3G-Regelung am Arbeitsplatz
Der Bundestag sowie der Bundesrat haben die Änderung des Infektionsschutzgesetzes beschlossen. Die neuen Regelungen treten voraussichtlich am Mittwoch, dem 24.11.2021, in Kraft und beinhalten unter anderem eine 3G-Regelung am Arbeitsplatz.
Die Landesaufsichtsbehörden für Datenschutz haben zu den notwendigen Erhebungen bisher noch nicht abschließend Stellung bezogen. Kritik wurde aber schon geäußert.
Die Entwicklung wird daher abzuwarten sein, sodass die nachfolgenden Ausführungen als Vorabinformation zu verstehen sind und bei Bedarf noch aktualisiert werden:
Verpflichtung in Bezug auf 3G am Arbeitsplatz:
• Arbeitsstätten, in denen “physische Kontakte” nicht ausgeschlossen werden können, dürfen ohne Impf-, Genesenen- oder tagesaktuellen Testnachweis (oder maximal 48 Stunden alten PCR-Test) nur zum Testen oder Impfen im Betrieb betreten werden. Dies gilt auch für den Arbeitgeber selbst.
• Arbeitgeber müssen Kontrollen zur Einhaltung der 3G durchführen.
• Die Beschäftigten haben den 3G-Nachweis stets mitzuführen.
• Die 3G-Pflicht gilt auch für Personen-Sammeltransporte (etwa: Parkplatz-Shuttles) zu und von der Arbeitsstätte.
Das Bundesministerium für Arbeit und Soziales (BMAS) hat, ebenfalls vorab, FAQs zu 3G am Arbeitsplatz veröffentlicht.
Datenschutzrechtlich zu beachten:
3G Status und Dokumentation
Um die Einhaltung der 3G-Regelung nachzuweisen, darf der 3G-Status nach den neuen Regelungen dokumentiert und Behörden auf Anfrage übermittelt werden.
Arbeitgeber dürfen demnach, soweit es zur Sicherstellung des 3G Nachweispflicht erforderlich ist,
“personenbezogene Daten einschließlich Daten zum Impf-, Sero- und Teststatus in Bezug auf die Coronavirus-Krankheit-2019 (COVID-19) verarbeiten” (§ 28b Abs. 3 IfSG-neu).
Die entsprechenden Daten dürfen
“auch zur Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung gemäß den §§ 5 und 6 des Arbeitsschutzgesetzes verwendet werden, soweit dies erforderlich ist”.
Welche Befugnisse des Arbeitgebers daraus allerdings tatsächlich entstehen, was also als erforderlich gilt, muss zunächst abgewartet werden.
Um dem Grundsatz der Datenminimierung nach Artikel 5 Absatz 1 Buchstabe c DSGVO zu genügen, reicht es nach der Stellungnahme des BMAS zur Dokumentation aus, am jeweiligen Kontrolltag den Vor- und Zunamen der Beschäftigten auf einer Liste "abzuhaken", wenn der jeweilige Nachweis - aber wohl nicht welcher Nachweis - durch den Beschäftigten erbracht worden ist.
Bei geimpften und genesenen Personen kann das Vorhandensein eines gültigen Nachweises zur Dokumentation nur einmal erfasst werden. Tägliche Zugangskontrollen wären bei diesem Personenkreis dann nicht mehr notwendig. Bei Genesenen wäre in diesem Fall allerdings zusätzlich das Enddatum des „Genesenenstatus“ zu dokumentieren.
Jedoch ist momentan noch offen, ob der Arbeitgeber die Tatsache der Impfung oder Genesung außerhalb der täglichen Zugangskontrolle nutzen darf, oder ob der Mitarbeiter diesen Umstand nicht freiwillig mitteilen muss, um auf die wiederkehrende Zugangskontrolle verzichten zu können.
Letzteres, also eine freiwillige Mitteilung des Impf- oder Genesenenstatus, wäre aktuell datenschutzrechtlich zu empfehlen.
Sofern Dienstleister bei der vom Arbeitgeber durchzuführenden Kontrolle zum Einsatz kommen ist ggf. Vereinbarungen zur Auftragsverarbeitung erforderlich.
Die Daten, also die Dokumentationen, sind spätestens sechs Monate nach Ihrer Erhebung zu löschen.
Überwachte Tests durch Arbeitgeber
Betriebliche Testangebote können genutzt werden, wenn Sie durch beauftragte Dritte durchgeführt und bescheinigt oder unter Aufsicht im Betrieb durchgeführt und dokumentiert werden. Reine Selbsttest ohne eine "Überwachung" genügen für eine Zutrittskontrolle nicht mehr aus.
Es reicht, wenn folgende Informationen bei einem Test durch den Arbeitgeber dokumentiert werden:
Testdatum, Testart/Typ, Testergebnis, Identität (Name, Vorname, ggf. Personalnummer) des Getesteten, Identität (Name, Vorname) der Überwachungsperson.
Auch das Abhaken des Tests auf einer Tages-Testliste o.ä. wäre möglich.
Die Dokumentation der Test-Durchführung durch eine Videoaufnahme ist nicht zulässig und die Probenentnahme darf nicht im Sichtbereich einer Video-Überwachung liegen.
Sofern Dienstleister bei den vom Arbeitgeber durchgeführten Tests zum Einsatz kommen ist ggf. Vereinbarungen zur Auftragsverarbeitung erforderlich.
Bei einem positiven Test besteht nach bisheriger Auslegung keine Verpflichtung des Arbeitgebers diesen an das Gesundheitsamt zu melden. Dem Mitarbeiter ist aber bis zur Abklärung des Infektionsstatus durch einen PCR-Test der Zutritt zu verwehren. Für die Durchführung eines PCR-Tests sollte sich der Mitarbeiter an seinen Hausarzt oder ein Testzentrum wenden, welche einen evtl. positiven Befund an die Gesundheitsbehörden melden.
Die Arbeitgeber haben zwingend sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte (zum Beispiel Dritte oder Kolleginnen und Kollegen) ausgeschlossen ist. Es wäre daher zu empfehlen, die Einsicht in die Dokumentation nur einem bestimmten Personenkreis zu erlauben, der die Einsicht auch benötigt.