Neue Regelung: 3G am Arbeitsplatz – Datenschutzrechtliche Konsequenzen
In unserem September-Newsletter hatten wir uns bereits mit datenschutzrechtlichen Fragen zur Impfpflicht, Nachweispflicht und Lohnfortzahlung beschäftigt. Nun hat die Landesregierung 3G am Arbeitsplatz eingeführt und die (datenschutzkonforme) Umsetzung kurzfristig und unmittelbar den Arbeitgebern überlassen. Wir erläutern Ihnen, welche datenschutzgerechten Maßnahmen Sie jetzt ergreifen sollten.
3G-Pflicht am Arbeitsplatz
Durch § 4 Abs. 4 der Coronaschutzverordnung in der Fassung vom 24.11.2021 unterliegen nun auch Arbeitnehmer einer 3G-Pflicht, sofern Kontakt zu Kunden oder Kollegen nicht ausgeschlossen ist. Damit sind kaum noch Tätigkeitsbereiche außerhalb von reinen Homeoffice-Arbeitsplätzen denkbar, die ohne Nachweis einer Immunisierung (genesen / geimpft) oder tagesaktuellen Testung (bei PCR-Test: 48 Stunden) auskommen. Arbeitgeber sind gemäß § 28b Abs. 3 IfSG und voraussichtlich bis 19.03.2022 verpflichtet, die Einhaltung der Vorgaben „täglich zu überwachen“ und „regelmäßig zu dokumentieren“. Verstöße gegen die Vorgaben sind bußgeldbewehrt (bis zu 25.000 €), sodass es sich um eine durchaus praxisrelevante Vorschrift handeln dürfte.
Sofern sich der Arbeitnehmer nicht an die Vorgaben hält, ist der Arbeitgeber verpflichtet, dem Arbeitnehmer den Zugang zum Arbeitsplatz zu verwehren. Eine Vergütung ist in diesem Fall nicht geschuldet, sofern nicht ausnahmsweise eine Homeoffice-Möglichkeit angeboten werden kann. Auch Entgeltfortzahlung ist nicht vorgesehen. Vielmehr dürften eine Abmahnung und ggf. eine Kündigung folgen. Nach aktuellem Stand werden die Tests außerhalb der Arbeitszeit durchzuführen sein. Der Arbeitgeber muss jedoch zumindest zwei Tests pro Woche selbst anbieten.
Die Frage nach der Impfung oder dem Genesenen-Status bleibt zwar weiterhin unzulässig, ergibt sich jedoch in der Regel aus den kontrollierten Nachweisen, die allerdings nur mit Einwilligung aufbewahrt werden dürfen.
Verarbeitung und Speicherung von 3G-Nachweisen
Arbeitnehmer müssen also einen Negativtest oder – freiwillig – ihren Immunisierungsnachweis vorlegen. Sodann ist es Sache des Arbeitgebers, den Status zu dokumentieren.
Jede Verarbeitung, einschließlich der Dokumentation des Status sowie der Speicherung von Nachweisen, muss allerdings höchsten datenschutzrechtlichen Anforderungen genügen, da es sich vorliegend um besonders geschützte Gesundheitsdaten gem. Art. 9 DSGVO handelt. Die erforderliche Rechtfertigung der Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 lit. c) DSGVO, nachdem eine gesetzliche Verpflichtung des Arbeitgebers zur Nachweisdokumentation besteht.
Ein Recht zur Speicherung des Immunisierungsnachweises an sich besteht allerdings nicht, sodass eine Einwilligung des Arbeitnehmers zur Speicherung erforderlich ist. Andernfalls wäre aus datenschutzrechtlichen Gesichtspunkten der Nachweis täglich vorzulegen.
Im Ergebnis bedarf es zwar keiner Einwilligung des Arbeitnehmers, um den tagesaktuellen 3G-Status zu erfassen, wohl aber bezüglich der Speicherung eines Immunisierungsnachweises.
In der Folge hätte der Arbeitnehmer auch ein Recht auf Widerruf seiner Einwilligung zur Speicherung des Immunisierungsnachweises. Im Anschluss wäre wiederum die tägliche Vorlage eines 3G-Nachweises geschuldet.
Umso wichtiger ist es, die Einwilligung zur Erfassung und Speicherung eines Immunisierungsnachweises vom Arbeitnehmer zu erlangen.
Dokumentations- und Informationspflichten
An jede Datenverarbeitung sind Dokumentations- und Informationspflichten geknüpft. Dies gilt nicht nur mit Blick auf die nach § 28b Abs. 3 IfSG bestehende Pflicht zur Dokumentation der 3G-Kontrolle, sondern auch für die datenschutzrechtliche Informationspflicht gegenüber den Betroffenen nach den Artt. 12 ff. DSGVO.
Zur Nachhaltung der Kontrollen empfiehlt das Bundesministerium für Arbeit und Soziales am Kontrolltag Vor- und Zunamen der Beschäftigten auf einer Liste "abzuhaken", wenn der jeweilige 3G-Nachweis durch den Beschäftigten erbracht worden ist. Bei Arbeitnehmern, die ihre Einwilligung zur Speicherung des Immunisierungsnachweises erteilt haben, kann der Eintrag in der täglichen Liste vorformatiert verbleiben. Hierbei ist allerdings auf das Ablaufdatum von ggf. gespeicherten Immunisierungsnachweisen zu achten.
Die zuständige Behörde kann sodann vom Arbeitgeber Auskünfte verlangen. Hierbei sollte man nicht dem Trugschluss unterliegen, dass die allenfalls vorzulegende tagesaktuelle Nachweisliste hierzu langfristig aufbewahrt werden dürfte. § 28b Abs. 3 S. 9 IfSG wird insoweit häufig falsch verstanden. Hierin liegt keine Rechtfertigung, die Daten über sechs Monate aufzubewahren, sondern eine Pflicht, die Daten „spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen“. Vermutlich soll dies lediglich die Berücksichtigung der Ablaufzeit von Immunisierungsnachweisen sicherstellen.
Tatsächlich dürfte jedoch, mit Blick auf den Wortlaut „spätestens“ sowie die aktuelle Auffassung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, naheliegen, dass die Nachweislisten jedenfalls am Folgetag zu löschen sind, soweit keine Einwilligung des Betroffenen zur längeren Datenspeicherung vorliegt. Hintergrund ist, dass die datenschutzrechtliche Zweckbindung und Datenminimierung eine über die tägliche Nachweispflicht hinausgehende Datenspeicherung eigentlich nicht zulässt, da der Zweck „tagesaktuelle Kontrolle“ weggefallen ist. Sicherheitshalber sollte neben der täglichen Nachweisliste ein Verzeichnis über die jeweilige Löschung der Liste der Vortage geführt werden, um auch der Pflicht zur „regelmäßigen Dokumentation“ nachzukommen.
Korrespondierend zur Dokumentationspflicht gibt es natürlich auch einen datenschutzrechtlichen Auskunftsanspruch des Arbeitnehmers zum Umfang der Datenverarbeitung, insb. zu gespeicherten Daten.
Ohnehin bestehen auch die üblichen datenschutzrechtlichen Informationspflichten gegenüber den Betroffenen. So sind diese über ihre Rechte sowie über Art, Zweck und Umfang der Datenverarbeitung zu belehren. Überdies hat der Arbeitgeber seine Beschäftigten über die betrieblichen Zugangsregelungen zu informieren. All dies sollte spätestens mit Kontrolle des 3G-Status erfolgen, beispielsweise per Aushang oder Merkblatt. Da die Kontrolle der Tests täglich neu erfolgt, genügt eine einmalige Informations-E-Mail für diese Arbeitnehmer wohl nicht.
Da es sich bei Impf-, Genesenen- bzw. Teststatus um Gesundheitsdaten handelt, ist nicht zuletzt auch auf die Sicherheit der Daten besonderer Wert zu legen. Es ist insoweit sicherzustellen, dass Unbefugte keine Einsicht in die 3G-Dokumentation erhalten und die Löschung nicht mehr erforderlicher Daten umgehend und fachgerecht erfolgt. |
|
|
|---|
|
|
