Welche Daten dürfen Arbeitgeber erheben und verarbeiten?
Die Regelungen des neuen Infektionsschutzgesetzes (IfSG) sollen dazu beitragen, die akute vierte Infektionswelle möglichst schnell zu brechen und das Infektionsgeschehen effizient einzudämmen. Wichtige Änderungen im Infektionsschutzgesetz und datenschutzrechtliche Antworten – hier im Überblick.
Wer darf die Kontrollen durchführen?
28 b Abs. 3 IfSG verpflichtet den Arbeitgeber zu Nachweiskontrollen. Der Arbeitgeber ist dabei nicht nur für Überprüfung der 3G-Nachweise vor dem Betreten der Arbeitsstätten verantwortlich, sondern auch zu deren Dokumentation verpflichtet.
Gemäß § 28 b Abs. 1 Satz 4 IfSG hat der Arbeitgeber seine Beschäftigten zwar über die betrieblichen Zugangsregelungen zu informieren, unter Beachtung der Anforderungen an den Beschäftigtendatenschutz kann er die Kontrolle jedoch an geeignete Beschäftigte oder Dritte delegieren, wie bspw. Vorgesetzte, Empfangsmitarbeiter:innen oder Personaler:innen.
Welche Daten dürfen erfasst werden?
Der Schwerpunkt der Kontrollen liegt dabei auf der Gültigkeit der Nachweise. Für nicht Geimpfte bzw. nicht Genesene ist daher eine tägliche Überprüfung ihres negativen Teststatus Voraussetzung für den Zugang zur Arbeitsstätte.
Um zu überwachen und zu dokumentieren, dass die Beschäftigten der Pflicht eines 3G-Nachweises nachkommen, müssen Beschäftigte dem Arbeitgeber beim Betreten der Arbeitsstätte entweder einen Impf- oder Genesenennachweis oder einen Testnachweis vorzeigen.
Soweit es dazu erforderlich ist, darf der Arbeitgeber personenbezogene Daten wie den Namen und das Vorliegen eines gültigen 3G-Nachweises inkl. der Gültigkeitsdauer abfragen und das Ergebnis der Abfrage – nicht das Dokument über den Nachweis selbst, siehe unten – dokumentieren. Dies kann auch digital geschehen. Weitere Gesundheitsdaten der Beschäftigten dürfen durch den Arbeitgeber auf Grundlage der Bestimmungen des Infektionsschutzgesetz nicht erheben oder sonst verarbeiten.
Wenn der Arbeitgeber den Genesenennachweis oder den Impfnachweis einmal kontrolliert und diese Kontrolle dokumentiert hat, können Beschäftigte mit gültigem Impf- oder Genesenennachweis anschließend grundsätzlich von den täglichen Zugangskontrollen ausgenommen werden.
Nachweisdokumentation – aber bitte datenschutzkonfom!
Gemäß dem Grundsatz der Datenminimierung, Artikel 5 Absatz 1 Buchstabe c DSGVO, genügt es am jeweiligen Kontrolltag den Vor- und Zunamen der Beschäftigten auf einer Liste „abzuhaken“, wenn der jeweilige Nachweis durch den Beschäftigten erbracht worden ist.
Bei geimpften und genesenen Personen muss das Vorhandensein eines gültigen Nachweises nur einmal erfasst und dokumentiert werden. Bei Genesenen ist in diesem Fall zusätzlich das Enddatum des Genesenenstatus zu dokumentieren.
Bei Beschäftigten, welche sich täglich testen lassen, wird schließlich ein tagesaktuelles Kreuz gesetzt, solange ein negatives Testergebnis vorliegt. Nachweise über den Impf- und Genesungsstatus sowie negative Testbescheinigungen dürfen jedoch nicht als Kopie o.ä. dokumentiert werden. Jene enthalten besonders schütztenswerte Daten, sog. Gesundheitsdaten, welche nur nach Einwilligung verarbeitet werden dürfen.
Der Arbeitgeber hat die Vorgaben des Datenschutzes einzuhalten, insbesondere angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen nach § 22 Absatz 2 BDSG vorzusehen. Dafür sind unter anderem technische und organisatorische Maßnahmen zur Datensicherheit zu ergreifen. Die Arbeitgeber haben sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte (zum Beispiel Dritte oder Kolleginnen und Kollegen) ausgeschlossen ist.
Gemäß Art. 13 DSGVO hat der Arbeitgeber seine Beschäftigten zudem über die mit der Kontrolle der Impf-, Genesungs- und Testnachweise verbundene Datenverarbeitung zu informieren. Diese Information über die Art und Weise der Datenverarbeitung sollte allen Beschäftigten zugänglich gemacht werden, in jedem Fall zum Zeitpunkt der Kontrolle der entsprechenden Nachweise. Dies kann beispielsweise durch einen Aushang geschehen.
Wie lange werden die Daten gespeichert?
Es gilt der Grundsatz der Zweckbindung (Art. 5 Absatz 1 Buchstabe b DSGVO). Der Arbeitgeber darf die Nachweise nur verarbeiten, soweit dies zum Zwecke deren Kontrolle erforderlich ist. Die Daten sind jedoch spätestens sechs Monate nach Ihrer Erhebung zu löschen.
Bei weiteren Fragen stehen wir Ihnen jederzeit zur Verfügung.
Gern unterstützen wir Sie bei der Umsetzung in Ihrer Organisation.
Folgende Beiträge rund um das Arbeiten während der Corona-Pandemie und der DSK könnten Sie auch interessieren: