Datenschutz: 3G im Unternehmen
25.11.2021
[IITR – 25.11.21] Der Bundesgesetzgeber hat mir relativ kurzem Vorlauf Unternehmen verpflichtet, alle Beschäftigten mit physischen Kontakten auf ihren 3G-Status (Geimpft, Genesen oder Getestet) zu überprüfen und dies zu dokumentieren. Zudem müssen Beschäftigte soweit möglich im “Home-Office” arbeiten. Dies wirft neben arbeitsrechtlichen Fragen auch zahlreiche datenschutzrechtliche Aspekte in der konkreten Umsetzung auf.
Arbeitsstätten mit Personenkontakt nur mit 3G
§ 28b (1) S. 1 Infektionsschutzgesetz besagt nun:
Arbeitgeber und Beschäftigte dürfen Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können, nur betreten (…), wenn sie geimpfte Personen, genesene Personen oder getestete Personen (…) sind und einen Impfnachweis, einen Genesenennachweis oder einen Testnachweis (…) mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben.
Tägliche Nachweiskontrollen des 3G-Status
Und § 28b (3) S. 1 f. Infektionsschutzgesetz besagt weiter:
Alle Arbeitgeber (…) sind verpflichtet, die Einhaltung der Verpflichtungen nach Absatz 1 Satz 1 (…) durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren. Alle Arbeitgeber und jeder Beschäftigte sowie Besucher der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen sind verpflichtet, einen entsprechenden Nachweis auf Verlangen vorzulegen. (…)
Das Bayerische Landesamt für Datenschutzaufsicht schreibt dazu (Quelle):
“§ 28b Abs. 3 S. 1 fordert eine tägliche Überwachung der Einhaltung der 3G-Zugangsregelung mitsamt der verpflichtenden Erbringung eines Impf-, Genesenen- oder Testnachweis. (…) § 28b Abs. 1 S. 1 IfSG gibt den Beschäftigten die Möglichkeit ihren 3G-Nachweis beim Arbeitgeber zu hinterlegen. Damit ist der Arbeitgeber bis zum Ablauf der gesetzlichen Regelung (vgl. Frage 10) in diesen Fällen befugt, auch eine Kopie des Nachweises auf Grundlage einer Einwilligung i.S.d. § 26 Abs. 2 BDSG zu speichern.”
Sicht der Datenschutz-Aufsichtsbehörden: zulässige gesetzliche Grundlage geschaffen
Die Datenschutz-Aufsichtsbehörden (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) hatten sich zuvor mit Beschluss vom 19.10.2021 zur Frage der Zulässigkeit von Nachfragen nach dem 3G-Status geäußert. Ein allgemeines Fragerecht war seinerzeit – mangels gesetzlicher Grundlage – noch verneint worden. Diese gesetzliche Grundlage wurde mit der Änderung des Infektionsschutzgesetzes nun geschaffen.
Detail-Fragen (1): FAQ der bayerischen Datenschutz-Aufsicht
Das Bayerische Landesamt für Datenschutzaufsicht stellt Unternehmen eine laufend aktualisierte sehr übersichtliche Liste gängiger Fragen und Antworten zur Verfügung. Die aktuelle Fassung kann hier eingesehen werden. Es ist damit zu rechnen, dass auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hier noch ein aktualisiertes Positionspapier veröffentlicht wird.
Detail-Fragen (2): Bundesministerium für Arbeit und Soziales
Auch das Bundesministerium für Arbeit und Soziales hat eine Übersicht gängiger Fragen und Antworten zur Verfügung gestellt, auf der sich Unternehmen informieren können.
Pflicht zum “Home-Office”
Der neu gefasste § 28b (4) S.1 f. Infektionsschutzgesetz schafft ferner einer Pflicht zum “Home-Office”:
“Der Arbeitgeber hat den Beschäftigten im Fall von Büroarbeit oder vergleichbaren Tätigkeiten anzubieten, diese Tätigkeiten in deren Wohnung auszuführen, wenn keine zwingenden betriebsbedingten Gründe entgegenstehen. Die Beschäftigten haben dieses Angebot anzunehmen, soweit ihrerseits keine Gründe entgegenstehen.”
Arbeitsrechtliche Konsequenzen nicht explizit geregelt
Der Gesetzgeber hat zahlreiche arbeitsrechtliche Konsequenzen nicht explizit geregelt. So ist zum Beispiel nicht benannt, welche arbeitsrechtlichen Maßnahmen einem Beschäftigten drohen, wenn er sich zur Offenlegung seines 3G-Status weigert. Hier ist mit entsprechenden Gerichtsverfahren zu rechnen.
Information der Betroffenen erforderlich
Bei der Erfassung des 3G-Status darf nicht vergessen werden, die Betroffenen nach Art. 13 DSGVO entsprechend über die Details des Verarbeitungsvorgangs zu informieren. Ein entsprechendes Muster hat Herr Stephan Hansen-Oest zur Verfügung gestellt.
Kritik vom Bundesdatenschutzbeauftragten an Ausgestaltung der 3G-Regelungen
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Herr Professor Kelber, kritisiert die Ausgestaltung der 3G-Regeln. Er schreibt in einer Pressemitteilung:
Der BfDI befürwortet ausdrücklich die Einführung einer gesetzlichen Grundlage für 3G am Arbeitsplatz, die er unter anderem bereits im August öffentlich eingefordert hatte:
Es hätte allerdings in den meisten Fällen gereicht, den Arbeitgeberinnen und Arbeitgebern überhaupt eine Kontrolle zu ermöglichen. Stattdessen werden sie nun dauerhaft flächendeckend und bußgeldbewährt zur Kontrolle der Beschäftigten verpflichtet. Trotzdem sieht der Gesetzentwurf keine Schutzmaßnahmen für die Daten der betroffenen Beschäftigten vor. Es gibt zum Beispiel keine Pseudonymisierungsmaßnahmen und keine Schweigepflicht der kontrollierenden Personen gegenüber dem Arbeitgeber, damit die Erkenntnisse nicht zweckwidrig genutzt werden können.