Neues zum Datenschutzrecht

3.12.2021

Verarbeitung von Beschäftigtendaten im Zusammenhang mit 2G-/3G-Zugangsregelungen

Das Infektionsschutzgesetz (IfSG) enthält seit dem 24.11.2021 eine gesetzliche Grundlage für eine 3G-Zugangsregelung am Arbeitsplatz und mit § 28b Abs. 3 auch eine ausdrückliche Befugnisnorm für die Verarbeitung von Beschäftigtendaten in diesem Zusammenhang. Daneben enthalten die Infektionsschutzverordnungen der Bundesländer für bestimmte Bereiche weitere Zugangsregelungen für Beschäftigte.

Ausgangspunkt

Arbeitsstätten dürfen von Beschäftigten, die Kontakt zu anderen Personen haben, nur betreten werden, wenn sie geimpft, genesen oder getestet sind und einen Impf-, Genesenen oder Testnachweis im Sinne von § 2 Nr. 3, 5 oder 7 OVID 19-Schutzmaßnahmen- Ausnahmenverordnung (SchAusnahmV) bei sich führen oder beim Arbeitgeber hinterlegt haben (§ 28b Abs. 1 Satz 1 IfSG). Arbeitgeber sind gem. § 28b Abs. 3 IfSG verpflichtet, Nachweiskontrollen durchzuführen und regelmäßig zu dokumentieren. Der „G-Nachweis“ ist den Arbeitgebern von den Beschäftigten auf Verlangen vorzulegen. Soweit es zur Erfüllung der Überprüfungs- und Dokumentationspflicht erforderlich ist, dürfen Arbeitgeber zu diesem Zweck personenbezogene Daten einschließlich Daten zum „G-Status“ verarbeiten. Diese Daten dürfen auch zur Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß §§ 5 und 6 Arbeitsschutzgesetz (ArbSchG) verwendet werden, soweit dies erforderlich ist. Insofern gilt § 22 Abs. 2 Bundesdatenschutzgesetz (BDSG) entsprechend (§ 28b Abs. 3 Satz 5 IfSG), der Maßnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit vorschreibt.

Was heißt das konkret für die Praxis?

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat eine FAQ-Sammlung zur Verarbeitung von Beschäftigtendaten, konkret des Impf- bzw. Genesen-Status veröffentlicht, die eine gute Grundlage für die datenschutzrechtskonforme Umsetzung bietet. Hierbei ist zu beachten, dass diese Informationen den Stand vom 29.11.2021 haben und sich aufgrund der dynamischen Entwicklung jederzeit ändern können. Darauf weist auch das BayLDA ausdrücklich hin. Die Information des BayLDA können Sie hier als pdf-Datei direkt abrufen.

Kontrolle des „G-Status“

Da Arbeitgeber gem. § 28b Abs. 3 IfSG verpflichtet sind, Personen die die Arbeitsstätte betreten, auf Einhaltung der 3G-Nachweispflicht zu überprüfen, ist die mit dieser Kontrolle einhergehende Frage nach dem „G-Status“ ebenso zulässig wie das Verlangen, den Nachweis vorzuzeigen und diesen zu kontrollieren.

Grundsatz der Datenminimierung

Für ein Vorgehen, das dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO) genügt, empfiehlt das BayLDA, die kostenlose „CovPassCheck-App“ des Robert-Koch-Instituts (RKI), womit der QR-Code des Impf- oder Genesenenzertifikats gescannt werden kann. Dabei sieht die überprüfende Person lediglich, dass ein gültiges Zertifikat vorliegt, aber nicht, ob es sich um ein Impf- oder Genesenenzertifikat handelt. Zur Verifizierung werden weiterhin der Nachname, Vorname und das Geburtsdatum angezeigt. Es erfolgt keine Speicherung dieser Daten durch die CovPassCheck-App.

Dokumentation und Speicherdauer

Da eine Konkretisierung der Überwachungs- und Dokumentationspflichten des Arbeitgebers nach § 28b Abs. 6 Satz 2 IfSG einer gesonderten Regelung in einer Verordnung vorbehalten ist, kann nach Ansicht des BayLDA die Pflicht des Arbeitgebers zur regelmäßigen Dokumentation gem. § 28b Abs. 3 IfSG derzeit nur eine Pflicht zur Dokumentation der Prozesse zur Überwachung der Einhaltung der Nachweispflichten und deren tatsächlichen Umsetzung bedeuten. Hierfür soll es laut BayLDA beispielsweise ausreichen, den Umstand zu dokumentieren, dass der Nachweis durch den jeweiligen Beschäftigten tatsächlich erbracht wurde, ohne den Nachweis selbst zu speichern.

Für die Speicherdauer gilt Folgendes: Sobald der „G-Status“ nicht mehr zur Überprüfung der Zugangsvoraussetzungen und zur Erfüllung der gesetzlichen Dokumentationspflichten nach § 28b IfSG erforderlich ist, sind die Daten zu löschen, spätestens jedoch am Ende des sechsten Monats nach ihrer Erhebung (§ 28b Abs. 3 Satz 9 IfSG) bzw. zum Zeitpunkt des Wegfalls der jeweils zu Grunde liegenden Rechtsgrundlage. Hierbei ist zwischen Infektionsschutzgesetz und der in dem jeweiligen Bundesland geltenden Infektionsschutzverordnung zu differenzieren. Aktuell sollten Verantwortliche spätestens nach Ablauf von sechs Monaten nach der Erhebung der „G-Daten“ überprüfen, ob eine Pflicht zur Löschung besteht.

Fazit

Die grundlegenden Informationen und FAQ des BayLDA zur Verarbeitung von Beschäftigtendaten im Zusammenhang mit 2G-/3G-Regelungen sind hilfreich und können grundsätzlich für die Praxis empfohlen werden. Neben den oben genannten Punkten werden vom BayLDA weitere praxisrelevante Fragen beantwortet, z.B. unter welchen Voraussetzungen der Arbeitgeber verlangen darf, dass ihm der Impf- bzw. Genesenennachweis vorab zugesandt wird.

Sollten Sie Fragen zur Verarbeitung von Beschäftigtendaten im Zusammenhang mit der Corona-Pandemie oder zu sonstigen datenschutzrechtlichen Themen haben oder dabei Unterstützung benötigen, können Sie mich gerne kontaktieren.

Zurück zur Übersicht