3G am Arbeitsplatz – Datenschutzrechtliche Fragen und Datenschutzhinweise für Beschäftigte

Datenschutz

Gestern ist das „Gesetz zur Änderung des Infektionsschutzgesetzes und weiterer Gesetze anlässlich der Aufhebung der Feststellung der epidemischen Lage von nationaler Tragweite“ im Bundesgesetzblatt veröffentlicht worden.

Mit dem Gesetz wurde auch ein neuer § 28b des Infektionsschutzgesetzes (IfSG) eingefügt.

Ab heute (24.11.2021) gilt dann „3G“ am Arbeitsplatz. Arbeitgeber:innen und Beschäftigte dürfen die Arbeitsstätten der Arbeitgeber:innen nur noch betreten, wenn sie entweder geimpft, genesen oder negativ getestet sind („3G“).

So ist „3G“ am Arbeitsplatz umzusetzen

Ich habe einige E-Mails zum Thema 3G erhalten. Und auch im Forum für Datenschutz-Coaching-Mitglieder wird das Thema diskutiert.

In den E-Mails wird deutlich, dass viele Personen ein nicht ganz korrektes Verständnis von den Neuregelungen des IfSG mit Blick darauf haben, was nun an personenbezogenen Daten von Beschäftigten erhoben werden darf. Und auch davon, was nun – und unter welchen Bedingungen – weiter gespeichert und verwendet werden darf.

Kein originärer Auskunftsanspruch zum Impfstatus von Beschäftigten

Insbesondere bietet das IfSG selbst keine Rechtsgrundlage für einen Auskunftsanspruch der Arbeitgeber:innen gegenüber Beschäftigten im Hinblick auf deren Impfstatus. Dieser Auskunftsanspruch ist schlicht nicht gegeben.

Jetzt können wir also immer noch darüber streiten, ob es diesen Auskunftsanspruch aus anderen Rechtsgrundlagen heraus gibt oder nicht. Das soll aber heute nicht Thema in diesem Artikel hier sein. Zumindest in Fällen der Lohnfortzahlung im Krankheitsfall werden Arbeitgeber:innen aber zumindest nach dem Impfstatus fragen können.

Impfstatus durch Zutrittskontrollmaßnahmen

Der Gesetzgeber hat eine ausdrückliche Klärung des Streits darüber, ob nun Beschäftigte gegenüber ihren Arbeitgeber:innen Angaben zum Impfstatus machen müssen, vermieden und nun eine andere Option gewählt: Regelung über die Zutrittskontrolle

Ab dem 24.11.2021 dürfen Arbeitsstätten von Arbeitgeber:innen nur noch von Personen betreten werden, die genesen, geimpft oder aktuell negativ getestet sind.

Das betrifft aber nicht nur Beschäftigte, sondern auch die Arbeitgeber:innen selbst.

Um dieses Betretungsverbot durchzusetzen, müssen Arbeitgeber:innen natürlich geeignete Zutrittskontrollmaßnahmen einsetzen. Wer Zutrittskontrollmaßnahmen nicht einhält oder als Beschäftigte:r ohne einen 3G-Status die Arbeitsstätte betritt, kann sich nach § 73 IfSG bußgeldpflichtig machen. Das Bußgeld kann bis zu 25.000,00 € betragen.

Ein paar Empfehlungen

Wir konnten in den letzten Tagen viel über die Umsetzung von „3G“ bei Unternehmen lesen. Und viele Menschen hatten da auch ganz kreative Ideen, wie man nun Informationen über Impf- und Genesenenstatus im Vorwege – und am besten auch elektronisch – abfragt, um dann eine „geschmeidige“ praktische Regelung zu bekommen.

Achtung…Gesundheitsdaten!

Nun…ich wäre damit sehr vorsichtig. Warum? Nach herrschender Meinung handelt es sich bei Informationen zum Impf-, Genesenen- oder auch Teststatus um Gesundheitsdaten. Diese sind aber durch die DSGVO besonders geschützt. Und Art. 9 DSGVO sieht hier Hürden vor, um die Verarbeitung von Gesundheitsdaten einzuschränken.

§ 28b IfSG enthält zwar nun eine „Erlaubnis“ zur Verarbeitung von Daten, die im Zusammenhang mit den Zutrittskontrollen anfallen. Rechtlich ist diese „Erlaubnis“ aber durch die DSGVO begleitend zu untermauern. In rechtlicher Hinsicht stellt § 28b IfSG ein Gesetz des nationalen Gesetzgebers des EU-Mitgliedsstaats Deutschland dar, das Deutschland für Zwecke der Gesundheitsvorsorge verabschiedet hat. Die Rechtsgrundlage für die Erhebung der Daten ist dabei aber nicht § 28b IfSG alleine, sondern vielmehr Art. 9 Abs. 2 lit. i) DSGVO i.V.m. § 28b IfSG.

Man könnte alternativ m.E. auch noch Art. 9 Abs. 2 lit. g) und) lit. h) DSGVO heranziehen. Denn ein erhebliches öffentliches Interesse dürfte bei Maßnahmen zur Bekämpfung einer Pandemie auch vorliegen.

Aber der Gesetzgeber hat selbst in der Gesetzesbegründung auf Art. 9 Abs. 2 lit. i) DSGVO Bezug genommen (BT-Drs. 20/89, S. 18).

Es sind primär Zutrittskontrollmaßnahmen

Die Regelungen in § 28b IfSG bezwecken vorrangig effektive Zutrittskontrollmaßnahmen. Es soll verhindert werden, dass Personen ohne „3G“-Status die Arbeitsstätten betreten.

Der Schwerpunkt liegt eindeutig auf dieser Zutrittskontrolle. Dass „dabei“ auch personenbezogene Daten anfallen und diese auch zur Erleichterung und Dokumentation der Zutrittskontrolle gespeichert werden dürfen, wird zwar erlaubt. Die Zwecke, für die die Daten aus den Kontrollen verarbeitet werden dürfen, sind aber stark eingeschränkt. So dürfen diese im Wesentlichen nur für die Erstellung und Pflege des Hygienekonzepts und damit einhergehenden Fragen des Arbeitsschutzes (Beurteilung der Arbeitsbedingungen und Dokumentation) verwendet werden.

Probleme der Verarbeitung von 3G-Daten im Vorfeld

Einige Unternehmen bitten die Beschäftigten nun, ihre Impf- und Genesenennachweise (und ggf. auch Testnachweise) vor der „Anreise“ zur Arbeitsstätte elektronisch zur Verfügung zu stellen. Einige stellen hierfür Upload-Portale oder gesonderte E-Mail-Adressen zur Verfügung.

Und die Spatzen pfeifen von den Dächern, dass wohl einer der häufigsten Übertragungswege für die Nachweise die Versendung der Dokumente per WhatsApp an Arbeitgeber:innen sein soll.

Ich würde zwar nicht per se ausschließen, dass die o.g. Vorfeldmaßnahmen zulässig sein können. Aber über ihnen schwebt doch das Damoklesschwert der Rechtswidrigkeit. Denn das IfSG hat die 3G-Nachweismaßnahmen als Zutrittskontrollen ausgestaltet. Eine etwaige Vorfeld-Verarbeitung scheint mir von § 28b IfSG nicht gedeckt zu sein.

Das bedeutet wiederum, dass ich mich bei der Verarbeitung der Gesundheitsdaten als Unternehmen nicht auf Art. 9 Abs. 2 lit. i) DSGVO i.V.m. § 28b IfSG berufen kann. Jedenfalls nicht so einfach bzw. selbstverständlich. Und dann bliebe hier wohl nur die Einwilligung der Beschäftigten in diese Übermittlung von Gesundheitsdaten an den Arbeitgeber.

Und hier bestehen doch einige Zweifel an der „Freiwilligkeit“ der Einwilligung. Fehlt es jedoch an der Freiwilligkeit, ist die Einwilligung unwirksam.

Ich persönlich halte eine Freiwilligkeit zwar für möglich, wenn das Verfahren so gestaltet ist, dass Beschäftigte ganz offensichtlich eine Wahlmöglichkeit haben und die Möglichkeit des Uploads der Daten nur eine bequemere und angenehmere Alternative ist. Aber viele – insbesondere Aufsichtsbehörden – werden das anders sehen können. Und dieses Risiko würde ich – mit Verlaub – lieber nicht eingehen wollen.

Wenn so eine Vorfeldverarbeitung bei Unternehmen zum Einsatz kommen sollte, würde ich neben diesem Punkt der sehr deutlichen Herausarbeitung und Betonung der Freiwilligkeit darauf achten, dass die Daten in besonderer Weise nach dem für Gesundheitsdaten erforderlichen Stand der Technik verarbeitet werden.

Die Daten sollten also zwingend während des Transports („in transit“) und idealerweise auch am Speicherort selbst („at rest“) verschlüsselt werden. Mit einem Schlüsselalgorithmus und einer Schlüssellänge, die ebenfalls dem Stand der Technik entspricht.

Auch sollten Zugriffsberechtigungen auf diese Daten sehr restriktiv vergeben werden.

Generell sollten Unternehmen daran denken, dass für die Verarbeitung von Gesundheitsdaten die technischen und organisatorischen Maßnahmen i.S.d. § 22 Abs. 2 BDSG zu treffen sind. Wichtig: Der dort genannte Maßnahmenkatalog ist nicht verpflichtend, sondern zeigt nur Beispielmaßnahmen auf.

Müssen die Beschäftigten über die Datenverarbeitung informiert werden?

Ja…das müssen sie. Da es sich bei den „3G“-Maßnahmen um eine zeitlich befristete Maßnahme handelt bzw. handeln wird, macht es Sinn, die erforderlichen Informationen zu Zweck, Art und Umfang der Datenverarbeitung in einem gesonderten Dokument bereitzustellen.

Das könnte z.B. wie im nachfolgenden Muster erfolgen.

Wichtig: Das Muster muss stets an die individuelle Umsetzung im Unternehmen bzw. der öffentlichen Stelle angepasst werden. Also bitte nicht nur „copy & paste“. ?

Muster-Datenschutzhinweise für 3G-Kontrollen am Arbeitsplatz

Zuletzt aktualisiert am: 29.11.2021

„3G“-Kontrollen an der Arbeitsstätte – Datenschutzhinweise für Beschäftigte

Als Beschäftigte in unseren Unternehmen möchten wir Sie gerne über die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit den „3G“-Kontrollen vor dem Zutritt zur Arbeitsstätte informieren:

Wer ist für Datenverarbeitung verantwortlich?

Verantwortlicher im Sinne des Datenschutzrechts ist die


Muster GmbH
Musterstr. 123
12345 Musterstadt

Weitere Informationen und Kontaktdaten finden Sie auch in Ihrem Arbeitsvertrag.

Welche Daten von Ihnen werden von uns verarbeitet? Und zu welchen Zwecken?

Wir sind nach § 28b des Infektionsschutzgesetzes (IfSG) gesetzlich verpflichtet, den Zutritt zu unserer Arbeitsstätte nur Beschäftigten (und Arbeitgeber:innen) zu ermöglichen, die geimpft, genesen oder (aktuell) negativ auf die Coronavirus-Krankheit-2019 (COVID-19) getestet sind und einen entsprechenden Nachweis dazu vorgelegt haben.

Vor dem Zutritt zur Arbeitsstätte sind Sie verpflichtet, einen entsprechenden „3G“-Nachweis bzgl. Ihres Impf-, Sero- und/oder Teststatus in Bezug auf COVID-19 vorzulegen.

Wir sind gesetzlich verpflichtet, Nachweiskontrollen täglich durchzuführen und zu dokumentieren.

Hinweis für Geimpfte: Mit Ihrer Zustimmung vermerken wir Ihren Impfstatus („geimpft“) dauerhaft in der Nachweiskontrolldokumentation. Dies kann schriftlich oder elektronisch erfolgen. Informationen zur Löschung finden Sie in den Datenschutzhinweisen. Eine tägliche Kontrolle des Nachweises ist dann nicht mehr erforderlich.

Hinweis für Genesene: Mit Ihrer Zustimmung vermerken wir Ihren Genesenenstatus inklusive des Ablaufdatums des Genesenennachweises („genesen“ | Ablauf am: TT.MM.JJJJ) i.S.d. § 2 Nr. 5 der COVID-19-Schutzmaßnahmen-Ausnahmenverordnung dauerhaft in der Nachweiskontrolldokumentation. Dies kann schriftlich oder elektronisch erfolgen. Informationen zur Löschung finden Sie in den Datenschutzhinweisen. Eine tägliche Kontrolle des Nachweises ist dann nicht mehr erforderlich.

Auf welcher rechtlichen Grundlage basiert das?

Rechtsgrundlage für die Verarbeitung Ihrer Daten zum Impf-, Sero- und/oder Teststatus in Bezug auf COVID-19 ist nach Art. 9 Abs. 2 lit. i) DSGVO i.V.m. § 28b IfSG.

Wie lange werden die Daten gespeichert?

Personenbezogene Daten zu COVID-19, die im Zusammenhang mit den Zutrittskontrollmaßnahmen verarbeitet werden, werden von uns spätestens am Ende des sechsten Monats nach Erhebung der Daten gelöscht.

An welche Empfänger werden die Daten weitergegeben?

Innerhalb des Unternehmens kommt eine Weitergabe Ihrer personenbezogenen Daten in Betracht, wenn dies zur Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß den §§ 5 und 6 des Arbeitsschutzgesetzes erforderlich ist.

Eine Weitergabe an Dritte erfolgt nur, soweit eine gesetzliche Pflicht zur Auskunft besteht.

Wo werden die Daten verarbeitet?

Die Daten werden von uns auf IT-Systemen des Unternehmens verarbeitet. Zugriff auf die Daten haben nur die Personen, die im Zusammenhang mit der Durchführung der Zutrittskontrollen nach § 28b IfSG sowie mit der Erstellung und Pflege eines Hygienekonzepts beauftragt sind.

Wir tragen Sorge dafür, dass die nach § 22 Abs. 2 BDSG erforderlichen technischen und organisatorischen Maßnahmen getroffen und eingehalten werden.

Ihre Rechte als „Betroffene“

Sie haben das Recht auf Auskunft über die von uns zu Ihrer Person verarbeiteten personenbezogenen Daten.

Ferner haben Sie ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit Ihnen dies gesetzlich zusteht.

Schließlich haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Gleiches gilt für ein Recht auf Datenübertragbarkeit.

Unsere Datenschutzbeauftragte

Unsere Datenschutzbeauftragte im Unternehmen erreichen Sie unter

Muster GmbH
– Datenschutzbeauftragte –
Musterstr. 123
12345 Musterstadt
E-Mail: datenschutz@muster.de

Beschwerderecht

Sie haben das Recht, sich über die Verarbeitung personenbezogenen Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.

Stand: 24.11.2021

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.