum Beispiel durch einen Pfortendienst erfolgt, ist sichergestellt, dass nur kontrollierte Beschäftigte Zutritt zur Arbeitsstätte erlangen. Dabei reicht es aus, dass die Beschäftigten einen 3G-Nachweis vorlegen. Nach dem Gesetzeswortlaut ist die Frage offen, ob ein Abgleich des vorgelegten 3G-Nachweises mit Ausweisdokumenten erforderlich ist. An dieser Stelle müsste das Gesetz normenklar geändert werden. Praxisüblich dürfte – bei den kontrollierenden Personen nicht persönlich bekannten Beschäftigten – ein Sichtabgleich des 3G-Nachweises mit einem Werksausweis sein. In den Fällen, in denen kein Werkausweis existiert, könnte der Sichtabgleich des 3G-Nachweis mit einem amtlichen Ausweisdokument erfolgen.

Sammeltransporte durch Arbeitgeber für Beschäftigte

Bieten Arbeitgeber Sammeltransporte für mehrere Beschäftigte zur Arbeitsstätte oder von der Arbeitsstätte an, so dürfen sie dies nur tun, wenn sie und ihre Beschäftigten zum Zeitpunkt des Transportes geimpft, genesen oder getestet sind und einen jeweiligen Nachweis darüber mit sich führen und zur Kontrolle bereithalten oder bei ihrer Arbeitgeberin oder ihrem Arbeitgeber hinterlegt haben.

Auch um Sammeltransporte durchführen zu können, dürfen Arbeitgeber daher jeweils die 3G-Daten ihrer Beschäftigten – soweit erforderlich – verarbeiten, § 28b Abs. 3 S. 3 IfSG.

Nutzung von digitalen Kontrollapps

Legen Beschäftigte ihren 3G-Nachweis in digitaler Form vor, besteht auch für Arbeitgeber sowie die durch sie beauftragten Dritten die Möglichkeit, die Gültigkeit dieses Nachweises digital zu überprüfen. Arbeitgeber sowie die durch sie beauftragten Dritten können hierfür auf betriebseigenen Geräten zum Beispiel kostenfrei die CovPassCheck-App[14] des RKI installieren und mit dieser die Gültigkeit des 3G-Nachweises im Einzelfall prüfen. Die überprüfende Person sieht lediglich, dass ein gültiges Zertifikat vorliegt, nicht aber ob sich zum Beispiel um ein Impf- oder Genesenenzertifikat handelt. Weiterhin wird der Nachname, Vorname und das Geburtsdatum zur Verifizierung angezeigt. Ist der überprüfte Beschäftigte der kontrollierenden Person nicht persönlich bekannt, wird zudem – wie eben dargestellt – ein Sichtabgleich des 3G-Nachweises mit einem Werkausweis und wenn dieser nicht existiert mit einem amtlichen Ausweisdokument erforderlich sein. Eine Speicherung der digital durch den Beschäftigten vorgezeigten Daten findet durch die CovPassCheck-App nicht statt. Setzen Arbeitgeber sowie durch sie beauftragte Dritte zur Erfüllung ihrer Überprüfungspflicht digitale Anwendungen ein, bleiben sie für die datenschutzkonforme Verarbeitung der Beschäftigtendaten weiterhin verantwortlich (Art. 4 Nr. 7 DS-GVO).

Vereinfachte Kontrollprozesse

In der Gesetzesbegründung[15] zu der Vorschrift des § 28 b Abs. 3 IfSG wird ausgeführt, dass „bei den Kontrollen der Nachweise über den Status geimpft und genesen […] vereinfachte Kontrollprozesse anwendbar“ sind. Der Schwerpunkt der Kontrollen soll auf dem tagesaktuellen Testnachweis der Beschäftigten liegen. Aus dem Wortlaut der Vorschrift selbst ergibt sich jedoch nicht, dass Arbeitgeberinnen oder Arbeitgeber sowie die durch sie beauftragte Dritte differenziert erfassen dürfen, ob Beschäftigte geimpft, genesen oder getestet sind. Ist dies tatsächlich durch den Gesetzgeber gewünscht, müsste dies in der Vorschrift mit einer Gesetzesänderung normenklar geregelt werden. Möchten nun Arbeitgeber für einen vereinfachten Kontrollprozess den 2G-Status ihrer Beschäftigten und gegebenenfalls das Enddatum des jeweiligen Status (zum Beispiel bei Genesenennachweisen, digitalen Nachweisen) erfassen, wird ihnen aus Gründen der Rechtssicherheit geraten, unter Beachtung der geltenden gesetzlichen Anforderungen eine entsprechende Einwilligung ihrer Beschäftigten einzuholen. Zu den Anforderungen an eine freiwillige und damit rechtswirksame Einwilligung siehe die vorstehenden Ausführungen.

Beschäftigte sind allerdings nicht verpflichtet einen bestimmten 3G-Nachweis zu erbringen. Es ist genesenen oder geimpften Beschäftigten weiterhin freigestellt, auch aktuelle Testnachweise anstelle von Impf- oder Genesenen-nachweisen mitzuführen und bei Zutrittskontrollen ihres Arbeitgebers vorzulegen. Die Überprüfungspflicht der Arbeitgeber über den 3G-Status ihrer Beschäftigten ist – nach dem Wortlaut des Gesetzes – nicht mit einem umfänglichen Fragerecht über den Impf- oder Genesungsstatus verbunden.

Bei den Geimpften oder Genesenen können mit ihrer jeweiligen Einwilligung folgende Daten verarbeitet werden: Zutrittsdatum, Vor- und Zuname, Tatsache, dass ein 2G-Nachweis vorgelegt worden ist, gegebenenfalls das Ablaufdatum.

Beispiel:

Zutrittsdatum

Vorname

Zuname

2G-Nachweis vorgelegt

(gegebenenfalls) Ablaufdatum

01.12.2021

Max

Müller

+/Haken o. Ä.

 

 

Die Erfassung weiterer Daten, wie zum Beispiel des Impfstoffs, oder gar die Kopie sowie die Speicherung des Impfnachweises und/oder Genesenennachweises selbst ist grundsätzlich nicht erforderlich.

Hinterlegung eines 2G-Nachweises

Mit Einwilligung der betroffenen Beschäftigten können Arbeitgeber deren Impf- oder Genesenennachweise hinterlegen. Für die Verarbeitung dieser Gesundheitsdaten müssen angemessene und spezifische Schutzmaßnahmen getroffen werden, § 26 Abs. 3 S. 3 in Verbindung mit § 22 Abs. 2 BDSG.

Vorabübermittlung eines 3G-Nachweises

Es ist gesetzlich nicht vorgesehen, dass 3G-Nachweise bereits vorab postalisch oder elektronisch (beispielsweise per E-Mail oder in einer Videokonferenz) an den Arbeitgeber übermittelt werden. Eine solche Möglichkeit kann Beschäftigten regelmäßig nur auf Grundlage einer freiwilligen und damit rechtswirksamen Einwilligung eröffnet werden. Willigt der Beschäftigte nicht in die Vorabübermittlung seines 3G-Nachweises ein, muss ihm die Möglichkeit gegeben werden, vor Be-treten der Arbeitsstätte seinen 3G-Nachweis vorzeigen zu können. Falls Arbeitgeber Beschäftigten in diesem Zusammenhang anbieten, den 3G-Nachweis elektronisch einzureichen, müssen sie geeignete und angemessene Verfahren vorhalten, um Vertraulichkeit und Integrität der übertragenen Daten zu wahren (zum Beispiel obligatorische Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung von E-Mails).

Durch Arbeitgeber angebotene Tests

Es gibt drei Arten, wie Beschäftigte ein Testnachweis gegenüber Arbeitgebern erbringen können:

  • mittels einer Testbescheinigung eines zugelassenen Testzentrums, einer Apotheke oder eines Arztes;
  • sofern durch den Arbeitgeber angeboten, mittels einer betrieblichen Testung durch Personal, das die dafür erforderliche Ausbildung oder Kenntnis und Erfahrung besitzt, zum Beispiel Betriebsärzte;
  • sofern durch den Arbeitgeber angeboten, mittels Durchführung eines Selbsttests unter Aufsicht.

Hinsichtlich der ersten Variante (Testnachweis mittels Testbescheinigung) wird auf die obigen Ausführungen betreffend die 3G-Nachweise verwiesen.

Bei den beiden durch den Arbeitgeber möglicherweise angebotenen Nachweisvarianten ist zu beachten, dass im Anschluss an negative Testergebnisse keine weitere Verarbeitung von Beschäftigtendaten erforderlich sein dürfte. Fällt die betriebliche Testung oder aber der Selbsttest positiv aus, darf zunächst nur für die Personalabteilung vermerkt werden, dass der betroffene Beschäftigte aufgrund eines positiven Selbsttests die Arbeitsstätte nicht betreten durfte. Darüberhinausgehende Meldepflichten, wie etwa eine an das zuständige Gesundheitsamt, können sich aus weiteren Regelungen ergeben.

In einigen Bundesländern dürfen Arbeitgeberinnen und Arbeitgeber nach erfolgtem negativem Selbsttest den getesteten Beschäftigten hierüber eine Bescheinigung ausstellen, die die getesteten Beschäftigten in dem Gültigkeitszeitraum für den Zutritt zu Einrichtungen nutzen können,[16] die ebenfalls nur mit einer 3G-Bescheinigung betreten werden dürfen. Die Verarbeitung der Beschäftigtendaten für diese Bescheinigung kann nur mit einer freiwilligen und damit rechtswirksamen Einwilligung des betroffenen Beschäftigten erfolgen.

Dokumentationspflichten des Arbeitgebers; § 28b Abs. 3 S. 1 IfSG

Nach dem Wortlaut der Vorschrift müssen Arbeitgeber die Einhaltung der Verpflichtungen der Beschäftigten, ihre Arbeitsstätten nur geimpft, genesen oder getestet zu betreten, durch Nachweiskontrollen täglich überwachen und regelmäßig dokumentieren, § 28b Abs. 3 S. 1 IfSG. Der Vorschrift lässt sich nicht entnehmen, dass für diese Dokumentation personenbezogene Daten der kontrollierten Beschäftigten wie Vor- und Zunamen oder sogar eine differenzierte Dokumentation nach Impf-, Genesenen- oder Teststatus zu erfolgen hat. Deshalb muss an dieser Stelle geprüft werden, ob überhaupt und falls ja welche Beschäftigtendaten zur Erfüllung der Dokumentationspflicht erforderlich sind. Arbeitgeber werden für die Überprüfung der Zutrittsvoraussetzungen nachprüfbare Prozesse etablieren. Für die Erfüllung der Dokumentationspflicht wird es ausreichend sein, diesen Prozess, also durch wen und mit welchen Mitteln erfolgt die Zutrittskontrolle, sowie das Datum der Zutrittskontrolle regelmäßig zu dokumentieren. Die personengenaue Speicherung von Gesundheitsdaten der Beschäftigten oder gar das Kopieren von 3G-Nachweisen der Beschäftigten wird in der Regel nicht erforderlich sein[17].

Beispiel:

Datum der Kontrolle

Uhrzeit von - bis

Kontrolleur

Kontrollmittel

13.01.2022

07:30 – 12:30 Uhr

Martin Müller

Sichtkontrolle und CovPassCheck-App

13.01.2022

12:30 – 17:00 Uhr

Helga James

Sichtkontrolle und CovPassCheck-App

 

Anpassung des betrieblichen Hygienekonzepts; § 28b Abs. 3 S. 4 IfSG

Arbeitgeber dürfen die Ihnen bekannten 3G-Daten ihrer Beschäftigten auch verwenden, soweit es für die Anpassung ihres betrieblichen Hygienekonzeptes auf Grundlage der Gefährdungsbeurteilung gemäß § 5 und § 6 ArbSchG erforderlich ist, § 28 Abs. 3 S. 4 IfSG[18]. Der Gesetzgeber hat damit eine ausdrückliche und zulässige Zweckänderung der Verarbeitung von 3G-Daten zugelassen. Ob und welche personenbezogen Daten der Beschäftigten für diesen Zweck erforderlich sind, muss im Einzelnen geprüft werden. Für die Anpassung des Hygienekonzeptes reichen gegebenenfalls anonymisierte oder pseudonymisierte Daten der Beschäftigten aus. Zudem ist die langfristige Speicherung von personengenauen Daten der Beschäftigten unzulässig.

Es erscheint allerdings zweifelhaft, ob die Vorschrift ein Frage- und Auskunftsrecht des Arbeitgebers beinhaltet, denn die Vorschrift ermächtigt nur zur Verwendung von besonderen pbD, d.h. nicht die Erhebung dieser Daten. Eine Verwendung ist also nur zulässig, soweit diese besondere pbD auf andere Weise rechtmäßig erhoben worden sind.

Verarbeitung auf Grundlage von Rechtsverordnungen

Arbeitgeber dürfen die 3G-Daten von Beschäftigten auch verarbeiten, soweit dies durch Rechtsverordnungen zur Pandemiebekämpfung auf Basis des IfSG vorgegeben ist.

Verarbeitung im Gesundheitsbereich

Bestimmte – im Gesetz genannte – Arbeitgeber aus dem Gesundheitsbereich (Krankenhäuser, Arztpraxen usw.) dürfen unter den in § 23a, § 23 Abs. 3 IfSG[19] genannten gesetzlichen Voraussetzungen den Impf- und den Serostatus ihrer Beschäftigten verarbeiten soweit dies in Bezug auf übertragbare Krankheiten erforderlich ist. Die Befugnis umfasst auch ein entsprechendes Fragerecht des Arbeitgebers. Die Vorschrift dient dem Zweck, Krankenhausinfektionen zu verhüten und die Weiterverbreitung von Krankheitserregern durch medizinisches Personal verhindern[20].

Verarbeitung in besonderen Einrichtungen

Bestimmte – im Gesetz genannte – Arbeitgeber, zum Beispiel Trägerinnen und Träger von Kindertageseinrichtungen, ambulante Pflegedienste usw., dürfen unter den in § 36 Abs. 3 IfSG[21] genannten Voraussetzungen den Impf- und den Serostatus ihrer Beschäftigten im Zusammenhang mit COVID-19 verarbeiten. Die Befugnis umfasst auch ein entsprechendes Fragerecht des Arbeitgebers. Im Unterschied zu § 23a IfSG, der allgemein auf übertragbare Krankheiten abstellt, handelt es sich bei § 36 Abs. 3 IfSG um eine speziell auf Covid-19 bezogene Regelung im Bereich von Gemeinschaftseinrichtungen. Diese Vorschrift greift nach der aktuellen Regelung nur solange eine epidemische Lage von nationaler Tragweite gilt, mindestens aber bis zum 19.03.2022.

Verarbeitung zum Zweck einer Entschädigung

Arbeitgeber dürfen den Impfstatus derjenigen Beschäftigten verarbeiten, die ihnen gegenüber einen Anspruch auf Geldentschädigung (Lohnersatz) nach § 56 Abs. 1 IfSG[22] geltend machen. Anspruchsvoraussetzung ist unter anderem, ob die Möglichkeit einer Schutzimpfung gegen das Coronavirus SARS-CoV-2 bestand und ggfs ob ein Grund bestand, warum eine Schutzimpfung nicht möglich war. Insofern darf der Impfstatus im Rahmen der Antragstellung verarbeitet werden. Ein Beschäftigter ist allerdings nicht verpflichtet, dem Arbeitgeber seinen Impfstatus offen zu legen, denn § 56 Abs. 1 IfSG enthält keine spezielle Regelung zu einem Auskunftsanspruch des Arbeitgebers. Ein Beschäftigter kann die Entschädigung auch selbst bei der jeweils für ihn zuständigen Behörde beantragen, § 56 Abs. 5 S. 4 IfSG.

 

 

 


[1] Siehe auch 2170 AI Corona-Testpflicht

[2]www.gesetze-im-internet.de/ifsg/__28b.html

[3] Siehe auch AI Home-Office

[4]www.bmas.de/DE/Corona/Fragen-und-Antworten/Fragen-und-Antworten-ASVO/faq-corona-asvo.html

[5]dsgvo-gesetz.de

[6] Für den öffentlichen Bereich in Bayern existiert ein Arbeitspapier des BayLfD mit dem Titel „Verarbeitung des COVID-19-Impfstatus im bayerischen öffentlichen Dienst

[7]www.gesetze-im-internet.de/bdsg_2018/__26.html

[8] Orientierungshilfe „Häufige Fragestellungen nebst Antworten zur Verarbeitung von Beschäftigtendaten im Zusammenhang mit der Corona-Pandemie“ der DSK, Stand 20.12.2021, Seite 4

[9] Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 | European Data Protection Board (europa.eu)

[10]www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_20.pdf

[11]www.gesetze-im-internet.de/bdsg_2018/__22.html

[12]www.gesetze-im-internet.de/ifsg/__28b.html

[13]www.gesetze-im-internet.de/schausnahmv/__2.html

[14]www.digitaler-impfnachweis-app.de/covpasscheck-app/

[15]dserver.bundestag.de/btd/20/000/2000089.pdf

[16] In Bayern ist dies nach derzeitigem Stand nicht zulässig.

[17] Orientierungshilfe „Häufige Fragestellungen nebst Antworten zur Verarbeitung von Beschäftigtendaten im Zusammenhang mit der Corona-Pandemie“ der DSK, Stand 20.12.2021, Seite 13

[18]www.gesetze-im-internet.de/ifsg/__28b.html

[19]www.gesetze-im-internet.de/ifsg/__23.html

[20]dserver.bundestag.de/btd/18/052/1805261.pdf - Seite 63

[21]www.gesetze-im-internet.de/ifsg/__36.html

[22]www.gesetze-im-internet.de/ifsg/__56.html