Seit dem 18.11.2021 gilt das neue Infektionsschutzgesetz (IfSG), welches unter anderem regelt, dass am Arbeitsplatz die 3G-Regel Anwendung findet. Der Arbeitgeber ist hiernach verpflichtet, dafür Sorge zu tragen, dass nur noch geimpfte, genesene und/oder getestete Personen den Arbeitsplatz aufsuchen. Der Arbeitgeber wird zur Kontrolle und zur Dokumentation verpflichtet.
Höhere Anforderungen an die Arbeit mit vulnerablen Gruppen
Arbeitgeber müssen von Beschäftigten in Pflegeheimen und ähnlichen Einrichtungen künftig nach § 36 Abs. 3 IfSG Auskunft über eine Corona-Impfung oder eine entsprechende Genesung verlangen, um über die Begründung eines Beschäftigungsverhältnisses oder über die Art und Weise der Beschäftigung zu entscheiden. Begründet wird die Regelung damit, dass in den genannten Einrichtungen „[…] besonders vulnerable Personengruppen betreut werden oder untergebracht sind beziehungsweise aufgrund der räumlichen Nähe zahlreiche Menschen einem Infektionsrisiko ausgesetzt sind […]“. Arbeitgeber könnten durch die Informationen „[…] die Arbeitsorganisation so ausgestalten, dass ein sachgerechter Einsatz des Personals möglich ist und ggf. entsprechende Hygienemaßnahmen treffen.“
Abfrage von Gesundheitsdaten – Was sagt der Datenschutz dazu?
War es bislang nur wenigen Unternehmen wie Krankenhäusern, Pflegeheimen und Kitas möglich, den 3G-Status ihrer Beschäftigten abzufragen, wird dies nun von jedem Unternehmen verlangt. Dabei trifft das Infektionsschutzgesetz jedoch keinerlei Aussagen darüber, wie dies datenschutzkonform, bezüglich der Erhebung, Verarbeitung und Speicherung der Gesundheitsdaten erfolgen soll. Dabei gelten Gesundheitsdaten als besonders sensible Daten und dürfen nicht ohne weiteres abgefragt werden. Grundlage für die Dokumentation der Nachweise ist Art. 6 Abs. 1 S. 1 lit. c, Art. 9 Abs. 2 lit. i DSGVO iVm § 28b Abs. 1 S. 1, Abs. 3 IfSG.
Geimpfte Arbeitnehmer und Arbeitnehmerinnen müssen ihren Impfstatus durch Vorlage eines Impfzertifikats oder durch den gelben Impfausweis belegen. Wichtig ist, dass der Termin der letzten Impfung nachgewiesen wird. Aktuell wird davon ausgegangen, dass ein ausreichender Impfschutz 6 Monate anhält. Eine Verkürzung dieses Zeitraums ist jedoch aufgrund der Omikron-Variante wahrscheinlich.
Bei genesenen Beschäftigten ist der Genesenennachweis zu kontrollieren. Hier ist es ratsam, das Ablaufdatum zu dokumentieren, denn nach dessen Ablauf ist auch hier ein Impfnachweis erforderlich wird.
Nicht geimpfte oder genesene Mitarbeitende
Personen, die weder geimpft noch genesen sind, müssen gegenüber dem Arbeitgeber nachweisen, getestet worden zu sein. Der Arbeitgeber kann diese Tests selbst zur Verfügung stellen. Ein solcher Test muss unter Begleitung erfolgen. Eine entsprechende Dokumentation des Testergebnisses ist für die getestete Person hier zu finden. Alternativ können sich Mitarbeiterinnen und Mitarbeiter auch in den zugelassenen Schnelltest-Zentren der Testung unterziehen. Ein Zuhause durchgeführter Schnelltest reicht als Nachweis nicht aus und darf vom Arbeitgeber nicht anerkannt werden.
Was darf gespeichert werden?
Nach dem Grundsatz der Datenminimierung (Art. 5 Abs.1 c DSGVO) darf der Arbeitgeber nur speichern
, ob die Mitarbeiterin oder der Mitarbeiter geimpft, genesen oder getestet ist. Zudem kann die Information, wie lange der jeweilige Nachweis Gültigkeit hat, gespeichert werden.
Es ist also daher vollkommen ausreichend, eine Liste mit den Vor- und Zunamen der Mitarbeitenden sowie der Art des Nachweises und der Gültigkeitsdauer anzulegen. Die Nachweise der Beschäftigten können – auf freiwilliger Basis – auch beim Arbeitgeber hinterlegt werden. Hierbei sind die Löschfristen zu beachten. Die Daten müssen nach 6 Monaten wieder gelöscht werden, es sei denn, es gilt der Erforderlichkeitsgrundsatz. Dies bedeutet, dass die Zugangsbeschränkungen zum Arbeitsplatz und die Überprüfung des 3G-Status aufgrund des § 28 b Abs. 3 S.10 IfSG (Infektionsschutzgesetz) nicht mehr erforderlich sind. In diesem Fall wären die erhobenen Daten unverzüglich zu löschen.
Wichtig für Arbeitgeber ist zu wissen, dass der Grundsatz der Vertraulichkeit, welcher in der DSGVO definiert wird, auch bei Überprüfung der 2G/3G-Regel am Arbeitsplatz durch Nachweiskontrollen und auch bei Testangeboten des Arbeitgebers Berücksichtigung finden muss. Beschäftigte sollten daher nur von bestimmtem, für diese Aufgabe ausgewählten Personen kontrolliert werden bzw. getestet werden.
2G-/3G-Abfrage gehört ins Verfahrensverzeichnis
Es gibt keine datenschutzrechtlichen konkreten Ausführungen zu den, im Infektionsschutzgesetzes dargestellten Maßnahmen zur Eindämmung der Covid-19 Pandemie. Da Arbeitgeber aufgrund der Kontrollen Gesundheitsdaten ihrer Beschäftigten abfragen, muss die Verarbeitung der Gesundheitsdaten in das Verzeichnis der Verarbeitungstätigkeiten der Datenschutzdokumentation aufgenommen werden.
Wir beraten soziale Einrichtungen wie Pflege- und Altenheime im Geltungsbereich der DSGVO und des kirchlichen Datenschutzes in Mecklenburg-Vorpommern – praxisorientiert und vor Ort. Datenschutz Nordost unterstützt bei der gesetzlich vorgeschriebenen Datenschutzdokumentation, der Schulung der Mitarbeiter und stellt bei Bedarf auch den Datenschutzbeauftragten.