3 G am Arbeitsplatz – Was Arbeitgeber jetzt beachten und Arbeitnehmer wissen müssen
Hinweis:
Bitte beachten Sie, dass aufgrund des dynamischen Geschehens sich kurzfristige Änderungen ergeben können.
I. Wann darf ein Arbeitgeber den Impfstatus der Beschäftigten verarbeiten?
Nur dann, wenn es gesetzlich ausdrücklich geregelt ist! Mit der Änderung des Infektionsschutzgesetzes (IfSG) zum 24.11.2021 wurde eine bundesweite gesetzliche Grundlage für eine 3G-Zugangsregelung am Arbeitsplatz (§ 28 b IfSG) sowie eine ausdrückliche Verarbeitungsbefugnis für Arbeitgeber geschaffen (§ 28 b Abs. 3 IfSG).
II. Was regelt der neue § 28b IfSG?
28b Abs. 1 S. 1 IfSG sieht vor, dass Arbeitgeber und Beschäftigte, die physische Kontakte zu anderen Personen haben können, die Arbeitsstätte nur betreten dürfen, wenn sie im Sinne des § 2 Nummern 2, 4, 6 der COVID 19-Schutzmaßnahmen- Ausnahmenverordnung (SchAusnahmV) geimpft, genesen oder getestet sind. Arbeitgeber und Beschäftigte müssen einen Impf-, Genesenen oder Testnachweis im Sinne des § 2 Nummern 3, 5 oder 7 SchAusnahmV bei sich führen und auf Verlangen vorzeigen. Beschäftigte können den Nachweis freiwillig beim Arbeitgeber hinterlegen.
Das Betreten der Arbeitsstätte ohne vorherigen Nachweis ist erlaubt, um unmittelbar vor der Arbeitsaufnahme einen durch den Arbeitgeber zur Verfügung gestellten Corona-Test durchzuführen oder ein Impfangebot des Arbeitgebers wahrzunehmen (§ 28b Abs. 1 S. 3 IfSG).
Soweit sog. Sammeltransporte stattfinden, die dem Arbeitgeber zuzurechnen sind, wird die Nachweispflicht auf den Zeitpunkt des Einsteigens in das Transportmittel vorverlagert.
Die Arbeitgeber sind gem. § 28b Abs. 3 IfSG verpflichtet, die Einhaltung der Pflicht, einen Nachweis bei sich zu führen, durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren. Soweit es zur Erfüllung der Überprüfungs- und Dokumentationspflicht erforderlich ist, darf der Arbeitgeber zu diesem Zweck personenbezogene Daten einschließlich Daten zum Impf-, Sero- und Teststatus in Bezug auf die Coronavirus-Krankheit-(COVID-19) verarbeiten. Die Daten dürfen auch zur Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß den §§ 5 und 6 des Arbeitsschutzgesetzes (ArbSchG) verwendet werden, soweit dies erforderlich ist. § 22 Abs. 2 des Bundesdatenschutzgesetzes (BDSG) gilt entsprechend.
Spezielle Regelungen gelten für bestimmte Einrichtungen und Unternehmen der Pflege bzw. in denen besonders vulnerable Personen untergebracht sind (vgl. § 28b Abs. 2 IfSG). Hiernach müssen auch geimpfte und genesene Personen einen negativer Testnachweis mit zu führen. Neben den Arbeitgebern und den Beschäftigten gilt dies auch für Besucher. Darüber hinaus bestehen nach § 28b Abs. 3 S. 7 IfSG bestimmte statistische Berichtspflichten.
Rechtmäßig erhobene Daten sind spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen.
Außerdem wird eine Verordnungsermächtigung für das Bundesministerium für Arbeit und Soziales erteilt (§ 28b Abs. 6 IfSG), in der noch u.a. die Einzelheiten zu den von den Arbeitgebern zu ergreifenden Überwachungs- und Dokumentationspflichten weiter konkretisiert werden können.
Die Regelungen gelten zunächst bis Ablauf des 19. März 2022.
III. Konkrete Anwendungsfragen
1. Wer gilt als Beschäftigter im Sinne der § 28b Abs. 1 IfSG?
- Arbeitnehmerinnen und Arbeitnehmer,
- die zu ihrer Berufsbildung Beschäftigten,
- Praktikanten
- arbeitnehmerähnliche Personen im Sinne des § 5 Abs. 1 des Arbeitsgerichtsgesetzes
- die in Werkstätten für Behinderte Beschäftigten
2. Wie häufig muss das Vorliegen eines Nachweises geprüft werden?
28b Abs. 3 S. 1 fordert eine tägliche Überwachung der Einhaltung der 3G-Zugangsregelung mitsamt der verpflichtenden Erbringung eines Impf-, Genesenen- oder Testnachweis.
3. Darf der Betriebsinhaber die Einhaltung der 3G-Regelung bzw. 2G/2Gplus-Regelung bei Beschäftigten eines anderen Arbeitgebers prüfen, wenn diese seinen Betrieb betreten?
a) Zu den Arbeitsstätten zählen insbesondere auch Orte auf dem Gelände eines Betriebes oder einer Baustelle, zu denen Beschäftigte im Rahmen ihrer Arbeit Zugang haben. Allerdings ist gem. § 28b Abs. 3 IfSG der Arbeitgeber der die Arbeitsstätte betretenden Personen zur Überprüfung der Einhaltung der 3G-Nachweispflicht verpflichtet.
Der Betriebsinhaber ist nicht verpflichtet und damit auf Grundlage des § 28b Abs. 3 IfSG auch nicht berechtigt, das Vorliegen der Zugangsvoraussetzungen zu prüfen, vielmehr obliegt diese Pflicht dem Arbeitgeber der jeweiligen Personen.
b) Daneben kann ein Betrieb in seinem Hygienekonzept eine 3G-Regelung einführen, womit auch Personen, die nicht Beschäftigte eines Betriebs sind, einen Nachweis erbringen müssen.
4. Wie kann der Arbeitgeber datensparsam das Vorliegen eines Nachweises prüfen?
Eine datensparsame Überprüfung kann mittels der kostenlosen „CovPassCheck-App“ des RKI (CovPassCheck-App: Digitale COVID-Zertifikate der EU schnell prüfen (digitaler-impfnachweis-app.de) erfolgen. Hierbei wird der QR-Code des Impf- oder Genesenenzertifikats abgescannt. Die überprüfende Person sieht dann lediglich, dass ein gültiges Zertifikat vorliegt, nicht aber ob es sich um ein Impf- oder Genesenenzertifikat handelt. Weiterhin wird der Nachname, Vorname und das Geburtsdatum zur Verifizierung angezeigt. Eine Speicherung der angezeigten Daten durch die CovPassCheck-App findet nicht statt. Weiterhin kann eine Zugangskontrolle erfolgen, indem analog entsprechende Zertifikate vorgezeigt werden.
5. Darf der Impf-, Genesenen- und Teststatus der Beschäftigten durch den Arbeitgeber gespeichert werden?
28b Abs. 1 S. 1 IfSG gibt den Beschäftigten die Möglichkeit ihren 3G-Nachweis beim Arbeitgeber zu hinterlegen. Damit ist der Arbeitgeber bis zum Ablauf der gesetzlichen Regelung (vgl. Frage IV. 11) in diesen Fällen befugt, auch eine Kopie des Nachweises auf Grundlage einer Einwilligung i.S.d. § 26 Abs. 2 BDSG zu speichern. Eine Kopie des Impfausweises ist hier mangels Eignung unzulässig. In Betracht kommt aber eine Kopie des entsprechenden Zertifikates.
Liegt keine Einwilligung vor, so ist eine Speicherung der Nachweise als solche z.B. als Kopie nicht zulässig.
Daten zum Impf-, Sero- und Teststatus dürfen nur verarbeitet werden, soweit dies erforderlich ist, um der Verpflichtung zur täglichen Überwachung durch Nachweiskontrollen und zur regelmäßigen Dokumentation nachzukommen (§ 28b Abs. 3 S. 3 IfSG). Eine Erforderlichkeit zur Speicherung der „3G-Daten“ kann begründbar sein, wenn der betriebliche Umsetzungsaufwand außer Verhältnis zu einer täglichen Überprüfung stehen würde oder die Beschäftigten einwilligen. Soweit die Erforderlichkeit für eine Verarbeitung des Status im Rahmen der 3G-Regelung begründet werden kann, genügt es vor dem Grundsatz der Datenminimierung (Art.5 Abs. 1 Buchst. c der Datenschutz-Grundverordnung (DS-GVO)), wenn das Vorhandensein eines gültigen Nachweises („ob“) mitsamt der Art des Nachweises („welches“, vgl. hierzu auch Frage IV. 4) und der Gültigkeitsdauer dokumentiert werden. Eine tägliche Kontrolle ist dann für die Beschäftigten, deren Status gespeichert wurde, grundsätzlich nicht mehr erforderlich.
§ 28b Abs. 3 S. 5 IfSG regelt die entsprechende Anwendung des § 22 Abs. 2 BDSG (vgl. Frage IV. 10).
6. Darf der Arbeitgeber verlangen, dass ihm ein Impfnachweis bereits vorab (elektronisch) zugesandt wird?
Da der Arbeitgeber den G-Nachweis an sich nur in eng begrenzten Fällen speichern darf, kann eine Vorab-Zusendung des Nachweises nur freiwillig geschehen. Jedenfalls muss dem Beschäftigten auch die Möglichkeit gegeben werden, den Nachweis vor Ort bei Betreten der Arbeitsstätte vorzuzeigenWird die Möglichkeit einer elektronischen Zusendung eröffnet, so ist insbesondere darauf zu achten, dass der Empfängerkreis begrenzt gehalten wird (z.B. bei einer Funktions-E-Mail-Adresse) und der angebotene Kommunikationsweg sicher ist. Weiterhin gilt gleiches wie bei der Sichtkontrolle (vgl. Frage IV. 5). Soweit keine Befugnis zur Speicherung des Nachweises besteht, sind ggf. nach einer Dokumentation (Vorlage ja, ggf. konkreter Status, Gültigkeitsdauer), z.B. E-Mails mit Nachweisen zu löschen.
Alternativ kann z.B. im Rahmen eines Videochats ein Nachweis vorgezeigt werden. Auch hier müssen die Vorgaben zur Datensicherheit eingehalten werden.
7. Was muss der Arbeitgeber dokumentieren?
Eine Konkretisierung der Überwachungs- und Dokumentationspflichten des Arbeitgebers ist nach § 28b Abs. 6 S. 2 Nr. 2 IfSG einer gesonderten Verordnungsregelung vorbehalten. Aus Sicht des LfDI M-V kann die Pflicht des Arbeitgebers zur regelmäßigen Dokumentation gem. § 28b Abs. 3 S. 1 IfSG zunächst nur eine Pflicht zur Dokumentation der Prozesse zur Überwachung der Einhaltung der Nachweispflichten und deren tatsächlichen Umsetzung bedeuten. Für den Nachweis einer tatsächlichen Umsetzung dieser Prozesse kann z.B. nach Erbringung des Nachweises ein Haken o.ä. hinter den Namen des jeweils Beschäftigten gesetzt werden.
8. Wie lange darf die Information über das Vorliegen eines konkreten Nachweises und dessen Gültigkeitsdauer gespeichert werden?
Verantwortliche sollten vorsehen, dass spätestens nach Ablauf von sechs Monaten nach der Erhebung der „G-Daten“ überprüft wird, ob eine Pflicht zur Löschung besteht.
Die Dauer der Speicherung wird durch den Erforderlichkeitsgrundsatz begrenzt. Sobald der „G-Status“ nicht mehr zur Überprüfung der Zugangsvoraussetzungen und zur Erfüllung von Dokumentationspflichten nach § 28b IfSG erforderlich ist, sind die Daten zu löschen (vgl. Frage IV. 5) spätestens jedoch am Ende des sechsten Monats nach ihrer Erhebung (§ 28b Abs. 3 S. 8 IfSG) bzw. zum Zeitpunkt des Wegfalls der zu Grunde liegenden Rechtsgrundlage am 19.03.2022 (vgl. Frage IV. 10). Etwas anderes gilt, sofern der Arbeitgeber die weitere Verarbeitung (ausnahmsweise) auf eine andere Rechtsgrundlage stützen kann.
Die rechtmäßig bekanntgewordenen Daten dürfen insbesondere zur Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß den §§ 5 und 6 des Arbeitsschutzgesetzes verwendet werden, soweit dies erforderlich ist (§ 28b Abs. 3 S.4 IfSG).
9. Darf das Vorliegen des Impf-, Genesenen- und Teststatus im Zusammenhang mit einer 3G/2g/2Gplus-Zugangsregelung in der Personalakte gespeichert werden?
Eine Speicherung in der Personalakte ist grundsätzlich wegen der eigenständigen und vorübergehenden infektionsschutzrechtlichen Zweckbestimmung von 3G-Zugangsregelungen nicht erforderlich und damit nicht zulässig. Vergleichbares gilt gegebenenfalls auch im Falle einer weiteren Verarbeitung nach § 28b Abs. 3 S.4 IfSG. Die Speicherung des Vorliegens eines Impf-, Genesenen- und Teststatus muss wegen ihrer eigenständigen und vorübergehenden infektionsschutzrechtlichen Zweckbestimmung daher gesondert erfolgen.
Dabei muss sich vor Augen gehalten werden, dass es sich um eine Zugangsregelung handelt, deren Überprüfung vor dem Betreten der Arbeitsstätte erfolgen muss. Es muss somit die Stelle, die mit der Überprüfung des Vorliegens eines Nachweises und einer geforderten Dokumentation betraut ist, berechtigt sein, im erforderlichen Umfang Zugriff auf die gespeicherten Daten zu haben. Eine Zugriffsmöglichkeit und, damit einhergehend, eine Speicherung an anderer Stelle ist regelmäßig nicht erforderlich.
10. Welche Maßnahmen müssen zum Schutz der betroffenen Personen vorgesehen werden?
Der Impf- oder Genesenenstatus gehört zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DS-GVO. Mit der Verarbeitung dieser Daten ist regelmäßig ein hohes Risiko verbunden, so dass entsprechende technische und organisatorische Schutzmaßnahmen (z.Bsp. strenge Zugriffsbeschränkungen, Verschlüsselung beim E-Mailversand, sichere Aufbewahrung) zu treffen sind. Eine Datenschutz-Folgenabschätzung ist aus Sicht des LfDI M-V aber in der Regel nicht erforderlich.
11. Wie lange gelten die Regelungen des § 28b IfSG?
Die Regelungen des § 28b IfSG gelten zunächst bis Ablauf des 19. März 2022.
12. Darf der Arbeitgeber personenbezogene Daten im Zusammenhang mit Schnelltests von vollständig geimpften oder genesenen Beschäftigten verarbeiten?
Bei Corona-Schnelltests werden in der Regel personenbezogene Gesundheitsdaten der Arbeitnehmer erhoben, die unter den besonderen Schutz nach Artikel 9 DS-GVO fallen und für deren Erhebung immer eine Rechtsgrundlage gegeben sein muss. Bei freiwilligen Schnelltests legitimiert § 1a Abs. 3 der Corona-LVO M-V zu einer entsprechenden Datenverarbeitung. Von vollständig geimpften oder genesenen Beschäftigten dürfen darüber hinaus aber keine personenbezogenen Daten im Zusammenhang mit vom Arbeitgeber angeordneten Schnelltests verarbeitet werden. Soweit keine gesetzliche Testpflicht gegeben ist, können Beschäftigten aber Schnelltests zur selbstständigen Durchführung zur Verfügung gestellt werden. Die Inanspruchnahme des Tests oder gar das Testergebnis darf dann aber nicht dokumentiert werden.
In besonders gelagerten Einzelfällen kann sich aus spezialgesetzlichen Regelungen ergeben, dass eine Testpflicht trotz Impfung für Beschäftigte besteht. In diesen Fällen ist die Datenverarbeitung im Zusammenhang mit dem Test zulässig.
In jedem Fall müssen Arbeitgeber die Rechtsgrundlage für die Datenverarbeitung im Zusammenhang mit dem Schnelltest vor der Datenerhebung prüfen und die Beschäftigten gemäß Art. 13 DS-GVO darüber informieren.