Da im Zusammenhang mit der Corona-Pandemie vermehrt Gesundheitsdaten im Sinne des Art. 9 DSGVO verarbeitet werden, wirft dies natĂŒrlich auch im Datenschutz hĂ€ufig Fragen auf. So verhĂ€lt es sich auch mit der letzten Aktualisierung des Infektionsschutzgesetzes. Dieses bringt neue Regelungen mit sich – unter anderem zur Erfassung des 3G-Status von BeschĂ€ftigten durch den Arbeitgeber. Dadurch wird der Arbeitgeber verpflichtet, zu ĂŒberprĂŒfen, ob seine BeschĂ€ftigten gegen das Coronavirus geimpft, genesen oder negativ getestet sind. Diese Nachweiskontrollen mĂŒssen tĂ€glich erfolgen und dokumentiert werden. Auch der Arbeitgeber selbst, muss diesen Nachweis erbringen.

Einige Datenschutzaufsichtsbehörden haben hierzu bereits erste Handreichungen und Handlungsempfehlungen fĂŒr ein möglichst datenschutzkonformes Vorgehen bei der Erfassung von Gesundheitsdaten gegeben.

In Hinblick auf die Frage, wie die 3G-Regelung im Betrieb umzusetzen ist, gibt der Grundsatz der Datensparsamkeit gem. Art. 5 Abs. 1 lit. c DSGVO Aufschluss. Dieser besagt, dass nur verarbeitet werden sollte, was auch tatsĂ€chlich benötigt wird. Um der Nachweispflicht des § 28b IfSG nachkommen zu können, reicht es z.B. dem Bayerischen Landesamt fĂŒr Datenschutzaufsicht (BayLDA) zufolge aus, eine Liste mit den Namen der BeschĂ€ftigten zu fĂŒhren und fĂŒr den jeweils vorgelegten 3G-Nachweis Haken hinter dem Namen zu setzen. Dabei sei laut der Behörde nicht zu unterscheiden, um welche Art des 3G-Nachweises es sich handelt.

Je nach Unternehmensstruktur können tĂ€gliche Kontrollen der Mitarbeiter einen hohen betrieblichen Umsetzungsaufwand bedeuten. Bei solchen FĂ€llen könnte eine Kopie des Genesenen- oder Impfausweises in der Personalakte eine denkbare Erleichterung sein. Das Anfertigen einer Kopie darf allerdings nur mit einer freiwilligen Einwilligung der jeweiligen Person geschehen, die sich auf § 26 Abs. 2, 3 BDSG i.V.m. Art. 9 Abs. 1 DSGVO stĂŒtzt.

Die Datenschutzbehörden machen noch einige weitere Angaben zum Umgang mit der 3G-Regelung im Betrieb. Zum einen sollten die Vorgaben der Datensicherheit nach Art. 32 DSGVO zwingend eingehalten werden. Ebenso soll das Verfahren der Verarbeitung zur 3G-Regelung im Verzeichnis von VerarbeitungstĂ€tigkeiten (Art. 30 DSGVO) dokumentiert werden, da es sich hier um eine Datenverarbeitung im Betrieb handelt, die insbesondere Gesundheitsdaten betrifft. DarĂŒber hinaus sollte auch das Rechtemanagement darauf ausgerichtet sein, dass nur mit der Verarbeitung betraute Personen und keine Unbefugten Zugriff auf die Gesundheitsdaten der BeschĂ€ftigten erhalten. Auch gilt der Grundsatz der Zweckbindung, der besagt, dass eine Verarbeitung zu anderen Zwecken nicht zulĂ€ssig ist. Weiterhin seien die Daten nach Ablauf der Speicherdauer (spĂ€testens 6 Monate) entsprechend zu löschen.

Generell geben die Datenschutzbehörden die Empfehlung, immer eine individuelle Beurteilung der jeweiligen Situation im Unternehmen zu treffen und stets anzustreben, so datensparsam wie möglich vorzugehen. Kann z.B. auf Namenslisten verzichtet werden (z.B. bei einem sehr kleinen Unternehmen), sollte man dies auch tun. Kann darauf verzichtet werden, den Impf- und Genesenenstatus zu speichern, sollte auch hierauf verzichtet werden (z.B. bei einem ĂŒberschaubaren Kontrollaufwand). Erst, wenn der betriebliche Umsetzungsaufwand fĂŒr tĂ€gliche Kontrollen unverhĂ€ltnismĂ€ĂŸig oder praktisch nicht umsetzbar ist, kann eine Speicherung der „3G-Daten“ begrĂŒndbar werden.

FĂŒr Besucher gelten die 3G-Regelungen grundsĂ€tzlich nicht, da es keine konkrete Pflicht gibt, den „3G-Status“ von Besuchern zu prĂŒfen. Eine Ausnahme hierfĂŒr bildet das sogenannte „Hausrecht“ eines Unternehmens. Wichtig ist in einem solchen Fall, dass keine Speicherung des 3G-Nachweises und auch keine Protokollierung der PrĂŒfung erfolgt.

Die Neuerungen stellen die Unternehmen vor große Herausforderungen, da sowohl Arbeitgeber als auch BeschĂ€ftigte den Kontroll- und Nachweispflichten nachkommen mĂŒssen, aber dennoch der Datenschutz beachtet werden sollte. Dabei ist natĂŒrlich der Bußgeldrahmen mit bis zu 25.000 Euro nicht zu vernachlĂ€ssigen.

Sie finden weiterfĂŒhrende Informationen auf der Webseite des Bundesministeriums fĂŒr Arbeit und Soziales.

Quellenangaben:

  • Artikel „3G am Arbeitsplatz – Vorgaben der Datenschutzaufsichtsbehörden“, abgerufen am 22.12.2021 unter https://www.dr-datenschutz.de/3g-am-arbeitsplatz-vorgaben-der-datenschutzaufsichtsbehoerden