Da im Zusammenhang mit der Corona-Pandemie vermehrt Gesundheitsdaten im Sinne des Art. 9 DSGVO verarbeitet werden, wirft dies natürlich auch im Datenschutz häufig Fragen auf. So verhält es sich auch mit der letzten Aktualisierung des Infektionsschutzgesetzes. Dieses bringt neue Regelungen mit sich – unter anderem zur Erfassung des 3G-Status von Beschäftigten durch den Arbeitgeber. Dadurch wird der Arbeitgeber verpflichtet, zu überprüfen, ob seine Beschäftigten gegen das Coronavirus geimpft, genesen oder negativ getestet sind. Diese Nachweiskontrollen müssen täglich erfolgen und dokumentiert werden. Auch der Arbeitgeber selbst, muss diesen Nachweis erbringen.
Einige Datenschutzaufsichtsbehörden haben hierzu bereits erste Handreichungen und Handlungsempfehlungen für ein möglichst datenschutzkonformes Vorgehen bei der Erfassung von Gesundheitsdaten gegeben.
In Hinblick auf die Frage, wie die 3G-Regelung im Betrieb umzusetzen ist, gibt der Grundsatz der Datensparsamkeit gem. Art. 5 Abs. 1 lit. c DSGVO Aufschluss. Dieser besagt, dass nur verarbeitet werden sollte, was auch tatsächlich benötigt wird. Um der Nachweispflicht des § 28b IfSG nachkommen zu können, reicht es z.B. dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) zufolge aus, eine Liste mit den Namen der Beschäftigten zu führen und für den jeweils vorgelegten 3G-Nachweis Haken hinter dem Namen zu setzen. Dabei sei laut der Behörde nicht zu unterscheiden, um welche Art des 3G-Nachweises es sich handelt.
Je nach Unternehmensstruktur können tägliche Kontrollen der Mitarbeiter einen hohen betrieblichen Umsetzungsaufwand bedeuten. Bei solchen Fällen könnte eine Kopie des Genesenen- oder Impfausweises in der Personalakte eine denkbare Erleichterung sein. Das Anfertigen einer Kopie darf allerdings nur mit einer freiwilligen Einwilligung der jeweiligen Person geschehen, die sich auf § 26 Abs. 2, 3 BDSG i.V.m. Art. 9 Abs. 1 DSGVO stützt.
Die Datenschutzbehörden machen noch einige weitere Angaben zum Umgang mit der 3G-Regelung im Betrieb. Zum einen sollten die Vorgaben der Datensicherheit nach Art. 32 DSGVO zwingend eingehalten werden. Ebenso soll das Verfahren der Verarbeitung zur 3G-Regelung im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) dokumentiert werden, da es sich hier um eine Datenverarbeitung im Betrieb handelt, die insbesondere Gesundheitsdaten betrifft. Darüber hinaus sollte auch das Rechtemanagement darauf ausgerichtet sein, dass nur mit der Verarbeitung betraute Personen und keine Unbefugten Zugriff auf die Gesundheitsdaten der Beschäftigten erhalten. Auch gilt der Grundsatz der Zweckbindung, der besagt, dass eine Verarbeitung zu anderen Zwecken nicht zulässig ist. Weiterhin seien die Daten nach Ablauf der Speicherdauer (spätestens 6 Monate) entsprechend zu löschen.
Generell geben die Datenschutzbehörden die Empfehlung, immer eine individuelle Beurteilung der jeweiligen Situation im Unternehmen zu treffen und stets anzustreben, so datensparsam wie möglich vorzugehen. Kann z.B. auf Namenslisten verzichtet werden (z.B. bei einem sehr kleinen Unternehmen), sollte man dies auch tun. Kann darauf verzichtet werden, den Impf- und Genesenenstatus zu speichern, sollte auch hierauf verzichtet werden (z.B. bei einem überschaubaren Kontrollaufwand). Erst, wenn der betriebliche Umsetzungsaufwand für tägliche Kontrollen unverhältnismäßig oder praktisch nicht umsetzbar ist, kann eine Speicherung der „3G-Daten“ begründbar werden.
Für Besucher gelten die 3G-Regelungen grundsätzlich nicht, da es keine konkrete Pflicht gibt, den „3G-Status“ von Besuchern zu prüfen. Eine Ausnahme hierfür bildet das sogenannte „Hausrecht“ eines Unternehmens. Wichtig ist in einem solchen Fall, dass keine Speicherung des 3G-Nachweises und auch keine Protokollierung der Prüfung erfolgt.
Die Neuerungen stellen die Unternehmen vor große Herausforderungen, da sowohl Arbeitgeber als auch Beschäftigte den Kontroll- und Nachweispflichten nachkommen müssen, aber dennoch der Datenschutz beachtet werden sollte. Dabei ist natürlich der Bußgeldrahmen mit bis zu 25.000 Euro nicht zu vernachlässigen.
Sie finden weiterführende Informationen auf der Webseite des Bundesministeriums für Arbeit und Soziales.
Quellenangaben:
- Artikel „3G am Arbeitsplatz – Vorgaben der Datenschutzaufsichtsbehörden“, abgerufen am 22.12.2021 unter https://www.dr-datenschutz.de/3g-am-arbeitsplatz-vorgaben-der-datenschutzaufsichtsbehoerden