Chemnitz, 20.03.2022
Im Hinblick auf erneut geänderte rechtliche Rahmenbedingungen wird verwiesen auf die Stellungnahme 01-2022 der Datenschutzaufsichtsbehörde der EKD:
https://datenschutz.ekd.de/wp-content/uploads/2022/02/Stellungnahme_3G_am_Arbeitsplatz_2022.pdf
Chemnitz, 25.11.2021
Die Verpflichtungen zum 3G-Nachweis vor dem Betreten der Arbeitsstätte
Die Verpflichtungen gemäß § 28b Abs. 1 Satz 1 IfSG formulieren ein Betretungsverbot von Arbeitsstätten durch Arbeitgeber und Beschäftigte, die keinen Impf-, Sero- oder Testnachweis mit sich führen, zur Kontrolle verfügbar halten oder beim Arbeitgeber hinterlegt haben. Für bestimmte Einrichtungen nach § 28b Abs. 2 IfSG gilt darüber hinaus u. a. für Arbeitgeber, und Beschäftigte eine Testverpflichtung sowie die Pflicht, einen Testnachweis mit sich zu führen.
Die Pflicht zur Überwachung und Dokumentation im erforderlichen Umfang
Gemäß § 28b Abs. 3 IfSG sind sämtliche Arbeitgeber (§ 28b Abs. 1 IfSG) sowie die Leitungen der in § 28b Abs. 2 Satz 1 IfSG genannten Einrichtungen und Unternehmen verpflichtet, die Einhaltung der o. g. Verpflichtungen durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren.
Dies bedeutet jedoch nicht, dass Dokumente wie Listen erstellt werden dürfen, auf denen die konkreten Impf-, Sero- oder Testdaten zu jedem Beschäftigten erfasst werden. Dies würde dem datenschutzrechtlichen Erforderlichkeitsprinzip i. V. m. dem Datenminimierungsgrundsatz zuwiderlaufen.
Erforderlicher Umfang der Überwachung
Zur Überwachung der gültigen 3G-Nachweise genügen Kontrollen dieser Nachweise vor dem Betreten der Arbeitsstätte.
Wie und von wem diese Kontrollen durchgeführt werden dürfen, ist dokumentiert festzulegen.
Erforderliche Daten zur Dokumentation
Zur Dokumentation der erbrachten Nachweise genügt ein Vermerk zum Namen, wie „gültiger 3G Nachweis liegt vor“. Erfolgt diese Dokumentation listenmäßig, ist sicherzustellen, dass nur die zur Dokumentation berechtigte Person Einsicht in die Liste hat.
Wie und von wem diese Dokumentation vorgenommen werden darf, ist dokumentiert festzulegen.
Die Zahl der Personen, welche diese hochsensiblen Gesundheitsdaten verarbeiten dürfen, muss auf das erforderliche Minimum beschränkt werden.
Erlaubnis bzw. Rechtsgrundlage für die Kenntnisnahme der 3G-Statusinformationen
Um die Nachweiskontrolle und die Dokumentation „gültiger 3G Nachweis liegt vor“ durchführen zu können muss es für diesen Zweck erlaubt sein, die personenbezogenen Daten (z. B. Namen der Beschäftigten) einschließlich der Information zum Impf-, Sero- und Teststatus in Bezug auf die Coronavirus-Krankheit-2019 (COVID-19) zur Kenntnis zu nehmen, also zu verarbeiten.
Diesen Erlaubnistatbestand (Rechtsgrundlage) hat der Gesetzgeber mit § 28b Abs. 3 Satz 3 IfSG geschaffen. Dort heißt es: „Soweit es zur Erfüllung der Pflichten aus Satz 1 erforderlich ist, darf der Arbeitgeber sowie die Leitung der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen zu diesem Zweck personenbezogene Daten einschließlich Daten zum Impf-, Sero- und Teststatus in Bezug auf die Coronavirus-Krankheit-2019 (COVID-19) verarbeiten.“
Fazit: Es genügt die Kenntnisnahme (Anschauen und Lesen) des vorgezeigten Nachweises, ggf. verbunden mit einer Identitätsprüfung anhand eines Personaldokuments.
Datenschutzgrundsätze und Beschäftigtendatenschutz
Der genannte Erlaubnistatbestand ist in Verbindung mit den Datenschutzgrundsätzen nach § 5 DSG-EKD, den Regelungen zur Verarbeitung besonderer Kategorien personenbezogener Daten gemäß § 13 DSG-EKD und den Regelungen zum Beschäftigtendatenschutzes nach § 49 DSG-EKD eng auszulegen. Das Verarbeiten muss sich auf das Dokumentieren der Kenntnisnahme beschränken, damit durch eine nicht zwingend erforderliche Verarbeitung von hochsensiblen Gesundheitsdaten keine zusätzlichen Risiken für die Rechte und Freiheiten der Betroffenen entstehen.
Verarbeitung i. V. m. der Hinterlegung von 3G-Nachweisdokumenten
Wollen Beschäftigte nicht täglich neu ihren Impf- oder Genesenenstatus nachweisen, dann können bzw. müssen sie die entsprechenden Nachweise beim Arbeitgeber hinterlegen. Zum Genesenenstatus gehört auch ein Vermerk, wann der Status abläuft. Im Sinne des Erforderlichkeitskriteriums und dem Grundsatz der Datenminimierung folgend genügt zur Hinterlegung ein entsprechender Vermerk, dass ein gültiger Impfnachweis, ein Genesenennachweis oder ein Testnachweis vorgelegen hat. Die Hereinnahme der Originaldokumente erscheint vor allem im Hinblick auf den Impfausweis weder sinnvoll noch erforderlich. Gleiches ist für Kopien der Nachweise festzustellen.
Zusammenfassung datenschutzrechtlicher Aspekte
- Infolge der Erhebung personenbezogener Beschäftigtendaten hat der Arbeitgeber auf Verlangen den Beschäftigten die Pflichtinformationen nach § 17 DSG-EKD zu erteilen.
- Gemäß § 5 Abs. 1 Nr. 3 DSG-EKD muss die Datenerhebung auf das notwendige Maß beschränkt sein (Datenminimierungsgrundsatz). Wählt die beschäftigte Person nach § 28b Abs. 1 IfSG eine Hinterlegung von Nachweisen, so darf der Arbeitgeber diese für die vorgesehene Dauer speichern. Für die Dokumentationspflichten des Arbeitgebers nach § 28b Abs. 3 Satz 1 und 2 IfSG ist eine Kopie dieser Nachweise nicht erforderlich. Ausreichend ist es, zu dokumentieren, dass die vorgelegten Unterlagen geprüft wurden, und den jeweiligen Status zu einer bestimmten Person mit Datum zu vermerken. Die Vorgaben der Datensicherheit (§ 27 DSG-EKD) sind einzuhalten.
- Das Verfahren der Verarbeitung des Impf-, Sero- und Teststatus ist im Verzeichnis der Verarbeitungstätigkeiten (§ 31 DSG-EKD) zu dokumentieren.
- Unbefugte Personen dürfen keinen Zugriff auf die Gesundheitsdaten der Beschäftigten erhalten. Befugt sind nur der Arbeitgeber bzw. die Unternehmens- oder Dienststellenleitung und ggf. mit der Verarbeitung der Daten betraute bzw. hierfür autorisierte Personen (z. B. Personen aus der Personalabteilung, dem Personalreferat oder dem Bereich der Eingangskontrolle).
- Die Gesundheitsdaten dürfen nur für die gesetzlich vorgegebenen Zwecke verarbeitet werden. Eine Verarbeitung zu anderen Zwecken ist grundsätzlich unzulässig. Nach Ablauf der Speicherdauer (§ 28b Abs. 3 Satz 9 IfSG) sind sämtliche Daten, die auf dieser Rechtsgrundlage erhoben wurden, zu löschen.