Seit nunmehr 2 Wochen ist die Neufassung des Infektionsschutzgesetz in Kraft und mit ihm die 3G-Pflicht am Arbeitsplatz, die die Arbeitgeber dazu verpflichtet, sowohl den eigenen G-Status als auch den, der Mitarbeiter täglich zu prüfen und tagesaktuell zu dokumentieren.

Die damit einhergegangenen organisatorischen Herausforderungen an die Arbeitgeber bei der Einführung bzw. Umsetzung der Kontrollpflicht im Betrieb sind vermutlich überwiegend in alltägliche Abläufe übergegangen.

Bei der Kontrolle müssen Arbeitgeber die Datenschutzregeln einhalten. Derzeit gibt es noch keine Verordnung, die die genauen Dokumentationspflichten bestimmt. Daher wird die Dokumentationspflicht zunächst durch die Dokumentation der Prozesse der Kontrollen zu erfüllen sein.  

Angaben über Impf-, Genesenen- oder Teststatus sind sensible Informationen, welche als Gesundheitsdaten besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) darstellen und zurecht durch die DSGVO geschützt werden.

Die Daten dürfen ausschließlich zu den im Infektionsschutzgesetz genannten Zwecken verarbeitet werden und sind auch sonst getrennt und vor dem Zugriffen Dritter geschützt aufzubewahren.  Insbesondere gehört die Liste bzw. die Dokumentation der Nachweise nicht in die Personalakte. 

Aus diesem Grund darf die Dokumentation zum einen nur durch einen zur Verschwiegenheit verpflichteten Personenkreis durchgeführt und zum anderen muss sie durch geeignete technische und organisatorische Maßnahmen vor dem Zugriff unbefugter Personen geschützt werden.

Wenn die Zutrittskontrolle nicht durch den Arbeitgeber selbst  bzw. einen geeigneten Beschäftigten durchgeführt, sondern durch z.B. einen externen Dienstleister betreut wird, muss unbedingt geprüft werden, ob es sich dabei um eine Auftragsverarbeitung handelt und ggf. ein Auftragsverarbeitungsvertrag geschlossen werden muss.

Um dem Grundsatz der Datenminimierung nach Artikel 5 Abs. 1 Buchst. C DSGVO zu entsprechen, ist es ausreichend, wenn tagesaktuell der Vor- und Zuname der Beschäftigten auf einer Liste abgehakt werden, nachdem der jeweilige Nachweis vorgezeigt worden ist. In dem Zusammenhang ist zu beachten, dass der Betroffene auch über die Verarbeitung der erhobenen Daten zu informieren ist.

Bei geimpften Mitarbeitern kann der gültige Impfnachweis nur einmal erfasst und dokumentiert werden, was grundsätzlich auch für Genesense gilt, wobei hier zusätzlich das Ablaufdatum des Genesenen- Status erfasst werden sollte, um dafür Sorge zu tragen, nach dem Ablauf einmalig einen Impfnachweis oder täglich einen Testnachweis vorzulegen.
Nach der einmaligen Kontrolle und der damit einhergehenden Erfassung über den Genesenen- oder Impfstatus, können die Beschäftigten für die Dauer der Gültigkeit des Nachweises anschließend von den täglichen Zugangskontrollen ausgenommen werden. Es ist geimpften und genesenen Mitarbeitern aber weiterhin freigestellt, auch tagesaktuelle Testnachweise vorzulegen.

Die Dokumentation kann händisch in Listenform oder auch in digitaler Form erfolgen, wichtig in beiden Abläufen ist, dass die Vertraulichkeit sowie die Nachvollziehbarkeit der Einträge sichergestellt sind.

Arbeitgeber dürfen die erhobenen Informationen des G-Status ihrer Beschäftigten zum Zweck der erforderlichen Nachweiskontrolle nutzen. Angesichts der Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung nach §§ 5 und 6 des Arbeitsschutzgesetzes ist es dem Arbeitgeber zudem gestattet, die erhobenen G-Status-Daten zu nutzen, was aber unbedingt individuell zu prüfen ist.

Alle im Zusammenhang mit der 3G-Pflicht am Arbeitsplatz erhobenen Daten sind spätestens nach 6 Monaten zu löschen. Sobald der G-Status nicht mehr als Zugangsvoraussetzung nach §28b Abs. 3 erforderlich ist, wird die Dauer der Speicherung durch den Erforderlichkeitsgrundsatz begrenzt und die Daten sind sofort zu löschen. Abschließend bleibt noch zu erwähnen, dass die Durchführung des 3G-Nachweises am Arbeitsplatz in das Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO aufzunehmen ist. Je nach Umfang der Verarbeitung kann eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO erforderlich sein.

Sandra Grassow

Zertifizierte Datenschutzbeauftragte