Empfehlungen zur datenschutzkonformen Umsetzung der 3-G-Regel am Arbeitsplatz

Bundestag und Bundesrat haben in der vergangenen Woche den Änderungen des Infektionsschutzgesetzes (IfSG) zugestimmt. Am 23.11.2021 wurde das Gesetz zur Änderung des Infektionsschutzgesetzes und weiterer Gesetze anlässlich der Aufhebung der Feststellung der epidemischen Lage von nationaler Tragweite vom 22.11.2021 im Bundesgesetzblatt verkündet. Nach Art. 22 Abs. 1 des Gesetzes ist ein wesentlicher Teil der Bestimmungen bereits am 24.11.2021 in Kraft getreten.

Fotolia_152960131_S.jpg

Bild Rechte Patienten

Aus datenschutzrechtlicher Perspektive ist insbesondere die neu geschaffene Regelung des § 28b IfSG von Bedeutung. Die Vorschrift macht den Zutritt zu Arbeitsstätten, in denen physische Kontakte nicht ausgeschlossen werden können, von der Einhaltung der sogenannten 3-G-Regel (Abfrage des Impf-, Genesenen- oder Teststatus) abhängig. Die Vorschrift gestattet damit – bei Einhaltung bestimmter Voraussetzungen – die Verarbeitung der im Rahmen der 3-G-Kontrolle anfallenden Gesundheitsdaten.

Grundsätzlich ist zu begrüßen, dass der nationale Gesetzgeber mit Blick auf die Verarbeitung von Gesundheitsdaten im Beschäftigungsverhältnis vor dem Hintergrund der Corona-Pandemie für mehr Rechtsklarheit sorgt. Er trägt damit nicht zuletzt auch den Forderungen der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder nach der Schaffung einer gesetzlichen Grundlage Rechnung, s.a. Beschluss der DSK vom 19.10.2021 „Verarbeitungen des Datums „Impfstatus“ von Beschäftigten durch die Arbeitgeberin oder den Arbeitgeber

Gleichwohl erreichen den Hessischen Beauftragten für Datenschutz und Informationsfreiheit aktuell sehr viele Anfragen zur Umsetzung der 3-G-Regel durch öffentliche und nicht-öffentliche Stellen mit Sitz in Hessen, da die Vorschrift des § 28b IfSG die Modalitäten der Verarbeitung von Gesundheitsdaten nicht abschließend klärt.

Vor diesem Hintergrund sollen die nachfolgenden Empfehlungen zur Umsetzung der 3-G-Regel am Arbeitsplatz als Hilfestellung dienen und für mehr Rechtsklarheit sorgen.

Regelungsinhalt des § 28b IfSG

Soweit es sich nicht um besondere Einrichtungen im Sinne des § 23 Abs. 3 Satz 1 oder § 36 Abs. 1 Nr. 2 und 7 IfSG (z. B. Krankenhäuser, Arztpraxen, ambulante Pflegedienste, Rettungsdienste, Einrichtungen zur Betreuung) handelt, sind insbesondere die folgenden Regelungen von Bedeutung:

  • Arbeitgeber sind verpflichtet, die Einhaltung der 3-G-Regel (d. h. den Impf-, Genesenen- oder Teststatus) täglich zu überwachen und regelmäßig zu dokumentieren (§ 28b Abs. 3 Satz 1 IfSG).
  • Personen (Arbeitgeber, Beschäftigte oder Besucher), die die Arbeitsstätte betreten, sind verpflichtet, auf Verlangen einen entsprechenden Nachweis vorzulegen (§ 28b Abs. 3 Satz 2 IfSG).
  • Soweit es zur Erfüllung der Überwachungs- und Dokumentationspflichten nach § 28b Abs. 3 Satz 1 IfSG erforderlich ist, dürfen Gesundheitsdaten zum Impf-, Genesenen- und Teststatus verarbeitet werden (§ 28b Abs. 3 Satz 3 IfSG). Daneben dürfen die Daten auch zur Anpassung des betrieblichen Hygienekonzepts auf der Grundlage der Gefährdungsbeurteilung gemäß §§ 5 und 6 Arbeitsschutzgesetz verwendet werden, soweit dies erforderlich ist (§ 28b Abs. 3 Satz 4 IfSG).
  • Die Voraussetzungen des § 22 Abs. 2 BDSG sind zu beachten (§ 28b Abs. 3 Satz 5 IfSG).
  • Die zuständige Behörde kann die zur Durchführung ihrer Überwachungsaufgabe erforderlichen Auskünfte verlangen (§ 28b Abs. 3 Satz 6 IfSG).
  • Die erhobenen Daten sind spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen (§ 28b Abs. 3 Satz 9 IfSG).
  • Das Bundesministerium für Arbeit und Soziales kann im Einvernehmen mit dem Bundesministerium für Gesundheit durch Rechtsverordnung die Ausgestaltung der Überwachungs- und Dokumentationspflichten konkretisieren (§ 28b Abs. 6 S. 2 Nr. 2 IfSG).
  • Die Vorschrift gilt bis zum Ablauf des 19. März 2022 (§ 28b Abs. 7 IfSG).

Hieraus lassen sich folgende Empfehlungen ableiten:

Nr. 1: Überwachungs- und Dokumentationspflichten

§ 28b Abs. 3 IfSG stellt mit Blick auf die Verarbeitung des Impf-, Genesenen- oder Teststatus auf den Grundsatz der Erforderlichkeit ab. Die Verarbeitung muss damit objektiv für die Erfüllung der in § 28b Abs. 3 Satz 1 IfSG genannten Überwachungs- und Dokumentationspflichten notwendig sein.

Arbeitgeber sind nach dem Wortlaut der Vorschrift im Rahmen ihrer Überwachungsaufgabe verpflichtet zu prüfen, dass eines der in § 28b Abs. 1 IfSG genannten Merkmale (Impf-, Genesenen- oder Teststatus) vorliegt. Der Vorschrift lässt sich aber nicht entnehmen, dass eine differenzierte Dokumentation nach Impf-, Genesenen- oder Teststatus zu erfolgen hat. Da letztlich nur von Bedeutung ist, dass ein gültiger Nachweis vorgelegt wurde, dürfte der Überwachungspflicht des § 28b Abs. 3 Satz 1 IfSG daher ausreichend entsprochen werden, wenn das vorgelegte Dokument durch den Verantwortlichen überprüft und anschließend vermerkt wird, dass der Nachweis erfolgt ist und vom Verantwortlichen die Überprüfung vorgenommen wurde (s.a. Empfehlung Nr. 4). Die Datenverarbeitung erfolgt insoweit auf der gesetzlichen Grundlage des § 28b Abs. 3 Satz 1 IfSG, sodass eine Einwilligung nicht erforderlich ist.

Da der Schwerpunkt der Kontrollen auf dem täglichen Nachweis über die Aktualisierung des Status „getestet“ liegt, ist es zur Erfüllung etwaiger Dokumentationspflichten zulässig, wenn im Rahmen der täglichen Kontrolle stichpunktartig auch Kopien oder Scans vorgelegter Testnachweise zu Nachweiszwecken gespeichert werden.

Gemäß § 28b Abs. 6 S. 2 Nr. 2 IfSG obliegt es dem Bundesministerium für Arbeit und Soziales im Einvernehmen mit dem Bundesministerium für Gesundheit, durch Rechtsverordnung die Ausgestaltung der Überwachungs- und Dokumentationspflichten zu konkretisieren, sodass Überwachungs- und Dokumentationspflichten gegebenenfalls nachträglich an die Rechtsverordnung angepasst werden müssen.

Nr. 2: Wahlrecht zur Nachweiserbringung

Den Beschäftigten stehen nach § 28b Abs. 3 Satz 1 und 2 IfSG drei Alternativen (Impf-, Genesenen- oder Teststatus) zur Nachweiserbringung zur Verfügung. Eine Anweisung des Arbeitgebers zur verpflichtenden Bekanntgabe des Impf- oder Genesenenstatus wäre somit nicht zulässig.

Nr. 3: Hinterlegung des Nachweises auf freiwilliger Basis

Zur Erleichterung der täglichen Nachweiskontrollen kann es sowohl für den Arbeitgeber als auch für den Arbeitnehmer vorteilhaft sein, den Nachweis des Impf- oder Genesenenstatus bis zum Wegfall des § 28b IfSG (derzeit 19.03.2022) bzw. bis zum Ablauf der sechsmonatigen Frist (§ 28b Abs. 3 Satz 9 IfSG) zu dokumentieren. Die Speicherung der Nachweise erfolgt in diesem Fall auf der Grundlage einer Einwilligung im Sinne des § 26 Abs. 3 Satz 2 i.V. m. § 26 Abs. 2 BDSG. Ein zulässiges Vorgehen wäre etwa, dass der Arbeitgeber die Umsetzung der täglichen Kontrollpflicht der 3-G-Regel erläutert. Hierbei kann dann auch auf die Möglichkeit der freiwilligen Hinterlegung des Nachweises verwiesen werden.

Nr. 4: Beachtung des Grundsatzes der Datenminimierung

Die Verarbeitung des Impf-, Genesenen- oder Teststatus sollte auf das für die Überwachungs- und Dokumentationspflichten notwendige Maß beschränkt sein. Um dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 Buchstabe c DS-GVO zu genügen, reicht es aus, am jeweiligen Kontrolltag den Vor- und Zunamen der Beschäftigten auf einer Liste "abzuhaken", wenn der jeweilige Nachweis durch den Beschäftigten erbracht worden ist.

Bei geimpften und genesenen Personen muss das Vorhandensein eines gültigen Nachweises nur einmal erfasst und dokumentiert werden. Wenn der Arbeitgeber den Impf- oder Genesenenstatus einmal kontrolliert und diese Kontrolle dokumentiert hat, können Beschäftigte mit gültigem Impf- oder Genesenenstatus anschließend von den täglichen Zugangskontrollen ausgenommen werden.

Im Rahmen der Überwachungs- und Dokumentationspflicht ist es nach § 28b Abs. 3 IfSG hingegen nicht notwendig z. B. Kopien der vorgelegten Impf- oder Genesenenstatus-Nachweise zu speichern, das Impfdatum zu erheben oder den verabreichten Impfstoff zu dokumentieren. Hingegen kann es mit Blick auf die Speicherung des Impf- oder Genesenenstatus erforderlich sein, das Ablaufdatum zu dokumentieren, da mit Ablauf des Impf- oder Genesenenstatus die Befreiung von der täglichen Nachweispflicht endet.

Nr. 5: Beachtung des Grundsatzes der Sicherheit der Verarbeitung

Da es sich bei der Verarbeitung des Impf-, Genesenen- oder Teststatus um Gesundheitsdaten im Sinne des Art. 9 DS-GVO handelt, muss in besonderen Maße auf die Sicherheit der Verarbeitung geachtet werden. Dies folgt bereits allgemein aus dem Grundsatz des Art. 5 Abs. 1 Buchstabe f DS-GVO (Integrität und Vertraulichkeit) und wird durch den Verweis von § 28b Abs. 3 Satz 5 IfSG auf § 22 Abs. 2 BDSG unterstrichen. Eine Aufforderung seitens des Arbeitgebers etwa dergestalt, dass Impf-, Genesenen- oder Testnachweise mittels unverschlüsselter E-Mail zu übermitteln sind, wäre somit nicht zulässig (s. a. Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 27.05.2021 „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail).

Nr. 6: Beachtung des Zweckbindungsgrundsatzes

Die nach § 28b Abs. 3 IfSG erhobenen Daten dürfen ausschließlich für die hier genannten Zwecke der Überwachung und Dokumentation der Einhaltung der 3-G-Regel erhoben werden. Eine Verarbeitung zu anderen Zwecken ist nicht zulässig. Vor diesem Hintergrund sollten die Daten gesondert gespeichert und beispielsweise nicht zur Personalakte genommen werden. Eine Ausnahme gilt für die Verwendung zur Anpassung des betrieblichen Hygienekonzepts auf der Grundlage der Gefährdungsbeurteilung gemäß §§ 5 und 6 Arbeitsschutzgesetz, soweit die Daten hierfür objektiv notwendig sind.

Nr. 7: Befugnis zur Durchführung der täglichen 3-G-Kontrolle

Nach § 28b Abs. 3 Satz 1 IfSG ist der Arbeitgeber für die 3G-Kontrolle vor dem Betreten der Arbeitsstätten verantwortlich. Unter Beachtung datenschutzrechtlicher Bestimmungen kann er aber einer anderen Stelle (eigene Beschäftigte oder Dritte) die Kontrollbefugnis übertragen. Die Befugnis sollte aber zum Schutz der besonders sensiblen Daten und zur Wahrung der Vertraulichkeit nur auf einzelne Personen übertragen und auf das absolut erforderliche Maß beschränkt werden.

Nr. 8: Verweis auf § 22 Abs. 2 BDSG

§ 22 Abs. 2 Satz 1 BDSG verlangt für die Verarbeitung von Gesundheitsdaten, dass angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen vorzusehen sind. Konkretisierend führt § 22 Abs. 2 Satz 2 BDSG aus, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen insbesondere folgende Maßnahmen hierunter fallen können:

  • technisch organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung (EU) 2016/679 erfolgt (s.a. Empfehlung zu Nr. 5),
  • Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind (s.a. Empfehlungen zu Nr. 1),
  • Sensibilisierung der an Verarbeitungsvorgängen Beteiligten (Personen, die an der Überwachungs- und Dokumentationspflicht der 3-G-Regel mitwirken, sollten noch einmal darauf hingewiesen werden, dass es sich um besondere Kategorien personenbezogener Daten handelt. Ergänzend kann auf die Beachtung datenschutzrechtlicher Anforderungen nach der DS-GVO hingewiesen werden, s.a. Kurzpapier Nr. 19 der DSK „Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der

DS-GVO“),

  • Benennung einer oder eines Datenschutzbeauftragten,
  • Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern (s.a. Empfehlung Nr. 6 und 7),
  • Pseudonymisierung personenbezogener Daten,
  • Verschlüsselung personenbezogener Daten,
  • Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
  • zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen oder
  • spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.

Nr. 9: Verzeichnis der Verarbeitungstätigkeit

Für die Durchführung der 3-G-Kontrollen ist ein Verzeichnis der Verarbeitungstätigkeit nach Art. 30 DS-GVO zu führen, welches nach Art. 30 Abs. 1 Buchstabe g DS-GVO auch die nach § 22 Abs. 2 BDSG (Empfehlung Nr. 8) ergriffenen Maßnahmen allgemein beschreiben sollte.

Weitergehende Informationen zum Thema finden Sie auch unter:

Stand: 25.11.2021

SERVICE