1. Home
  2. News
  3. 3-G am Arbeitsplatz
  • Datenschutz

3-G am Arbeitsplatz

Corona beeinflusst seit nun fast 2 Jahren das tägliche Leben von uns allen.

Dies gilt auch oder besser gesagt gerade für den Arbeitsplatz. Der Arbeitsplatz ist ein Ort, an dem zwangsläufig Kontakte stattfinden und dies über längere Zeiträume hinaus.

Angesichts des sich beschleunigenden Infektionsgeschehens ist die Gefahr von Ansteckungen in Arbeitsstätten daher auch zwangsläufig größer geworden.

Dieser Gefahr soll jetzt die am 22.11.2021 vom Bundespräsidenten unterschriebene und am 23.11.2021 im Bundesanzeiger veröffentlichte Änderung am Infektionsschutzgesetz entgegenwirken.

Dies soll unter anderem durch die Einführung einer gesetzlichen Grundlage für 3G am Arbeitsplatz geschehen.

Rechtsgrundlage

Nach den datenschutzrechtlichen Regelungen gilt das Verbot mit Erlaubnisvorbehalt. Das heißt, dass jede Datenverarbeitung unzulässig ist, es sei denn es gibt eine gesetzliche Grundlage oder die betroffene Person willigt ein. Die Verarbeitung von Gesundheitsdaten, wozu der G-Status gehört, (geimpft, genesen oder getestet) ist nach der Systematik der DSGVO unerwünscht.

Obwohl der Artikel 9 Absatz 2 b DSGVO nach seinem Wortlaut die Verarbeitung sensibler Daten zur Erfüllung arbeitsrechtlicher Pflichten (z.B. die Gesundheit der Beschäftigten) dem Anschein nach zulässig ist, handelt es sich nur um eine sogenannte Öffnungsklausel, die es unter anderem dem deutschen Gesetzgeber erlaubt Rechtsgrundlagen zur Verarbeitung sensibler Daten schaffen.

Eine solche Rechtsgrundlage ist der § 26 Absatz 3 BDSG i.V.m mit dem neu geschaffenen § 28 b Absatz 1 Infektionsschutzgesetz (IfSG).

Der § 28 b IfSG verpflichtet nun den Arbeitgeber zu Einführung und Überwachung der 3-G Regeln am Arbeitsplatz.

„Arbeitgeber und Beschäftigte dürfen Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können, nur betreten….. wenn sie geimpfte Personen, genesene Personen oder getestete Personen im Sinne des ……. sind und einen Impfnachweis, einen Genesenennachweis oder einen Testnachweis im Sinne …..mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben“.

Dem Arbeitgeber wird jetzt mit dieser Vorschrift ein Nachfragerecht bzgl. von 3-G-Nachweisen seiner Arbeitnehmer eingeräumt. Dies war vor dem § 28 b IfSG nur unter sehr eingeschränkten Voraussetzungen möglich. Wollte man als Arbeitgeber nun wissen, ob die Beschäftigten geimpft, genesen oder getestet sind, so konnte man dies nur bewerkstelligen, indem man eine Einwilligung einholte.

(Eine Erläuterung zu dieser Problematik finden Sie in unserem Artikel unter der Überschrift „Dürfen Arbeitgeber den Impfstatus abfragen?“ https://www.gindat.de/news/detail///impfstatus.html )

Fraglich ist jetzt, ob der neue § 28 b IfSG die versprochen Abhilfe geschaffen hat.

Problem: Fragerecht

Leider ist der genaue Umfang der Rechte des Arbeitgebers bzgl. eines Nachfragerechts auch in der neuen Vorschrift nicht genau geregelt. So wird ein ausdrückliches Fragerecht in Bezug auf den Impfstatus seiner Arbeitnehmer dem Arbeitgeber auch weiterhin nicht zugesprochen.

Er muss die Einhaltung der 3-G Regeln anordnen und überprüfen, in welcher Form und im welchen Umfang dies zu erfolgen hat, lässt sich aus dem Gesetzestext nicht schließen.

Nach dem Wortlaut darf er personenbezogene Daten wie den Namen und das Vorliegen eines gültigen 3-G Nachweises abfragen und dokumentieren.

Bei Erfüllung der Nachweispflicht ist der datenschutzrechtliche Grundsatz der Datenminimierung (Ar. 5 Absatz 1 c DSGVO) zu beachten. Datenminimierung bedeutet, dass unter der Maßgabe gehandelt werden soll, nur so viele Daten zu verarbeiten, wie für den jeweiligen Zweck vonnöten sind. Für die Zutrittskontrolle reicht es unter diesem Gesichtspunkt aus, dass Arbeitgeber nachprüfbare Prozesse etabliert haben, auf welche Weise täglich der 3G-Status der Beschäftigten geprüft werden kann. So erfolgt auch keine Differenzierung zwischen Geimpften und Ungeimpften, die zur Ausgrenzung und Diskriminierung Ungeimpfter führen könnte. Ein möglicher Check-in kann z.B per Corona-Warn-App oder CovPassCheck App erfolgen, die Apps speichern keine Informationen ab, sondern verifizieren nur die Gültigkeit des QR Codes und das Vorliegen eines der 3 G’s.

Möchte der Arbeitgeber dagegen den Impf- oder Genesenenstatus speichern, ist das nicht mehr erforderlich, um die Pflicht aus dem § 28 Absatz 1 b Infektionsschutzgesetz zu erfüllen, da ein milderes datenschutzfreundliches Mittel zur Verfügung steht. Unerheblich ist dabei, dass der § 28 b IfSG es als zulässig erachtet, dass sogar der Impfnachweis hinterlegt werden kann. Denn durch das tägliche Kontrollieren ist es möglich, sowohl der Pflicht aus dem Infektionsschutzgesetz nachzukommen und die rechtlichen Regelungen des Datenschutzes zu beachten. Möchte man dennoch den Impf- oder Genesenenstatus speichern, so ist das nur mit einer Einwilligung nach Artikel 9 Absatz 2 DSGVO, § 26 Absatz 2 BDSG möglich.

(Eine Textvorlage bzgl. einer Einwilligung zum Abspeichern von Daten bzgl. der 3 –G Regel finden Sie unter MyGindat unter Punkt 31.).

Eine Abspeicherung der Daten sollte zumindest bis zum 19.03.2022 erfolgen, um nötigenfalls einer Nachweispflicht nachkommen zu können.

Technische und organisatorische Maßnahmen

Zusätzlich hat der Arbeitgeber geeignete technische und organisatorische Maßnahmen zu ergreifen (vgl. § 22 Absatz 2 BDSG). Das bedeutet insbesondere, dass der Arbeitgeber sicherstellen muss, dass unbefugte Personen keinen Einblick in den Impf- oder Genesenenstatus erhalten. Welche Maßnahmen zu ergreifen sind, hängt in erster Linie davon ab, wie die 3-G Kontrolle umgesetzt wird.

Bei der täglichen Kontrolle ist nur eine Person einzusetzen, die den G-Status prüft. Die Prüfung sollte entweder mittels Abhackens auf einer Liste erfolgen, aus der jedoch nicht hervorgeht, ob die Person geimpft, genesen oder getestet ist, oder durch eine App, die den Status nur prüft und nicht speichert (z.B. CovPassCheck App, Corona-Warn-App). Die Liste ist täglich datenschutzkonform zu entsorgen.

Entscheidet sich der Arbeitgeber dafür den G – Status zu speichern, so ist zu beachten, dass erhöhte Risiken für die Beschäftigten bestehen, weshalb andere Maßnahmen zu ergreifen sind (z. B. Verschlüsselung, Berichtigungskonzept, Löschkonzept, Pseudonymisierung).

Fazit

Leider bleibt die Änderung des Infektionsschutzgesetzes aus datenschutzrechtlicher Sicht hinter den Erwartungen zurück.

So wird dem Arbeitgeber zwar eine Pflicht zur Einführung und Überprüfung der 3-G-Regel auferlegt, jedoch nicht geregelt, wie er denn dieser Pflicht nachzukommen hat und im welchen Umfang ihm dafür Ansprüche zustehen.

So wird z.B. lediglich auf die Möglichkeit der Hinterlegung der Impf- oder Genesenennachweise verwiesen.

Eine Pflicht des Arbeitnehmers, seine Nachweise bei seinem Arbeitgeber zu hinterlegen, geht daraus jedoch nicht hervor.

Daher wären auch explizite Regelungen zum Datenschutz wünschenswert gewesen.

So lässt sich eine Schweigepflicht der kontrollierenden Personen gerade gegenüber dem Arbeitgeber nicht aus den Vorschriften entnehmen.

Auch wären Vorschriften für Pseudonymisierungsmaßnahmen hilfreich und wünschenswert gewesen.

Die Abfrage des G-Status ist dennoch begrüßenswert und ein Schritt in die richtige Richtung. Dennoch sind die datenschutzrechtlichen Stolperfallen zu beachten. Bei der datenschutzkonformen Umsetzung steht Ihnen Ihr Datenschutzbeauftragter zur Seite.

Marc Gennat ( Diplomjurist)

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo