Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Datenschutzkonforme Umsetzung der 3G-Regel am Arbeitsplatz

Sehr geehrte Damen und Herren,

am 24. November 2021 ist das „Gesetz zur Änderung des Infektionsschutzgesetzes und anderer Gesetze“ in Kraft getreten. Mit diesem Gesetzesvorhaben wurden verschiedene Maßnahmen zur Eindämmung der aktuellen Covid-19-Pandemie eingeführt bzw. verpflichtend vorgeschrieben, die vorerst befristet bis zum 19. März 2022 gelten. Zu den hiernach relevanten Schutzmaßnahmen gehört auch die sog. 3G-Regel, die fortan grundsätzlich am Arbeitsplatz gilt. Bei der rechtskonformen Umsetzung der nunmehr geltenden gesetzlichen Anforderungen, insbesondere der Formulierung entsprechender Hinweistexte und der Prüfung anvisierter Umsetzungsmechanismen unterstützen wir Sie gerne. Die folgenden Ausführungen sollen einen kurzen Überblick über die zu beachtenden rechtlichen Vorgaben sowie praktische Umsetzungs-Tipps geben.

I.  Die 3G-Regel

Vorläufig bis zum 19. März 2022 müssen Arbeitgeber am Arbeitsplatz die sog. 3G-Regel durchsetzen. Hiernach dürfen lediglich solche Beschäftigte Arbeitsstätten, in denen physische Kontakte nicht ausgeschlossen werden können, betreten, wenn sie geimpft, genesen oder getestet sind. Angesichts der Schutzziele des Gesetzes ist der Begriff der Betriebsstätte weit zu verstehen und umfasst dieser u. a. Arbeitsräume auf dem Betriebsgelände sowie Orte unter freiem Himmel auf dem Gelände eines Betriebs. Demgegenüber gilt das sog. Home-Office gerade nicht als Arbeitsstätte im Sinne des Infektionsschutzgesetzes. Ohne einen 3G-Nachweis dürfen Arbeitnehmer Arbeitsstätten lediglich betreten, um ein Test- bzw. Impfangebot, das durch den Arbeitgeber bereitgestellt wird, wahrzunehmen.

Die 3G-Regel gilt nach der aktuellen Ausgestaltung des Infektionsschutzgesetzes nicht ohne Weiteres auch für Dritte, etwa Dienstleister oder Kunden. Denn für Dritte sieht das Infektionsschutzgesetz lediglich bei gesundheitsrelevanten Einrichtungen, z. B. Krankenhäusern oder Pflegeeinrichtungen, eine Testpflicht vor (§ 28b Abs. 2 Infektionsschutzgesetz). Aber auch wenn das Infektionsschutzgesetz die 3G-Regel derzeit nicht für Dritte verpflichtend vorschreibt, dürfte die freiwillige Etablierung dieser Anforderung in der Regel von dem Hausrecht eines Unternehmens gedeckt sein. Ausnahmen könnten lediglich bei Unternehmen der Daseinsvorsorge denkbar sein, wenn die Durchsetzung der 3G-Regel gegenüber Dritten diesen nicht zumutbar sein sollte.

II.  Kontroll- und Dokumentationspflichten

Arbeitgeber sind verpflichtet, die Einhaltung der 3G-Regel am Arbeitsplatz täglich zu überwachen und regelmäßig zu dokumentieren. Die Erfüllung dieser Kontroll- und Dokumentationspflichten setzt die Verarbeitung personenbezogener Daten voraus. Bei Informationen, die sich auf den Status einer Person als geimpft, genesen oder getestet beziehen, handelt es sich um Gesundheitsdaten, bei denen grundsätzlich von einer besonderen Schutzbedürftigkeit auszugehen ist.

Das Infektionsschutzgesetz sieht eine ausdrückliche Ermächtigung zur Datenverarbeitung im Hinblick auf die bestehenden Kontroll- und Dokumentationspflichten vor (§ 28 Abs. 3 S. 2 Infektionsschutzgesetz). Weiterhin erlaubt das Infektionsschutzgesetz auch, die im Zusammenhang mit der Verwirklichung der 3G-Regel gewonnenen Daten zur Anpassung des betrieblichen Hygienekonzepts im Rahmen des Erforderlichen zu nutzen. Durch einen Verweis auf Vorgaben des Bundesdatenschutzgesetzes stellt der Gesetzgeber allerdings klar, dass in Bezug auf diese Daten technische und organisatorische Schutzmaßnahmen zur Anwendung kommen müssen, etwa Berechtigungskonzepte und Pseudonymisierungsmaßnahmen.

Soweit Testungen am Arbeitsplatz durchgeführt werden, hat der Arbeitgeber neben dem Testergebnis sowohl den Namen der Aufsichtsführenden als auch der Probanden sowie Datum und Uhrzeit der Testung zu dokumentieren.

Die Dokumentation kann digital, aber auch analog erfolgen. Auf Anfrage kann die Dokumentation von der zuständigen Aufsichtsbehörde herausverlangt werden. Näheres zur Erfüllung der Überwachungs- und Dokumentationspflichten soll künftig durch Rechtsverordnung geregelt werden. Wann die Rechtsverordnung in Kraft tritt, ist derzeit nicht bekannt. Auch ein Entwurf einer entsprechenden Verordnung wurde bislang nicht veröffentlicht.

III.  Speicherfristen

Personenbezogene Daten, die im Zusammenhang mit der Kontrolle der 3G-Regel erhoben werden, dürfen für einen Zeitraum von sechs Monaten ab ihrer Erhebung gespeichert werden (§ 28b Abs. 3 S. 9 Infektionsschutzgesetz).

IV.  Informationspflichten

Es stellt sich die Frage, inwiefern für den Arbeitgeber im Hinblick auf die Erhebung und Verarbeitung personenbezogener Daten zur Erfüllung seiner Kontroll- und Dokumentationspflichten auch Informationspflichten bestehen. Hierzu trifft das Infektionsschutzgesetz selbst keine ausdrückliche Aussage. Prinzipiell müssen Betroffenen bei jeder Datenverarbeitung bestimmte Mindestinformationen mitgeteilt werden, damit sie den Umfang der sie betreffenden Datenverarbeitung einschätzen können, insbesondere den Zweck der Datenverarbeitung und die Kontaktdaten der verantwortlichen Stelle. Diese allgemeine Informationspflicht gilt allerdings dann nicht, wenn und soweit die Betroffenen bereits über die betreffenden Informationen verfügen (Art. 13 Abs. 4 Datenschutzgrundverordnung). Damit müssen bereits erfolgte Informationen grundsätzlich nicht wiederholt werden. Allerdings bietet sich im Zusammenhang mit der Durchsetzung von Corona-Schutzmaßnahmen im Betrieb mindestens ein Hinweis auf die gewandelte gesetzliche Ausgangslage an. Auch steht Betroffenen ein Recht auf Auskunft im Hinblick auf die sie betreffenden Datenverarbeitungsprozesse zu. Insgesamt kann eine transparente Darstellung der erfolgenden Datenverarbeitungsprozesse das Vertrauen der betroffenen Angestellten in den Umgang mit ihren Daten stärken und damit auch die Akzeptanz der Maßnahmen insgesamt fördern.

V.    Zusammenfassung und Handlungsempfehlungen

Auch die nunmehr zu realisierenden Corona-Schutzmaßnahmen werfen verschiedene datenschutzrechtliche Fragestellungen auf. Soweit das Infektionsschutzgesetz oder weitere in diesem Kontext anwendbaren Rechtsvorschriften keine spezielleren Aussagen treffen, gelten die etablierten Datenschutzanforderungen, etwa der Grundsatz der Zweckbindung und die Betroffenenrechte, auch im Zusammenhang mit Datenverarbeitungsprozessen in diesem Kontext (vgl. § 28b Abs. 3 S. 9 Infektionsschutzgesetz). Verstößt der Arbeitgeber gegen datenschutzrechtliche Vorgaben, können sich damit auch in diesem Zusammenhang Bußgelder und Schadensersatzansprüche nach der DSGVO aktualisieren.

Art und Umfang der einzusetzenden Kontrollinstrumente und -verfahren werden derzeit gesetzlich nicht festgelegt. Nachweise könnten etwa – auf freiwilliger Basis – bei dem Arbeitgeber hinterlegt werden. Bei Arbeitnehmern, die einen hinreichenden Genesenen- oder Impfnachweis erbracht haben, könnte beispielsweise ein entsprechender Hinweis auf dem Dienstausweis angebracht werden. Es ist ratsam, auch das Ablaufdatum des Genesenen- bzw. Impfnachweises im Blick zu behalten und dieses ebenfalls zu dokumentieren. Angesichts des Grundsatzes der Datenminimierung genügt es bei getesteten Mitarbeitern grundsätzlich, am jeweiligen Kontrolltag den vollständigen Namen auf einer entsprechenden Liste zu vermerken. Es existieren bereits erste Software-Anwendungen, die die bestehenden Dokumentationsherausforderungen adressieren wollen.

In jedem Fall hat der Arbeitgeber sicherzustellen, dass unberechtigte Dritte – etwa Kollegen – keine Kenntnis von den erhobenen Gesundheitsdaten erlangen, soweit dies nicht für die Erfüllung ihrer arbeitsvertraglichen Pflichten, etwa weil sie die Testung von Mitarbeitern vor Ort beaufsichtigen, zwingend erforderlich ist. Soweit eine Verarbeitung von Gesundheitsdaten durch Mitarbeiter oder Dienstleister erfolgt, sind die betreffenden Personen ausdrücklich auf die Sensibilität der Daten hinzuweisen und im datenschutzkonformen Umgang mit diesen zu unterweisen.

Die Pflicht zur Einhaltung der 3G-Regel am Arbeitsplatz trifft den Arbeitgeber selbst. Dieser kann die Pflicht allerdings unter Einhaltung insbesondere datenschutzrechtlicher Vorgaben an Dritte bzw. Dienstleister delegieren. Insoweit wird der Abschluss einer Vereinbarung zur Auftragsverarbeitung gem. Art. 28 Datenschutzgrundverordnung erforderlich werden.

Der Gesetzgeber hat sich in § 28b Abs. 7 Infektionsschutzgesetz die Möglichkeit geschaffen, die derzeit geltende Rechtslage für weitere drei Monate und damit bis zum 19. Juni 2022 zu verlängern.

(Dr. Laura Schulte)