Datenschutzrechtliche Vorgaben zu 3G-Kontrolle am Arbeitsplatz (SARS-CoV-2/ COVID-19)

Datenschutz und Abfrage des Impfstatus/ Genesenstatus/ Teststatus COVID-19

Zum Mittwoch, 24.11.2021, wird voraussichtlich die sog. 3G-Regel am Arbeitsplatz in Kraft treten (§28b Infektionsschutzgesetz – IfSG). Da hierbei personenbezogene Daten verarbeitet werden, ist bei dieser Kontrolle der Datenschutz zu beachten. In diesem Beitrag möchten wir darüber informieren, was bei 3G-Kontrollen am Arbeitsplatz datenschutzrechtlich zu berücksichtigen ist.

Unternehmen und Institutionen haben entsprechend der neuen 3G-Regel die Pflicht (und auch das Recht), den Teststatus, Impfstatus oder Genesenstatus hinsichtlich SARS-CoV-2 (COVID-19) von Beschäftigten und Arbeitgebern zu kontrollieren, sofern „physische Kontakte […] untereinander oder zu Dritten nicht ausgeschlossen werden können“. Die für diese Kontrolle und die zur Dokumentation und Nachweis der Durchführung dieser Kontrolle erforderlichen personenbezogenen Daten, bei welchen es sich um besonders sensible Gesundheitsdaten handelt, dürfen verarbeitet werden. Der Gesetzgeber weist hierbei ausdrücklich auf die Beachtung der datenschutzrechtlichen Vorgaben zur Verarbeitung besonders sensibler Personendaten hin. Einrichtungen nach §28b Abs. 2 IfSG haben erweiterte Test, Kontroll- und Dokumentationspflichten (etwa auch für Besucher).

Wir haben uns die neue Regelung genau angesehen und hieraus datenschutzrechtliche Empfehlungen für die Praxis herausgearbeitet. Zum Zeitpunkt des Verfassens dieses Beitrags war noch keine Stellungnahme von Datenschutzaufsichtsbehörden zu den neuen gesetzlichen Regelungen bekannt. Da damit zu rechnen ist, dass sich auch die Datenschutzaufsichtsbehörden zu dem Thema äußern werden, wird dieser Beitrag von Zeit zu Zeit aktualisiert werden. Auch ist generell bei den Corona-Gesetzgebungsverfahren zu beachten, dass die Rechtslage hier sehr dynamisch ist, d.h. auch schnell wieder durch Gesetzesänderungen überholt sein kann.

Datenschutzrechtliche TO DOs zur Kontrollpflicht am Arbeitsplatz (3G):

  • Impf-, Genesen- und Teststatus in Bezug auf COVID-19 von Arbeitgebern und Beschäftigten, welche der Prüfpflicht unterliegen, dürfen eingesehen werden. Diese Personen sind auch (selbst) verpflichtet, den Impf- /Genesenen-/Testnachweis für Kontrollen der zuständigen Behörde bereithalten.
  • Den überprüften Personen steht es frei, ob diese etwa ein den Anforderungen des Gesetzes genügenden Impf- oder Genesennachweis vorlegen oder stattdessen ein Testzertifikat.
  • Es ist vom Unternehmen oder der Institution zu dokumentieren,
    • dass eine zu prüfende Person einen ausreichenden Nachweis erbracht hat und ob es sich hierbei um einen Impf-, Genesen oder Testnachweis handelt.
    • Hierbei sollte zum einen Namen und falls zur eindeutigen Identifizierung des Beschäftigten erforderlich zusätzliche Identifikationsmerkmale (etwa Personalnummer) der vorlegenden Person dokumentiert werden
    • Darüber hinaus ist auch zu dokumentieren, zu welcher Uhrzeit und Datum die Prüfung durch welche prüfende Person durchgeführt wurde.
    • Dokumentiert werden darf ferner die Gültigkeitsdauer von Test-, Impf- oder Genesenennachweisen, da nach Ablauf der Gültigkeit das Vorliegen eines 3G-Nachweises erneut überprüft werden muss.

Zum Nachweis der Durchführung der Prüfung ist eine Sichtprüfung ausreichend! Es ist NICHT erforderlich, eine Kopie von Impf-, Genesen- oder Testnachweisen anzufertigen – hiervon ist generell abzusehen. Sofern zu Prüfzwecken doch ausnahmsweise kurzzeitig die Anfertigung einer Kopie notwendig sein sollte, ist diese Kopie unverzüglich nach Durchführung der Prüfung datenschutzkonform zu löschen bzw. zu vernichten.

Zu beachten sind ferner folgende datenschutzrechtlichen Grundsätze:

  • der mit der Überprüfung der Nachweise befasste Personenkreis ist möglichst klein zu halten. Soweit vorhanden, kann die Überprüfung der vorzulegenden Nachweise etwa durch den Empfang oder Sicherheitsdienst durchgeführt werden. Die Prüfung sollte möglichst nicht auf unmittelbare Vorgesetzte durchgeführt werden, da in einem solchen Fall damit zu rechnen ist, dass der mit der Prüfung der Nachweise befasste Personenkreis stark ausgeweitet würde. Werden externe Unternehmen mit der Prüfung beauftragt (etwa externer Sicherheitsdienst), ist diese Datenverarbeitung in einer Vereinbarung zur Auftragsverarbeitung (Art. 28 DSGVO) zu regeln.
  • Da es sich bei den dokumentierten Daten um besonders sensible Gesundheitsdaten handelt, sind geeignete hochwertige technische und organisatorische Maßnahmen gegen die Gefahr eines unbefugten Zugangs zu und Zugriffs auf diese Daten zu etablieren (etwa strikte Zugriffsbeschränkung, Verschlüsselung, usw.), siehe § 22 Abs. 2 BDSG.
  • Strenge Zweckbindung: Die erhobenen Daten dürfen ausschließlich zum Zweck der Nachweiskontrolle verarbeitet werden. Die Daten dürfen auch zur Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß den §§ 5 und 6 des Arbeitsschutzgesetzes verwendet werden, soweit dies erforderlich ist.
    Eine Verarbeitung der Daten zu anderen Zwecken ist nicht zulässig.
  • Die zur Dokumentation der Prüfpflicht erhobenen personenbezogenen Daten sind spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen (§28 Abs. 3 IfSG).
  • Bitte denken Sie auch daran, den definierten Prozess in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 Abs. 1 DSGVO) mit aufzunehmen.

Einrichtungen nach §28b Abs. 2 IfSG

  • Einrichtungen und Unternehmen nach § 23 Absatz 3 Satz 1 IfSG mit der Maßgabe, dass Vorsorge- und Rehabilitationseinrichtungen auch dann umfasst sind, wenn dort keine den Krankenhäusern vergleichbare medizinische Versorgung erfolgt, und
  • Einrichtungen und Unternehmen nach § 36 Absatz 1 Nummer 2 und 7 IfSG

haben die besonderen Anforderungen des §28b Abs. 2 IfSG zu beachten (Vorlage Testnachweis bzw. eigene Testung), wobei diese Vorgaben auch für Besucher gelten. Darüber hinaus haben diese Einrichtungen in anonymisierter Form der zuständigen Behörde folgende Daten zu übermitteln:

  1. Angaben zu den durchgeführten Testungen, jeweils bezogen auf Personen, die in der Einrichtung oder dem Unternehmen beschäftigt sind oder behandelt, betreut oder gepflegt werden oder untergebracht sind, sowie bezogen auf Besuchspersonen und
  2. Angaben zum Anteil der Personen, die gegen das Coronavirus SARS-CoV-2 geimpft sind, jeweils bezogen auf die Personen, die in der Einrichtung oder dem Unternehmen beschäftigt sind oder behandelt, betreut oder gepflegt werden oder untergebracht sind.

Diese Daten sind aggregiert als Statistik und nicht bezogen auf bestimmte oder bestimmbare Personen zu übermitteln.

Datenschutzrechtliche Hintergründe

Mit der neuen Regelung des §28b IfSG hat der Gesetzgeber nunmehr die datenschutzrechtliche Befugnis für alle Unternehmen und Institutionen geschaffen, den Impf-, Genesen- oder Teststatus des Arbeitgebers selbst als auch der Beschäftigten zu erheben und zu verarbeiten.

Bei diesen personenbezogenen Daten handelt es sich um besonders sensible und schützenswerte Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO. Dies bedeutet in der Praxis, dass mit diesen Daten sehr „sorgsam“ umzugehen ist, d.h.

  • nur solche Daten erhoben und gespeichert werden dürfen, wenn diese zur Erreichung der Prüf- und Nachweispflicht erforderlich sind,
  • nur ein sehr eingeschränkter Personenkreis Zugriff auf diese Daten haben darf (need-to-know-Prinzip),
  • die erforderlichen Daten auch nur so lange speichert werden dürfen, wie dies gesetzlich notwendig ist, und anschließend datenschutzkonform gelöscht bzw. vernichtet werden müssen,
  • die Integrität und Vertraulichkeit dieser Daten ganz besonders zu gewährleisten und die Daten insbesondere gegen einen möglichen Missbrauch zu schützen (etwa gegen Kenntnisnahme durch unbefugte Personen).

Die reine Prüfung des Impf-, Genesen- oder Teststatus macht es nicht erforderlich, Kopien von entsprechenden Nachweisen anzufertigen. Hierfür genügt eine Sichtprüfung. Zum Nachweis der Durchführung der Sichtprüfung ist eine entsprechende Dokumentation ausreichend, wann und von welcher prüfenden Person die Sichtprüfung durchgeführt wurde.

Während der Gültigkeitsdauer eines vorgelegten Impf- oder Genesennachweises besteht keine Verpflichtung, diese Angaben erneut zu prüfen. Daher sollten bei der Dokumentation auch die Gültigkeitsdauer des Nachweises erhoben werden.

Um einen Missbrauch dieser Daten auszuschließen, müssen diese Daten ausreichend durch geeignete Technische und Organisatorische Maßnahmen geschützt werden. Denkbar wäre hier etwa eine Pseudonymisierung der Daten (etwa, indem Beschäftigte nur über eine etwaig bestehende Personalnummer erfasst würden), eine Verschlüsselung der Daten und auch eine strikte Zugriffsbeschränkung. Daten, welche „aktiv“ nicht mehr benötigt werden (etwa die Abfrage des Teststatus vom Vortag) und nur noch zum Zweck der Erfüllung der gesetzlichen Aufbewahrungspflicht gespeichert werden, sollten nach Möglichkeit gesperrt oder streng zugriffsbeschränkt archiviert werden.

Die erhobenen Daten sind nach den Vorgaben des IfSG „spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen“, d.h. die über einen gesamten Monat erhobenen Dokumentationen können jeweils „in einem Zug“ sechs Monate später gelöscht werden.

Rechtsanwalt Thomas Steinle, LL.M., Fachanwalt für Informationstechnologierecht, Externer Datenschutzbeauftragter
Stand: 23.11.2021