3G am Arbeitsplatz: Was sind die wesentlichen Anforderungen des Datenschutzes?

Ab Mittwoch, den 24.11.2021 sollen am Arbeitsplatz die sog. 3G-Regelungen gelten. Der Deutsche Bundestag und der Bundesrat haben die Änderung des Infektionsschutzgesetzes und weiterer Gesetze beschlossen. Die neuen Regelungen beinhalten arbeitsrechtliche und arbeitsschutzrechtliche Maßnahmen sowie Unterstützungsleistungen.
Die Regelungen sollen dazu beitragen, die akute vierte Infektionswelle möglichst schnell zu brechen und das allgemeine Infektionsgeschehen in Deutschland effizient einzudämmen.
Der FAQ-Sammlung des Bundesministerium für Arbeit und Soziales können (BMAS) auch Informationen zu datenschutzrechtlichen Spielregeln entnommen werden.

1. Was ist bei den betrieblichen Zugangskontrollen hinsichtlich des Datenschutzes zu beachten?
„Nachweise über den Impf- und Genesungsstatus und negative Testbescheinigungen gehören zu den besonders geschützten Gesundheitsdaten.
§ 28b IfSG verpflichtet den Arbeitgeber zu Nachweiskontrollen, um zu überwachen und zu dokumentieren, dass die Beschäftigten der Pflicht zur Mitführung oder zum Hinterlegen eines 3G-Nachweises nachkommen. Soweit es dazu erforderlich ist, darf der Arbeitgeber personenbezogene Daten wie den Namen und das Vorliegen eines gültigen 3G-Nachweises inkl. der Gültigkeitsdauer abfragen und dokumentieren. Weitere Gesundheitsdaten der Beschäftigten dürfen durch den Arbeitgeber auf Grundlage diese Bestimmung nicht erhoben bzw. verarbeitet werden.

Der Arbeitgeber hat die Vorgaben des Datenschutzes einzuhalten, insbesondere angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen nach § 22 Absatz 2 BDSG vorzusehen. Dafür sind unter anderem technische und organisatorische Maßnahmen zur Datensicherheit zu ergreifen. Die Arbeitgeber haben sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte (zum Beispiel Dritte oder Kolleginnen und Kollegen) ausgeschlossen ist.

Der Arbeitgeber darf den Impf-, Genesenen- und Testnachweis nur verarbeiten, soweit dies zum Zwecke zur Nachweiskontrolle erforderlich ist. Darüber hinaus wird ihm gestattet, die Daten bei der Anpassung des betrieblichen Hygienekonzepts zu verwenden. Es gilt der Grundsatz der Zweckbindung (Art. 5 Absatz 1 Buchstabe b DSGVO). Eine Verarbeitung zu einem anderen Zweck ist nicht zulässig. Verstößt der Arbeitgeber gegen die Datenschutz-Grundverordnung können ihm Bußgelder und Schadensersatz drohen.“

2. Wie kann die ordnungsgemäße Durchführung der betrieblichen Zugangskontrollen dokumentiert werden?
„Um dem Grundsatz der Datenminimierung nach Artikel 5 Absatz 1 lit. c) DS-GVO zu genügen, reicht es aus, am jeweiligen Kontrolltag den Vor- und Zunamen der Beschäftigten auf einer Liste „abzuhaken“, wenn der jeweilige Nachweis durch den Beschäftigten erbracht worden ist.
Bei geimpften und genesenen Personen muss das Vorhandensein eines gültigen Nachweises nur einmal erfasst und dokumentiert werden. Bei Genesenen ist in diesem Fall zusätzlich das Enddatum des Genesenenstatus zu dokumentieren.“

3. Löschfrist/Aufbewahrungsfristen
„Die Daten sind spätestens sechs Monate nach Ihrer Erhebung zu löschen.“


Verantwortliche Stellen können auch den einzelnen Informationen der Datenschutz-Aufsichtsbehörden konkrete Empfehlungen für ein datenschutzkonformen oder datenschutzfreundliches Vorgehen entnehmen.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
„[…] Es hätte allerdings in den meisten Fällen gereicht, den Arbeitgeberinnen und Arbeitgebern überhaupt eine Kontrolle zu ermöglichen. Stattdessen werden sie nun dauerhaft flächendeckend und bußgeldbewährt zur Kontrolle der Beschäftigten verpflichtet. Trotzdem sieht der Gesetzentwurf keine Schutzmaßnahmen für die Daten der betroffenen Beschäftigten vor. Es gibt zum Beispiel keine Pseudonymisierungsmaßnahmen und keine Schweigepflicht der kontrollierenden Personen gegenüber dem Arbeitgeber, damit die Erkenntnisse nicht zweckwidrig genutzt werden können.

Nach Auffassung des BfDI wäre es ausreichend, 3G-Daten der Beschäftigten für eine Zutrittskontrolle zu prüfen und diese dann nach Zutritt oder am Ende des jeweiligen Tages zu löschen. Insgesamt wäre die Kontrolle der 3G-Regelung deutlich datenschutzfreundlicher umsetzbar gewesen: Ich bin der Auffassung, dass auch für dieses Gesetz grundsätzlich keine längerfristige Speicherung der personenbezogenen 3G-Daten bei Arbeitgeberinnen und Arbeitgebern erforderlich ist. Für die Zutrittskontrolle genügt ein ‚Abhaken‘. Für die „regelmäßige Dokumentation“, ob die Zutrittsvoraussetzungen eingehalten werden, reicht es aus, wenn Arbeitgeberinnen und Arbeitgeber nachprüfbare Prozesse etabliert haben, auf welche Weise täglich der 3G-Status der Beschäftigten geprüft wird. Die personengenaue Speicherung sensibler Gesundheitsdaten ist dafür nicht erforderlich. Das Gesetz nennt auch keinen Zweck für diese bald sehr große Menge an Daten.

1. Der Landesbeauftragte für den Datenschutz und
die Informationsfreiheit Baden-Württemberg (LfDI BW)
Abfragen von Gesundheitsdaten durch Arbeitgeber_innen?

2. Der Bayerische Landesbeauftragte für den Datenschutz
FAQ-Sammlung zur Verarbeitung von 3G/3G plus/2G im Beschäftigtenverhältnis (Stand 11.11.2021)

3. Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)
Aktuelle Kurz-Information 38: 3G-Zutrittsregel im bayerischen öffentlichen Dienst

4. Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)
Verarbeitung des COVID-19- Impfstatus im bayerischen öffentlichen Dienst Arbeitspapier

(Foto: Bihlmayerfotografie – stock.adobe.com)