Für Sie da

9:00 bis 16:00

info@kedua.de

030 43 77 86 25

 
 

Datenschutzkonformer Umsetzung der „3g-Regelung“ am Arbeitsplatz

Seit dem 24. November 2021 gilt bundesweit die so genannte 3g-Regelung am Arbeitsplatz. Demnach sind Arbeitgeber verpflichtet, den Impf-, Genesenen- oder Teststatus ihrer Beschäftigten zu prüfen und zu dokumentieren. Dies gilt grundsätzlich vor dem Betreten der Arbeitsstätte.

Gibt es Ausnahmen?

Ja:

  • Homeoffice-Arbeitsplätze gelten nicht als Arbeitsstätten in diesem Sinne
  • Auch Arbeitsplätze an denen keinerlei Kontakte zu anderen Personen entstehen können, sind ausgenommen, z.B. Kraftfahrer ohne Personenbeförderung und Ladetätigkeit, soweit keine weiteren Personen mitfahren. Erfasst sind jedoch auch Transporte von Arbeitnehmern, wenn sich mehrere Beschäftigte im Fahrzeug befinden.
  • Das Betreten der Arbeitsstätte ist ferner ohne 3g-Maßnahme erlaubt, um ein Impf- oder Testangebot des Arbeitgebers wahrzunehmen

 

Welche Daten müssen erfasst werden?

  • Name und Vorname des Aufsichtsführenden,
  • Namen und Vornamen der getesteten Personen,
  • Datum und Uhrzeit,
  • Impf- oder Genesenenstatus, bzw. Testergebnis.

Geimpfte oder Genesene können ihren entsprechenden Nachweis beim Arbeitgeber hinterlegen. In diesem Falle sind sie von der Kontrolle ausgenommen. Impfzertifikate sind (derzeit) nicht befristet, müssen aber spätestens bei Wegfall der 3g-Regelung gelöscht werden. Genesenennachweise verjähren sechs Monate nach ihrer Ausstellung und müssen dann gelöscht werden. Zur Hinterlegung ihrer Zertifikate können Beschäftigte jedoch nicht verpflichtet werden. Wer dazu nicht bereit ist, muss sein Zertifikat täglich überprüfen lassen. Wird kein Impf- oder Genesenenstatus beim Arbeitgeber hinterlegt, müssen die betreffenden Arbeitnehmer ihre Nachweise jederzeit bei sich führen und bei Kontrollen vorlegen.

 

Welche Rechtsgrundlage gilt für die Verarbeitung der bei der Umsetzung der 3g-Regelung anfallenden personenbezogenen Daten?

Rechtsgrundlage der Verarbeitung ist Art 9 Abs. 1 lit. g) DSGVO i.V.m. § 28b Abs. 1, 3 und 7 des Infektionsschutzgesetzes (IfG). Ferner § 22 Abs. 2 BDSG in entsprechender Anwendung. Keine Anwendung an allgemeinen Arbeitsplätzen findet hingegen § 23a IfG. Dieser gilt nur für die in § 23 Abs. 3 IfG genannten Einrichtungen.

 

Was ist bei der Speicherung dieser Daten zu beachten?

  • Bei den Daten in diesem Zusammenhang handelt es sich um besondere Kategorien personenbezogener Daten (Gesundheitsdaten) im Sinne des Art. 9 EU-DSGVO. Das dortige Verarbeitungsverbot wird aber durch § 28b Abs. 1 und 2 IfG aufgehoben, soweit es für die Erstellung und Vorhaltung der dort geforderten Dokumentationen erforderlich ist. Darüber hinaus dürfen diese Daten aber nicht verwendet werden! Eine Ausnahme bildet die Erstellung/Anpassung, bzw. die Umsetzung des betrieblichen Hygienekonzepts. Für die dafür erforderliche Risikobewertung dürfen die Daten aus der Umsetzung der 3g-Regelung verwendet werden. Rechtsgrundlage sind dann die §§ 5 und 6 des Arbeitsschutzgesetzes. Allerdings sollten hierzu die Daten wenn möglich anonymisiert oder pseudonymisiert werden.
  • Die im Betrieb mit der Erhebung und weiteren Verarbeitung der Dokumentationsdaten befassten Personen sollten (nochmals) ausdrücklich und für diese konkrete Tätigkeit zur Verschwiegenheit verpflichtet werden. Dies sollte insbesondere auch im Hinblick auf die Verschwiegenheit gegenüber anderen Beschäftigten des Unternehmens (auch und gerade Vorgesetzten und Geschäftsführung) gelten.
  • Es muss für die gespeicherten Daten ein besonders hohes Schutzniveau hergestellt und für die gesamte Speicherdauer aufrechterhalten werden. § 22 Abs. 2 BDSG nennt hier einige Beispiele, wie eine entsprechende Sicherheit gewährleistet werden kann. Diese Aufstellung ist aber weder zwingend, noch vollständig. Die wichtigsten Punkte sind:
    • Treffen der erforderlichen technischen/organisatorischen Maßnahmen (TOM), wie insbesondere sichere Ablageorte, keine Speicherung außerhalb des EWR, Verschlüsselung, Psyeudonymisierung (wenn möglich), Einschränkung der Zugriffsberechtigungen auf das absolute Minimum, Verwendung sicherer Übertragungswege, sofern Übermittlungen erforderlich werden;
    • Sensibilisierung der mit der Aufgabenerfüllung betreuten Mitarbeiterinnen und Mitarbeiter und separate Verpflichtung zur Verschwiegenheit;
    • Einbindung des betrieblichen Datenschutzbeauftragten;
    • Löschung der Daten zum frühestmöglichem Zeitpunkt;
    • zwischenzeitliche Überprüfung der Wirksamkeit aller getroffenen Maßnahmen.

 

Wie ist zu verfahren, wenn es keinen zentralen Zugang zum Arbeitsplatz („Werkstor“) gibt?

Bei Betrieben, die über keinen zentralen Zugang verfügen oder bei denen die Arbeitnehmer ihre Leistungen außerhalb des Unternehmens, z.B. direkt beim Kunden erbringen, muss der Arbeitgeber andere geeignete Maßnahmen zur Verfügung stellen. Bei Unternehmen mit dezentralen Zugängen kann dies z.B. die Einrichtung einer Anlaufstelle für nicht geimpfte oder genesene Beschäftigte sein, während die Impf- oder Genesenenzertifikate auch elektronisch, z.B. per SMS an eine zentrale Empfängerstelle im Unternehmen übermittelt werden können. Hierbei ist unbedingt auf die Verwendung sicherer Übertragungswege zu achten. So wäre z.B. eine Pflicht zur Übermittlung der Zertifikate per Email unzulässig. Bei nicht geimpften und nicht genesenen Beschäftigten muss der Arbeitgeber auch hier nachweisen, dass tagesaktuelle Testergebnisse in der zulässigen Form an ihn übermittelt wurden. Auch dies ist unter den oben genannten Bedingungen aber grundsätzlich auch elektronisch möglich.

 

Was gilt bezüglich Leiharbeitnehmern?

Maßgeblich ist die Arbeitsstätte. Diese befindet sich beim Entleiher, weshalb dieser auch für die Durchführung der 3g-Maßnahmen und deren Dokumentation verantwortlich ist.

 

Welche Informationen müssen Beschäftigte erhalten?

Den Beschäftigten müssen entsprechend den Vorgaben des Art. 13 DSGVO die Informationen zur Verarbeitung der im Rahmen der 3g-Regelung anfallenden Daten gegeben werden. Dies muss barrierefrei erfolgen. Ferner bestehen die allgemeinen Betroffenenrechte zugunsten der Beschäftigten, insbesondere das Auskunftsrecht (Art. 15 DSGVO) und das Recht auf Datenportabilität (Art. 20 DSGVO) im Hinblick auf im Betrieb erstellte Testergebnisse.

 

Besteht Mitbestimmungspflicht?

Bezüglich des „Ob“ der Maßnahmen nicht, da hier zwingende gesetzliche Vorgaben bestehen. Bezüglich des „Wie“ kann dies jedoch der Fall sein. Namentlich dann, wenn auch elektronische Verarbeitungen erfolgen sollen oder auch in praktischen Fragen der Umsetzung kann ein Mitbestimmungsrecht des Betriebsrats gem. § 87 Abs. 1 BetrVG bestehen.

Letzte Änderung am Montag, 29 November 2021 11:27

Sie haben Fragen zum Datenschutz?

Unsere Experten stehen Ihnen gern zur Verfügung!

© 2020 Kedua GmbH - Ihre Datenschutzexperten seit mehr als 20 Jahren.

Datenschutzkompetenz seit 1998.

Für Sie erreichbar:

Telefon: 030 4377 8625
E-Mail: info@kedua.de

Montag bis Freitag
von 9:00 Uhr bis 16:00 Uhr

Ralf Schulze - Geschäftsführer