3G am Arbeitsplatz: Was sind die wesentlichen Anforderungen des Datenschutzes?

3G-Regel

Ab Mittwoch, den 24.11.2021 sollen am Arbeitsplatz die sog. 3G-Regelungen gelten. Der Deutsche Bundestag und der Bundesrat haben die Änderung des Infektionsschutzgesetzes und weiterer Gesetze beschlossen. Die neuen Regelungen beinhalten arbeitsrechtliche und arbeitsschutzrechtliche Maßnahmen sowie Unterstützungsleistungen.
Die Regelungen sollen dazu beitragen, die akute vierte Infektionswelle möglichst schnell zu brechen und das allgemeine Infektionsgeschehen in Deutschland effizient einzudämmen.
Der FAQ-Sammlung des Bundesministerium für Arbeit und Soziales können (BMAS) auch Informationen zu datenschutzrechtlichen Spielregeln entnommen werden.

1. Was ist bei den betrieblichen Zugangskontrollen hinsichtlich des Datenschutzes zu beachten?
„Nachweise über den Impf- und Genesungsstatus und negative Testbescheinigungen gehören zu den besonders geschützten Gesundheitsdaten.
§ 28b IfSG verpflichtet den Arbeitgeber zu Nachweiskontrollen, um zu überwachen und zu dokumentieren, dass die Beschäftigten der Pflicht zur Mitführung oder zum Hinterlegen eines 3G-Nachweises nachkommen. Soweit es dazu erforderlich ist, darf der Arbeitgeber personenbezogene Daten wie den Namen und das Vorliegen eines gültigen 3G-Nachweises inkl. der Gültigkeitsdauer abfragen und dokumentieren. Weitere Gesundheitsdaten der Beschäftigten dürfen durch den Arbeitgeber auf Grundlage diese Bestimmung nicht erhoben bzw. verarbeitet werden.

Der Arbeitgeber hat die Vorgaben des Datenschutzes einzuhalten, insbesondere angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen nach § 22 Absatz 2 BDSG vorzusehen. Dafür sind unter anderem technische und organisatorische Maßnahmen zur Datensicherheit zu ergreifen. Die Arbeitgeber haben sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte (zum Beispiel Dritte oder Kolleginnen und Kollegen) ausgeschlossen ist.

Der Arbeitgeber darf den Impf-, Genesenen- und Testnachweis nur verarbeiten, soweit dies zum Zwecke zur Nachweiskontrolle erforderlich ist. Darüber hinaus wird ihm gestattet, die Daten bei der Anpassung des betrieblichen Hygienekonzepts zu verwenden. Es gilt der Grundsatz der Zweckbindung (Art. 5 Absatz 1 Buchstabe b DSGVO). Eine Verarbeitung zu einem anderen Zweck ist nicht zulässig. Verstößt der Arbeitgeber gegen die Datenschutz-Grundverordnung können ihm Bußgelder und Schadensersatz drohen.“

2. Wie kann die ordnungsgemäße Durchführung der betrieblichen Zugangskontrollen dokumentiert werden?
„Um dem Grundsatz der Datenminimierung nach Artikel 5 Absatz 1 lit. c) DS-GVO zu genügen, reicht es aus, am jeweiligen Kontrolltag den Vor- und Zunamen der Beschäftigten auf einer Liste „abzuhaken“, wenn der jeweilige Nachweis durch den Beschäftigten erbracht worden ist.
Bei geimpften und genesenen Personen muss das Vorhandensein eines gültigen Nachweises nur einmal erfasst und dokumentiert werden. Bei Genesenen ist in diesem Fall zusätzlich das Enddatum des Genesenenstatus zu dokumentieren.“

3. Löschfrist/Aufbewahrungsfristen
„Die Daten sind spätestens sechs Monate nach Ihrer Erhebung zu löschen.“


Verantwortliche Stellen können auch den einzelnen Informationen der Datenschutz-Aufsichtsbehörden konkrete Empfehlungen für ein datenschutzkonformen oder datenschutzfreundliches Vorgehen entnehmen.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
„[…] Es hätte allerdings in den meisten Fällen gereicht, den Arbeitgeberinnen und Arbeitgebern überhaupt eine Kontrolle zu ermöglichen. Stattdessen werden sie nun dauerhaft flächendeckend und bußgeldbewährt zur Kontrolle der Beschäftigten verpflichtet. Trotzdem sieht der Gesetzentwurf keine Schutzmaßnahmen für die Daten der betroffenen Beschäftigten vor. Es gibt zum Beispiel keine Pseudonymisierungsmaßnahmen und keine Schweigepflicht der kontrollierenden Personen gegenüber dem Arbeitgeber, damit die Erkenntnisse nicht zweckwidrig genutzt werden können.

Nach Auffassung des BfDI wäre es ausreichend, 3G-Daten der Beschäftigten für eine Zutrittskontrolle zu prüfen und diese dann nach Zutritt oder am Ende des jeweiligen Tages zu löschen. Insgesamt wäre die Kontrolle der 3G-Regelung deutlich datenschutzfreundlicher umsetzbar gewesen: Ich bin der Auffassung, dass auch für dieses Gesetz grundsätzlich keine längerfristige Speicherung der personenbezogenen 3G-Daten bei Arbeitgeberinnen und Arbeitgebern erforderlich ist. Für die Zutrittskontrolle genügt ein ‚Abhaken‘. Für die „regelmäßige Dokumentation“, ob die Zutrittsvoraussetzungen eingehalten werden, reicht es aus, wenn Arbeitgeberinnen und Arbeitgeber nachprüfbare Prozesse etabliert haben, auf welche Weise täglich der 3G-Status der Beschäftigten geprüft wird. Die personengenaue Speicherung sensibler Gesundheitsdaten ist dafür nicht erforderlich. Das Gesetz nennt auch keinen Zweck für diese bald sehr große Menge an Daten.

1. Der Landesbeauftragte für den Datenschutz und
die Informationsfreiheit Baden-Württemberg (LfDI BW)

Abfragen von Gesundheitsdaten durch Arbeitgeber_innen?

2. Der Bayerische Landesbeauftragte für den Datenschutz
FAQ-Sammlung zur Verarbeitung von 3G/3G plus/2G im Beschäftigtenverhältnis (Stand 11.11.2021)

3. Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)
Aktuelle Kurz-Information 38: 3G-Zutrittsregel im bayerischen öffentlichen Dienst

4. Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)
Verarbeitung des COVID-19- Impfstatus im bayerischen öffentlichen Dienst Arbeitspapier

(Foto: Bihlmayerfotografie – stock.adobe.com)





Letztes Update:21.11.21

  • Online-Kompaktkurs: Der Überwachungsauftrag des DSB

    Online-Kompaktkurs: Der Überwachungsauftrag des DSB

    Online-Kompaktkurs

    138.04 € Mehr erfahren
  • Mitarbeiterinformation Datenschutz

    Mitarbeiterinformation Datenschutz

    Merkblatt

    4.60 € Mehr erfahren
  • Handbuch Beschäftigtendatenschutz

    Handbuch Beschäftigtendatenschutz

    Buch

    139.99 € Mehr erfahren
  • USA Überwachungsgesetz

    DSK-Gutachten: Aktueller Stand des US-Überwachungsrechts

    Die DSK (Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder) haben ein von Prof. Stephen Vladek erstelltes Gutachten zu den US-Überwachungsbefugnissen veröffentlicht. Es existiert auch eine deutsche Übersetzung des Gutachtens. Das Dokument könnte ein Schlüsselelement für Durchsetzungsmaßnahmen im Zusammenhang mit den deutschen Datenschutzbehörden sowie eine gute Informationsquelle für die Bewertung von

    Mehr erfahren
  • TTDSG

    DSK: Konsultationsverfahren zur „Orientierungshilfe Telemedien 2021“

    Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 20.12.2021 eine neue Fassung ihrer Orientierungshilfe für Anbieter/-innen von Telemedien veröffentlicht („Orientierungshilfe Telemedien 2021“). Mittels des überarbeiteten Papiers soll Betreibern und Betreiberinnen von Webseiten, Apps oder Smarthome-Anwendungen konkrete Hilfestellung bei der Umsetzung der am 01.12.2021 in Kraft getretenen Vorschriften des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG)

    Mehr erfahren
  • Umsetzung des Auskunftsrechts: EDSA beschließt Leitlinien

    „Das Auskunftsrecht ermöglicht es Einzelpersonen, sich darüber zu informieren, wie und warum ihre personenbezogenen Daten verarbeitet werden. Die Leitlinien enthalten Beispiele, die den für die Verarbeitung Verantwortlichen helfen sollen, Auskunftsanträge in einer der DS-GVO entsprechenden Weise zu beantworten“, so die Vorsitzende des europäischen Datenschutzausschusses (EDSA), Andrea Jelinek. Auf seiner Plenartagung im Januar hat der EDSA

    Mehr erfahren