Datenschutz

Datenschutz: 3G im Unternehmen

25.11.2021

IITR Information[IITR – 25.11.21] Der Bundesgesetzgeber hat mir relativ kurzem Vorlauf Unternehmen verpflichtet, alle Beschäftigten mit physischen Kontakten auf ihren 3G-Status (Geimpft, Genesen oder Getestet) zu überprüfen und dies zu dokumentieren. Zudem müssen Beschäftigte soweit möglich im “Home-Office” arbeiten. Dies wirft neben arbeitsrechtlichen Fragen auch zahlreiche datenschutzrechtliche Aspekte in der konkreten Umsetzung auf.

Arbeitsstätten mit Personenkontakt nur mit 3G

§ 28b (1) S. 1 Infektionsschutzgesetz besagt nun:

Arbeitgeber und Beschäftigte dürfen Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können, nur betreten (…), wenn sie geimpfte Personen, genesene Personen oder getestete Personen (…) sind und einen Impfnachweis, einen Genesenennachweis oder einen Testnachweis (…) mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben.

Tägliche Nachweiskontrollen des 3G-Status

Und § 28b (3) S. 1 f. Infektionsschutzgesetz besagt weiter:

Alle Arbeitgeber (…) sind verpflichtet, die Einhaltung der Verpflichtungen nach Absatz 1 Satz 1 (…) durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren. Alle Arbeitgeber und jeder Beschäftigte sowie Besucher der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen sind verpflichtet, einen entsprechenden Nachweis auf Verlangen vorzulegen. (…)

Das Bayerische Landesamt für Datenschutzaufsicht schreibt dazu (Quelle):

“§ 28b Abs. 3 S. 1 fordert eine tägliche Überwachung der Einhaltung der 3G-Zugangsregelung mitsamt der verpflichtenden Erbringung eines Impf-, Genesenen- oder Testnachweis. (…) § 28b Abs. 1 S. 1 IfSG gibt den Beschäftigten die Möglichkeit ihren 3G-Nachweis beim Arbeitgeber zu hinterlegen. Damit ist der Arbeitgeber bis zum Ablauf der gesetzlichen Regelung (vgl. Frage 10) in diesen Fällen befugt, auch eine Kopie des Nachweises auf Grundlage einer Einwilligung i.S.d. § 26 Abs. 2 BDSG zu speichern.”

Sicht der Datenschutz-Aufsichtsbehörden: zulässige gesetzliche Grundlage geschaffen

Die Datenschutz-Aufsichtsbehörden (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) hatten sich zuvor mit Beschluss vom 19.10.2021 zur Frage der Zulässigkeit von Nachfragen nach dem 3G-Status geäußert. Ein allgemeines Fragerecht war seinerzeit – mangels gesetzlicher Grundlage – noch verneint worden. Diese gesetzliche Grundlage wurde mit der Änderung des Infektionsschutzgesetzes nun geschaffen.

Detail-Fragen (1): FAQ der bayerischen Datenschutz-Aufsicht

Das Bayerische Landesamt für Datenschutzaufsicht stellt Unternehmen eine laufend aktualisierte sehr übersichtliche Liste gängiger Fragen und Antworten zur Verfügung. Die aktuelle Fassung kann hier eingesehen werden. Es ist damit zu rechnen, dass auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hier noch ein aktualisiertes Positionspapier veröffentlicht wird.

Detail-Fragen (2): Bundesministerium für Arbeit und Soziales

Auch das Bundesministerium für Arbeit und Soziales hat eine Übersicht gängiger Fragen und Antworten zur Verfügung gestellt, auf der sich Unternehmen informieren können.

Pflicht zum “Home-Office”

Der neu gefasste § 28b (4) S.1 f. Infektionsschutzgesetz schafft ferner einer Pflicht zum “Home-Office”:

“Der Arbeitgeber hat den Beschäftigten im Fall von Büroarbeit oder vergleichbaren Tätigkeiten anzubieten, diese Tätigkeiten in deren Wohnung auszuführen, wenn keine zwingenden betriebsbedingten Gründe entgegenstehen. Die Beschäftigten haben dieses Angebot anzunehmen, soweit ihrerseits keine Gründe entgegenstehen.”

Arbeitsrechtliche Konsequenzen nicht explizit geregelt

Der Gesetzgeber hat zahlreiche arbeitsrechtliche Konsequenzen nicht explizit geregelt. So ist zum Beispiel nicht benannt, welche arbeitsrechtlichen Maßnahmen einem Beschäftigten drohen, wenn er sich zur Offenlegung seines 3G-Status weigert. Hier ist mit entsprechenden Gerichtsverfahren zu rechnen.

Information der Betroffenen erforderlich

Bei der Erfassung des 3G-Status darf nicht vergessen werden, die Betroffenen nach Art. 13 DSGVO entsprechend über die Details des Verarbeitungsvorgangs zu informieren. Ein entsprechendes Muster hat Herr Stephan Hansen-Oest zur Verfügung gestellt.

Kritik vom Bundesdatenschutzbeauftragten an Ausgestaltung der 3G-Regelungen

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Herr Professor Kelber, kritisiert die Ausgestaltung der 3G-Regeln. Er schreibt in einer Pressemitteilung:

Der BfDI befürwortet ausdrücklich die Einführung einer gesetzlichen Grundlage für 3G am Arbeitsplatz, die er unter anderem bereits im August öffentlich eingefordert hatte: Es hätte allerdings in den meisten Fällen gereicht, den Arbeitgeberinnen und Arbeitgebern überhaupt eine Kontrolle zu ermöglichen. Stattdessen werden sie nun dauerhaft flächendeckend und bußgeldbewährt zur Kontrolle der Beschäftigten verpflichtet. Trotzdem sieht der Gesetzentwurf keine Schutzmaßnahmen für die Daten der betroffenen Beschäftigten vor. Es gibt zum Beispiel keine Pseudonymisierungsmaßnahmen und keine Schweigepflicht der kontrollierenden Personen gegenüber dem Arbeitgeber, damit die Erkenntnisse nicht zweckwidrig genutzt werden können.

 

Rechtsanwalt Dr. Sebastian Kraska

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Beitrag teilen:

2 Kommentare zu diesem Beitrag:

Monika Jockisch

Hallo,

das hat uns sehr geholfen. Lieben Dank dafür.

Schöne Grüße und bleiben Sie gesund!

Monika Jockisch

Christian Galetzka

Die Kritik des BfDI teile ich nicht, zumal der Gesetzgeber ja in § 28b Abs. 3 IfSG auf § 22 Abs. 2 BDSG verweist. Dort sind die geforderten Maßnahmen zum Schutz der besonderen personenbezogenen Daten ja geregelt, das gesetzliche "Rüstzeug" also vorhanden.

Ansonsten vielen Dank für den informativen Beitrag, der das Ausrollen in unserer Kanzlei erheblich erleichtert.

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IITR Chatbot IITR Chatbot