Datenschutzkonforme Umsetzung der 3G-Nachweispflicht am Arbeitsplatz

Durch das in der letzten Woche bestimmte und wahrscheinlich ab Mittwoch geltende Gesetz zur Änderung des Infektionsschutzgesetzes und weiterer Gesetze anlässlich der Aufhebung der Feststellung der epidemischen Lage von nationaler Tragweite, soll eine sogenannte 3G-Nachweispflicht für bestimmte Arbeitsplätze eingeführt werden. Zugang zum Arbeitsplatz haben bei einer 3G-Nachweispflicht dann nur noch Personen, die geimpft oder genesen sind oder die einen tagesaktuellen Schnell- oder einen maximal 48 Stunden alten PCR-Test vorlegen können.  

Der Arbeitgeber wird ab Mittwoch demnach verpflichtet, den 3G-Nachweis seiner Beschäftigten nicht nur zu kontrollieren, sondern auch zu dokumentieren. Hierbei muss er die allgemeinen datenschutzrechtlichen Bestimmungen einhalten. Der folgende Beitrag informiert Sie über den Umfang der Nachweispflichten und die Möglichkeiten, diese datenschutzkonform umzusetzen. 

Die gesetzlichen Neuerungen 

Da sich die Mehrheit des Deutschen Bundestages gegen eine Verlängerung der pandemischen Lage ausgesprochen hat, soll in § 28a Abs. 7 des Infektionsschutzgesetzes (IfSG) ein Maßnahmenkatalog aufgenommen werden, der „unabhängig von der Feststellung einer epidemischen Lage von nationaler Tragweite bis zum 19. März 2022 zur Anwendung kommen kann und auf Maßnahmen beschränkt ist, die in der gegenwärtigen Phase der Pandemiebekämpfung sinnvoll und angemessen sein können.“. Hierunter fallen allgemeine Maßnahmen wie Kontaktbeschränkungen, die Möglichkeit, statt einer 3G-Pflicht eine 3G+-Pflicht (bei „3G+“ muss ein PCR-Test vorliegen, ein Schnelltest reicht dann nicht mehr aus) oder 2G-Pflicht anzuordnen sowie verpflichtende Hygienekonzepte.  

Die zentrale Neuerung für Arbeitgeber und -nehmer wird in § 28b IfSG normiert. Im Wesentlichen wird mit der Regelung eine 3G-Nachweispflicht am Arbeitsplatz eingeführt.  

Im Einzelnen werden die nachfolgenden Bestimmung in das Infektionsschutzgesetz aufgenommen: 

• Absatz 1: Arbeitgeber und Beschäftigte dürfen eine Arbeitsstätte, bei der physischer kontakt nicht ausgeschlossen werden kann, nur betreten, wenn sie über einen aktuellen 3G-Nachweis (geimpft, getestet, genesen) verfügen. Dabei gilt ein Schnelltest für 24 Stunden und ein PCR Test für 48 Stunden. Für den Testnachweis soll der Beschäftige selbst verantwortlich sein. Kommt er der Pflicht nicht nach und kann infolgedessen seiner Arbeit nicht nachgehen, kann der Anspruch auf den Arbeitslohn entsprechend gekürzt werden. Jedoch bleibt der Arbeitgeber nach § 4 der Corona-ArbSchV weiterhin verpflichtet, dem Beschäftigten wöchentlich zwei kostenlose Schnelltests zu Verfügung zu stellen.  
• Absatz 3: tägliche Kontrolle des 3G-Nachweises und entsprechende Dokumentation unter Einhaltung des geltenden Datenschutzrechts. Außerdem trifft Arbeitgeber, Beschäftigte und Besucher eine Nachweisvorlagepflicht. 
• Absatz 4: Pflicht zur Ermöglichung von Home-Office, wenn dem keine zwingenden betrieblichen Gründe entgegenstehen. Diese Möglichkeit muss der Beschäftigte wahrnehmen, sofern es ihm möglich ist.  

Datenschutzkonforme Umsetzung der Nachweis- und Dokumentationspflicht 

Betriebe bzw. Unternehmen oder sonstige Einrichtungen, sind verpflichtet den 3G-Nachweis täglich zu kontrollieren und auch direkt zum Nachweis zu dokumentieren.  

Der aktuelle Gesetzesentwurf empfiehlt dabei die Nutzung einer digitalen Lösung. Diese digitalen Lösungen werden etwa von der CovPass-App oder CovPassCheck-App angeboten.  

Die datenschutzrechtliche Erlaubnis zur Verarbeitung der Gesundheitsdaten durch den Arbeitgeber regelt dabei § 28b Abs. 3 S. 3 IfSG. Rechtsgrundlage der Verarbeitung des 3G-Nachweises als personenbezogenes Datum ist demnach Art. 9 Abs. 2 lit. i) DSGVO („…Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit…“) iVm. § 28 Abs. 3 S. 3 IfSG und dient allein der Durchsetzung der Zugangsbeschränkung zur Arbeitsstätte. Dabei muss der Arbeitgeber nach § 28b Abs. 3 S. 5 IfSG iVm. § 22 Abs. 2 BDSG angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen ergreifen. Hierunter fallen insbesondere organisatorische Maßnahmen wie die Sensibilisierung von Personen, die die Daten verarbeiten oder die Benennung eines Datenschutzbeauftragten, aber auch technische Maßnahmen wie Verschlüsselungsmöglichkeiten oder Back-Up-Konzepte. 

Dokumentation oder Mitführungspflicht und CovPassCheck-App 

In welchem Umfang die 3G-Nachweise dokumentiert und gespeichert werden müssen, geht aus dem Entwurf nicht klar hervor. Wahrscheinlicher als eine Dokumentations- und Speicherpflicht durch den Arbeitgeber ist eine einfache Mitführungspflicht gegenüber dem Arbeitnehmer. Laut Gesetzesentwurf soll eine solche bußgeldbewährte Pflicht in das Infektionsschutzgesetz eingeführt werden.  

Die CovPassCheck-App ermöglicht eine Speicherung der ausgelesenen Daten jedenfalls zum jetzigen Zeitpunkt nicht. Laut eigenen Angaben „verarbeitet [die CovPassCheck-App] den QR-Code nur im Arbeitsspeicher des Smartphones und speichert keine Daten“. Das bedeutet, dass durch die CovPassCheck-App zwar der 3G-Nachweis kontrolliert werden kann. Eine Dokumentation kann diese App allerdings nicht gewährleisten.  

Darüber hinaus ist die Verwendung einer digitalen Anwendung zum 3G-Nachweis nicht verpflichtend, der Beschäftigte kann demnach auch einen Papierdatenträger als 3G-Nachweis vorlegen. Eine Dokumentation würde in einem solchen Fall eine Kopie erfordern (z.B. mit einem dienstlichen Smartphone) und wäre datenschutzrechtlich nur schwer umsetzbar. Bei der Speicherung auf einem dienstlichen Smartphone müsste etwa mindestens darauf geachtet werden, dass dieses z.B. durch eine PIN geschützt, die Festplatte verschlüsselt und eine automatische Übertragung bzw. Synchronisierung der Fotomediathek deaktiviert ist. Aus datenschutzrechtlicher Sicht ist daher zu hoffen, dass lediglich eine Mitführungspflicht in das Gesetz aufgenommen wird. 

Sonstige datenschutzrechtlichen Anforderungen 

• 28bAbs. 3 S. 9 IfSG soll festhalten, dass es im Übrigen bei der allgemeinen datenschutzrechtlichen Bestimmung bleibt. Dasheißt insbesondere, dass Beschäftigte nach Art. 13 und 14 DSGVO über die Verarbeitung ihrer Gesundheitsdaten informiert werden müssen und ihnen in Bezug auf die Verarbeitung sämtliche anwendbaren Betroffenenrechte der Art. 15 ff. DSGVO zustehen.  Bereits bestehende Datenschutzhinweise müssen daher entsprechend um die neue Rechtsgrundlage und den neuen Zweck ergänzt werden.  

Fazit 

Voraussichtlich am Mittwoch sollen die beschriebenen Pflichten bundesweit für alle Unternehmen und sonstige Einrichtungen verbindlich werden. Einige Details – wie der Umfang bzw. das Bestehen der Dokumentations- oder Speicherungspflicht – sind zum gegebenen Zeitpunkt noch unbestimmt und wären aus datenschutzrechtlicher Sicht nur schwer umsetzbar. Sinnvoller ist die Einführung einer Mitführungspflicht. Dennoch zeichnen sich bereits wesentliche Maßnahmen ab, die Arbeitgeber bzw. Verantwortliche im Sinne des Datenschutzes schnellstmöglich treffen müssen. Denn Verstöße gegen das Infektionsschutzgesetz ebenso wie gegen das Datenschutzrecht sind in der Regel bußgeldbewährt.  

Gerne helfen wir Ihnen als externer Datenschutzbeauftragter die erforderlichen Maßnahmen umzusetzen und Datenschutzdokumente zu erstellen. Sprechen Sie uns an.