Corona beeinflusst seit nun fast 2 Jahren das tägliche Leben von uns allen.
Dies gilt auch oder besser gesagt gerade für den Arbeitsplatz. Der Arbeitsplatz ist ein Ort, an dem zwangsläufig Kontakte stattfinden und dies über längere Zeiträume hinaus.
Angesichts des sich beschleunigenden Infektionsgeschehens ist die Gefahr von Ansteckungen in Arbeitsstätten daher auch zwangsläufig größer geworden.
Dieser Gefahr soll jetzt die am 22.11.2021 vom Bundespräsidenten unterschriebene und am 23.11.2021 im Bundesanzeiger veröffentlichte Änderung am Infektionsschutzgesetz entgegenwirken.
Dies soll unter anderem durch die Einführung einer gesetzlichen Grundlage für 3G am Arbeitsplatz geschehen.
Rechtsgrundlage
Nach den datenschutzrechtlichen Regelungen gilt das Verbot mit Erlaubnisvorbehalt. Das heißt, dass jede Datenverarbeitung unzulässig ist, es sei denn es gibt eine gesetzliche Grundlage oder die betroffene Person willigt ein. Die Verarbeitung von Gesundheitsdaten, wozu der G-Status gehört, (geimpft, genesen oder getestet) ist nach der Systematik der DSGVO unerwünscht.
Obwohl der Artikel 9 Absatz 2 b DSGVO nach seinem Wortlaut die Verarbeitung sensibler Daten zur Erfüllung arbeitsrechtlicher Pflichten (z.B. die Gesundheit der Beschäftigten) dem Anschein nach zulässig ist, handelt es sich nur um eine sogenannte Öffnungsklausel, die es unter anderem dem deutschen Gesetzgeber erlaubt Rechtsgrundlagen zur Verarbeitung sensibler Daten schaffen.
Eine solche Rechtsgrundlage ist der § 26 Absatz 3 BDSG i.V.m mit dem neu geschaffenen § 28 b Absatz 1 Infektionsschutzgesetz (IfSG).
Der § 28 b IfSG verpflichtet nun den Arbeitgeber zu Einführung und Überwachung der 3-G Regeln am Arbeitsplatz.
„Arbeitgeber und Beschäftigte dürfen Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können, nur betreten….. wenn sie geimpfte Personen, genesene Personen oder getestete Personen im Sinne des ……. sind und einen Impfnachweis, einen Genesenennachweis oder einen Testnachweis im Sinne …..mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben“.
Dem Arbeitgeber wird jetzt mit dieser Vorschrift ein Nachfragerecht bzgl. von 3-G-Nachweisen seiner Arbeitnehmer eingeräumt. Dies war vor dem § 28 b IfSG nur unter sehr eingeschränkten Voraussetzungen möglich. Wollte man als Arbeitgeber nun wissen, ob die Beschäftigten geimpft, genesen oder getestet sind, so konnte man dies nur bewerkstelligen, indem man eine Einwilligung einholte.
(Eine Erläuterung zu dieser Problematik finden Sie in unserem Artikel unter der Überschrift „Dürfen Arbeitgeber den Impfstatus abfragen?“ https://www.gindat.de/news/detail///impfstatus.html )
Fraglich ist jetzt, ob der neue § 28 b IfSG die versprochen Abhilfe geschaffen hat.
Problem: Fragerecht
Leider ist der genaue Umfang der Rechte des Arbeitgebers bzgl. eines Nachfragerechts auch in der neuen Vorschrift nicht genau geregelt. So wird ein ausdrückliches Fragerecht in Bezug auf den Impfstatus seiner Arbeitnehmer dem Arbeitgeber auch weiterhin nicht zugesprochen.
Er muss die Einhaltung der 3-G Regeln anordnen und überprüfen, in welcher Form und im welchen Umfang dies zu erfolgen hat, lässt sich aus dem Gesetzestext nicht schließen.
Nach dem Wortlaut darf er personenbezogene Daten wie den Namen und das Vorliegen eines gültigen 3-G Nachweises abfragen und dokumentieren.
Bei Erfüllung der Nachweispflicht ist der datenschutzrechtliche Grundsatz der Datenminimierung (Ar. 5 Absatz 1 c DSGVO) zu beachten. Datenminimierung bedeutet, dass unter der Maßgabe gehandelt werden soll, nur so viele Daten zu verarbeiten, wie für den jeweiligen Zweck vonnöten sind. Für die Zutrittskontrolle reicht es unter diesem Gesichtspunkt aus, dass Arbeitgeber nachprüfbare Prozesse etabliert haben, auf welche Weise täglich der 3G-Status der Beschäftigten geprüft werden kann. So erfolgt auch keine Differenzierung zwischen Geimpften und Ungeimpften, die zur Ausgrenzung und Diskriminierung Ungeimpfter führen könnte. Ein möglicher Check-in kann z.B per Corona-Warn-App oder CovPassCheck App erfolgen, die Apps speichern keine Informationen ab, sondern verifizieren nur die Gültigkeit des QR Codes und das Vorliegen eines der 3 G’s.
Möchte der Arbeitgeber dagegen den Impf- oder Genesenenstatus speichern, ist das nicht mehr erforderlich, um die Pflicht aus dem § 28 Absatz 1 b Infektionsschutzgesetz zu erfüllen, da ein milderes datenschutzfreundliches Mittel zur Verfügung steht. Unerheblich ist dabei, dass der § 28 b IfSG es als zulässig erachtet, dass sogar der Impfnachweis hinterlegt werden kann. Denn durch das tägliche Kontrollieren ist es möglich, sowohl der Pflicht aus dem Infektionsschutzgesetz nachzukommen und die rechtlichen Regelungen des Datenschutzes zu beachten. Möchte man dennoch den Impf- oder Genesenenstatus speichern, so ist das nur mit einer Einwilligung nach Artikel 9 Absatz 2 DSGVO, § 26 Absatz 2 BDSG möglich.
(Eine Textvorlage bzgl. einer Einwilligung zum Abspeichern von Daten bzgl. der 3 –G Regel finden Sie unter MyGindat unter Punkt 31.).
Eine Abspeicherung der Daten sollte zumindest bis zum 19.03.2022 erfolgen, um nötigenfalls einer Nachweispflicht nachkommen zu können.
Technische und organisatorische Maßnahmen
Zusätzlich hat der Arbeitgeber geeignete technische und organisatorische Maßnahmen zu ergreifen (vgl. § 22 Absatz 2 BDSG). Das bedeutet insbesondere, dass der Arbeitgeber sicherstellen muss, dass unbefugte Personen keinen Einblick in den Impf- oder Genesenenstatus erhalten. Welche Maßnahmen zu ergreifen sind, hängt in erster Linie davon ab, wie die 3-G Kontrolle umgesetzt wird.
Bei der täglichen Kontrolle ist nur eine Person einzusetzen, die den G-Status prüft. Die Prüfung sollte entweder mittels Abhackens auf einer Liste erfolgen, aus der jedoch nicht hervorgeht, ob die Person geimpft, genesen oder getestet ist, oder durch eine App, die den Status nur prüft und nicht speichert (z.B. CovPassCheck App, Corona-Warn-App). Die Liste ist täglich datenschutzkonform zu entsorgen.
Entscheidet sich der Arbeitgeber dafür den G – Status zu speichern, so ist zu beachten, dass erhöhte Risiken für die Beschäftigten bestehen, weshalb andere Maßnahmen zu ergreifen sind (z. B. Verschlüsselung, Berichtigungskonzept, Löschkonzept, Pseudonymisierung).
Fazit
Leider bleibt die Änderung des Infektionsschutzgesetzes aus datenschutzrechtlicher Sicht hinter den Erwartungen zurück.
So wird dem Arbeitgeber zwar eine Pflicht zur Einführung und Überprüfung der 3-G-Regel auferlegt, jedoch nicht geregelt, wie er denn dieser Pflicht nachzukommen hat und im welchen Umfang ihm dafür Ansprüche zustehen.
So wird z.B. lediglich auf die Möglichkeit der Hinterlegung der Impf- oder Genesenennachweise verwiesen.
Eine Pflicht des Arbeitnehmers, seine Nachweise bei seinem Arbeitgeber zu hinterlegen, geht daraus jedoch nicht hervor.
Daher wären auch explizite Regelungen zum Datenschutz wünschenswert gewesen.
So lässt sich eine Schweigepflicht der kontrollierenden Personen gerade gegenüber dem Arbeitgeber nicht aus den Vorschriften entnehmen.
Auch wären Vorschriften für Pseudonymisierungsmaßnahmen hilfreich und wünschenswert gewesen.
Die Abfrage des G-Status ist dennoch begrüßenswert und ein Schritt in die richtige Richtung. Dennoch sind die datenschutzrechtlichen Stolperfallen zu beachten. Bei der datenschutzkonformen Umsetzung steht Ihnen Ihr Datenschutzbeauftragter zur Seite.
Marc Gennat ( Diplomjurist)
