Datenschutz

3G Kontrolle am Arbeitsplatz – was Arbeitgeber jetzt wissen müssen

Ende November 2021 haben Bundestag und Bundesrat die sogenannte 3G-Regel am Arbeitsplatz beschlossen. Damit dürfen nur noch Beschäftige die Betriebsstätte betreten, die entweder gegen Corona geimpft sind, von einer Corona-Infektion genesen sind oder einen gültigen negativen Test vorweisen können.
Wir möchten Ihnen hier ein paar Hinweise geben, wie diese Vorgaben datenschutzkonform umgesetzt werden können und was aus Sicht des Datenschutzes zu beachten ist.

Für wen gilt die Pflicht zur Umsetzung von 3G?

Nach der Neufassung des Infektionsschutzgesetzes vom 19.11.2021 betrifft das alle Arbeitgeber und Beschäftigte. Wörtlich heißt es im Gesetz:
„Arbeitgeber und Beschäftigte dürfen Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können, nur […], wenn sie geimpfte Personen, genesene Personen oder getestete Personen […] sind und einen Impfnachweis, einen Genesenennachweis oder einen Testnachweis […] mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben.“

https://dserver.bundestag.de/btd/20/000/2000078.pdf
Damit ergibt sich die Pflicht zur Kontrolle aus dem Infektionsschutzgesetz für alle Kommunen. Die datenschutzrechtliche Grundlage ist somit die „Erfüllung einer rechtlichen Verpflichtung“ nach Art. 6 Abs. 1 lit c. DSGVO.

Muss ich die Nachweise überhaupt dokumentieren oder reicht die Sichtkontrolle?

Die datenschutzfreundlichste Lösung wäre natürlich, wenn auf Arbeitgeberseite erst gar keine Daten erhoben würden, wenn wir also nur morgens bei Arbeitsbeginn eine Sichtkontrolle durchführen würden. So weit, so gut. Je nach Größe der Verwaltung dürfte das aber an der Umsetzung scheitern. Außerdem ergibt es wirklich wenig Sinn, von Geimpften oder Genesenen täglich die Nachweise zu kontrollieren.
Der geänderte §28b Abs. 3 des IfSG schreibt die Dokumentation außerdem explizit vor:
„Alle Arbeitgeber […] sind verpflichtet, die Einhaltung der Verpflichtungen […] durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren.“
Wir brauchen also einen Kontrollprozess, der die Datenschutzvorgaben der DSGVO, des BDSG und der Landesdatenschutzgesetze berücksichtigt.

Wie sieht die datenschutzkonforme Umsetzung aus?

Obwohl im Infektionsschutzgesetz steht: „[…] oder bei dem Arbeitgeber hinterlegt haben.“ raten wir von der Erstellung von Kopien der Impf- oder Genesenennachweise ab. Denn es gelten weiterhin die Anforderungen der DSGVO nach „Datenminimierung“. Hier gilt die goldene Regel „Daten, die ich nicht habe, muss ich auch nicht schützen.“ Wir empfehlen daher folgendes Vorgehen für eine möglichst datenarme und datenschutzfreundliche Umsetzung Ihrer Kontrollpflicht:

  • Erstellen Sie eine Liste, in der Sie folgende Daten erfassen: Name der Beschäftigten, Datum der Kontrolle, Gültigkeitszeitraum des erbrachten Nachweises (Genesenennachweise sind nur 6 Monate gültig, Tests müssen jeden Tag vorgelegt werden)
  • Erfassen Sie nicht die Art des vorgelegten Nachweises, das ist nicht erforderlich, da Sie nur geimpft oder genesen oder getestet prüfen müssen (über das Ablaufdatum des Nachweises ergibt sich das indirekt, das lässt sich aber nicht vermeiden…)
  • Wir empfehlen zusätzlich, für jede Woche eine neue Liste anzulegen
  • Versehen Sie die Liste direkt mit der Aufbewahrungsfrist, das macht die Sache einfacher.
  • Betrauen Sie möglichst immer dieselbe Person in Ihrer Behörde oder Ihrem Unternehmen mit der Prüfung, um den Kreis der Personen, die die Informationen der Beschäftigten kennen, möglichst klein zu halten.
  • Bewahren Sie die Listen zur Dokumentation an einem sicheren Ort auf.
  • Die Informationen über den 3G Status dürfen nicht in die Personalakte der Beschäftigten aufgenommen werden.
  • Achten Sie bei der Prüfung der Impfzertifikate darauf, dass Sie diese auch auf Gültigkeit prüfen. Dazu nutzen Sie die CovPassCheckApp: https://digitaler-impfnachweis-app.de/covpasscheck-app. Eine reine Sichtprüfung genügt nicht. Zusätzlich muss für eine korrekt durchgeführte Prüfung auch der Personalausweis der betreffenden Person kontrolliert werden – was bei Beschäftigten, die Persönlich bekannt sind, natürlich entfallen kann (achten Sie doch mal darauf, wenn Sie das nächste Mal in Ihrer Freizeit kontrolliert werden, wer wirklich eine korrekte Kontrolle Ihres Impfzertifikates durchführt)
  • Beachten Sie auch die Beschäftigten, die vom HomeOffice direkt zu Kunden fahren o.ä. Hier müssen Sie die Prüfung ebenfalls dokumentieren. Eine Prüfung des Impfzertifikates ist z.B. per Webcam möglich – selbst getestet, die CovPassCheck App erkennt auch am Bildschirm die QR-Codes zuverlässig. Fordern Sie Ihre Beschäftigten nicht dazu auf, Nachweise per Mail, WhatsApp oder ähnliche Wege zu verschicken – auch wenn es so schön einfach ist.
    ACHTUNG: Das Infektionsschutzgesetz die regelmäßige Dokumentation vor. Da die Prüfdokumentation spätestens nach 6 Monaten gelöscht werden muss (siehe weiter unten), empfehlen wir, dass Sie auch die Nachweise, die noch gültig sind, jeden Monat zu Monatsbeginn erneut zu kontrollieren, um eine lückenlose Dokumentation über alle Beschäftigten zu haben.

 

Muster für eine Prüfliste 
Wie lange dürfen die Nachweise zum 3G-Status aufbewahrt werden?

Grundsätzlich gilt, im Sinne der DSGVO, dass Daten gelöscht werden müssen, wenn es keine Rechtsgrundlage für die Speicherung mehr gibt, die Daten also nicht mehr erforderlich sind. Das Infektionsschutzgesetz macht hier im §28b Abs. 3 eine eindeutige Vorgabe: „Die […] erhobenen Daten sind spätestens am Ende des 6. Monats zu löschen.“
Sorgen Sie für einen sichere und datenschutzkonforme Löschung der Daten. Nutzen Sie dazu unbedingt einen Aktenvernichter, der den aktuellen Anforderungen genügt.

Weiterführende Infos

Was es sonst noch aus Arbeitgebersicht zu beachten gibt, stellt das Bundesministerium für Arbeit und Soziales auf seiner Internetseite in den 3G-FAQ bereit.